1.背景说明为什么要让开发人员使用VPN软件连接公司内网？省钱公司内部部署/开发了一系列的平台，不可能都绑定公网IP对公司用户提供服务；安全保证内部平台被访问的可控制性、可监控性；安全自己开发或部署的开源平台安全性能不能满足，为了防止被攻击的开口过多，借助VPN软件将被攻击的大门关小一些；方便因为有一些交付运维人员，一般需要驻场开发运维，挂个vpn就能远程使用公司内网平台；为什么要做适用于混合云的VPN方案？业务拓展客户的系统和数据库等不可能都在一个云；开发运维测试人员需要远程支持不同云下的服务；为什么要启用LDAP和OpenVPN？管理信心业务初期，业务网络环境为单云时，便有了OpenVPN的成熟的管理和监控经验；省时补足wireguard用户管理的缺陷，暂时没时间基于wireguard开发关于用户模块VPN的秘钥和验证功能；管理省心虽然牺牲了用户的连接vpn速度，但是为了不造新轮子，决定套娃两种VPN，借助OpenVPN的LDAP支持功能；用户省心避免用户直接用wireguard接入内网(也难控制用户访问权)、避免因云的增多而导致用户端需要配置N个client.ovpn；最终采用的方案是Wireguard+OpenVPN+LDAP，VPN组网核心架构是中心辐射型网络拓扑结构：2.架构说明

必须准备的：

VPCA中开一台服务器，这台服务器需要绑定一个弹性公网IP，安全组入规则的端口需要开放udp和udp端口，前者提供给其他服务器连接wireguard用、后者提供给用户连接到混合云网络用；

其次是一到多个其他的VPC，注意，这些VPC之间的网段不要冲突了；

混合云项目网段/IP属性备注VPCA10.10.0.0/16华为云VPCAVPCA中的服务器10.10.xxx.xxx绑定了弹性公网IP的服务器OpenVPN服务端、Wireguard服务端VPCB..0.0/16华为云VPCBLDAP服务器(AD)这台在哪里关联不大，只要VPCA中安装OpenVPN的服务器可以访问通即可一台绑定了弹性公网IP的服务器作用是提供LDAP认证服务，就是管理用户账号的；这里其实是一台windowsserver，安装了AD域；VPCC.16.0.0/16腾讯云VPC3.wireguard服务端所有步骤防火墙操作firewalld直接禁用我们不使用他我们后期用iptables进行访问控制

systemctlstopfirewalldsystemctldisablefirewalldfirewall-cmd--state##如果关不上就杀掉:pkill-ffirewalld服务端开启ip转发

##开启转发vim/etc/sysctl.confnet.ipv4.ip_forward=1##应用修改sysctl-p开放端口

我们这里是云服务器，在web管理端的服务器的安全组：

入规则的/udp协议的端口打开，用作wireguard客户端与之通信；入规则的/udp协议的端口打开，用作OpenVPN客户端与之通信；

测试

可以找一台能联网的centos7测试一下这个端口，如果没有nc工具可以yuminstallnc安装下。:

nc-vuz安装wireguard(内核级别的)

摘自米开朗基杨[1]大佬的博客WireGuard教程：WireGuard的搭建使用与配置详解[2]

注意：此处关于非标准内核安装wireguard的有些难度，容易浪费时间，最好在网络畅通的情况下进行Ping的通百度再继续不解决系统的问题！

##标准内核yuminstallepel-release