突破网络限制:OpenVPN与锐捷路由器的“破冰之旅”
马上就放年假了,远程访问公司内网资源的需求,被紧急提上了日程。
客户的需求,必然是我的职责所在,由于时间紧迫,我就直接借助之前在云服务器上部署的OpenVPN服务端来搭建的远程连接通道。今天,就和大家分享一段我在利用OpenVPN与锐捷路由器搭建远程访问环境时,从困境到突破的曲折历程。
搭建基础环境
半年前就在云服务器上部署了OpenVPN服务端,以前发布过文章,此文就不再赘述了,需要的朋友,可以翻看我的历史文章。
由于客户的锐捷路由器上仅接入了普通宽带,并且没有公网IP,为了实现笔记本电脑能访问内网服务器,便在路由器上部署了OpenVPN客户端,步骤如下:
1、在openvpn服务端创建账号:
账号文件是/etc/openvpn/psw-file,在文件末尾添加账号和密码就可以;
2、为锐捷路由器指定openvpn的客户端IP:
客户名称都在/etc/openvpn/ccd/目录里,此处新建一个客户文件,名称与/etc/openvpn/psw-file里面刚才添加的保持一致,文件内容只有两行:
指定IP地址
ifconfig-push 10.8.0.59 255.255.255.0
声明路由
iroute 192.168.1.0 255.255.255.0
3、推送路由
编辑/etc/openvpn/server.conf,添加一行:
push "route 192.168.1.0 255.255.255.0"
注意,192.168.1.0是锐捷路由器的内网网段。
4、在锐捷路由器上配置openvpn客户端
通过诺客云远程登录锐捷路由器,点设备管理,进入VPN管理,选择openvpn,开启openvpn,选择“客户端”,输入服务端设置好的账号和密码,填写服务器公网IP和端口号。
这里有个点, 比较特殊,锐捷路由器上的openvpn配置较为简单,加密算法也比较少,服务端配置了AES-256-GCM,但是路由器并不支持,但是,根据日志提示,实际上选择AES-128-CBC也能验证通过。
客户的笔记本电脑,同样也需要在服务端创建一个账号,然后安装了OpenVPN客户端,很顺利地连接上了。一切看似准备就绪,然而,问题却接踵而至。
访问困境初现
当尝试从笔记本电脑通过OpenVPN连接访问锐捷路由器内网时,却遭遇了无法访问的尴尬局面。此时,笔记本电脑可以ping通OpenVPN服务器,也能利用锐捷路由器获取到的OpenVpn客户端IP远程登录到路由器,却无法进一步访问路由器所连接的内网资源。
仅能远程登录锐捷路由器是没有实际用途的,毕竟客户不需要自己维护网络设备,而是要通过OpenVPN实现如同在公司内部网络一样便捷访问内网文件、服务器等资源的计划受阻。面对这一困境,我们开始积极寻找解决方案。
静态路由的探索与挫败
最初,我们考虑通过设置静态路由来打通笔记本电脑与锐捷路由器内网之间的通路。
在锐捷路由器的WEB页面进行静态路由设置时,却发现一个棘手的问题。在选择出接口时,仅有“WAN”和“VLAN”两个选项。无论选择哪一个,最终提交设置后,页面都无情地显示“路由不可达”。
我们反复检查设置的参数,确认目的地址、子网掩码等信息无误,但结果依旧如此。
看来,只能以命令行方式来配置路由器了,这样才可以避免出接口的选择。
可是,翻遍了菜单,也没有找到SSH的配置,那就无法以命令行方式来配置路由器,客户已经放假,带着Console线进入客户机房,显然不合适,虽然客户很信任我们,我们手里也有客户的所有门禁权限,但是本着能远程决不上门的原则,我得继续寻找方法。
柳暗花明的突破
在经历一番绞尽脑汁的折腾后,转机终于出现。又一次翻遍WEB菜单时,我看到了访问控制页面,也许,创建一个规则,允许OpenVpn网段访问锐捷路由器上内网网段,就好了呢?
说干就干,迅速在路由器的访问控制设置中,添加规则允许OpenVPN的地址段访问内网网段。当完成这一设置并保存后,再次从笔记本电脑尝试访问,成功的喜悦瞬间涌上心头,原本无法访问的内网资源如今已能轻松浏览。
这次曲折的OpenVpn网络搭建经历,让我们深刻认识到网络配置的复杂性和细节的重要性。在处理网络问题时,不能仅仅关注常规的路由设置、连接配置等方面,访问控制这一容易被忽视的环节,往往可能成为决定网络能否正常通信的关键因素。
同时,也提醒我们在遇到问题时,要保持耐心,通过多渠道获取信息,不断尝试和分析,就像在黑暗中不断摸索,终能找到那一丝照亮前行道路的曙光。希望我们的这段经历能为正在搭建类似网络环境的朋友提供借鉴,少走弯路,让远程办公更加顺畅高效。
热门跟贴