OpenVPN 隧道仅在本地网络上？

我有两个 IP 地址：10.200.0.5 和 10.200.0.6，我想通过 OpenVPN 隧道连接这两个地址（一个属于 Windows 7 PC，另一个属于 Fedora 笔记本电脑）。有没有办法只使用内部网络地址、网关地址和子网来实现这一点？IE： 和没有任何要求用于互联网地址或远程连接（如在我的本地网络远程连接之外）？

2018年3月5日：进一步重力的评论我需要解释一下我遇到的问题是偏僻的指令：即使在 Static Key Mini-HOWTO (https://openvpn.net/index.php/open-source/documentation/miscellaneous/78-static-key-mini-howto.html) 有这个要求，而这正是导致问题的原因，因为除非我可以在我的 Linux 机器或 Windows PC 上创建一个本地域供它解析，否则它就会失败。

由于我完全无法创建域并将其解析为本地域（即使使用有效的 BIND命名linux 机器上的服务），那么，从逻辑上讲，解决方案是坚持使用本地（网络）IP 地址；只有偏僻的指令不会接受这一点，因此，我提出这个问题。

2018年3月5日：如果论坛没有配置为用一些非常傲慢的语言阻止我的更新，我就会发布更新和最终的解决答复“喘口气”胡说八道。——需要三行代码，一个人发表评论，但评论毫无帮助，论坛阻止我尝试在帖子中添加更多材料，目的是让其他人更清楚地了解问题所在，这也是论坛本身鼓励和建议首先！！...都是因为没有其他人愿意帮我解决我在使用这个和 BIND 时遇到的最基本、最初级的问题。

...对于像我这样的人（显然有成千上万的人），他们需要以某种方式解决某个问题，并且同样愿意付出更多努力，只要有人愿意帮助他们解决最基本的难题，当他们已经尝试使用其他资源并且完全没有取得任何进展时（就像我一样，OpenVPN 完全没有详细说明他们的一些配置选项，这可能会造成几乎无法克服的问题，甚至连最基本的配置也无法工作）。

无论如何，无论如何，这对于需要仅使用网络地址连接两台机器的人来说，这是最终的（可行的）解决方案（没有域配置，绝对不远程网络或示例.com两台机器位于同一子网中（无需任何连接）。对于任何想要开始使用 OpenVPN 的人来说，这也是最简单的连接。

设置：

1 台 Windows 个人电脑（运行 Windows 7 Pro x64）

1 台 Fedora 27 服务器版笔记本电脑

两台机器通过同一 LAN 上的路由器连接，并能够相互通信（端口 1194 - 除非配置为其他端口）。出于安全考虑，我的设置使用 VLAN 分离和静态 IPv4，以便给我一个额外的 IP 地址；但也可以通过在没有 VLAN 的情况下添加到以太网适配器的独立静态 IPv4 地址来创建额外的 IP 地址。

• 两台机器上都安装了 OpenVPN，存储库版本为 (IE：不是从机器上的源代码构建的，而是通过下载的百胜）安装在Linux机器上

• 静态键在 Linux 机器上使用以下命令生成文件：openvpn --genkey --secret static.key

• 我的 Linux 机器上的上述文件位于：/etc/openvpn/服务器或 OpenVPN\配置Windows 机器上的子目录。

• 样本.ovpn[六] 存储在 ASCII 文本文件中（使用 Notepad / Notepad++ 作为编辑器，不是Microsoft Word！) 作为.ovpnOpenVPN 中的文件\配置Windows 计算机上的子目录，并作为配置文件归档/etc/openvpn/服务器在Linux机器上。

• OpenVPN GUI（开始按钮 - 屏幕左下方带有 Windows 徽标的圆形物体 - 所有程序 - OpenVPN）随后在 Windows 计算机上启动，从而在屏幕右下方的系统托盘中显示一个小图标（用户看到的屏幕）。.ovpn然后可以通过右键单击图标来选择配置文件，并且可以访问和编辑它，日志文件也是如此。

• vpn测试配置文件在 Linux 机器上使用 进行实例化openvpn vpntest.conf，在 Windows 机器上则如上所述。

一切顺利的话，两台机器之间就会建立一条隧道，并且可以在 Windows 机器上打开 CMD（命令行）实例，以便平Linux 机器。Linux 机器需要进一步配置，才能使 OpenVPN 在后台运行，然后才能平客户端，否则它将保留在前台；这实际上会导致机器无法用于除后台运行的服务之外的任何操作。

观察结果：

Windows 端的 OpenVPN 使用 TAP 适配器。无论您的配置是使用 TAP 还是 TUN，这都没有区别，并且不会妨碍此简单配置的运行。

他们俩是否配置我的路由器上没有配置 IP 地址，而且我完全没有必要重新配置路由器以允许使用它们。 - 它们与其他两个 10.200.0 地址（10.200.0.5 和 10.200.0.6）属于同一个 255.255.255.0 子网的一部分，因此 OpenVPN 可以通过 OpenVPN 适配器和 DHCP 使用它们。

配置文件的名称不遵循任何超出常识的强制性命名约定，.ovpnWindows 计算机上的文件扩展名，以及配置文件Linux 机器上的文件扩展名。

OpenVPN 是极其对它能在哪些子网上工作感到不满，甚至会拒绝在允许的子网上工作显示有效子网在子网内使用非连续地址也极有可能导致连接尝试失败。

提防防火墙和 SELinux。SELinux 可以被驯服，直到使用satanforce重新启动，抱歉，setenforce 允许，并在其在/etc/selinux中 配置文件文件。我的路由器上安装了防火墙和反欺骗保护，运行起来都没有问题，此外，Windows 机器上还安装了软件防火墙、远程 VPN 连接，以及偶尔与 Linux 机器建立的 SSh 连接；所有这些都可以很好地共存。

VLAN 配置可能涉及在路由器上进行初始配置后通过 Windows 上的默认网络适配器进行配置。Windows 7 不喜欢标记的 VLAN，因此可能需要未标记的 VLAN0。在最初创建标记的 VLAN1 后，很可能只能在网络适配器端添加未标记的 VLAN0。对于英特尔适配器也是如此，在路由器的 VLAN 配置后，Windows 将需要连接到路由器上的未标记端口。

在 Fedora 盒子上Fedora 管理员指南涵盖了 VLAN 创建。其中一部分内容有些含糊，但如果仔细遵循，最终结果确实有效，并且也适用于标记 VLAN。

样本.ovpn：

dev tun
remote 10.200.0.6
ifconfig 10.200.0.1 10.200.0.2
secret static.key
cipher AES-256-CBC
persist-tun
persist-key

vpn测试配置文件

dev tun
remote 10.200.0.5
ifconfig 10.200.0.2 10.200.0.1
user nobody
group nobody
secret static.key
cipher AES-256-CBC
persist-tun
persist-key

样本日志

Tue Mar 06 00:34:27 2018 disabling NCP mode (--ncp-disable) because not in P2MP client or server mode
Tue Mar 06 00:34:27 2018 OpenVPN 2.4.4 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Sep 26 2017
Tue Mar 06 00:34:27 2018 Windows version 6.1 (Windows 7) 64bit
Tue Mar 06 00:34:27 2018 library versions: OpenSSL 1.0.2l  25 May 2017, LZO 2.10
Enter Management Password:
Tue Mar 06 00:34:27 2018 open_tun
Tue Mar 06 00:34:27 2018 TAP-WIN32 device [Local Area Connection 6] opened: \\.\Global\{B1A13B50-22A1-48D4-980B-7105480DBA9B}.tap
Tue Mar 06 00:34:27 2018 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.200.0.1/255.255.255.252 on interface {B1A13B50-22A1-48D4-980B-7105480DBA9B} [DHCP-serv: 10.200.0.2, lease-time: 31536000]
Tue Mar 06 00:34:27 2018 Successful ARP Flush on interface [15] {B1A13B50-22A1-48D4-980B-7105480DBA9B}
Tue Mar 06 00:34:27 2018 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Tue Mar 06 00:34:27 2018 TCP/UDP: Preserving recently used remote address: [AF_INET]10.200.0.6:1194
Tue Mar 06 00:34:27 2018 UDP link local (bound): [AF_INET][undef]:1194
Tue Mar 06 00:34:27 2018 UDP link remote: [AF_INET]10.200.0.6:1194
Tue Mar 06 00:34:36 2018 Peer Connection Initiated with [AF_INET]10.200.0.6:1194
Tue Mar 06 00:34:41 2018 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Tue Mar 06 00:34:41 2018 Initialization Sequence Completed