安科网

如何部署 VPN 服务器构建公司私有网络

bjkamui

bjkamui

2019-07-01

关注 关注

update @2018/05/21
update @2019/01/07

背景

公司在北京、上海、成都等地有多个办公区,办公区之间因为开发便利和业务往来需要建立安全的 vpn 隧道,经过调研,我们使用了优秀的开源 VPN 服务软件 SoftEtherVPN。

1. 安装 VPN Server 4.25

yum -y groupinstall "Development Tools"
#yum -y install ncurses-devel openssl-devel readline-devel
tar xf softether-vpnserver-v4.25-9656-rtm-2018.01.15-linux-x64-64bit.tar.gz
chmod -R 755 vpnserver/
mv vpnserver/ /usr/local/ && cd /usr/local/vpnserver
make
./vpnserver start
netstat -ntlp

2. 添加开机启动脚本

cat >> /etc/init.d/vpnserver << EOF
#!/bin/sh
# chkconfig: 2345 99 01
# description: SoftEther VPN Server
DAEMON=/usr/local/vpnserver/vpnserver
LOCK=/var/lock/subsys/vpnserver
test -x $DAEMON || exit 0
case "$1" in
start)
$DAEMON start
touch $LOCK
;;
stop)
$DAEMON stop
rm $LOCK
;;
restart)
$DAEMON stop
sleep 3
$DAEMON start
;;
*)
echo "Usage: $0 {start|stop|restart}"
exit 1
esac
exit 0
EOF

chmod 755 /etc/init.d/vpnserver
/sbin/chkconfig --add vpnserver
/etc/init.d/vpnserver stop
/etc/init.d/vpnserver start

3. 开启AD认证

vim /usr/local/vpnserver/src/Cedar/Server.c

以CN为关键字搜索,将ret = true;修改为ret = false;

4. 端口映射及说明

要在外网使用全功能的VPN服务器,需要映射如下端口:

TCP:443 992 1194 5555
UDP:500 4500

其中:

  • tcp的443softether client默认连接的端口,至少要保留这一个端口,或者修改为其它端口;
  • tcp的1194openvpn client的默认连接端口,可以修改客户端连接配置文件里的端口为443, 因此这个端口可以禁用;
  • tcp的992telnet的ssl端口, 如果443无法连接则可使用该端口,它是额外冗余端口,可以禁用;
  • tcp的5555也是 softether 在443992 之外冗余的端口,可以禁用;
  • udp的5004500是使用l2tp协议时需要用到的端口,主要是支持AndroidIOSMac OSX连接服务器使用的;

终上所述:

  • 当只需要在windows上使用 vpn client 客户端 或在 linux 上 使用 openvpn 连接时,只需要开启tcp的443即可,openvpn 的配置文件连接端口要修改为443;
    防火墙只需要映射端口443(防火墙不区分tcp和udp)。
  • 当需需要手机、Mac连接时,需要额外开启5004500
    防火墙需要映射端口4435004500(防火墙不区分tcp和udp)。

4. 禁用动态DNS功能

魔障一般的提示
==This feature is not supported. It hasn't been implemented yet on the open-source version of SoftEther VPN==

如何部署 VPN 服务器构建公司私有网络

这个提示是说"没有在开源版本的softether vpn上实现,并不是softetherVPN没有这个功能,而是它通过动态dns连到服务器进行判断,检测到是大陆的用户就会弹框提示:

从VPN更新日志可以看到,因为国家安全问题,大陆政府要求VPN开发者必须遵从RPC的原则,希望大陆用户都使用 softether.cn 提供的商业产品,但它是付费使用,我们暂时没有相关经费,所以只能选择开源产品。

https://www.softether.org/5-d...
如何部署 VPN 服务器构建公司私有网络

因此我们要停用动态 DNS 的功能,也就是说你想在家里搭建一个VPN服务器,那就不可能了,好在公司申请了公网ip,可以映射端口。

service vpnserver stop
sed -i '/Disabled/ s/false/true /g' /usr/local/vpnserver/vpn_server.config
service vpnserver start

https://www.softether.org/4-d...

网络端口 映射端口 服务器端口 daemon vpn

bjkamui

bjkamui

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

win10下用ssh做端口转发时因为localhost解析引起的失败

这个命令在win7下面跑没有问题,但是win10下面跑,就总是不能成功。加上-v -v -v参数查看ssh的输出日志,发现存在read failed, write failed等日志。后面通过网络搜索得到提示,是不是localhost的解析不对。执行 pi

BraveWangDev 2020-08-19

虚拟机开启外部访问,让别人可以直连本地虚拟机 Centos

填充主机映射的端口、要映射的虚拟机地址、虚拟机端口。  4.1   防火墙设置面板→高级设置→入站规则→新建规则→[端口] 下一步→[特定本地端口]下一步→[允许连接]下一步→全选 下一步→起个名字→完成

Wytheme 2020-06-11

nat+端口转发,使得宿主机secureCRT可以访问vbox里linux虚拟机

可是呢,又想用secureCRT在宿主机访问linux。默认情况下NAT给定的IP是10.0.2.15且不能修改。后面的不用改,大意就是,把本机的端口2222映射到虚拟机的22,访问本机2222,就连接到虚拟机22端口了;

RayDon 2015-05-20

02-NFS存储服务

NFS 是 Network File System 的缩写及网络文件系统。NFS 主要功能是通过局域网络让不同的主机系统之间可以共享文件或目录,NFS客户端可以通过挂载的方式将NFS服务端共享数据的文件目录挂载到本地挂载点,这样对本地挂载点目录中的数据进行

书弋江山 2020-07-08

Qt5.10编写FTP客户端

自从Qt5删除了QFtp模块后,就没有了可方便使用的FTP类。根据官方的说法,是因为该模块实现质量不好被删除,而用Qt5的网络模块就可以轻松实现。对于初学者没了现成的工具就不知道该咋办了。本文从FTP协议开始讲起,先明白FTP协议是一个怎样的结构。全文分两

Vampor 2020-04-22

Golang-TCP/IP网络编程

  Golang的主要设计目标之一就是面向大规模后端服务程序,网络通信这块是服务端程序必不可少也是至关重要的一部分。  1)TCPsocket编程,是网络编程的主流。之所以叫Tcpsocket编程,是因为底层是基于Tcp/ip协议的.比如:QQ聊天[示意图

diediexiaomi 2020-04-21

常用工具的使用方法

Connect Scan:正式建立三次握手。SYN,SYN-ACK,ACK,RST。耗费资源,很多系统会对正式连接进行LOG记录,而对半开连接不进行log,所以常用半开连接扫描。发送FIN-ACK,ACK,FIN,Null标记位,XMAS等扫描方式。nma

huangzonggui 2020-04-17

服务器网站绑定非80端口不能访问的问题

一开始本地能访问,外网不能。排查了网络、防火墙、阿里云安全组规则设置等常规项,一切正常但是还是不能解决。最后想起服务器近期安装了“安全狗”,估计十有八九问题出在它上面了。查看里面有个“网络防火墙”-“端口保护”,点进发现里面不知何时自动设置了一堆端口都被限

Vampor 2020-04-17

Linux查看某个端口的连接数

netstat -anp | grep ESTABLISHED | awk {print $5}|awk -F: {print $1} | sort | uniq -c | sort -r +0n. 统计httpd进程数,连个请求会启动一个进程,使用于Ap

leodengzx 2020-04-16

超详细!以太网交换机安全功能介绍

今天来给大家讲讲以太网交换机安全功能介绍。交换机作为局域网中最常见的设备,在安全上面临着重大威胁,这些威胁有的是针对交换机管理上的漏洞,攻击者试图控制交换机。有的针对的是交换机的功能,攻击者试图扰乱交换机的正常工作,从而达到破坏甚至窃取数据的目的。交换机通

xuezhengyyy 2020-02-15

记录一次服务器防火墙开放端口,参考了网上一位网友的方法可行,在此记录一下

在虚拟机 CentOS 7 上装了 Nginx,结果发现另一台电脑无法访问其默认页面,通过 telnet 192.168.1.88 80 监听发现是 http 80 端口被 CentOS 7 的防火墙 Firewalld给阻止通信了。接下来就讲下如何添加防

huangzonggui 2020-01-30

FTP文件传输协议

FTP 是 一个用于简化IP网络上系统之间文件传送的协议,是TCP/IP 协议组中的协议之一。⑴FTP协议包括两个组成部分,其一为FTP服务器,其二为FTP客户端。⑵其中FTP服务器用来存储文件,用户可以使用FTP客户端通过FTP协议访问位于FTP服务器上

thlm0 2019-12-31

Linux命令之netstat

查看一个服务有几个端口。lsof -i :port,使用lsof -i :port就能看见所指定端口运行的程序,同时还有当前连接。

LUOPING0 2019-12-24

Nmap整理收集

Nmap使用Nmap是主机扫描工具,他的图形化界面是Zenmap,分布式框架为Dnamp。Nmap在实际中应用场合如下:通过对设备或者防火墙的探测来审计它的安全性探测目标主机所开放的端口通过识别新的服务器审计网络的安全性探测网络上的主机。nmap按脚本分类

furongwei 2019-12-23

服务器的安全设置方法

我们第一处理的是将网站提示错误信息在服务器安全设置隐藏处理,让用户浏览下产生错误代码不显示,这还没完,还需把错误信息记录到错误日志方便管理员查阅。PHP中设置 error_reporting 即可隐藏所有错误。

OwenJi 2019-12-21

Docker开启Remote API 访问 2375端口

2375:未加密的docker socket,远程root无密码访问主机2376:tls加密套接字,很可能这是您的CI服务器4243端口作为https 443端口的修改2377:群集模式套接字,适用于群集管理器,不适用于docker客户端5000:dock

baixiaoshi 2019-12-01

Linux端口转发的几种常用方法

本文转载自公众号“Bypass”。在一些实际的场景里,我们需要通过利用一些端口转发工具,比如系统自带的命令行工具或第三方小软件,来绕过网络访问限制触及目标系统。本文总结了Linux端口转发的一些常用方法。CentOS 7.0 以下使用的是iptables,

farwang 2020-08-25

如何检查Debian 10开放的端口?

端口被定义为两方或多方通过网络相互通信所需的通信端点。然而,有时即使通信终止,端口仍可能保持开放,这可能引起各种安全问题。此外,不必要的开放端口也会消耗额外的资源。所以,你必须对所有开放的端口进行持续检查。因此,在这篇文章中,我们将向您介绍在Debian1

wh0 2020-07-27

SSH原理常见应用升级及端口转发

SSH是Secure Shell Protocol的简写,由IETF网络工作小组指定;在进行数据传输之前,SSH先对联机数据包通过加密技术进行加密处理,加密后在进行数据传输。确保了传递的数据安全.SSH是专为远程登录会话和其他网络服务提供的安全性协议。利用

ThinkBigWinBig 2020-06-13

校园的网络安全

端口安全,从基本原理上讲,Port Security特性会通过MAC地址表记录连接到交换机端口的以太网MAC地址,并只允许某个MAC地址通过本端口通信。其他MAC地址发送的数据包通过此端口时,端口安全特性会阻止它。使用端口安全特性可以防止未经允许的设备访问

xiaogoua 2020-06-12
bjkamui

bjkamui

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号