选择VPN类型
- IPSec VPN:适合站点间加密通信,配置复杂但安全性高。
- SSL/TLS VPN(如OpenVPN):基于浏览器或客户端,适合移动设备,使用443端口绕过防火墙。
- L2TP/IPSec:兼容性好,但可能被某些网络限制。
- WireGuard:轻量级、高性能,适合现代设备。
部署VPN服务器
- 硬件设备:企业级防火墙/路由器(如Cisco ASA、FortiGate)。
- 软件方案:
- OpenVPN:跨平台,开源灵活。
- SoftEther:支持多种协议。
- WireGuard:配置简单,内核级高效。
配置步骤
- 安装VPN服务端(以OpenVPN为例):
# Ubuntu示例 sudo apt install openvpn sudo cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/ sudo gzip -d /etc/openvpn/server.conf.gz
- 生成证书(使用
easy-rsa):make-ca # 创建CA build-key-server server # 服务器证书 build-key client1 # 客户端证书
- 配置客户端文件(
.ovpn),包含证书和服务器地址。
连接内网资源
- 路由推送:在VPN服务器配置中指定内网网段:
push "route 192.168.1.0 255.255.255.0"
- DNS设置:推送内网DNS服务器:
push "dhcp-option DNS 192.168.1.1"
防火墙与安全
- 放行VPN端口(如UDP 1194 for OpenVPN):
sudo ufw allow 1194/udp
- 启用日志监控:检测异常连接尝试。
- 多因素认证(MFA):结合Radius或Google Authenticator提升安全性。
客户端连接
- 桌面/移动端:导入配置文件(如OpenVPN客户端或WireGuard App)。
- 命令行连接(WireGuard示例):
wg-quick up wg0
故障排查
- 连接失败:检查端口是否开放(
telnet <IP> 1194)。 - 无法访问内网:验证服务器路由表和客户端路由(
ip route show)。 - 日志分析:查看服务端日志(
journalctl -u openvpn)。
注意事项
- 合规性:确保符合当地法律法规(如中国需备案)。
- 性能:高延迟场景下考虑Split Tunnel(仅路由内网流量)。
- 备份配置:定期备份证书和配置文件。
如需具体某一步骤的详细操作(如证书生成或企业级配置),可进一步说明需求。
