W2008搭建VPN流程

摘要：

VPN的作用: 跳过本地封堵直接访问。所以在本地以外的地方建立VPN，则可达到这个作用。打开系统 ...

总字数：11243

VPN的作用: 跳过本地封堵直接访问。

所以在本地以外的地方建立VPN，则可达到这个作用。

打开系统 管理工具/【服务器管理器】

角色→添加角色

→网络策略和访问服务

→下一步

●√网络策略服务器

●√路由和远程访问服务

  √远程访问服务

  √路由

→下一步，安装完成。

打开系统 管理工具/【路由和远程访问】

→配置并启用路由和远程访问(红色未启动)

...,这些搭建方法网上很多，基本一样。

Win2008的VPN建好后如不小心删除了NAT或是其他的，不用将组件卸载或是重装，直接重建即可。

●重要的来了:

打开客户机的系统【控制面板】→Internet选项，

点击顶部菜单【连接】→选中框内的【VPN】，点击【设置】；

拨号设置→【属性】，选中顶部菜单【网络】；

→选中【TCP/IPV4】→【属性】

DNS地址手动改为：8.8.8.8

注:不执行上面的修改，连上VPN后本地网页打不开。

VPN连接成功后联网正常，本地网关屏蔽的某些网站连接正常。

如同墙内打不开外面的网，那是因为被封堵了，如果在墙外同样建立一个，则道理一样：

直接通过墙外建立的连接访问。

OpenVPN

Centos7 详细教程 bak VPN

通过Docker安装VPN -OK

win10openvpn搭建与安卓客户端使用（仅用于内网穿透，不可非法使用）

●配置服务端

步骤:

使用宝塔面板安装:openvpn(Docker应用) 1.0.2,完成之后打开终端:

Last failed login: Fri Nov  8 20:08:24 CST 2024 from 218.92.0.246 on ssh:notty

There were 4 failed login attempts since the last successful login.

Last login: Fri Nov  8 20:08:14 2024 from localhost

docker pull kylemanna/openvpn:2.4    ※拉取镜像

mkdir -p /opt/openvpn   
※创建openvpn的文件存放位置

2.4: Pulling from kylemanna/openvpn

188c0c94c7c5: Pull complete 

67e020653bdb: Pull complete 

ea7504435934: Pull complete 

577cc4d838f3: Pull complete 

5e1478772e2e: Pull complete 

Digest: sha256:4de5e6690818c7c4025ae605369f681e813a7f9fe5d99feed988412c2d07987c

Status: Downloaded newer image for kylemanna/openvpn:2.4

docker.io/kylemanna/openvpn:2.4

docker run -v /opt/openvpn:/etc/openvpn --rm kylemanna/openvpn:2.4 ovpn_genconfig -u tcp://ip:1194    
※创建配置文件

docker run -v /opt/openvpn:/etc/openvpn --rm kylemanna/openvpn:2.4 ovpn_genconfig -u udp://ip:1194 
※创建配置文件，外网ip，建议使用 udp,因为网速问题！

Backing up /etc/openvpn/ovpn_env.sh -> /etc/openvpn/ovpn_env.sh.1731071931.bak

Backing up /etc/openvpn/openvpn.conf -> /etc/openvpn/openvpn.conf.1731071931.bak

Processing PUSH Config: 'block-outside-dns'

Processing Route Config: '192.168.254.0/24'

Processing PUSH Config: 'dhcp-option DNS 8.8.8.8'

Processing PUSH Config: 'dhcp-option DNS 8.8.4.4'

Processing PUSH Config: 'comp-lzo no'

Removing duplicate back-up: /etc/openvpn/ovpn_env.sh.1731071931.bak

removed '/etc/openvpn/ovpn_env.sh.1731071931.bak'

Removing duplicate back-up: /etc/openvpn/openvpn.conf.1731071931.bak

removed '/etc/openvpn/openvpn.conf.1731071931.bak'

Successfully generated config

Cleaning up before Exit ...

docker run -v /opt/openvpn:/etc/openvpn --rm -it kylemanna/openvpn:2.4 ovpn_initpki   
※生成密钥文件，准备好密码，如 ABCEFDPass2025@CHINA

docker run -v /opt/openvpn:/etc/openvpn --rm -it kylemanna/openvpn:2.4 ovpn_initpki  
※初始化密钥文件 
※执行上面代码期间需要注意
※1.输入密钥密码、确认密钥密码
※2.输入 ca 密码更新密钥库以及生成crl文件

WARNING!!!

You are about to remove the EASYRSA_PKI at: /etc/openvpn/pki

and initialize a fresh PKI here.

Type the word 'yes' to continue, or any other input to abort.

  Confirm removal: yes               

init-pki complete; you may now create a CA or requests.

Your newly created PKI dir is: /etc/openvpn/pki

Using SSL: openssl OpenSSL 1.1.1g  21 Apr 2020

Enter New CA Key Passphrase: 

Re-Enter New CA Key Passphrase: 

Generating RSA private key, 2048 bit long modulus (2 primes)

..................................................................................................................................................+++++

................................+++++

e is 65537 (0x010001)

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Common Name (eg: your user, host, or server name) [Easy-RSA CA]:ABCEFDPass2025@CHINA

CA creation complete and you may now import and sign cert requests.

Your new CA certificate file for publishing is at:

/etc/openvpn/pki/ca.crt

Using SSL: openssl OpenSSL 1.1.1g  21 Apr 2020

Generating DH parameters, 2048 bit long safe prime, generator 2

This is going to take a long time

......+.........+..................................................+........................................................................................................................................................................................................................................................................................................+....................................+.....................................................................................................................+..........................................................................................+...............................................................++*++*++*++*

DH parameters of size 2048 created at /etc/openvpn/pki/dh.pem

Using SSL: openssl OpenSSL 1.1.1g  21 Apr 2020

Generating a RSA private key

.........+++++

...........................................................................+++++

writing new private key to '/etc/openvpn/pki/easy-rsa-72.JCMeIA/tmp.mpoFfi'

-----

Using configuration from /etc/openvpn/pki/easy-rsa-72.JCMeIA/tmp.kFHMnO

Enter pass phrase for /etc/openvpn/pki/private/ca.key:

Check that the request matches the signature

Signature ok

The Subject's Distinguished Name is as follows

commonName            :ASN.1 12:'45.128.222.11'

Certificate is to be certified until Feb 11 12:19:09 2027 GMT (825 days)

Write out database with 1 new entries

Data Base Updated

Using SSL: openssl OpenSSL 1.1.1g  21 Apr 2020

Using configuration from /etc/openvpn/pki/easy-rsa-147.nKNcbE/tmp.dnBkfD

Enter pass phrase for /etc/openvpn/pki/private/ca.key:

An updated CRL has been created.

CRL file: /etc/openvpn/pki/crl.pem

docker run -v /opt/openvpn:/etc/openvpn --rm -it kylemanna/openvpn:2.4 easyrsa build-client-full jast nopass   
※生成jast为名的客户端，输入上面一样的密码

docker run -v /opt/openvpn:/etc/openvpn --rm -it kylemanna/openvpn:2.4 easyrsa build-client-full jast nopass 
※其中可修改 jast 名称，生成的过程需要输入第一步的密钥密码

Using SSL: openssl OpenSSL 1.1.1g  21 Apr 2020

Generating a RSA private key

...............+++++

.................................................................................................+++++

writing new private key to '/etc/openvpn/pki/easy-rsa-1.MdGLHj/tmp.DMLjBi'

Enter PEM pass phrase:

Verifying - Enter PEM pass phrase:

-----

Using configuration from /etc/openvpn/pki/easy-rsa-1.MdGLHj/tmp.ebJpMm

Enter pass phrase for /etc/openvpn/pki/private/ca.key:

Check that the request matches the signature

Signature ok

The Subject's Distinguished Name is as follows

commonName            :ASN.1 12:'jast'

Certificate is to be certified until Feb 11 12:23:48 2027 GMT (825 days)

Write out database with 1 new entries

Data Base Updated

docker run -v /opt/openvpn:/etc/openvpn --rm kylemanna/openvpn:2.4 ovpn_getclient jast > /opt/jast.ovpn   
※导出证书:从系统导出jast 为名称的客户端认证文件到服务器目录

docker run -v /data/openvpn:/etc/openvpn --rm kylemanna/openvpn:2.4 ovpn_getclient jast > /opt/jast.ovpn
※导出客户端的配置文件jast
※注意jast名称需与第三步生成时命名一致，此时生成的配置文件jast.ovpn即可用于客户端连接,然后我们将其从服务器 copy 到本地机器

docker run --name ov --restart=always --privileged=true -v /opt/openvpn:/etc/openvpn -d -p 1194:1194/udp --cap-add=NET_ADMIN kylemanna/openvpn:2.4   
※启动VPN

※启动openvpn 服务器
修改下服务器的配置文件
vi /opt/openvpn/openvpn.conf 

server 192.168.255.0 255.255.255.0
verb 3
key /etc/openvpn/pki/private/111.11.111.11.key
ca /etc/openvpn/pki/ca.crt
cert /etc/openvpn/pki/issued/111.11.111.11.crt
dh /etc/openvpn/pki/dh.pem
tls-auth /etc/openvpn/pki/ta.key
key-direction 0
keepalive 10 60
max-clients 100
persist-key
persist-tun

proto udp
# Rely on Docker to do port mapping, internally always 1194
port 1194
dev tun0
status /tmp/openvpn-status.log

user nobody
group nogroup
comp-lzo no
sndbuf 0
rcvbuf 0

### Route Configurations Below
route 192.168.254.0 255.255.255.0

### Push Configurations Below
push "block-outside-dns"
push "dhcp-option DNS 223.5.5.5"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
push "comp-lzo no"

docker run  -v /opt/openvpn:/etc/openvpn \
-d -p 1194:1194/udp --restart=always --name openvpn \
--cap-add=NET_ADMIN --sysctl net.ipv6.conf.all.disable_ipv6=0 \
--sysctl net.ipv6.conf.default.forwarding=1 --sysctl net.ipv6.conf.all.forwarding=1  \
kylemanna/openvpn:2.4

※服务器防火墙将 UDP:1194端口开通放行

※openvpn 客户端
※使用编辑器打开下载下来的jast.ovpn
client
nobind
dev tun
remote-cert-tls server

remote 111.11.111.11 1194 udp
# remote ip port udp

※注意：openvpn client可以配置多个openvpn server节点，每个remote就是一个openvpn server节点，
※一般可以设置为随机或顺序的方式。当某个节点不行时，客户端会按照相应的方式连接其它节点。
※另外openvpn-client默认是全局代码的方式，我们也可以通过中jast.ovpn中配置route来实现局部代理。

※假如要给小伙伴们客户端的时候，强烈建议执行
※生成客户端证书
※导出客户端的配置文件qq-openvpn-client.ovpn
※然后发送给小伙伴，这样做的好处是打开的时候流量在不同客户端上似乎会好很多，不至于卡爆！

※最后下载下来的客户端就可以直接打开Add 下就可以愉快的连接了，然后所有项目中本来需要连接
  外网 ip 的地方可以直接修改成 内网 ip,例如 redis、mysql 等等这些连接

ae1a787e0aaccd0cfd738dd73fd865634b167c931e20e26623303aef13c640c4

[root@cloud ~]#

如出现:

docker: Error response from daemon: Conflict. The container name "/ov2024" is already in use by container "4ca67b3341ed93e41e9557777d93b3f2cdcbf4c8ae8b07d359e2ad933cafff8c".
 You have to remove (or rename) that container to be able to reuse that name.
See 'docker run --help'.
[root@cloud ~]# docker run--help
docker: 'run--help' is not a docker command.

这个错误提示已经有容器使用这个名称ov2024,

须删除该容器或重命名该容器才能使用这个名称;

可以查看，再强制停止，再删除。

删除命令rm -f 容器名称

docker rm OV2024

查看:

docker ps -a

强制停止:

docker rm -f OV2024

查看端口占用:

netstat -tulnp | grep 1194

●服务端启动完成。

●配置客户端

服务器路径:

/opt/User2025.ovpn

下载后添加下面的内容:

# redirect-gateway def1
# 表示不接受服务器对于修改路由表的推送，而可以按照我们之后指定的规则去修改
route-nopull
# 这个参数设置了路由的度量值（metric），用于确定路由的优先级。路由的度量值越小，优先级越高。在有多个路由规则匹配的情况下，系统会选择度量值最小的路由。
route-metric 150
# 远程主机（remote_host）的流量通过本地网关（net_gateway）发送
route remote_host 255.255.255.255 net_gateway
# 172.19.0.0/16网段的流量通过本地网关发送
route 172.19.0.0 255.255.0.0 net_gateway
# 192.168.1.0/16网段的流量通过VPN网关（vpn_gateway）发送
route 192.168.1.0 255.255.0.0 vpn_gateway

# 就把这一条加上就行了。
redirect-gateway def1 bypass-dns
#这个是设置默认流量走向，注释掉就走本地外网，不注释掉就走vpn流量。
#uncomment to set as default gateway
#这个是选择是否作为默认网关，取消注释以设置为默认网关。
#route-nopull
#如果在客户端配置文件中取消注释route-nopull，openvpn连接后将不会在电脑上添加任何路由，所有流量都将本地转发。
#uncomment to disable server route push
#这个是选择是应答服务端的路由推送，注释掉就应答服务端的路由推送，取消注释就会禁用服务器路由推送。

注释掉最后一行:

redirect-gateway def1

redirect-gateway def1作用是将默认网关重定向到 VPN 服务器上，所以要注释掉。

PS：
停止 openvpn
docker stop ov2024
启动 openvpn
docker start ov2024

查看容器运行信息:

docker ps

客户端下载与教程地址

Mac:https://tunnelblick.net/

Win7:https://swupdate.openvpn.org/community/releases/openvpn-install-2.4.8-I602-Win7.exe

Win10:https://swupdate.openvpn.org/community/releases/openvpn-install-2.4.8-I602-Win10.exe

查看网络连接，运行  ncpa.cpl

参考

https://kui.li/675.html

https://kyo86.com/2022/10/08/openvpn/

https://blog.csdn.net/weizhen330/article/details/132244496

https://blog.csdn.net/qq_42761569/article/details/106538056

https://blog.csdn.net/sdhzdtwhm/article/details/135558435

保存防火墙规则

iptables-save > /etc/sysconfig/iptables

设置防火墙

关闭firewalld防火墙，关闭开机自启

systemctl stop firewalld.service

systemctl disable firewalld.service

1

2

安装iptables，并设置开机自启

yum -y install iptables-services net-tools

systemctl enable iptables.service

vi 进入编辑

i 插入

:wq 保存退出(先按ESC)