般情況下,企業(yè)總部與分公司之間需要實(shí)現(xiàn)內(nèi)網(wǎng)互通的話,采用站點(diǎn)到站點(diǎn)VPN(Site-to-Site VPN)性價(jià)比更高,它是一種在兩個(gè)或多個(gè)地點(diǎn)之間建立安全網(wǎng)絡(luò)連接的技術(shù)。
站點(diǎn)到站點(diǎn)VPN通常需要至少兩個(gè)固定的公網(wǎng)IP地址。這是因?yàn)槊總€(gè)要連接的站點(diǎn)至少需要一個(gè)唯一的公網(wǎng)IP地址來(lái)確保能夠在互聯(lián)網(wǎng)上被正確識(shí)別和訪問(wèn)。
如果你只有一個(gè)固定的公網(wǎng)IP地址,又想實(shí)現(xiàn)站點(diǎn)到站點(diǎn)VPN的功能需求,可以試試以下方法。
1. 測(cè)試拓?fù)鋱D
企業(yè)總部做為VPN服務(wù)器,而各分公司做為客戶端接入:
拓?fù)湔f(shuō)明:
有固定IP地址的一端做為VPN服務(wù)端,而使用動(dòng)態(tài)IP地一端做為VPN客戶端;
拓?fù)渲械腣PN設(shè)備和客戶端電腦均使用Linux操作系統(tǒng);
只需要配置兩端VPN設(shè)備,所有客戶端不需要任何操作。
需要注意的,整個(gè)公司的IP地址要規(guī)劃好,避免出現(xiàn)相同IP地址段。
2. 需求說(shuō)明
總公司內(nèi)網(wǎng)設(shè)備與分公司內(nèi)網(wǎng)設(shè)備可以相互通信,測(cè)試環(huán)境中實(shí)現(xiàn)hc01與bc01可以相互訪問(wèn),以ping通算測(cè)試成功。
默認(rèn)情況下,bc01只能訪問(wèn)VPN服務(wù)器的公網(wǎng)IP地址,不能訪問(wèn)總公司內(nèi)網(wǎng)地址,如:
當(dāng)分公司主機(jī)bc01訪問(wèn)總公司內(nèi)網(wǎng)IP時(shí),數(shù)據(jù)包會(huì)丟失。
3. 環(huán)境說(shuō)明
VPN服務(wù)器與VPN客戶端都使用CentOS7.6操作系統(tǒng)搭建;
測(cè)試用的客戶端也使用CentOS7.6,客戶端任何操作系統(tǒng)都可以,配置好默認(rèn)網(wǎng)關(guān)即可。
4. 配置說(shuō)明
4.1 配置VPN服務(wù)器
4.1.1 配置阿里源
在VPN服務(wù)器上配置一下阿里的源:
curl -o /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-7.repo
curl -o /etc/yum.repos.d/epel.repo https://mirrors.aliyun.com/repo/epel-7.repo4.1.2 配置轉(zhuǎn)發(fā)
在VPN設(shè)備上都需要配置
(1)修改配置文件
vi /etc/sysctl.conf#文檔末尾添加
net.ipv4.ip_forward=1(2)寫(xiě)入內(nèi)核
sysctl -p(3)設(shè)置IP地址偽裝(NAT),并放通UDP端口51820
systemctl start firewalld
systemctl enable firewalld
firewall-cmd --zone=public --add-masquerade --permanent
firewall-cmd --zone=public --permanent --add-port=51820/udp
firewall-cmd --reload4.1.3安裝WireGuard
使用yum命令直接安裝:
yum install elrepo-release
yum install yum-plugin-elrepo
yum install kmod-wireguard wireguard-tools注意安裝完成后需要重啟;
4.1.4 生成公私鑰
進(jìn)入WireGuard配置文件目錄:
cd /etc/wireguard/創(chuàng)建VPN服務(wù)器的公私鑰:
wg genkey | tee privatekey-server | wg pubkey > publickey-server創(chuàng)建VPN客戶端的公私鑰:
wg genkey | tee privatekey-vpnc | wg pubkey > publickey-vpnc記錄好每個(gè)文件的內(nèi)容:
privatekey-server:
2EwjrA7mSywY3f3jCwAN6CX9ygGGAwdhIFTXx71hiUo=publickey-server:
wy5rwNc4C0nlwgt3i57LqX4Nk+ghx8lxlqbLAM/b8Qc=privatekey-vpnc:
kA/L0GfraDk/TFI6JonVn99SAPRSDpgPtpkBnvnuMlQ=publickey-vpnc:
4CvaV/YBNsbwc6bZCqgXFbhSF0OPnXSgV1IbXxycqHE=4.1.5 創(chuàng)建配置文件
vi /etc/wireguard/vpnserver.conf#增加內(nèi)容如下
[Interface]
# Name=vpnserver
Address=192.168.10.1/24
ListenPort=51820
PrivateKey=2EwjrA7mSywY3f3jCwAN6CX9ygGGAwdhIFTXx71hiUo=[Peer]
# Name=vpnc
PublicKey=4CvaV/YBNsbwc6bZCqgXFbhSF0OPnXSgV1IbXxycqHE=AllowedIPs=192.168.10.10/32,10.10.20.0/24注意:在服務(wù)器端配置文件中配置vpnc客戶端時(shí),要將其內(nèi)網(wǎng)網(wǎng)段也要配置上,即10.10.20.0/24。
參數(shù)說(shuō)明:
[Interface]:定義當(dāng)前節(jié)點(diǎn)的配置
# Name:這是 INI 語(yǔ)法中的標(biāo)準(zhǔn)注釋,用于展示該配置部分屬于哪個(gè)節(jié)點(diǎn)。
Address:定義當(dāng)前節(jié)點(diǎn)應(yīng)該對(duì)哪個(gè)地址范圍進(jìn)行路由。如果是常規(guī)的客戶端,則將其設(shè)置為節(jié)點(diǎn)本身的單個(gè) IP(使用 CIDR 指定,例如 192.168.168.1/32);如果是中繼服務(wù)器,則將其設(shè)置為可路由的子網(wǎng)范圍。
例如:
常規(guī)客戶端,只路由自身的流量:Address=192.168.10.1/32
中繼服務(wù)器,可以將流量轉(zhuǎn)發(fā)到其他節(jié)點(diǎn)(peer):Address=192.168.10.0/24
這個(gè)地址是用于組網(wǎng)后分配使用,不要與服務(wù)器的私網(wǎng)IP地址一樣。
ListenPort:當(dāng)前節(jié)點(diǎn)是中繼服務(wù)器時(shí),需要通過(guò)該參數(shù)指定端口來(lái)監(jiān)聽(tīng),默認(rèn)端口號(hào)是51820。常規(guī)客戶端不需要此選項(xiàng)。
PrivateKey:當(dāng)前節(jié)點(diǎn)的私鑰,所有節(jié)點(diǎn)(包括中繼服務(wù)器)都必須設(shè)置。不可與其他服務(wù)器共用。
[Peer]:定義對(duì)等節(jié)點(diǎn)(其他節(jié)點(diǎn))的配置。可以有多個(gè)。
中繼服務(wù)器必須將所有的節(jié)點(diǎn)(除了自身節(jié)點(diǎn))定義為對(duì)等節(jié)點(diǎn)(peer)。其他的節(jié)點(diǎn)只需定義中繼服務(wù)器作為對(duì)等節(jié)點(diǎn)(peer)。
PublicKey:對(duì)等節(jié)點(diǎn)(peer)的公鑰,所有節(jié)點(diǎn)(包括中繼服務(wù)器)都必須設(shè)置。
AllowedIPs:如果對(duì)等節(jié)點(diǎn)(peer)是常規(guī)的客戶端,則將其設(shè)置為節(jié)點(diǎn)本身的單個(gè) IP;如果對(duì)等節(jié)點(diǎn)(peer)是中繼服務(wù)器,則將其設(shè)置為可路由的子網(wǎng)范圍。可以指定多個(gè) IP 或子網(wǎng)范圍。該字段也可以指定多次。4.1.6 啟動(dòng)服務(wù)
systemctl enable wg-quick@vpnserver
systemctl start wg-quick@vpnserver4.2 配置VPN客戶端
4.2.1 配置阿里源
在VPN客戶端上配置一下阿里的源:
curl -o /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-7.repo
curl -o /etc/yum.repos.d/epel.repo https://mirrors.aliyun.com/repo/epel-7.repo4.2.2 配置轉(zhuǎn)發(fā)
在VPN設(shè)備上都需要配置
(1)修改配置文件
vi /etc/sysctl.conf#文檔末尾添加
net.ipv4.ip_forward=1(2)寫(xiě)入內(nèi)核
sysctl -p(3)設(shè)置IP地址偽裝(NAT),并放通UDP端口51820
systemctl start firewalld
systemctl enable firewalld
firewall-cmd --zone=public --add-masquerade --permanent
firewall-cmd --reload4.2.3安裝WireGuard
使用yum命令直接安裝:
yum install elrepo-release
yum install yum-plugin-elrepo
yum install kmod-wireguard wireguard-tools注意安裝完成后需要重啟;
4.4.4 配置文件
vi /etc/wireguard/vpnc.conf#增加內(nèi)容如下
[Interface]
PrivateKey=kA/L0GfraDk/TFI6JonVn99SAPRSDpgPtpkBnvnuMlQ=Address=192.168.10.10/32
[Peer]
PublicKey=wy5rwNc4C0nlwgt3i57LqX4Nk+ghx8lxlqbLAM/b8Qc=AllowedIPs=10.10.10.0/24, 192.168.10.0/24
Endpoint=122.0.0.10:51820
PersistentKeepalive=25當(dāng)然,在客戶端配置文件中也要配置服務(wù)端的內(nèi)網(wǎng)網(wǎng)段,即10.10.10.0/24。
參數(shù)說(shuō)明:與服務(wù)端大致相同。
4.2.5 啟動(dòng)服務(wù)
systemctl enable wg-quick@vpnc
systemctl start wg-quick@vpnc5. 測(cè)試網(wǎng)絡(luò)
在bc01上訪問(wèn)hc01:
使用ping可以正常訪問(wèn);
在hc01上訪問(wèn)bc01:
同樣,也是可以正常訪問(wèn)。
6. 總結(jié)
通過(guò)以上配置,如果想要實(shí)現(xiàn)站點(diǎn)到站點(diǎn)的功能,只有一個(gè)固定公網(wǎng)IP地址話,使用wireguard也是可以實(shí)現(xiàn)的。
單位經(jīng)常因?yàn)樨?cái)政因素,電腦打印機(jī)不能做到按需配置,往往出現(xiàn)幾個(gè)人共用一臺(tái)打印機(jī)。而使用打印機(jī)共享器或者網(wǎng)絡(luò)打印機(jī)雖然可以解決,但任需要money,而且切換時(shí)需人工按切換開(kāi)關(guān),比較麻煩;無(wú)成本的解決方案是在網(wǎng)上鄰居中共享打印機(jī),如果動(dòng)態(tài)獲取IP地址,這得在網(wǎng)上領(lǐng)居中找到對(duì)應(yīng)的電腦輸入用戶名及密碼,很多情況小白找不到用戶名及密碼導(dǎo)致無(wú)法人享打印機(jī),采取的辦法往往是在我的電腦地址欄中輸入對(duì)方電腦的IP地址進(jìn)入設(shè)置共享,這樣直接進(jìn)入就是一個(gè)靜態(tài)的IP了;當(dāng)對(duì)方電腦獲取到新的IP地址,這共享的打印機(jī)就不能使用了,這解決辦法是:在路由器上固定安裝打印機(jī)IP地址,使安裝打印機(jī)獲取的IP址永遠(yuǎn)不變,使用的人不需特殊學(xué)習(xí)。仍以TP--Link為例:步驟是
2、在安全管理--ARP防護(hù)--IP-MAC綁定,點(diǎn)新增,填好后見(jiàn)下圖:
如此就將這需要共享打印的電腦固定了,不需要在使用電腦上特殊設(shè)置了。注意的是如果只分配靜態(tài)IP地址,沒(méi)有做ARP防護(hù),其它電腦仍有可能得到分配靜態(tài)IP地址而造成IP地址沖突。
如對(duì)你有幫助請(qǐng)點(diǎn)贊加收藏,共同進(jìn)步。
兩臺(tái)電腦反映的情況就是經(jīng)常斷線,上不了網(wǎng)。看一下,先測(cè)試一下網(wǎng)線有沒(méi)有問(wèn)題,測(cè)試是通的,測(cè)試網(wǎng)線是沒(méi)有問(wèn)題的。一般出現(xiàn)上不了網(wǎng)要么是IP地址沖突,要么就是網(wǎng)線有問(wèn)題。
這個(gè)水晶頭的氧化程度很高,先把水晶頭重新做一下。像交換機(jī)的使用的年份比較久了,大概使用了十多年了,可能交換機(jī)的交換機(jī)米線口子里面的金手指氧化也很嚴(yán)重。
如果網(wǎng)線的水晶頭接了過(guò)后還出問(wèn)題,交換機(jī)就放在地上,環(huán)境也比較惡劣。像金手指氧化的特別嚴(yán)重,每個(gè)口子的氧化程度都很高,因?yàn)槭褂媚晗藓芫昧耍锩婊叶际沁@么多,總多把它打開(kāi)把灰清一下,馬上就拍兩下都行了,吹錘子,那你吹錘子錘灰。
把交換機(jī)清理了一下,估計(jì)就是交換機(jī)的問(wèn)題。這臺(tái)電腦上不去網(wǎng)問(wèn)題已經(jīng)解決,主要就是交換機(jī),交換機(jī)的年限太久過(guò)后里面的金手指已經(jīng)銹蝕的很嚴(yán)重。還有水晶頭,水晶頭兩邊銹蝕情況也比較嚴(yán)重。
剛開(kāi)始以為就是IP地址沖突,我看了一下,電腦設(shè)定的是固定IP地址,如果是IP地址沖突,連上網(wǎng)會(huì)出現(xiàn)嘆號(hào)提示一個(gè)IP地址沖突,所以像這種小問(wèn)題很好解決的。特別像我這種情況,交換機(jī)在這個(gè)地方過(guò)來(lái)的有網(wǎng),兩臺(tái)電腦有一臺(tái)有網(wǎng)有一臺(tái)沒(méi)網(wǎng),要么就是網(wǎng)線網(wǎng)線有問(wèn)題,要么交換機(jī)有問(wèn)題。
還有一種情況就是IP地址設(shè)置有問(wèn)題。最后一種情況就是什么?最后一種情況就是電腦的網(wǎng)卡驅(qū)動(dòng)上可能有一點(diǎn)問(wèn)題。通常情況首先看一下電腦出現(xiàn)的是什么癥狀,如果出現(xiàn)的是顯示嘆號(hào),那可能就是IP地址沖突。或者是顯示嘆號(hào)可能就是到交換界,我們是連通了的,交換界的網(wǎng)絡(luò)有問(wèn)題。
但是這臺(tái)電腦有網(wǎng),所以主網(wǎng)過(guò)來(lái)是沒(méi)有問(wèn)題的,如網(wǎng)過(guò)來(lái)沒(méi)有問(wèn)題,無(wú)非就是IP地質(zhì)沖突,網(wǎng)線有問(wèn)題。所以主要這個(gè)問(wèn)題就是網(wǎng)線的問(wèn)題,和交換機(jī)的口子接觸上接觸不好銹蝕嚴(yán)重產(chǎn)生的問(wèn)題。只能把交換機(jī)的口子大概清理一下,再把網(wǎng)線的兩邊的水晶頭換一下,這樣這個(gè)問(wèn)題就解決了,拜拜。