家里运行了一些服务,希望在外面也可以方便的访问它们。
旧办法是通过路由器端口映射到内网端口,但这种方式已经很难满足我的场景,因为例如hadoop服务会开放很多web页面端口,实在难以逐一映射。
于是我选择了在家里自建VPN服务器,然后只把VPN服务的端口映射到路由器,这样只要在外面连接VPN即可像在家里一样任意访问内部网络了。
搭建openconnect
openconnect是开源VPN项目,包含了服务端和客户端(PC/MAC/Android),是商业产品思科cisco anyconnect的开源版本。
为什么选择它呢?因为它能够从服务端自定义下发路由规则到客户端,这样就可以控制客户端哪些流量需要送往VPN隧道、哪些流量不需要经过VPN隧道,实现类似于同时兼顾访问家庭内网和公司内网的目的。
搭建方式参考官方手册:https://gitlab.com/openconnect/recipes,我以debian为例进行安装配置,非常方便:
|
1 2 |
apt-get update apt-cache show ocserv |
这样就安装完成openconnect服务端了。
配置ocserv
接下来配置VPN服务端,分为2大部分:
- 自签一下SSL证书,因为这个VPN协议需要SSL加密。(自签没关系,只要客户端登录时选择信任证书即可)
- 配置ocserv.conf配置文件,主要是定义VPN如何认证用户、VPN网段、还有更高级的路由表下发。
SSL证书
首先搞证书,按官方教程来即可:https://gitlab.com/openconnect/recipes/-/blob/master/ocserv-configuration-basic.md#certificate-management-self-signed
第一步:
|
1 2 |
mkdir /root/certificates cd /root/certificates |
第二步(原样敲入即可,信息都不重要):
|
1 2 3 4 5 6 7 8 9 10 |
vim ca.tmpl cn = "your organization’s certificate authority" organization = "your organization" serial = 1 expiration_days = 3650 ca signing_key cert_signing_key crl_signing_key |
第三步(原样敲入即可,信息都不重要):
|
1 2 3 4 5 6 7 8 9 10 11 |
vim server.tmpl cn = "a sever's name, usually matches hostname" organization = "your organization" serial = 2 expiration_days = 3650 signing_key encryption_key tls_www_server dns_name = "your organization's host name" #ip_address = "if no hostname uncomment and set the IP address here" |
第四步(生成CA证书):
|
1 2 |
certtool --generate-privkey --outfile ca-key.pem certtool --generate-self-signed --load-privkey ca-key.pem --template ca.tmpl --outfile ca-cert.pem |
第五步(用CA签VPN证书):
|
1 2 |
certtool --generate-privkey --outfile server-key.pem certtool --generate-certificate --load-privkey server-key.pem --load-ca-certificate ca-cert.pem --load-ca-privkey ca-key.pem --template server.tmpl --outfile server-cert.pemba |
把VPN证书拷到ocserv配置目录下:
|
1 |
cp server-cert.pem server-key.pem /etc/ocserv/ |
ocserv.conf
先修改登录方式,采用linux用户密码进行登录:
|
1 2 3 |
vim /etc/ocserv/ocserv.conf auth = "pam" |
然后VPN监听端口有需要可以改一下:
|
1 2 |
tcp-port = 443 udp-port = 443 |
然后就是VPN网段的配置了,我家里是192.168.2.x网段,我们要让VPN使用一个不同的网段,因为VPN server要给每个连接过来的VPN client分配一个VPN网段的IP,如果这个IP和192.168.2.x网段的某个IP冲突就有问题了,所以一定是不同网段的,同样道理也不能和客户端所在的局域网段冲突。
|
1 2 |
ipv4-network = 192.168.8.0 ipv4-netmask = 255.255.255.0 |
所以我配置了192.168.8.x的一个冷门网段,足够分配254个VPN client,为什么不是255个呢?因为VPN服务端会先占1个IP。
暂时我们配置这些,现在我们启动ocserv来介绍一下VPN是如何工作的。
分析ocserv工作原理
大家自行在路由器映射VPN端口到公网,然后下载openconnect gui客户端(https://openconnect.github.io/openconnect-gui/),然后连接这样的地址:
https://公网IP:路由器映射端口
即可连接到家里内网的VPN服务端,输入任意正确的linux账号密码即可登录。
连接成功后,在客户端打开命令行查看路由表(我是windows电脑,使用route print命令),会发现2条本就存在的路由记录:
|
1 2 |
0.0.0.0 0.0.0.0 192.168.2.1 192.168.2.103 25 192.168.2.0 255.255.255.0 在链路上 192.168.2.103 281 |
这是因为windows电脑也在家里,所以本身就被局域网下发了默认网关路由到192.168.2.1路由器、以及192.168.2.x网段的路由记录,这台电脑的自身IP是192.168.2.103。
但是连接VPN后,则多了2条VPN网段的记录:
|
1 2 |
0.0.0.0 0.0.0.0 192.168.8.1 192.168.8.250 2 192.168.8.0 255.255.255.0 在链路上 192.168.8.250 257 |
又来了一条优先级更高(2)的默认网关路由,指向了192.168.8.1,也就是VPN server的IP地址,同时也多了一条192.168.8.x 这个VPN网段的路由记录,此时电脑上也出现了一张虚拟的网卡,其IP就是192.168.8.250,这是VPN server给分配的,由VPN client负责虚拟出本地网卡。
此时发往192.168.8.x网段的流量会直接从VPN网卡送出,发往其他IP的流量也会命中192.168.8.1的默认网关(同样是从VPN网卡送出),而不是电脑所在局域网原本下发的192.168.2.1的默认网关。
所以VPN网卡已经劫持了所有外出流量,经过VPN虚拟网卡封包为物理IP送往VPN server,再由VPN server拆包后得到真实IP地址,继续进行转发。
此时VPN server也多了一条该客户端的路由记录:
|
1 2 3 4 5 6 |
root@debian:/home/work# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 192.168.2.201 0.0.0.0 UG 0 0 0 ens18 192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 ens18 192.168.8.250 0.0.0.0 255.255.255.255 UH 0 0 0 vpns0 |
也就是192.168.8.250这个vpn client的流量全部送给vpns0虚拟网卡,也就是说回给该vpn client的包也需要经过vpn server的虚拟网卡封包送走。
vpn基本就是这个原理。
这点原理还不够
不要以为理解上面就万事大吉了,当VPN client请求baidu.com时,baidu的IP地址会命中默认网关发往192.168.8.1默认网关,经过封包送到VPN server的监听端口。
然后VPN server会把封包拆开,linux协议栈看到真实目标IP是baidu.com,那么显然该IP地址不是本机,需要forward给百度,此时需要linux的netfilters进行流量forward才能再次送给192.168.2.1家庭物理网关到达百度,这一步需要我们在服务端开启ipv4 forward特性:
vim /etc/sysctl.conf
net.ipv4.ip_forward=1
然后执行sysctl -p生效。
另外,VPN server拆包后看到的源IP其实是VPN client的192.168.8.x的IP,如果该包直接forward给百度的话,百度/路由器回包时就无法路由回来,所以我们需要在包离开本机时做一下snat把源IP换成物理IP:
iptables -t nat -A POSTROUTING -j MASQUERADE
为了持久化iptables规则(默认重启后就没了),所以我们需要安装一下工具:
apt install iptables-persistent
然后保存一次:
netfilter-persistent save
最后
更高级的特性就是配置ocserv.conf的路由下发,下发一些路由规则到VPNclient ,这样可以控制哪些网段的流量不要发给VPN隧道,可以兼顾客户端本地局域网和家庭局域网两路一起访问的需求,但是这个要求客户端本地局域网段、VPN网段、家庭局域网段三者不能冲突。
大家可以试一下ocserv.conf中的route和no-route配置项,比如我希望VPN client不要让公司网段走VPN,那么就可以加一条这样的配置(假设公司网段是172.26.201.x):
no-route = 172.26.201.0/255.255.255.0
这样VPN client侧的虚拟网卡就会判断目标IP是这个网段的就不发往VPN server了,而是走本地其他路由规则寻址。
如果你家里的网络是路由器/旁路由FQ或者绿色dns的话,那么可以令vpn server的默认网关指向fq路由器,同时让vpn client使用你家里的绿色dns,这样就可以让vpn客户端透明fq了。
比如我家里旁路由上有绿色DNS,所以我可以令ocserv.conf下发它的IP地址作为客户端使用的DNS服务器地址(家里的192.168.2.201运行着绿色DNS,然后vpn client可以通过隧道访问到它):
在ocserv.conf中指定dns服务器地址,下发给vpn client:
dns = 192.168.2.201
这样vpn client就会请求192.168.2.201进行域名解析,得到无污染IP。
理解上述原理需要对路由表、netfilters有清晰认识,否则可能比较困难,希望对你有点帮助。
如果文章帮助您解决了工作难题,您可以帮我点击屏幕上的任意广告,或者赞助少量费用来支持我的持续创作,谢谢~
牛逼立体
root@localhost:~/certificates# cp server-cert.pem server-key.pem /etc/ocserv/
cp: cannot stat ‘server-cert.pem’: No such file or directory
cp: cannot stat ‘server-key.pem’: No such file or directory
请教 这是咋回事 ?
s# cp server-cert.pem server-key.pem /etc/ocserv/
cp: cannot stat ‘server-cert.pem’: No such file or directory
root@localhost:~/certificates# ls -l /etc/ocserv/
total 8
-rw——- 1 root root 8170 Dec 16 03:40 server-key.pem
server-key 有了
就是没生成嘛,再看看就好。
博主你好,我在使用ocserv的过程中遇到一个问题,就是windows vpn客户端访问内网时没有走vpn,但安卓客户端会走vpn。我的vpn网段是10开头,内网是192开头,windows访问另一台192机器时没有走vpn,我确定没有走vpn的根据是vpn服务器的代理没有接收到流量,执行tracert 192.168.0.113只有一条192.168.0.113的输出,请问博主知道是什么原因吗?
ubuntu20.04环境下,走到生成ca证书的第二步,即“certtool –generate-self-signed –load-privkey ca-key.pem –template ca.tmpl –outfile ca-cert.pem”时报错如下,请教如何解决:
root@huangzhen:~/certificates# certtool –generate-self-signed –load-privkey ca-key.pem –template ca.tmpl –outfile ca-cert.pem
Trailing garbage: ` ‘
error parsing number: 1
看不出,检查一下,不行自己敲一下。
没用,无法连接!!!
请问VPN服务端如何访问客户端的内网
写得不错 给你点赞