一��、創建騰訊云SSL VPN網關
協議類型選擇SSL,選擇要打通云上所屬VPC網絡,如下圖:
二��、創建SSL服務端
目前騰訊云支持的SSL VPN協議只有UDP,暫不支持TCP;按照如下步驟填寫本端網段(要打通的VPC網段)和對端網段(客戶端內網網段),填寫端口�����、認證算法���、加密算法等信息:
三�����、創建SSL客戶端
選擇上一步創建的服務端,填寫好備注名后點確定即可:
四���、添加VPC路由
云上訪問云下時,會查找VPC路由表指向,因此需要在對應的VPC路由表里面加一條到云下客戶端網段的規則,下一跳指向SSL VPN網關�����。
在私有網絡控制臺,路由表里面選擇對應VPC,對應路由表:
進入到路由表后,選擇新增路由策略:
到此云上SSL VPN所有操作已經完成�。
五���、SSL配置文件下載
openvpn是Linux下的開源先鋒,提供了良好的性能及友好的用戶GUI,官方也推薦使用openvpn作為ssl vpn客戶端使用,接下來將展示在Windows�、Debian����、Centos等系統中如何配置openvpn客戶端,客戶端配置文件在創建SSL客戶端后會生成出來,在SSL客戶端頁面下載即可:
六��、Windows配置OpenVpn Client
1.下載及安裝
首先到openvpn官方下載頁面下載openvpn connect(注意connect才是openvpn客戶端,別下成服務端了):
選擇Windows這一欄,并點擊Download即可,如果被墻打不開此下載頁面,可在此鏈接下載��。
2.配置及導入
安裝好選擇Import Profile,導入配置文件:
將配置文件解壓后,把.ovpn結尾的配置文件拖拽進去:
3.驗證連通性
導入后點擊connect,并驗證連通性:
通過route print命令可以看到openvpn正常運行后,會自動下發路由到對端網關,同時ping對端VPC網段連通性正常,有出入流量,說明已正常打通����。如果ping不通云上vpc機器,確保機器沒有禁ping���、安全組�����、acl有正常放通客戶端內網網段�。
此時使用wireshark抓包看,可以發現和對端內網交互時,實際是和對端vpn網關交互,因此也會依賴兩端的公網質量:
七�、Debian/Centos配置OpenVpn Client
1.Debian安裝軟件源���、存儲庫秘鑰及openvpn client
確保Debian支持https傳輸:
apt install apt-transport-https
安裝openvpn官方存儲庫秘鑰:
curl -fsSL https://swupdate.openvpn.net/repos/openvpn-repo-pkg-key.pub | gpg --dearmor > /etc/apt/trusted.gpg.d/openvpn-repo-pkg-keyring.gpg
安裝對應系統版本代號的軟件源:
curl -fsSL https://swupdate.openvpn.net/community/openvpn3/repos/openvpn3-$DISTRO.list >/etc/apt/sources.list.d/openvpn3.listapt-get update
官方支持的發行版代號:
發行版 | 版本 | 代號($DISTRO) | 架構 |
|---|
Debian | 9 | stretch | amd64 |
Debian | 10 | buster | amd64,arm64* |
Debian | 11 | bullseye | amd64,arm64* |
Ubuntu | 18.04 | bionic | amd64, arm64* |
Ubuntu | 20.04 | focal | amd64,arm64* |
Ubuntu | 21.04 | hirsute | amd64, arm64* |
這里以Debian9 stretch作為演示,其他發行版同理,因此軟件源安裝應該是:
curl -fsSL https://swupdate.openvpn.net/community/openvpn3/repos/openvpn3-stretch.list >/etc/apt/sources.list.d/openvpn3.listapt-get update
境內機器由于GFW原因,可能無法使用以上軟件源,或者受到速度限制,可以參考這篇文章搭建代理服務器使用��。
apt install openvpn3
2.Centos安裝openvpn客戶端
Centos�、Redhat系列支持的發行版代號:
發行版 | 版本 | 架構 |
|---|
Fedora | 33, 34, Rawhide (*2) | aarch64, s390x, x86_64 |
Red Hat Enterprise Linux / CentOS | 7 | x86_64 |
Red Hat Enterprise Linux / CentOS | 8 | aarch64, x86_64 |
安裝yum copr模塊:
yum install yum-plugin-copr
啟用Copr存儲庫:
yum copr enable dsommers/openvpn3
安裝Openvpn client:
yum install openvpn3-client
3.導入配置文件并運行
將從騰訊云SSL客戶端控制臺導出的配置上傳到Debian,解壓后通過如下命令運行:
openvpn3 config-import --config ${MY_CONFIGURATION_FILE} #導入配置文件,以便后續會話重用openvpn3 session-start --config ${MY_CONFIGURATION_FILE} #開啟會話
sslvpnclient.ovpn替換成正確的ovpn配置文件,騰訊云官網的配置文件名應該是SSLVpnClientConfiguration.ovpn,可以看到connected說明已連接�����。
到此openvpn已正常運行,另開一個tty測試連通性:
4.openvpn會話管理
openvpn允許同時運行多個配置文件及會話,通過以下命令可以管理會話:
openvpn3 sesstions-list #查看當前運行的會話列表
重啟會話:
openvpn3 session-manage --config ${CONFIGURATION_PROFILE_NAME} --restart
斷開會話:
openvpn3 session-manage --session-path /net/openvpn/v3/sessions/..... --disconnect
斷開會話后會統計流量使用明細�。
查看會話狀態:
openvpn3 session-stats --config ${CONFIGURATION_PROFILE_NAME}openvpn3 session-stats --session-path /net/openvpn/v3/sessions/...
查看會話日志:
openvpn3 log --config ${CONFIGURATION_PROFILE_NAME}
附帶PDF版本:
#SSLVPN搭建與使用.pdf##SSLVPN搭建與使用openvpn-亮色版.pdf#
