【參展預(yù)告】2025.9.15-17山東電力展,愛陸通B3館A7···
工業(yè)級(jí)路由器防護(hù)標(biāo)準(zhǔn)
集中式DTU通信解決方案-智能配網(wǎng)
5G視頻RTU 視頻數(shù)采儀 數(shù)據(jù)采集傳輸儀
本次搭建拓?fù)鋱D如上
一、 Openvpn軟件下載安裝
軟件下載
OPENVPN服務(wù)端安裝包可咨詢愛陸通5G工業(yè)網(wǎng)關(guān)/路由器技術(shù)人員獲取,物聯(lián)網(wǎng)安全組網(wǎng)需求旺盛,基于5G工業(yè)VPN網(wǎng)關(guān)/路由器的VPN組網(wǎng)解決方案更加靈活方便。但傳統(tǒng)VPN方案成本高技術(shù)難度大,因此基于Windows的低成本自建OPNEVPN方案受到用戶的喜愛,解決了很多中小型項(xiàng)目的組網(wǎng)安全需求,方案中穩(wěn)定可靠的5G工業(yè)網(wǎng)關(guān)/路由器起到了關(guān)鍵性作用。
軟件安裝
openvpn軟件服務(wù)端和客戶端都是同一個(gè)安裝包,本次演示windows服務(wù)端安裝并附帶證書生產(chǎn)工具EasyRSA3,使用的openvpn安裝包為2.5.7版本。
安裝的時(shí)候要選擇Customize,勾選openvpn service和EasyRSA3 安裝,用于服務(wù)端配置和證書生成使用。
切記將安裝的默認(rèn)位置更改為非C盤,否則會(huì)影響后續(xù)的證書生成,此次安裝在D盤。
安裝完成后軟件位置D: OpenVPN目錄
二、 證書密鑰生成
(示例為無密碼版本,需要帶密碼版本聯(lián)系愛陸通技術(shù)支持)
準(zhǔn)備CA簽發(fā)機(jī)構(gòu)環(huán)境
在“D:OpenVPNeasy-rsa”目錄下,將名為“vars.example”的文件復(fù)制到名為“vars”的文件。“vars”文件包含內(nèi)置的 Easy-RSA 配置設(shè)置。后續(xù)證書生成按照該文件的配置進(jìn)行生成。
主要修改以下參數(shù)
COUNTRY定義所在的國(guó)家。
PROVINCE定義所在的省份。
CITY定義所在的城市。
ORG定義所在的組織。
EMAIL定義郵箱地址。
OU定義所在的單位。
更改完后保存,雙擊打開EasyRSA-Start.bat文件,進(jìn)入EasyRSA shell 環(huán)境dos窗口中;彈出的dos窗口中輸入./easyrsa init-pki 初始化證書生成程序,初始化成功后會(huì)在D: OpenVPNeasy-rsa目錄下新建文件夾kpi,如下圖示:
生成CA公共證書
在dos窗口中輸入./easyrsa build-ca nopass生成無密碼CA證書,生成過程中會(huì)要求輸入證書名稱,隨意輸入即可,本次使用CA作為名稱,生成結(jié)束后會(huì)打印出證書所在目錄D: OpenVPNeasy-rsapkica.crt;
生成服務(wù)端證書密生成
輸入./easyrsa build-server-full server nopass 生成名稱為server的無密碼服務(wù)端證書,生成后證書文件D: OpenVPNeasy-rsapkiissued文件夾
生成客戶端證書密鑰
輸入./easyrsa build-client-full client nopass生成名稱為client的無密碼客戶端證書,生成后證書在D: OpenVPNeasy-rsapkiissued文件夾
后續(xù)如需添加其他客戶端,只需雙擊打開EasyRSA-Start.bat文件,直接輸入./easyrsa build-client-full client2 nopass,無需做其他操作。標(biāo)紅為相應(yīng)的證書名,區(qū)分不同客戶端,做到一機(jī)一證書。如下圖所示
生成DH密鑰交換協(xié)議
輸入./easyrsa gen-dh生成DH密鑰交換協(xié)議文件,生成文件在D: OpenVPNeasy-rsapki目錄下
目錄D: OpenVPNeasy-rsapkiprivate下為證書key
三、 windows服務(wù)端配置
搭建OpenVPN服務(wù)器需要公網(wǎng)IP,或者在專網(wǎng)環(huán)境下固定的IP地址,可在具有OpenVPN服務(wù)器功能的路由器上搭建,也可在開啟端口映射后的Windows電腦上搭建,本次示范為電腦上搭建。
(示例為UDP模式,如需TCP模式可參考附錄OpenVPN server端配置文件詳細(xì)說明,或咨詢我司技術(shù)支持)
修改服務(wù)端配置文件
服務(wù)端配置文件模板為server.ovpn ,在 D: OpenVPNsample-config目錄下。復(fù)制server.ovpn文件至D: OpenVPNconfig目錄下,用windows自帶的記事本打開修改為如下配置:
下圖為注釋,其他配置詳細(xì)注釋請(qǐng)看附錄OpenVPN server端配置文件詳細(xì)說明
在D: OpenVPNconfig目錄下創(chuàng)建一個(gè)ccd文件夾,在文件夾下創(chuàng)建無后綴文件,文件名與客戶端證書名一一對(duì)應(yīng),文件內(nèi)輸入子網(wǎng)段及指定隧道ip如下圖所示:
證書復(fù)制進(jìn)配置
將服務(wù)證書,服務(wù)key,ca證書,dh文件復(fù)制到文件夾D: OpenVPNconfig下
共享網(wǎng)絡(luò)至VPN虛擬網(wǎng)卡
連接
右鍵點(diǎn)擊任務(wù)欄帶鎖小電腦圖標(biāo),點(diǎn)擊連接,連接成功后會(huì)變綠,系統(tǒng)提示分配ip
四、 5G工業(yè)OPENVPN工業(yè)網(wǎng)關(guān)/路由器客戶端配置
導(dǎo)入客戶端密鑰、客戶端證書、CA證書
按下圖進(jìn)行配置
5G工業(yè)OPENVPN網(wǎng)關(guān)/路由器本地時(shí)間同步,客戶端與服務(wù)端時(shí)間不同步會(huì)導(dǎo)致無法進(jìn)行交互
五、 驗(yàn)證
愛陸通5G工業(yè)openvpn網(wǎng)關(guān)/路由器連接成功狀態(tài)
服務(wù)端ping客戶端子網(wǎng)
客戶端ping服務(wù)端子網(wǎng)
完美實(shí)現(xiàn)多臺(tái)愛陸通5G工業(yè)OPENVPN網(wǎng)關(guān)/路由器和自建Windows OPENVPN服務(wù)器的安全連接和子網(wǎng)互通。
