阿里云ECS vpc网络搭建openvpn 与办公网内网互通

公网远程操作太危险，因此决定使用内网互通模式

环境：

阿里云vpc网络的ecs

办公网使用的ikuai 软路由

系统是centos8

网络：该服务器 10.81.184.196/16， 该网段内有好多阿里云服务器，其中一台ip为  10.81.184.186，本次就是办公网可以与 10.81.184.186 互通

要求：办公网使用内网可以随意访问阿里云服务器

1. 搭建openvpn服务

2. 添加路由表

3. 配置openvpn内网访问策略

4. 在ikuai添加阿里云内网访问路由

1.搭建openvpn服务

dnf install epel-release -y 
dnf install openvpn easy-rsa -y

配置 

cd /etc/openvpn/
rm -rf client/* rm -rf easy-rsa/
cp -r /usr/share/easy-rsa/3.0.8/ /etc/openvpn/easy-rsa
cp -r /usr/share/doc/easy-rsa/vars.example /etc/openvpn/easy-rsa/vars

生成证书

cd /etc/openvpn/easy-rsa/
./easyrsa init-pki
./easyrsa build-ca nopass                 #输入 vpn.dvcloud.xin

创建服务器证书

./easyrsa gen-req server nopasss            #输入  vpn.dvcloud.xin
./easyrsa sign server server                #输入  yes

创建 Diffie-Hellman 

./easyrsa gen-dh
openvpn --genkey --secret ta.key
cp -r ta.key /etc/openvpn/

创建客户端证书

#Monday，Tuesday、Wednesday、Thursday、Friday、Saturday 、Sunday

cd /etc/openvpn/client/
rm -rf easy-rsa/
\cp -r /usr/share/easy-rsa/3.0.8/ /etc/openvpn/client/easy-rsa
\cp -r /usr/share/doc/easy-rsa/vars.example /etc/openvpn/client/easy-rsa/vars
cd /etc/openvpn/client/easy-rsa/
./easyrsa init-pki
./easyrsa gen-req client nopass        #输入  Monday

   

cd /etc/openvpn/easy-rsa/
find pki -name "client*" -delete
./easyrsa import-req /etc/openvpn/client/easy-rsa/pki/reqs/client.req client
./easyrsa sign client client            #输入  yes

整理证书

mkdir /etc/openvpn/certs
\cd /etc/openvpn/certs
\cp /etc/openvpn/easy-rsa/pki/dh.pem .
\cp /etc/openvpn/easy-rsa/pki/ca.crt .
\cp /etc/openvpn/easy-rsa/pki/issued/server.crt .
\cp /etc/openvpn/easy-rsa/pki/private/server.key .

# one two three four five

整理客户端

mkdir /etc/openvpn/client/Monday
cd /etc/openvpn/client/Monday
cp /etc/openvpn/easy-rsa/pki/ca.crt .
cp /etc/openvpn/easy-rsa/pki/issued/client.crt .
cp /etc/openvpn/easy-rsa/pki/private/ca.key .
cp /etc/openvpn/ta.key .
cp /etc/openvpn/client/easy-rsa/pki/private/client.key .

#服务器配置如下
[root@devops openvpn]# grep '^[^;|^#]' /etc/openvpn/server/server.conf
port 31393
proto udp
dev tun
ca /etc/openvpn/certs/ca.crt
cert /etc/openvpn/certs/server.crt
key /etc/openvpn/certs/server.key
dh /etc/openvpn/certs/dh.pem
server 192.168.60.0 255.255.255.0
push "route 10.81.0.0 255.255.0.0"
client-to-client
duplicate-cn
keepalive 10 120
tls-auth /etc/openvpn/ta.key 0
cipher AES-256-CBC
comp-lzo
persist-key
persist-tun
status openvpn-status.log
log-append  openvpn.log
verb 3
mute 20
explicit-exit-notify 1

打开ip转发功能

vim /etc/sysctl.conf
#增加下行到文件中
net.ipv4.ip_forward = 1

sysctl -p

启动服务

systemctl start openvpn-server@server.service

可以看的，openvpn的网络是  192.168.60.0 255.255.255.0  ，推送的路由是 10.81.0.0 255.255.0.0  ，10.81.0.0 255.255.0.0这个路由就是阿里云ecs vpc网络段

2.添加路由表

路由表下一跳填写 阿里云服务器搭建openvpn的ecs实例

3.配置openvpn内网访问策略

这个需要在安全组进行配置

打开被访问服务器的安全组，添加openvpn访问路由的ip 

4.在ikuai 添加openvpn 客户端配置

保存之后，通过本地电脑访问

发现可以正常访问，第一条是ikuai路由器网关，第二条是openvpn 网关，第三条是目标服务器地址