【干货】ECS服务器OPENVPN搭建,方便管理所有内网服务器

使用场景 一台有外网的ECS服务器+N台无外网的ECS服务器,使用OPENVPN管理全部的ECS服务器(包括无外网的ECS服务器). 
鉴于ECS服务器的带宽成本比较高的问题,撸主采用的是SLB(外网,据说最近计费方式变多了)+N台ECS服务器集群(包括一台2M外网ECS)+内网RDS服务来提供线上服务,但是客服沟通过得到的答案是只能在控制台用VNC来管理(客服MM确认可以自行搭建VPN来管理),对于熟悉习惯使用SSH的人来说使用管理控制台的那个VNC非常蛋疼,BUT关于内网服务器集群管理的方面的教程阿里没提供完整的配置文档,论坛也只是零星的帖子,这个教程是撸主花了2天时间汇总整理出来的教程,确保能正常使用,旨在方便有这方面需求的兄弟少走弯路. 
 
 
最后吐槽一下云监控竟然不支持内网ECS服务器..... 
 
 

引用
#1.安装基础包

引用
yum install openssl-devel pam-devel gcc -y

引用
wget http://www.openssl.org/source/openssl-1.0.1g.tar.gz 
tar xvfz openssl-1.0.1g.tar.gz  
cd openssl-1.0.1g 
./config --prefix=/usr/local 
make && make installs

引用
#2.安装lzo 软件包

引用
wget http://www.oberhumer.com/opensource/lzo/download/lzo-2.06.tar.gz 
tar zxvf lzo-2.06.tar.gz 
cd lzo-2.06 
./configure --prefix=/usr/local 
make && make install

引用
#3.安装openvpn服务端

引用
openvpn的下载地址已被墙,安装包自行解决下载(本文采用的是openvpn-2.3.4.tar.gz) 
tar xvfz openvpn-2.3.4.tar.gz 
cd openvpn-2.3.4 
./configure --prefix=/usr/local/openvpn 
make && make install

引用
#4.openvpn服务端配置

引用
下载easy-rsa 附上gihub(https://github.com/OpenVPN/easy-rsa) 
解压zip到 /usr/loacal下 
cd /usr/local/easy-rsa-master/easyrsa3 
mv vars.example vars 
vim vars  
修改如下内容(请填写自己的信息): 
set_var EASYRSA_REQ_COUNTRY     "CN" 
set_var EASYRSA_REQ_PROVINCE    "Shanghai" 
set_var EASYRSA_REQ_CITY        "Shanghai" 
set_var EASYRSA_REQ_ORG         "Chogic Co" 
set_var EASYRSA_REQ_EMAIL       "xxxxx@xxxx.cn
set_var EASYRSA_REQ_OU          "System Admin"

引用
#5.初始化配置

引用
./easyrsa init-pki 
如果成功的话,会在当前目录下创建pki/{reqs,private}目录,用于保存证书文件。


引用
6.7.8.9步会让频繁输入密码,请自行记录

引用
#6.创建根证书

引用
./easyrsa build-ca 
创建过程中需要输入根证书的密码以及`Common Name`。如果创建成功,则会在`pki/private/`目录下创建`ca.key`私钥文件以及`pki/`目录下创建`ca.crt`证书文件。

引用
#7.创建服务器证书

引用
./easyrsa build-server-full server 
创建过程和根证书创建类似,需要输入证书的密码以及上一个步骤创建根证书的密码。     
如果创建成功,则会在`pki/private`目录创建`server.key`私钥文件。在`pki/issued`目录创建`server.crt`证书文件。 

引用
#8.创建dh证书

引用
./easyrsa gen-dh 
DH parameters of size 2048 created at /usr/local/easy-rsa-master/easyrsa3/pki/dh.pem

引用
#9.创建客户端证书

引用
./easyrsa build-client-full yourclientname (你的用户名)
引用
前面两次是输入你的用户密码,第三次是输入ca证书的密码(第#6步的密码)

引用
#10.配置服务端

引用
cd /usr/local/openvpn/ 
mkdir keys 
cd keys  
#把上述步骤创建的ca.crt,server.crt,server.key,dh.pem拷贝到keys目录 
cp /usr/local/easy-rsa-master/easyrsa3/pki/ca.crt . 
cp /usr/local/easy-rsa-master/easyrsa3/pki/issued/server.crt . 
cp /usr/local/easy-rsa-master/easyrsa3/pki/private/server.key . 
cp /usr/local/easy-rsa-master/easyrsa3/pki/dh.pem . 
 
创建或者编辑/usr/local/openvpn/server.conf文件,内容如下: 
vim /usr/local/openvpn/server.conf 
 
##openvpn的server.config 
#local 是阿里ECS的外网IP 
local 你的外网ECS服务器地址(ifconfig eth1对应的IP地址) 
port 1194 
proto udp 
dev tun 
#修下下面的4个文件路径 
ca /usr/local/openvpn/keys/ca.crt 
cert /usr/local/openvpn/keys/server.crt 
key /usr/local/openvpn/keys/server.key 
dh /usr/local/openvpn/keys/dh.pem 
#openvpn的地址 
server 10.8.0.0 255.255.255.0 
ifconfig-pool-persist ipp.txt 
client-to-client 
keepalive 10 120 
comp-lzo 
user nobody 
group nobody 
persist-key 
persist-tun 
status openvpn-status.log 
#这个日志目录需要手创建 
log /data/logs/openvpn/openvpn.log 
verb 3 
#重要,保证客户端的连接能正常的访问10.162.*.*网段 ,下面的网段请自行根据自己的内网服务器所在的网段添加 
push "route 10.162.59.0 255.255.255.0" 
push "route 10.162.91.0 255.255.255.0"

引用
#11.Centos系统配置修改


引用
#打开服务器的路由功能

vim /etc/sysctl.conf 
修改以下内容: 
net.ipv4.ip_forward = 1 
# 然后使内核参数生效: 
sysctl -p  

引用
#添加NAT  10.8.0.0/24是OPENVPN的地址 10.162.xxx.xxx是阿里ECS的内网地址(ifconfig eth0) 
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT --to-source 10.162.xxx.xxx 
#保存iptables 
service iptables save

引用
#启动openvpn

引用
/usr/local/openvpn/sbin/openvpn --daemon --config /usr/local/openvpn/server.conf 
###################附加客户端配置文件##################### 
请自行根据各自的操作系统及对应的OPENVPN客户端来处理,但是无论什么客户端配置文件应该是一致的。 
客户端需要使用easyrsa生成的 ca.crt,gair.key以及gair.crt文件。 
###################客户端配置################### 
配置文件config.ovpn 
client 
dev tun 
proto udp 
remote 218.244.147.198 1194 
remote-cert-tls server 
resolv-retry infinite 
nobind 
persist-key 
persist-tun 
ca ca.crt 
cert yourclientname.crt 这里修改为上面输入的名字 
key yourclientname.key 这里修改为上面输入的名字 
;ns-cert-type server   # 该行需注释,不然服务端有报错 TLS: Initial packet from 
comp-lzo 
verb 3

【干货】ECS服务器OPENVPN搭建,方便管理所有内网服务器的更多相关文章

  1. ECS上nginx搭建反向代理通过内网访问阿里云OSS服务

    对于付不起钱的小伙计,为了给公司省钱,想尽一切招数.今天就来分享一个使用阿里云OSS存储搭配CDN使用的网站服务器部署方法. 简介 阿里云OSS 阿里云提供的一种文件存储方案,和我们以前接触的百度云B ...

  2. 烂泥:openvpn双网卡客户端与内网机器通信

    本文由ilanniweb提供友情赞助,首发于烂泥行天下 想要获得更多的文章,可以关注我的微信ilanniweb. 前段时间写了一篇有关openvpn搭建与内网机器通信的文章,那篇文章是基于服务器单网卡 ...

  3. phpMyAdmin搭建及管理多台数据库服务器

    phpMyAdmin搭建及管理多台数据库服务器 环境说明: 系统版本    CentOS 6.9 x86_64         软件版本    nginx-1.12.2        php-5.5. ...

  4. centos7下安装openvpn,访问内网服务器 (二) windows访问

    一.简介 在上一章中已经安装好了openvpn,并且已经启动成功,现在就可以通过openvpn的客户端进行连接访问内网服务器了. 二.安装openvpn客户端 下载地址: https://www.te ...

  5. 典型案例收集-使用OpenVPN连通多个机房内网(转)(静态路由)

    说明: 1.这篇文章主要是使用静态路由表实现的多个机房通过VPN连接后的子网机房互通. 2.OpenVPN使用的是桥接模式(server-bridge和dev tap),这个是关键点,只有这样设置才可 ...

  6. CentOS 7 下用 firewall-cmd / iptables 实现 NAT 转发供内网服务器联网

    自从用 HAProxy 对服务器做了负载均衡以后,感觉后端服务器真的没必要再配置并占用公网IP资源. 而且由于托管服务器的公网 IP 资源是固定的,想上 Keepalived 的话,需要挤出来 3 个 ...

  7. 内网服务器离线编译安装mysql5.7并调优

    目录 内网服务器离线编译安装mysql5.7并调优 前言 关于MySQL 一.MySQL安装篇 部署环境 前期准备工具 挂载系统ISO镜像,配置yum源 二.MySQL调优篇 1.对MySQL进行安全 ...

  8. OpenWRT DNS无法解析WAN连接的内网服务器域名

    系统版本OpenWrt Chaos Calmer 15.05.1,网络连接为:WAN口连接内网10.x.x.x网段,WAN口设置为静态IP.设置L2TP接口,通过L2TP访问外网.问题出现于,所有外网 ...

  9. H3C SecPath U200-S 如何在内网使用外网IP地址访问内网服务器

    H3C SecPath U200-S 如何在内网使用外网IP地址访问内网服务器 ------------------------------------------------------------ ...

随机推荐

  1. html页面 代码 编写的 一些 基本素养 约定 知识点

    hmtl代码书写也要养成一段一段的 区块代码, 每个区块代码 进行 html的 功能注释 自由文字的获得: (lorem ipsum: 乱数假文, 哑元文字) lorem ipsum: lipsum等 ...

  2. php中的正则函数主要有三个-正则匹配,正则替换

    php中变量的声明? 由于php声明变量的时候, 不支持使用 var关键字, 又不能直接写一个变量名字, 孤零零的放在那里, 所以, 在php中声明变量的方式, 同时也是给变量初始化的形式, 即: & ...

  3. LINUX系统知识(转)

    原文链接:http://blog.chinaunix.net/uid-725717-id-2060377.html 在Linux上配置好svnserve,通过eclipse访问,实现版本控制.但是开启 ...

  4. jQuery源码-dom操作之jQuery.fn.text

    写在前面 jQuery.fn.text在jQuery是个使用频率比较高的接口,它的作用无非是设置/获取dom节点的内容文本,下文会通过几个简单的例子来说明.text()接口的使用,以及最后会对源码进行 ...

  5. 【C语言入门教程】5.1 函数说明 与 返回值

    C 语言是结构化语言,它的主要结构成分是函数.函数被作为一种构件,用以完成程序中的某个具体功能.函数允许一个程序的各个任务被分别定义和编码,使程序模块化.本章介绍 C 语言函数的设计,如何用函数分解程 ...

  6. Android4.4 往短信收件箱中插入自定义短信(伪造短信)

    这段时间稍微有点空闲,把前一段学习Android做过的一些小项目整理整理.虽然没有什么工程量很大的项目,但是对于一个新手,解决这些问题还是花了一段时间.感觉还是非常有记录的意义呢~~~么么哒*—* 今 ...

  7. BZOJ1861——book

    就是给你一摞书,然后又询问第k大,编号为x的书是第几大,然后修改书的位置 splay模板题...然而我还是不会,,,又遇到lrj的书的坑了,rj的书里没有father,顿时弄得我ask不会搞了 注意合 ...

  8. [HDU3709]Balanced Number

    [HDU3709]Balanced Number 试题描述 A balanced number is a non-negative integer that can be balanced if a ...

  9. Mysql字段操作—增加字段、删除字段、修改字段名、修改字段类型(约束条件)

    1.增加字段:    alter table   tablename    add   new_field_id   type   not null default '0';     例:     a ...

  10. 使用PopupWindow

    PopupWindow可以用来实现弹出任意位置的菜单,比Context Menu和Option Menu灵活性更高.Android中弹出一个PopupWindow基本有两个方法: 1 2 //Disp ...