現在大部分虛擬局域網的組建都通過IPSec的方式,其實用openvpn來組網也是很不錯的方案。跟IPSec相比,openvpn的功能更加強大和靈活:
可以修改端口和通訊方式。
可以實現用戶名認證和證書認證兩種認證方式。
可以對客戶端分配IP,從而實現更加細致的防火墻權限控制。
本文將簡單介紹openvpn組網的一些簡單步驟,如果您要用openvpn實現遠程辦公撥入,請參考:如何用OpenVPN實現遠程辦公?
1. 總部的OpenVPN服務端配置
首先,在總部開啟OpenVPN服務端。如圖:
給分部創建一個VPN賬號,設置密碼和VPN權限。如圖:
定義客戶端(分部)的IP段(如果該用戶用于遠程辦公撥入,則不需要定義客戶端網段)。
2. 分部的OpenVPN客戶端配置
在分部的OpenVPN客戶端中,主要做如下配置。首先要導入服務端的CA證書。
添加到總部的OpenVPN隧道,如圖:
保存并應用新配置,然后點擊“OpenVPN客戶端“中的狀態圖標,可以看到當前的連接狀態和流量統計信息。
3. 總部的防火墻配置
經過上述配置后,分部的openvpn可以撥入到總部,但是內網的訪問還需要在防火墻上進行開通。如果要允許分部訪問總部內網,可以在總部的防火墻配置下述策略,方向選擇”外網”,方向選擇“轉發”。如下圖:
如果要允許總部訪問分部的內網,則需要在分部的防火墻上設置允許的策略。
經過上述配置后,即可實現兩地互通。
