1. Создайте SSL VPN-шлюз Tencent Cloud.

Выберите SSL в качестве типа протокола и выберите сеть VPC для подключения к облаку, как показано ниже:

2. Создайте SSL-сервер.

В настоящее время Tencent Cloud поддерживает только протокол SSL VPN, а TCP в настоящее время не поддерживается. Выполните следующие действия, чтобы заполнить сегмент локальной сети (сегмент сети VPC, который необходимо подключить) и противоположный сегмент сети (сегмент клиентской внутренней сети). ), заполняем порт и алгоритмы аутентификации, алгоритмы шифрования и другую информацию:

3. Создайте SSL-клиент.

Выберите сервер, созданный на предыдущем шаге, заполните имя примечания и нажмите ОК:

4. Добавьте маршрутизацию VPC

При доступе из облака в облако будет выполняться поиск в таблице маршрутизации VPC. Поэтому правило для клиентского сегмента сети под облаком необходимо добавить в соответствующую таблицу маршрутизации VPC, а следующий переход указывает на шлюз SSL VPN. .

В консоли частной сети выберите соответствующий VPC в таблице маршрутизации и соответствующую таблицу маршрутизации:

После ввода таблицы маршрутизации выберите добавление новой политики маршрутизации:

На этом этапе все операции SSL VPN в облаке завершены.

5. Загрузите файл конфигурации SSL.

openvpn — пионер открытого исходного кода для Linux, обеспечивающий хорошую производительность и удобный графический интерфейс. Официальные лица также рекомендуют использовать openvpn в качестве клиента SSL VPN. Далее мы покажем, как настроить клиент openvpn в Windows, Debian, Centos и других системах. Файл конфигурации клиента будет сгенерирован после создания клиента SSL. Его можно скачать со страницы клиента SSL:

6. Конфигурация Windows OpenVpn Client

1. Загрузите и установите

первым прибытьофициальная страница загрузки openvpnскачатьopenvpn Connect (обратите внимание, что Connect — это клиент openvpn, не загружайте его в качестве сервера):

Выберите столбец Windows,и нажмите «Загрузить»,Если вы заблокированы стеной и не можете открыть эту страницу загрузки,Доступно наэта ссылкаскачать。

2. Настройка и импорт

После установки выберите «Импортировать профиль» и импортируйте файл конфигурации:

После распаковки файла конфигурации перетащите в него файл конфигурации, заканчивающийся на .ovpn:

3. Проверьте подключение

После импорта нажмитеconnect,И проверьте подключение:

проходитьroute printКоманду можно увидетьopenvpnПосле нормальной работы,Маршруты будут автоматически доставлены на одноранговый шлюз.,В то же время проверьте связь с одноранговым сегментом сети VPC, и подключение в норме.,Есть входящий и исходящий трафик,Это указывает на то, что соединение было открыто нормально. Если не удалось выполнить проверку связи с машиной vpc в облаке,Убедитесь, что машине не запрещены пинги или пинги безопасности、ACL обычно открывает сегмент внутренней сети клиента.

В это время, используя Wireshark для перехвата пакетов, можно обнаружить, что при взаимодействии с одноранговой интрасетью он фактически взаимодействует с одноранговым VPN-шлюзом, поэтому это также зависит от качества общедоступной сети на обоих концах:

7. Конфигурация Debian/Centos Клиент OpenVpn

1.Исходный код установочного программного обеспечения Debian, ключ репозитория и клиент openvpn.

Убедитесь, что Debian поддерживает транспорт https:

apt install apt-transport-https

Установите ключ официального репозитория openvpn:

curl -fsSL https://swupdate.openvpn.net/repos/openvpn-repo-pkg-key.pub | gpg --dearmor > /etc/apt/trusted.gpg.d/openvpn-repo-pkg-keyring.gpg

Установите исходный код программного обеспечения, соответствующий коду версии системы:

curl -fsSL https://swupdate.openvpn.net/community/openvpn3/repos/openvpn3-$DISTRO.list >/etc/apt/sources.list.d/openvpn3.list
apt-get update

Официально поддерживаемые кодовые названия выпусков:

здесь сDebian9 stretchв качестве демонстрации,То же самое относится и к другим Дистрибутивам.,Таким образом, установка исходного кода программного обеспечения должна быть:

curl -fsSL https://swupdate.openvpn.net/community/openvpn3/repos/openvpn3-stretch.list >/etc/apt/sources.list.d/openvpn3.list
apt-get update

Отечественные машины – из-за GFW,Вышеуказанные источники программного обеспечения могут быть недоступны.,Или с учетом ограничения скорости,Можно обратиться кЭта статьяСоздайте прокси-сервер и используйте его。

apt install openvpn3 

2. Установите клиент openvpn на Centos.

Коды дистрибутива, поддерживаемые сериями Centos и Redhat:

Centos7 устанавливает исходный код EPEL:

yum install https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm

RHEL7 устанавливает исходный код EPEL:

sudo subscription-manager repos --enable "rhel-*-optional-rpms" --enable "rhel-*-extras-rpms" --enable "rhel-ha-for-rhel-*-server-rpms"

Источник EPEL установки RHEL/CentOS 8:

yum install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm

RHEL8 устанавливает зависимые библиотеки:

ARCH=$( /bin/arch )
subscription-manager repos --enable "codeready-builder-for-rhel-8-${ARCH}-rpms"

Установите модуль yum copr:

yum install yum-plugin-copr

Включить репозиторий Copr:

yum copr enable dsommers/openvpn3

Установите клиент Openvpn:

yum install openvpn3-client

Уведомление,В сериях CentOS/RedHat могут возникнуть проблемы с картой при использовании клиента openvpn3Версия при подключении.,После проверки путем захвата пакетов на обоих концах, то есть прочесывания логов, никаких отклонений обнаружено не было.,И иметь полные права на настройку в соответствии с официальными рекомендациями.,Протестировано и воспроизведено в нескольких сетевых средах и на нескольких зеркалах CentOS/RedHatВерсия.,Предполагается, что причиной является официальная ошибка.,Поэтому, если вы столкнетесь,Рекомендуется установить следующую версию openvpn2.

yum install openvpn -y

использоватьopenvpn2Версиясоединять:

openvpn --config ${MY_CONFIGURATION_FILE}

Работа в фоновом режиме может быть:

nohup openvpn --config ${MY_CONFIGURATION_FILE} &>/dev/null &

Или просто напишите сервис systemd.

3. Импортируйте файл конфигурации и запустите.

Загрузите конфигурацию, экспортированную из консоли SSL-клиента Tencent Cloud, в Debian, распакуйте ее и выполните следующую команду:

openvpn3 config-import --config ${MY_CONFIGURATION_FILE}  #Импортируем файл конфигурации для повторного использования в последующих сеансах
openvpn3 session-start --config ${MY_CONFIGURATION_FILE}  #Открытая сессия

Замените sslvpnclient.ovpn правильным файлом конфигурации ovpn.,Имя файла конфигурации официального сайта Tencent Cloud должно бытьSSLVpnClientConfiguration.ovpn,Вы можете видеть, что подключенное описание подключается.

Теперь openvpn работает нормально, откройте еще один tty, чтобы проверить соединение:

4. управление сеансами openvpn

openvpn позволяет одновременно запускать несколько файлов конфигурации и сеансов. Управлять сеансами можно с помощью следующих команд:

openvpn3 sesstions-list  #Просмотр списка текущих сеансов

Перезапустить сеанс:

openvpn3 session-manage --config ${CONFIGURATION_PROFILE_NAME} --restart

Отключить сеанс:

openvpn3 session-manage --session-path /net/openvpn/v3/sessions/..... --disconnect

После отключения сеанса будут собраны данные об использовании трафика.

Посмотреть статус сессии:

openvpn3 session-stats --config ${CONFIGURATION_PROFILE_NAME}
openvpn3 session-stats --session-path /net/openvpn/v3/sessions/...

Посмотреть журнал сеанса:

openvpn3 log --config ${CONFIGURATION_PROFILE_NAME}

Поставляется с PDF-версией: