現(xiàn)在大部分虛擬局域網(wǎng)的組建都通過IPSec的方式,其實(shí)用openvpn來組網(wǎng)也是很不錯(cuò)的方案。跟IPSec相比,openvpn的功能更加強(qiáng)大和靈活:
可以修改端口和通訊方式。
可以實(shí)現(xiàn)用戶名認(rèn)證和證書認(rèn)證兩種認(rèn)證方式。
可以對(duì)客戶端分配IP,從而實(shí)現(xiàn)更加細(xì)致的防火墻權(quán)限控制。
本文將簡(jiǎn)單介紹openvpn組網(wǎng)的一些簡(jiǎn)單步驟,如果您要用openvpn實(shí)現(xiàn)遠(yuǎn)程辦公撥入,請(qǐng)參考:如何用OpenVPN實(shí)現(xiàn)遠(yuǎn)程辦公?
1. 總部的OpenVPN服務(wù)端配置
首先,在總部開啟OpenVPN服務(wù)端。如圖:
給分部創(chuàng)建一個(gè)VPN賬號(hào),設(shè)置密碼和VPN權(quán)限。如圖:
定義客戶端(分部)的IP段(如果該用戶用于遠(yuǎn)程辦公撥入,則不需要定義客戶端網(wǎng)段)。
2. 分部的OpenVPN客戶端配置
在分部的OpenVPN客戶端中,主要做如下配置。首先要導(dǎo)入服務(wù)端的CA證書。
添加到總部的OpenVPN隧道,如圖:
保存并應(yīng)用新配置,然后點(diǎn)擊“OpenVPN客戶端“中的狀態(tài)圖標(biāo),可以看到當(dāng)前的連接狀態(tài)和流量統(tǒng)計(jì)信息。
3. 總部的防火墻配置
經(jīng)過上述配置后,分部的openvpn可以撥入到總部,但是內(nèi)網(wǎng)的訪問還需要在防火墻上進(jìn)行開通。如果要允許分部訪問總部內(nèi)網(wǎng),可以在總部的防火墻配置下述策略,方向選擇”外網(wǎng)”,方向選擇“轉(zhuǎn)發(fā)”。如下圖:
如果要允許總部訪問分部的內(nèi)網(wǎng),則需要在分部的防火墻上設(shè)置允許的策略。
經(jīng)過上述配置后,即可實(shí)現(xiàn)兩地互通。
