26
2024
02

如何用openvpn实现用总部线路访问甲方系统?

甲方有些业务系统出于安全需要,会绑定登录的IP地址只允许总公司的IP访问。这种情况下,分公司如果想要访问该业务系统,也必须走总公司的宽带才可以。在如何实现分公司访问指定地址的时候走总部流量一文中,我们介绍了通过PPTP来实现分公司走总公司线路的解决方案。本文中,我将介绍Openvpn的实现方案,openvpn不需要GRE协议,穿透性和安全性都比PPTP要强大。以下是具体的配置步骤:


1. 服务端的配置

在总部的WSG上面,需要开启OpenVPN服务端,选择用户名认证,推送路由里面既要推送总部的内网网段,也要推送甲方系统的IP地址。如下图:

202402261708932644133475.png

在“账号配置”中添加本地账号,并且勾选VPN权限。

202402261708932694926906.png

在“OpenVPN服务端”的客户端网段配置中,需要配置该客户端用户名对应的客户端内网网段。

202402261708932793413870.png

2. 客户端的配置

在分部的WSG网关上,需要开启“Openvpn客户端”模块,先导入服务端的ca证书(可以在总部WSG的openvpn服务端的“CA证书”中下载)

202402261708932940109633.png

添加服务端,配置服务端IP地址、端口、用户名密码等信息。

202402261708932961476503.png

保存并且应用新配置后,就可以连上了。我们可以通过“命令行”中的“route”命令查看路由表,检查服务端的推送路由有没有生效。成功拨入后,路由表可以看到服务端推送的路由规则。

202402261708933032438306.png

3. 服务端的防火墙规则

Openvpn客户端拨入后,适用于服务端的“外网-转发”方向的防火墙规则。要允许对端的IP地址访问外网甲方系统,还需要通过防火墙规则来允许。如下图:

202402261708933135140500.png


经过上述配置后,分部的电脑无需任何设置,开机即可通过总部线路访问绑定的甲方系统。


注意事项:

1). openvpn不但实现了访问甲方系统,而且实现了两地组网。如果之前还有组网的ipsec隧道,需要删除掉,否则会导致openvpn不能互通。

2). 防火墙策略中会根据配置自动生成“Allow-OpenVPN-Inbound”,这条策略是允许openvpn拨入的,请不要修改这条策略。

« 上一篇 下一篇 »