(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111591393.4 (22)申请日 2021.12.23 (71)申请人 上海甄云信息科技有限公司 地址 201706 上海市青浦区香 花桥街道郏 一村7号3幢1层A区046室 (72)发明人 刘隆剑　蔡迎港　欧志伟　吴坚　 (74)专利代理 机构 北京知呱 呱知识产权代理有 限公司 1 1577 代理人 郑兴旺 (51)Int.Cl. H04L 12/46(2006.01) H04L 9/40(2022.01) (54)发明名称 一种基于WireGuard和 OpenVPN的多网络单 入口VPN系统 (57)摘要 本发明公开了一种基于WireGuard和 OpenVPN的多网络单入口VPN系统， 所述系统为： 用户通过OpenVPN进行单入口接入， 通过 Wireguard在网络的第三层创建隧道打通不同网 络， 用户流量由OpenVPN的tun0网络接口通过SSL 安全隧道传递到VPN网关， 通过nftables进行数 据包过滤并转发到Wireguard的网络接口， 通过 隧道发送数据给目的网络， 并通过轻型目录访问 协议LDAP协议对企业量级的用户进行认证和访 问权限控制。 本发明解决了 现有用户远程接入内 网无法对访问权限进行控制、 无法适配 混合云网 络环境、 难以保证企业内网数据安全的问题。 权利要求书2页 说明书6页 附图2页 CN 114285697 A 2022.04.05 CN 114285697 A 1.一种基于W ireGuard和OpenVPN的多网络单入口VPN系统， 其特 征在于， 所述系统为： 用户通过OpenVPN进行单入口接入， 通过Wireguard在网络的第三层创建隧道打通不同 网络， 用户流量由OpenVPN的tun0网络接口通过SSL安全隧道传递到VPN网关， 通过nftables 进行数据包过滤并转发到Wireguard的网络接口， 通过隧道发送数据给目的网络， 并通过轻 型目录访问协议 LDAP协议对企业 量级的用户进行认证和访问权限控制。 2.如权利要求1所述的一种基于WireGuard和Op enVPN的多网络单入口VPN系统， 其特征 在于， 所述系统具体工作过程 为： 对WireGuard服务端进行节点配置， 配置完成后新增WireGuard客户端或中继服务器节 点配置， 对OpenVPN服务端以及OpenVPN客户端进行配置， VPN网关通过Nftables进行管理和 监控访问事 件流。 3.如权利要求2所述的一种基于WireGuard和Op enVPN的多网络单入口VPN系统， 其特征 在于， 所述 WireGuard服 务端进行节点配置的过程 为： 关闭Firewal lD， 尝试对Firewal lD进行关闭， 如果无法关闭则进行强制杀掉关闭； 服务端开启IP转发， 安全组开放端口， 入规则的51820/UDP协议的端口打开， 用作 WireGuard客户端与之通信， 入规则的1194/UDP协议的端口打开， 用作OpenVPN客户端与之 通信； 配置WireGuard服务端， 在WireGuard目录生成服务器私钥privatekey和公钥 publickey， 编写服 务端配置文件； WireGuard服务操作命令， 运行后查看连接状态， 设置开机自启， 每次加完VPC中继器后 运行下一个并且手动添加到新VPC的静态路由。 4.如权利要求2所述的一种基于WireGuard和Op enVPN的多网络单入口VPN系统， 其特征 在于， 所述新增WireGu ard客户端或中继服务器节点配置中， 客户端为WireGu ard的中继服 务器， 在中继服务器启动WireGuard的命令与服务端相同， 当WireGuard中继服务器服务产 生后， transfer流 量进行接受和发送， 客户端与服 务端连通。 5.如权利要求2所述的一种基于WireGuard和Op enVPN的多网络单入口VPN系统， 其特征 在于， 所述OpenVPN 服务端进行配置过程 为： 进行依赖包的安装， 下载源码编译安装OpenVPN， 安装完成后证书生成， 放入opt目录； 对所需证书进行初始化， 生成客户端证书， 对服务端进行配置， 配置完成后进行OpenVPN服 务常用操作， 包括重启openvpn 服务、 停止openvpn 服务、 安全查看日志。 6.如权利要求5所述的一种基于WireGuard和Op enVPN的多网络单入口VPN系统， 其特征 在于， 所述下载源码编译安装OpenVPN过程中， 将源码tar包 下载到/etc/目录下并解压编译 安装， 修改名称后进 行解压， 重命名解压后的文件夹并进入文件夹， 检测安装平台的目标特 征， 编译安装后创建软连接， 若解压后的openvpn文件夹不在/etc/目录下， 则迁移至此目 录， 修改配置文件， 设置开机自启动， 将证书配置文件拷贝到/etc/openvpn/serv er中， 启动 步骤在证书都准备完成的情况 下运行。 7.如权利要求5所述的一种基于WireGuard和Op enVPN的多网络单入口VPN系统， 其特征 在于， 所述证书进行初始化时， 在当前目录创建PKI目录， 用于存储中间变量及最终生成的 证书， 输入PEM密码和通用名， 生成服务端证书， 为服务端生成证书并在本地签名， 创建 Diffie‑Hellman， 确保key穿越不安全网络的命令， 为客户端生成证书并在本地签名， 提高权　利　要　求　书 1/2 页 2 CN 114285697 A 2安全性生成ta.key， 如果配置文件中启用此项， 就执行openvpn ‑‑genkey secret ta.key命 令， 并把ta.key放到 /etc/openvpn/server目录， 最终整理服 务端证书。 8.如权利要求2所述的一种基于WireGuard和Op enVPN的多网络单入口VPN系统， 其特征 在于， 所述OpenVPN 客户端进行配置过程中， 客户端包括： L inux、 Windows、 Mac， 当客户端为Linux， 客户端的OpenVPN安装基本上和服务端一致， 遇到server的地方需 要改成client， 安装成功后， 客户端不需要 特别配置， 只要将服务器上生 成的证书和客户端 配置文件拷贝到客户端配置目录中； 当客户端为 Windows， 安装OpenVPN 客户端即可； 当客户端为Mac， 安装 任意VPN软件即可。 9.如权利要求2所述的一种基于WireGuard和Op enVPN的多网络单入口VPN系统， 其特征 在于， 所述VPN网关通过Nftables维护iptables基本的规则， 将此iptables规则全部转换为 nftables规则， 通过翻译工具将ubantu翻译成nftables规则， 得到nft命令,在关掉 iptables以及iptables的nat后进入n ftables的交互模式执行， 关闭iptables服务和卸载 iptables的相关nat模块， 运行nft命令生成对应的nft规则。 10.如权利要求9所述的一种基于WireGuard和OpenVPN的多网络单入口VPN系统， 其特 征在于， 所述关闭iptables服务和卸载iptables的相关nat模块过程中， 只有先关闭 iptables的nat模块， 流 量才能流经nft的na。权　利　要　求　书 2/2 页 3 CN 114285697 A 3