公网远程操作很不安全,因此决定使用内网互通模式,虽然阿里云有自带的vpn,但是太贵了,身为运维的我,一定要为公司省钱,只能想想法子,自己搭建一套内网vpn使用
环境:
阿里云vpc网络的ecs
办公网使用的ikuai 软路由
系统是centos8
网络:该服务器 10.81.184.196/16, 该网段内有好多阿里云服务器,其中一台ip为10.81.184.186,本次就是办公网可以与10.81.184.186 互通
要求:办公网使用内网可以随意访问阿里云服务器
搭建openvpn服务
添加路由表
配置openvpn内网访问策略
在ikuai添加阿里云内网访问路由
搭建步骤
1.搭建openvpn服务
dnfinstallepel-release-ydnfinstallopenvpneasy-rsa-y
配置
cd/etc/openvpn/rm-rfclient/*rm-rfeasy-rsa/cp-r/usr/share/easy-rsa/3.0.8//etc/openvpn/easy-rsacp-r/usr/share/doc/easy-rsa/vars.example/etc/openvpn/easy-rsa/vars
生成证书
cd/etc/openvpn/easy-rsa/./easyrsainit-pki./easyrsabuild-canopass#输入vpn.dvcloud.xin
创建服务器证书
./easyrsagen-reqservernopasss#输入vpn.dvcloud.xin./easyrsasignserverserver#输入yes
创建 Diffie-Hellman
./easyrsagen-dhopenvpn--genkey--secretta.keycp-rta.key/etc/openvpn/
创建客户端证书
#Monday,Tuesday、Wednesday、Thursday、Friday、Saturday 、Sunday
cd/etc/openvpn/client/rm-rfeasy-rsa/\cp-r/usr/share/easy-rsa/3.0.8//etc/openvpn/client/easy-rsa\cp-r/usr/share/doc/easy-rsa/vars.example/etc/openvpn/client/easy-rsa/varscd/etc/openvpn/client/easy-rsa/./easyrsainit-pki./easyrsagen-reqclientnopass#输入Monday
cd/etc/openvpn/easy-rsa/findpki-name"client*"-delete./easyrsaimport-req/etc/openvpn/client/easy-rsa/pki/reqs/client.reqclient./easyrsasignclientclient#输入yes
整理证书
mkdir/etc/openvpn/certs\cd/etc/openvpn/certs\cp/etc/openvpn/easy-rsa/pki/dh.pem.\cp/etc/openvpn/easy-rsa/pki/ca.crt.\cp/etc/openvpn/easy-rsa/pki/issued/server.crt.\cp/etc/openvpn/easy-rsa/pki/private/server.key.
# one two three four five
整理客户端
mkdir/etc/openvpn/client/Mondaycd/etc/openvpn/client/Mondaycp/etc/openvpn/easy-rsa/pki/ca.crt.cp/etc/openvpn/easy-rsa/pki/issued/client.crt.cp/etc/openvpn/easy-rsa/pki/private/ca.key.cp/etc/openvpn/ta.key.cp/etc/openvpn/client/easy-rsa/pki/private/client.key.
#服务器配置如下
[root@devopsopenvpn]#grep'^[^;|^#]'/etc/openvpn/server/server.confport31393protoudpdevtunca/etc/openvpn/certs/ca.crtcert/etc/openvpn/certs/server.crtkey/etc/openvpn/certs/server.keydh/etc/openvpn/certs/dh.pemserver192.168.60.0255.255.255.0push"route10.81.0.0255.255.0.0"client-to-clientduplicate-cnkeepalive10120tls-auth/etc/openvpn/ta.key0cipherAES-256-CBCcomp-lzopersist-keypersist-tunstatusopenvpn-status.loglog-appendopenvpn.logverb3mute20explicit-exit-notify1
打开ip转发功能
vim/etc/sysctl.conf#增加下行到文件中net.ipv4.ip_forward=1#然后执行命令sysctl-p
启动服务
systemctlstartopenvpn-server@server.service
可以看的,openvpn的网络是192.168.60.0 255.255.255.0 ,推送的路由是10.81.0.0 255.255.0.0 ,10.81.0.0 255.255.0.0这个路由就是阿里云ecs vpc网络段
2.添加路由表
路由表下一跳填写 阿里云服务器搭建openvpn的ecs实例
3.配置openvpn内网访问策略
这个需要在安全组进行配置
打开被访问服务器的安全组,添加openvpn访问路由的ip
4.在ikuai 添加openvpn 客户端配置
保存之后,通过本地电脑访问
发现可以正常访问,第一条是ikuai路由器网关,第二条是openvpn 网关,第三条是目标服务器地址
如果觉得《阿里云ECS vpc网络与办公网内网互通》对你有帮助,请点赞、收藏,并留下你的观点哦!