如何在 Windows Server 上设置 OpenVPN,以允许客户端针对 Active Directory 进行身份验证并访问 LAN

tag-icon tag-icon networking vpn routing openvpn
如何在 Windows Server 上设置 OpenVPN,以允许客户端针对 Active Directory 进行身份验证并访问 LAN

我已经设置了 OpenVPN,并且我的测试客户端能够 ping 通 OpenVPN 服务器,反之亦然。

但是,我无法连接(或 ping)本地网络上的任何其他设备。

最终,我希望加入域的 VPN 客户端能够登录并针对 AD 进行身份验证,以及访问打印机、文件共享等(实际上的行为方式与物理上位于 LAN 上的计算机相同)。

我的基本设置如下:

OpenVPN 客户端配置:

client
dev tun
proto udp
remote xxx.xxx.xxx.xxx 1197
resolv-retry infinite
nobind
persist-key
persist-tun
ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\config\\client01.crt"
key "C:\\Program Files\\OpenVPN\\config\\client01.key"
remote-cert-tls server
route-nopull
route 192.168.88.0 255.255.255.0 vpn_gateway
route 10.8.0.1 255.255.255.255 vpn_gateway
tls-auth "C:\\Program Files\\OpenVPN\\config\\tls-auth.key" 1
cipher AES-256-CBC
verb 3

OpenVPN 服务器配置

port 1197
proto udp
dev tun
ca "C:\\Program Files\\OpenVPN\\easy-rsa\\pki\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\easy-rsa\\pki\\issued\\server02.crt"
key "C:\\Program Files\\OpenVPN\\easy-rsa\\pki\\private\\server02.key"
dh "C:\\Program Files\\OpenVPN\\easy-rsa\\pki\\dh.pem"
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
tls-auth "C:\\Program Files\\OpenVPN\\easy-rsa\\pki\\easytls\\tls-auth.key" 0 
cipher AES-256-CBC
persist-key
persist-tun
status openvpn-status.log
verb 3
explicit-exit-notify 1

我们的外部 IP 在上面被隐藏了,但是进行了适当的设置。

我们的路由器/网关设置为将端口上的所有流量转发1197到 OpenVPN 服务器 LAN IP(192.168.88.14)。

OpenVPN 服务器提供该范围内的地址10.8.0.x(尽管我在配置文件中看不到该地址的设置位置)。

我的本地 LAN 范围是192.168.88.x

我的 OpenVPN 服务器 (Windows Server 2022) 的 LAN IP 为192.168.88.14,OpenVPN IP 为10.8.0.1这是在 HyperV 上运行的虚拟机。它分配有一个 NIC,其中包含内部 LAN IP,以及 OpenVPN 服务器安装的任何 NIC。

客户端将是 Windows 10/11,并且将是从家连接到办公室的远程用户。

当测试客户端连接时,它可以 ping 通10.8.0.1,我可以访问\\10.8.0.1\share,但我无法访问\\192.168.88.14\share或 ping192.168.88.14通任何其他 LAN IP。

从 OpenVPN 服务器,我可以 ping 通10.8.0.6(给予客户端的 IP),但无法从任何其他 LAN PC ping 通客户端。

思考我已经设置了从路由器/网关到10.8.0.0/24OpenVPN 服务器的路由,192.168.88.14但我不确定这是否正确。我在 Mikrotik 路由器上使用 WinBox GUI 完成了此操作,如下所示:

AS > (Dst. Address 10.8.0.0/24) (Gateway 192.168.88.14 reachable bridge) (Distance 1) (Routing Mark <blank>) (Pref. Source <blank>)

我已经这样做了几个星期,但仍然无法让它发挥作用。

相关内容