如何部署 VPN 服务器构建公司私有网络

bjkamui 2019-07-01

update @2018/05/21
update @2019/01/07

背景

公司在北京、上海、成都等地有多个办公区,办公区之间因为开发便利和业务往来需要建立安全的 vpn 隧道,经过调研,我们使用了优秀的开源 VPN 服务软件 SoftEtherVPN。

1. 安装 VPN Server 4.25

yum -y groupinstall "Development Tools"
#yum -y install ncurses-devel openssl-devel readline-devel
tar xf softether-vpnserver-v4.25-9656-rtm-2018.01.15-linux-x64-64bit.tar.gz
chmod -R 755 vpnserver/
mv vpnserver/ /usr/local/ && cd /usr/local/vpnserver
make
./vpnserver start
netstat -ntlp

2. 添加开机启动脚本

cat >> /etc/init.d/vpnserver << EOF
#!/bin/sh
# chkconfig: 2345 99 01
# description: SoftEther VPN Server
DAEMON=/usr/local/vpnserver/vpnserver
LOCK=/var/lock/subsys/vpnserver
test -x $DAEMON || exit 0
case "$1" in
start)
$DAEMON start
touch $LOCK
;;
stop)
$DAEMON stop
rm $LOCK
;;
restart)
$DAEMON stop
sleep 3
$DAEMON start
;;
*)
echo "Usage: $0 {start|stop|restart}"
exit 1
esac
exit 0
EOF

chmod 755 /etc/init.d/vpnserver
/sbin/chkconfig --add vpnserver
/etc/init.d/vpnserver stop
/etc/init.d/vpnserver start

3. 开启AD认证

vim /usr/local/vpnserver/src/Cedar/Server.c

以CN为关键字搜索,将ret = true;修改为ret = false;

4. 端口映射及说明

要在外网使用全功能的VPN服务器,需要映射如下端口:

TCP:443 992 1194 5555
UDP:500 4500

其中:

  • tcp的443softether client默认连接的端口,至少要保留这一个端口,或者修改为其它端口;
  • tcp的1194openvpn client的默认连接端口,可以修改客户端连接配置文件里的端口为443, 因此这个端口可以禁用;
  • tcp的992telnet的ssl端口, 如果443无法连接则可使用该端口,它是额外冗余端口,可以禁用;
  • tcp的5555也是 softether 在443992 之外冗余的端口,可以禁用;
  • udp的5004500是使用l2tp协议时需要用到的端口,主要是支持AndroidIOSMac OSX连接服务器使用的;

终上所述:

  • 当只需要在windows上使用 vpn client 客户端 或在 linux 上 使用 openvpn 连接时,只需要开启tcp的443即可,openvpn 的配置文件连接端口要修改为443;
    防火墙只需要映射端口443(防火墙不区分tcp和udp)。
  • 当需需要手机、Mac连接时,需要额外开启5004500
    防火墙需要映射端口4435004500(防火墙不区分tcp和udp)。

4. 禁用动态DNS功能

魔障一般的提示
==This feature is not supported. It hasn't been implemented yet on the open-source version of SoftEther VPN==

如何部署 VPN 服务器构建公司私有网络

这个提示是说"没有在开源版本的softether vpn上实现,并不是softetherVPN没有这个功能,而是它通过动态dns连到服务器进行判断,检测到是大陆的用户就会弹框提示:

从VPN更新日志可以看到,因为国家安全问题,大陆政府要求VPN开发者必须遵从RPC的原则,希望大陆用户都使用 softether.cn 提供的商业产品,但它是付费使用,我们暂时没有相关经费,所以只能选择开源产品。

https://www.softether.org/5-d...
如何部署 VPN 服务器构建公司私有网络

因此我们要停用动态 DNS 的功能,也就是说你想在家里搭建一个VPN服务器,那就不可能了,好在公司申请了公网ip,可以映射端口。

service vpnserver stop
sed -i '/Disabled/ s/false/true /g' /usr/local/vpnserver/vpn_server.config
service vpnserver start

https://www.softether.org/4-d...

bjkamui

bjkamui

相关推荐

Linux端口转发的几种常用方法

本文转载自公众号“Bypass”。在一些实际的场景里,我们需要通过利用一些端口转发工具,比如系统自带的命令行工具或第三方小软件,来绕过网络访问限制触及目标系统。本文总结了Linux端口转发的一些常用方法。CentOS 7.0 以下使用的是iptables,

farwang / 0评论 2020-08-25

win10下用ssh做端口转发时因为localhost解析引起的失败

这个命令在win7下面跑没有问题,但是win10下面跑,就总是不能成功。加上-v -v -v参数查看ssh的输出日志,发现存在read failed, write failed等日志。后面通过网络搜索得到提示,是不是localhost的解析不对。执行 pi

BraveWangDev / 0评论 2020-08-19

如何检查Debian 10开放的端口?

端口被定义为两方或多方通过网络相互通信所需的通信端点。然而,有时即使通信终止,端口仍可能保持开放,这可能引起各种安全问题。此外,不必要的开放端口也会消耗额外的资源。所以,你必须对所有开放的端口进行持续检查。因此,在这篇文章中,我们将向您介绍在Debian1

wh0 / 0评论 2020-07-27

02-NFS存储服务

NFS 是 Network File System 的缩写及网络文件系统。NFS 主要功能是通过局域网络让不同的主机系统之间可以共享文件或目录,NFS客户端可以通过挂载的方式将NFS服务端共享数据的文件目录挂载到本地挂载点,这样对本地挂载点目录中的数据进行

书弋江山 / 0评论 2020-07-08

SSH原理常见应用升级及端口转发

SSH是Secure Shell Protocol的简写,由IETF网络工作小组指定;在进行数据传输之前,SSH先对联机数据包通过加密技术进行加密处理,加密后在进行数据传输。确保了传递的数据安全.SSH是专为远程登录会话和其他网络服务提供的安全性协议。利用

ThinkBigWinBig / 0评论 2020-06-13

校园的网络安全

端口安全,从基本原理上讲,Port Security特性会通过MAC地址表记录连接到交换机端口的以太网MAC地址,并只允许某个MAC地址通过本端口通信。其他MAC地址发送的数据包通过此端口时,端口安全特性会阻止它。使用端口安全特性可以防止未经允许的设备访问

xiaogoua / 0评论 2020-06-12

虚拟机开启外部访问,让别人可以直连本地虚拟机 Centos

填充主机映射的端口、要映射的虚拟机地址、虚拟机端口。  4.1   防火墙设置面板→高级设置→入站规则→新建规则→[端口] 下一步→[特定本地端口]下一步→[允许连接]下一步→全选 下一步→起个名字→完成

Wytheme / 0评论 2020-06-11

windows关闭端口方法

在介绍各种端口的作用前,这里先介绍一下在Windows中如何关闭/打开端口,因为默认的情况下,有很多不安全的或没有什么用的端口是开启的,比如Telnet服务的23端口、FTP服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的

重善奉行 / 0评论 2020-06-10

静态路由与默认路由配置

路由器上的每个接口是一个广播域;交换机上的每个接口是一个冲突域;

JiangMengYa / 0评论 2020-05-15

Qt5.10编写FTP客户端

自从Qt5删除了QFtp模块后,就没有了可方便使用的FTP类。根据官方的说法,是因为该模块实现质量不好被删除,而用Qt5的网络模块就可以轻松实现。对于初学者没了现成的工具就不知道该咋办了。本文从FTP协议开始讲起,先明白FTP协议是一个怎样的结构。全文分两

Vampor / 0评论 2020-04-22

Golang-TCP/IP网络编程

  Golang的主要设计目标之一就是面向大规模后端服务程序,网络通信这块是服务端程序必不可少也是至关重要的一部分。  1)TCPsocket编程,是网络编程的主流。之所以叫Tcpsocket编程,是因为底层是基于Tcp/ip协议的.比如:QQ聊天[示意图

diediexiaomi / 0评论 2020-04-21

常用工具的使用方法

Connect Scan:正式建立三次握手。SYN,SYN-ACK,ACK,RST。耗费资源,很多系统会对正式连接进行LOG记录,而对半开连接不进行log,所以常用半开连接扫描。发送FIN-ACK,ACK,FIN,Null标记位,XMAS等扫描方式。nma

huangzonggui / 0评论 2020-04-17

服务器网站绑定非80端口不能访问的问题

一开始本地能访问,外网不能。排查了网络、防火墙、阿里云安全组规则设置等常规项,一切正常但是还是不能解决。最后想起服务器近期安装了“安全狗”,估计十有八九问题出在它上面了。查看里面有个“网络防火墙”-“端口保护”,点进发现里面不知何时自动设置了一堆端口都被限

Vampor / 0评论 2020-04-17

Linux查看某个端口的连接数

netstat -anp | grep ESTABLISHED | awk {print $5}|awk -F: {print $1} | sort | uniq -c | sort -r +0n. 统计httpd进程数,连个请求会启动一个进程,使用于Ap

leodengzx / 0评论 2020-04-16

构建安全的园区网络

端口安全,从基本原理上讲,Port Security特性会通过MAC地址表记录连接到交换机端口的以太网MAC地址,并只允许某个MAC地址通过本端口通信。使用端口安全特性可以防止未经允许的设备访问网络,并增强安全性。另外,端口安全特性也可用于防止MAC地址泛

gaochujia / 0评论 2020-04-15

CISCO端口安全特性

端口安全,从基本原理上讲,Port Security特性会通过MAC地址表记录连接到交换机端口的以太网MAC地址,并只允许某个MAC地址通过本端口通信。其他MAC地址发送的数据包通过此端口时,端口安全特性会阻止它。使用端口安全特性可以防止未经允许的设备访问

wyzxzws / 0评论 2020-03-08

Android : 网络adb配置及有线端口占用解决方法

  2、在设置好端口后就可输入命令连接:adb connect 192.168.2.36:5555,后面的:5555可以不用输入,例如我设置的:6666端口,则通过如下指令连接:。映像名称 PID 会话名

fengyeezju / 0评论 2020-03-02

外网无法访问VM中的hadoop yarn的8088端口,网页打开不了

  注意:我自己配置的是伪分布式,在配置文件内配置的都是localhost,根据自己的配置自行更改。更改后必须重启虚拟机

YarnSup / 0评论 2020-03-01

Mac之如何查看已用端口

OS X 10.9 下面 网络实用工具 从实用工具目录里消失了,可能苹果认为这个程序用的人太少就取消了吧。但是对于做互联网的人还是有点用的。命令lsof -i tcp:port可以查看该端口被什么程序占用,并显示PID,方便KILL

longjing / 0评论 2020-02-24

超详细!以太网交换机安全功能介绍

今天来给大家讲讲以太网交换机安全功能介绍。交换机作为局域网中最常见的设备,在安全上面临着重大威胁,这些威胁有的是针对交换机管理上的漏洞,攻击者试图控制交换机。有的针对的是交换机的功能,攻击者试图扰乱交换机的正常工作,从而达到破坏甚至窃取数据的目的。交换机通

xuezhengyyy / 0评论 2020-02-15

appium--自动检测端口和释放端口

当端口被其他服务占用时,如果我们还启动这个端口,则会报错,所以很有必要在使用这个端口时,先来检测一下这个端口有没有被其他服务使用。网络上的两个程序通信,底层都是使用socket来实现的。socket的本质是编程接口,对TCP/IP的封装。shutdown禁

发条戏子 / 0评论 2020-02-03

记录一次服务器防火墙开放端口,参考了网上一位网友的方法可行,在此记录一下

在虚拟机 CentOS 7 上装了 Nginx,结果发现另一台电脑无法访问其默认页面,通过 telnet 192.168.1.88 80 监听发现是 http 80 端口被 CentOS 7 的防火墙 Firewalld给阻止通信了。接下来就讲下如何添加防

huangzonggui / 0评论 2020-01-30

小白网络基础大杂烩

学了一些linux下的网络相关的命令,但是网络本身是啥,不知道啊,交换机可以识别mac地址,不能识别ip地址。通过mac地址转发数据。是对网络进行集中管理的最小单元。HUB是一个共享设备,主要提供信号放大和中转的功能,这个数据被以广播的方式发送到hub上的

sansan / 0评论 2020-01-10

SSH原理与运用(二):远程操作与端口转发

SSH不仅可以用于远程主机登录,还可以直接在远程主机上执行操作。单引号中间的部分,表示在远程主机上执行的操作;后面的输入重定向,表示数据通过SSH传向远程主机。这就是说,SSH可以在用户和远程主机之间,建立命令和数据的传输通道,因此很多事情都可以通过SSH

iOS开发笔记 / 0评论 2013-06-09

FTP文件传输协议

FTP 是 一个用于简化IP网络上系统之间文件传送的协议,是TCP/IP 协议组中的协议之一。⑴FTP协议包括两个组成部分,其一为FTP服务器,其二为FTP客户端。⑵其中FTP服务器用来存储文件,用户可以使用FTP客户端通过FTP协议访问位于FTP服务器上

thlm0 / 0评论 2019-12-31

Linux命令之netstat

查看一个服务有几个端口。lsof -i :port,使用lsof -i :port就能看见所指定端口运行的程序,同时还有当前连接。

LUOPING0 / 0评论 2019-12-24

Nmap整理收集

Nmap使用Nmap是主机扫描工具,他的图形化界面是Zenmap,分布式框架为Dnamp。Nmap在实际中应用场合如下:通过对设备或者防火墙的探测来审计它的安全性探测目标主机所开放的端口通过识别新的服务器审计网络的安全性探测网络上的主机。nmap按脚本分类

furongwei / 0评论 2019-12-23

服务器的安全设置方法

我们第一处理的是将网站提示错误信息在服务器安全设置隐藏处理,让用户浏览下产生错误代码不显示,这还没完,还需把错误信息记录到错误日志方便管理员查阅。PHP中设置 error_reporting 即可隐藏所有错误。

OwenJi / 0评论 2019-12-21

查看端口是否放通

 1)利用netstat命令(能够显示当前的 TCP/IP 网络连接情况,注意:只有安装了TCP/IP协议,才能使用netstat命令。

jiangtie / 0评论 2019-12-12

记一次生产环境ftp连接超时配置主动模式解决过程

概述记一次最近碰到的ftp连接超时问题,这个问题还是很常见的,也是很多朋友经常碰到的ftp问题,这里前提是网络防火墙:已开通20、21端口。可以发现可以连接ftp服务器,但是输命令就会提示连接超时了。思路1、因为ftp server可能每次开启不同的端口来

lyrgwlr / 0评论 2019-12-03

Linux系统学习 二十、SAMBA服务—介绍、安装、端口

Windows中最常用的是“网上邻居”。网上邻居使用的文件系统是CIFS协议进行数据共享,不能跨网段,跨路由。在1991年Andrew Tridgell为了实现Unix和Windows之间文件共享,开发了SMB文件系统。用Linux搭建“网上邻居”的共享优

thlm0 / 0评论 2019-12-02

Docker开启Remote API 访问 2375端口

2375:未加密的docker socket,远程root无密码访问主机2376:tls加密套接字,很可能这是您的CI服务器4243端口作为https 443端口的修改2377:群集模式套接字,适用于群集管理器,不适用于docker客户端5000:dock

baixiaoshi / 0评论 2019-12-01

Linux下通过端口查看进程

  1) -P :这个选项约束着网络文件的端口号到端口名称的转换。约束转换可以使lsof运行得更快一些。在端口名称的查找不能奏效时,这是很有用的。在登录名的查找不正确或很慢时,这个选项就很有用。  4) +M :此选项支持本地TCP和UDP端口映射程序的注

sufwei / 0评论 2013-09-18

Linux中的ftp、sftp、ssh、scp

FTP客户机可以给服务器发出命令来下载文件,上载文件,创建或改变服务器上的目录。相比于HTTP,FTP协议要复杂得多。复杂的原因,是因为FTP协议要用到两个TCP连接,一个是命令链路,用来在FTP客户端与服务器之间传递命令;另一个是数据链路,用来上传或下载

小菜鸟 / 0评论 2015-02-11

linux端口开启

经常使用CentOS的朋友,可能会遇到和我一样的问题。开启了防火墙导致80端口无法访问,刚开始学习centos的朋友可以参考下。最近在Linux CentOS防火墙下安装配置 ORACLE 数据库的时候,总显示因为网络端口而导致的EM安装失败,遂打算先关闭

hackerlpy / 0评论 2015-01-28

fiddler之获取手机端网络数据包

设置fiddler listenson port 端口为8888

fshwalwal / 0评论 2019-11-13

DHCP服务基本搭建

当一个DHCP客户机启动时,会自动将自己的IP地址配置成0.0.0.0,由于使用0.0.0.0不能进行正常通信,所以客户机就必须通过DHCP服务器来获取一个合法的地址。广播信息中包含了DHCP客户机的MAC地址和计算机名,以便使DHCP服务器能确定是哪个客

thlm0 / 0评论 2019-11-11

nat+端口转发,使得宿主机secureCRT可以访问vbox里linux虚拟机

可是呢,又想用secureCRT在宿主机访问linux。默认情况下NAT给定的IP是10.0.2.15且不能修改。后面的不用改,大意就是,把本机的端口2222映射到虚拟机的22,访问本机2222,就连接到虚拟机22端口了;

RayDon / 0评论 2015-05-20

Linux通过网络端口(或者PID)查找运行程序路径

(Not all processes could be identified, non-owned process info. will not be shown, you would have to be root to see it all.). tc

wanggongzhen / 0评论 2015-05-07

Linux netstat命令详解

Netstat 是一款命令行工具,可用于列出系统上所有的网络套接字连接情况,包括 tcp, udp 以及 unix 套接字,另外它还能列出处于监听状态的套接字。如果你想确认系统上的 Web 服务有没有起来,你可以查看80端口有没有打开。以上功能使 nets

LonelyTraveler / 0评论 2015-06-15

在 Fedora 上使用 SSH 端口转发

ssh 命令背后所使用的协议允许终端的输入和输出流经安全通道。但是你知道也可以使用 ssh 来安全地发送和接收其他数据吗?你可能已经熟悉使用 ssh 命令 访问远程系统。你可以认为网络端口是类似的物理端口或可以连接到电缆的插孔。远程端口转发使你可以通过 s

85281245 / 0评论 2019-10-29

如何解决Firefox&Chrome下无法访问特定端口

在做测试、调试时我们会给Web服务器等设置一些特殊的访问端口,比如87,6666,556,6667等。错误312如果用Firefox访问就会报类似错误,如下所示:。此地址访问受限,此地址使用了一个通常用于网络浏览以外目的的端口。出于安全原因,Firefox

指尖 / 0评论 2019-04-16

nfs存储服务实时同步

NFS即网络文件系统,它允许网络中的计算机之间通过网络共享资源。将NFS主机分享的目录,挂载到本地客户端当中,本地NFS的客户端应用可以透明地读写位于远端NFS服务器上的文件,在客户端端看起来,就像访问本地文件一样。RPC,基于C/S模型。程序可以使用这个

OwenJi / 0评论 2019-11-02

网络之STP/MSTP

将交换机连接主机的端口状态配置成portfast模式,这样可以绕过Listening和Learning状态直接进入Forwarding,这样可以缩短时间,同时不转发BPDU报文。Switch#spanning-tree portfast----------

OwenJi / 0评论 2019-11-01

云帮手,让服务器防护被动变主动,给您足够安全感!

服务器对于企业而言重要性不言而喻,其被攻陷形同于整个企业的系统被攻陷,也正因为如此,如何筑牢服务器安全这个“最后一道防线”成为了当前热门的安全话题。为了解决这个问题,云帮手在服务器安全领域进行了大量探索,结合大量的实际案例,我们推出了如何加强服务器安全防护

yuanyueliang / 0评论 2019-10-31

天下数据:VPS服务器如何提高安全性能?

网络在为我们带来便利的同时,也滋生了新的网络威胁。云主机、VPS服务器、虚拟主机要怎么能够提高安全防御性能,减少服务器被攻击的概率?下面我们以VPS服务器为例子说明:。服务器的系统或服务器的程序时常会存在一些漏洞,而这些漏洞又容易被黑客利用攻击。要降低vp

zgsky0 / 0评论 2019-10-30

Red Hat Enterprise Linux 5.2 端口22修改和设置

  上上周的Red Hat Enterprise Linux服务器被罗马尼亚的黑客通过22端口的ssh服务给攻击了,重装后这个端口要改掉,于是进行了一下操作,这个操作是从网络前辈那里取来的经。有两种修改方法,我用了第二种,结果表明可行:。  2)执行/et

bjkamui / 0评论 2009-10-29

如何设置 SSH 隧道(端口转发)

SSH隧道或SSH端口转发是一种在客户端和服务器机器之间创建加密SSH连接的方法,通过该连接可以中继服务端口。SSH转发对于传输使用未加密协议,访问地理限制内容或绕过中间防火墙的服务的网络数据非常有用。基本上,您可以转发任何TCP端口并通过安全的SSH连接

wangkeIDC / 0评论 2019-08-09

NFS部署实战及原理介绍

NFS的缩写,它的主要功能是:通过网络、让不同的机器、不同的OS可以共享彼此的文件。NFS服务器可以允许NFS客户端将远端NFS服务器的共享目录挂载到自己的NFS客户端,这样客户端就好比有在本地有一块磁盘一样,只不过是网络磁盘而已。如上图,当我们在NFS服

lyonte / 0评论 2019-07-21

Activemq的端口监听介绍及端口优化

name里的值是随便写的,它也会体现在mq的webConnections界面里,而0.0.0.0是代表本机所有设备的意思,注意这里不可以写127.0.0.1或者localhost,这样写的话mq是无法连上网的。这里补充一句,Activemq默认的消息协议是

haojing / 0评论 2018-01-07