现在大部分虚拟局域网的组建都通过IPSec的方式,其实用openvpn来组网也是很不错的方案。跟IPSec相比,openvpn的功能更加强大和灵活:
可以修改端口和通讯方式。
可以实现用户名认证和证书认证两种认证方式。
可以对客户端分配IP,从而实现更加细致的防火墙权限控制。
本文将简单介绍openvpn组网的一些简单步骤,如果您要用openvpn实现远程办公拨入,请参考:如何用OpenVPN实现远程办公?
1. 总部的OpenVPN服务端配置
首先,在总部开启OpenVPN服务端。如图:
给分部创建一个VPN账号,设置密码和VPN权限。如图:
定义客户端(分部)的IP段(如果该用户用于远程办公拨入,则不需要定义客户端网段)。
2. 分部的OpenVPN客户端配置
在分部的OpenVPN客户端中,主要做如下配置。首先要导入服务端的CA证书。
添加到总部的OpenVPN隧道,如图:
保存并应用新配置,然后点击“OpenVPN客户端“中的状态图标,可以看到当前的连接状态和流量统计信息。
3. 总部的防火墙配置
经过上述配置后,分部的openvpn可以拨入到总部,但是内网的访问还需要在防火墙上进行开通。如果要允许分部访问总部内网,可以在总部的防火墙配置下述策略,方向选择”外网”,方向选择“转发”。如下图:
如果要允许总部访问分部的内网,则需要在分部的防火墙上设置允许的策略。
经过上述配置后,即可实现两地互通。
