VPN客户端
通过配置VPN客户端我们可以实现:
- 建立到VPN服务器的网络连接,与服务器所在网络形成一个虚拟网络;
- 通过端口分流、域名分流来实现对虚拟网络的访问;
- 通过端口分类、域名分流来实现对流量的最优调度。
支持协议
目前支持PPTP和L2TP以及OpenVPN三种VPN接入。
部署简单、使用便捷的智能的软件定义网络可以参考SDLAN软件定义网络
配置步骤
1. L2TP和PPTP 配置
参数解析
- 拨号名称: 使用系统生成的即可,接口的唯一标识。
- 服务器地址/域名:填写服务器地址,通常是公网地址。
- 用户名/密码:服务器端认证所需的用户名/密码。
- 工作模式:组网模式,PC到站点(Remote-Access VPN), 适用于单向接入远程服务网络;站点到站点(Site to Site),适用于互联不同网段的服务网络。
- 对端子网:需要访问的服务器内网子网,用空格分隔多个子网。
- 上行速率/下行速率: 该接口的速率限制。
- 负载均衡: 是否参与负载均衡,负载均衡是全局均衡,对所有流量都生效,可能 会导致互联网流量也经过此接口,造成网络错误。此处建议使用不参与均衡策略。
- 链路检测:是否检测网络是否可达,在网络质量差时,可能会导致接口不断重连导致连接建立失败,建议关闭。
在智能流控/端口分流下添加如下图所示规则:
2. OpenVPN 配置
服务器上面不会保存生成的客户端证书与秘钥,因此在生成客户端证书与秘钥后需要单独保存
参数解析
- 客户端名称: 填写由证书管理工具生成的客户端名称,或者是用其他工具在制作证书的时候填写的Common Name字段,接口的唯一标识。
- 重定向:开启该功能以后,lan口所有的流量都会从这个接口出去。请先将wan口配置中的负载均衡关闭,即,所有wan口不参与负载均衡,方可使该功能生效。
- 断线重连次数:默认3次。即当发生与服务器通信断开后,主动恢复通信的次数。
- 服务器地址/域名:填写服务器地址,通常是公网地址。
- 服务器端口:服务器端监听的端口,默认是1194。
- 隧道协议: 支持UDP和TCP(注意客户端和服务端的配置要一致)
- 隧道类型: 支持TAP和TUN模式, TAP对应是桥模式, TUN对应是路由模式,具体采用哪种模式,根据业务来指定(注意客户端和服务端的配置要一致)
- 认证方式: 支持tls_auth 和 tls_crypy两种(注意客户端和服务端的配置要一致)
- 压缩方式和加密算法:注意客户端和服务端的配置要一致
- CA证书、静态秘钥:和服务端的配置要一致
- 客户端的名称、证书和私钥:在服务端生成。
- 具体证书请按照http://help.combway.com/docs/ngrouter/ngrouter-1db073spvi3e1 ,进行制作。
3. ipsec 配置
参数解析
1.名称: 网络中存在多个IPsec服务时,通过名称区分服务。
2.对端IP/域名: 建立IPsec的对端服务地址。
3.线路: 指定接口。
4.本地子网:IPsec本地子网网段。配置如192.168.11.0/24。如果填写0.0.0.0/0则表示为内网的所有网段。
5.对端子网: IPsec对端服务的内网子网网段。可以换行配置多个,不支持配置0.0.0.0/0。
6.IKE协商模式:包括主模式和野蛮模式,该选项仅针对IKE版本为1的时候。主模式为双向认证,安全性较好。野蛮模式也称为积极模式。仅单向认证,安全性比主模式较差,连接成功率高。
7.IKE版本:包括IKEv1 和 IKEv2两个版本。
8.IKE提议:包括加密算法、认证算法和秘钥交换算法。
9.认证方式:包括预共享秘钥和自签证书两种方式。
10.预共享秘钥:在认证方式为预共享秘钥的时候进行配置,cs两端必须一致。
11.本地标识和对端标识:标识双方身份。
12.ESP加密算法和ESP认证算法:针对IPSEC通道的安全策略。
13.本地私钥和本地证书: 用于身份校验。具体的生成方式可以参考http://help.combway.com/docs/ngrouter/ngrouter-1db073spvi3e1 ,进行制作
14.对端证书:由对端提供。
4. 防火墙过滤规则
L2TP协议无需添加该规则。
PPTP使用了GRE协议,因此需要在配置了客户端的设备上添加防火墙过滤规则,在防火墙/过滤规则下添加如下图所示规则。
状态查看
在VPN客户端列表页可以看到每个客户端的拨号状态。
接在VPN客户端所在网关下面的主机可以访问VPN服务所在的网络。
应用案例 - 多点互联互通
多地办公网络中心之间互联互通,点击查看
问题排查
1. PPTP连接不成功?
- 是否配置了允许GRE协议的防火墙过滤规则。
2. 客户端网络联不通服务端网络?
- 参数配置是否正确,运行状态是否是运行中。
- VPN客户端中是否配置了对端子网。
3. 服务端网络不通客户端网络?
- 参数配置是否正确,运行状态是否是运行中。
- 客户端是否选择了站点到站点的工作模式。
- 账号管理中该拨号账号是否配置了对端子网。
4. OpenVPN客户端网络不通服务端网络?
- 检查参数配置是否正确, 运行状态是否是运行中。
- OpenVPN服务端是否配置了推送路由,将服务端的子网下发到客户端网络中,具体可以查看状态监控–>系统路由表,看是否有存在到服务端网络的路由信息。
5. OpenVPN服务端网络不通客户端网络?
- 检查客户端跑配置是否正确, 运行状态是否是运行中。
- 客户端网络是否正常获取到地址。
- 检查OpenVPN服务端是否配置了客户端子网,将客户端的子网配置到服务端中,在配置客户端子网时必须注意客户端名称的配置必须是客户端证书生成时候的客户端名称或者是Common Name字段。配置完成后,需要重启客户端拨号。
6. OpenVPN 客户端内网用户不能访问服务端内网地址?
- 检查OpenVPN服务段是否配置了客户端子网,将客户端的子网配置到服务端中
- 配置推送路由,将服务端允许访问的内网网段推送到OpenVPN客户端
- 这样客户端和服务端都有了双边的内网网段,这个时候网络可以正常访问
7. IPSec 是否支持配置多个子网?
- 在IPSec客户端配置中,本地内网支持配置单一内网网段,也支持配置所有内网网段。假如网络中有192.168.11.0/24、192.168.21.0/24两个网段,如果只允许访问192.168.11.0/24,则在本地子网中配置192.168.11.0/24。如果允许访问所有内网,则配置0.0.0.0/0。
- 在对端子网中,可以填写多个有效网段,不能填写0.0.0/0。