企業(yè)信息化不等于各類軟硬件的堆砌,企業(yè)信息化建設(shè)的核心是企業(yè)領(lǐng)導(dǎo)者們重視信息收集���、重視信息管理��、重視信息使用。
"人精錢少有限公司"發(fā)展數(shù)年,企業(yè)已初具規(guī)模,高層領(lǐng)導(dǎo)們意識(shí)到了信息化的重要性,奈何錢太少,但有幸人精明�����,開源技術(shù)用起來���,花小錢辦大事�。
前幾篇文章我們部署好了OA系統(tǒng)��,并開啟了https訪問���。"人精錢少有限公司"是一個(gè)跨城公司����,全國(guó)很多地方分布著辦公人員,目前員工都是通過互聯(lián)網(wǎng)訪問公司OA,安全風(fēng)險(xiǎn)依然存在。
今天就來加一層安全防護(hù)罩-VPN�����。
一��,技術(shù)選型
1. 企業(yè)VPN構(gòu)建平臺(tái):WireGuard
【選擇理由】WireGuard 是一種極其簡(jiǎn)單但快速且現(xiàn)代的 VPN���,它利用了最先進(jìn)的加密技術(shù)����。它的目標(biāo)是比 IPsec 更快、更簡(jiǎn)單�、更精簡(jiǎn)和更有用�����,同時(shí)避免令人頭疼的問題。旨在提供比 OpenVPN 更高的性能。WireGuard 被設(shè)計(jì)為在嵌入式接口和超級(jí)計(jì)算機(jī)等上運(yùn)行的通用 VPN,適用于許多不同的環(huán)境��。最初僅支持 Linux 平臺(tái)�����,現(xiàn)在可以進(jìn)行跨平臺(tái)(Windows、macOS���、BSD�����、iOS、Android)的廣泛部署���。目前仍然在大力開發(fā)中���,但已經(jīng)被認(rèn)為是業(yè)內(nèi)最安全����、最容易使用和最簡(jiǎn)單的 VPN 解決方案。
WireGuard 是由Jason Donenfeld等人用C語言編寫的一個(gè)開源三層網(wǎng)絡(luò)隧道工具�,被視為下一代 VPN 協(xié)議�����,從 2020 年 1 月開始,它已經(jīng)并入了 Linux 內(nèi)核的 5.6 版本���,被Linux之父稱其為藝術(shù)品。
2. VPN可視化管理平臺(tái):WireGuard-UI
【選擇理由】WireGuard-UI 是一個(gè)開源的 Web 可視化管理工具����,用于簡(jiǎn)化 WireGuard VPN 的配置和管理�����。它通過直觀的圖形界面��,幫助用戶快速創(chuàng)建�����、管理和分發(fā) WireGuard 配置文件。
二�����,詳細(xì)步驟
本次實(shí)踐依然選擇Rockylinux9.5操作環(huán)境
(一). 安裝和配置WireGuard
1.安裝 WireGuard
sudo dnf install epel-release -y
sudo dnf install wireguard-tools -y
2.配置 WireGuard
(1). 創(chuàng)建配置文件目錄
sudo mkdir -p /etc/wireguard
(2). 生成密鑰對(duì)
wg genkey | sudo tee /etc/wireguard/server_private.key | wg pubkey | sudo tee /etc/wireguard/server_public.key
sudo chmod 600 /etc/wireguard/server_private.key /etc/wireguard/server_public.key
(3). 創(chuàng)建 WireGuard 配置文件wg0.conf
sudo vi /etc/wireguard/wg0.conf
添加以下內(nèi)容:
[Interface]
PrivateKey = <server_private_key>
Address = 10.255.255.1/24
ListenPort = 51820
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o enp0s3 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o enp0s3 -j MASQUERADE
注意:
替換 <server_private_key> 為 /etc/wireguard/server_private.key 文件中的內(nèi)容�;
替換PostUp和PostDown中的enp0s3為自己服務(wù)器的真實(shí)網(wǎng)絡(luò)連接
(4). 啟用 IP 轉(zhuǎn)發(fā)
echo "net.ipv4.ip_forward = 1" | sudo tee -a /etc/sysctl.conf
sudo sysctl -p
(5). 啟動(dòng) WireGuard
sudo systemctl enable wg-quick@wg0
sudo systemctl start wg-quick@wg0
(二). 安裝和配置WireGuard-UI
1.安裝 WireGuard-UI
sudo mkdir -p /opt/wireguard-ui
cd /opt/wireguard-ui
sudo curl -L -o wireguard-ui.tar.gz https://github.com/ngoduykhanh/wireguard-ui/releases/download/v0.6.2/wireguard-ui-v0.6.2-linux-amd64.tar.gz
sudo tar -xzf wireguard-ui.tar.gz
sudo rm wireguard-ui.tar.gz
2.部署 WireGuard-UI
(1). 創(chuàng)建配置文件
sudo vi /opt/wireguard-ui/config.ini
添加以下內(nèi)容
[wireguard]
conf = /etc/wireguard/wg0.conf
[webui]
listen = :5000
username = admin
password = admin
(2). 修改 WireGuard 配置文件權(quán)限�����,允許 WireGuard-UI 訪問
sudo chmod 755 /etc/wireguard
sudo chmod 644 /etc/wireguard/wg0.conf
(1). 創(chuàng)建 systemd 服務(wù)文件
sudo vi /etc/systemd/system/wireguard-ui.service
添加以下內(nèi)容
[Unit]
Description=WireGuard-UI
After=network.target
[Service]
ExecStart=/opt/wireguard-ui/wireguard-ui
Restart=always
User=root
[Install]
WantedBy=multi-user.target
(2). 啟動(dòng)wireguard-ui服務(wù)
sudo systemctl enable wireguard-ui
sudo systemctl start wireguard-ui
(三). 配置服務(wù)器防火墻和公網(wǎng)IP端口映射
sudo firewall-cmd --permanent --add-port=51820/udp
sudo firewall-cmd --permanent --add-port=5000/tcp
sudo firewall-cmd --reload
2.配置公網(wǎng)IP端口映射(以奇安信防火墻為例)
登錄防火墻管理界面���,添加以下規(guī)則:
- 允許 UDP 51820 端口入站到VPN服務(wù)器內(nèi)網(wǎng)IP
- 允許 TCP 5000 端口入站到VPN服務(wù)器內(nèi)網(wǎng)IP
- 配置NAT規(guī)則將公網(wǎng)IP 的51820/udp和5000/tcp映射到VPN服務(wù)器內(nèi)網(wǎng)IP
(四). 配置WireGuard-UI客戶端
http://VPN服務(wù)器IP:5000
使用 admin/admin 登錄
Name: Client1
AllowedIPs: 10.255.255.0/24 (限定訪問虛擬子網(wǎng))
客戶端配置文件創(chuàng)建完畢后���,點(diǎn)擊“Apply Config”����,將配置信息更新到服務(wù)器的配置文件中
在“WireGuard Clients”中選需要的客戶端配置文件導(dǎo)出���。
注意:
當(dāng)VPN服務(wù)器配置文件有變更時(shí)�,一定要重啟WireGuard服務(wù)器,命令如下:
sudo systemctl restart wg-quick@wg0
(五). 登錄客戶端及驗(yàn)證(以Windows為例)
https://www.wireguard.com/install/
下載不了的,請(qǐng)?jiān)诒疚暮罅粞?,提供安裝包
4.驗(yàn)證連接
ping 10.255.255.1
如有網(wǎng)絡(luò)響應(yīng)�,說明vpn搭建成功!
閱讀原文:原文鏈接
該文章在 2025/3/24 17:07:18 編輯過
400 186 1886
