企業信息化不等于各類軟硬件的堆砌,企業信息化建設的核心是企業領導者們重視信息收集、重視信息管理、重視信息使用。
"人精錢少有限公司"發展數年,企業已初具規模,高層領導們意識到了信息化的重要性,奈何錢太少,但有幸人精明,開源技術用起來,花小錢辦大事。
前幾篇文章我們部署好了OA系統,并開啟了https訪問。"人精錢少有限公司"是一個跨城公司,全國很多地方分布著辦公人員,目前員工都是通過互聯網訪問公司OA,安全風險依然存在。
今天就來加一層安全防護罩-VPN。
一,技術選型
1. 企業VPN構建平臺:WireGuard
【選擇理由】WireGuard 是一種極其簡單但快速且現代的 VPN,它利用了最先進的加密技術。它的目標是比 IPsec 更快、更簡單、更精簡和更有用,同時避免令人頭疼的問題。旨在提供比 OpenVPN 更高的性能。WireGuard 被設計為在嵌入式接口和超級計算機等上運行的通用 VPN,適用于許多不同的環境。最初僅支持 Linux 平臺,現在可以進行跨平臺(Windows、macOS、BSD、iOS、Android)的廣泛部署。目前仍然在大力開發中,但已經被認為是業內最安全、最容易使用和最簡單的 VPN 解決方案。
WireGuard 是由Jason Donenfeld等人用C語言編寫的一個開源三層網絡隧道工具,被視為下一代 VPN 協議,從 2020 年 1 月開始,它已經并入了 Linux 內核的 5.6 版本,被Linux之父稱其為藝術品。
2. VPN可視化管理平臺:WireGuard-UI
【選擇理由】WireGuard-UI 是一個開源的 Web 可視化管理工具,用于簡化 WireGuard VPN 的配置和管理。它通過直觀的圖形界面,幫助用戶快速創建、管理和分發 WireGuard 配置文件。
二,詳細步驟
本次實踐依然選擇Rockylinux9.5操作環境
(一). 安裝和配置WireGuard
1.安裝 WireGuard
sudo dnf install epel-release -y
sudo dnf install wireguard-tools -y
2.配置 WireGuard
(1). 創建配置文件目錄
sudo mkdir -p /etc/wireguard
(2). 生成密鑰對
wg genkey | sudo tee /etc/wireguard/server_private.key | wg pubkey | sudo tee /etc/wireguard/server_public.key
sudo chmod 600 /etc/wireguard/server_private.key /etc/wireguard/server_public.key
(3). 創建 WireGuard 配置文件wg0.conf
sudo vi /etc/wireguard/wg0.conf
添加以下內容:
[Interface]
PrivateKey = <server_private_key>
Address = 10.255.255.1/24
ListenPort = 51820
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o enp0s3 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o enp0s3 -j MASQUERADE
注意:
替換 <server_private_key> 為 /etc/wireguard/server_private.key 文件中的內容;
替換PostUp和PostDown中的enp0s3為自己服務器的真實網絡連接
(4). 啟用 IP 轉發
echo "net.ipv4.ip_forward = 1" | sudo tee -a /etc/sysctl.conf
sudo sysctl -p
(5). 啟動 WireGuard
sudo systemctl enable wg-quick@wg0
sudo systemctl start wg-quick@wg0
(二). 安裝和配置WireGuard-UI
1.安裝 WireGuard-UI
sudo mkdir -p /opt/wireguard-ui
cd /opt/wireguard-ui
sudo curl -L -o wireguard-ui.tar.gz https://github.com/ngoduykhanh/wireguard-ui/releases/download/v0.6.2/wireguard-ui-v0.6.2-linux-amd64.tar.gz
sudo tar -xzf wireguard-ui.tar.gz
sudo rm wireguard-ui.tar.gz
2.部署 WireGuard-UI
(1). 創建配置文件
sudo vi /opt/wireguard-ui/config.ini
添加以下內容
[wireguard]
conf = /etc/wireguard/wg0.conf
[webui]
listen = :5000
username = admin
password = admin
(2). 修改 WireGuard 配置文件權限,允許 WireGuard-UI 訪問
sudo chmod 755 /etc/wireguard
sudo chmod 644 /etc/wireguard/wg0.conf
(1). 創建 systemd 服務文件
sudo vi /etc/systemd/system/wireguard-ui.service
添加以下內容
[Unit]
Description=WireGuard-UI
After=network.target
[Service]
ExecStart=/opt/wireguard-ui/wireguard-ui
Restart=always
User=root
[Install]
WantedBy=multi-user.target
(2). 啟動wireguard-ui服務
sudo systemctl enable wireguard-ui
sudo systemctl start wireguard-ui
(三). 配置服務器防火墻和公網IP端口映射
sudo firewall-cmd --permanent --add-port=51820/udp
sudo firewall-cmd --permanent --add-port=5000/tcp
sudo firewall-cmd --reload
登錄防火墻管理界面,添加以下規則:
- 允許 UDP 51820 端口入站到VPN服務器內網IP
- 允許 TCP 5000 端口入站到VPN服務器內網IP
- 配置NAT規則將公網IP 的51820/udp和5000/tcp映射到VPN服務器內網IP
(四). 配置WireGuard-UI客戶端
http://VPN服務器IP:5000
使用 admin/admin 登錄
Name: Client1
AllowedIPs: 10.255.255.0/24 (限定訪問虛擬子網)
客戶端配置文件創建完畢后,點擊“Apply Config”,將配置信息更新到服務器的配置文件中
在“WireGuard Clients”中選需要的客戶端配置文件導出。
注意:
當VPN服務器配置文件有變更時,一定要重啟WireGuard服務器,命令如下:
sudo systemctl restart wg-quick@wg0
(五). 登錄客戶端及驗證(以Windows為例)
https://www.wireguard.com/install/
下載不了的,請在本文后留言,提供安裝包
4.驗證連接
ping 10.255.255.1
如有網絡響應,說明vpn搭建成功!
閱讀原文:原文鏈接
該文章在 2025/3/24 17:07:18 編輯過
400 186 1886
