下載地址:
http://swupdate.openvpn.org/community/releases/
http://www.oberhumer.com/opensource/lzo/download/lzo-2.09.tar.gz
http://swupdate.openvpn.org/community/releases/easy-rsa-2.2.0_master.tar.gz
http://swupdate.openvpn.org/community/releases/openvpn-2.3.12.tar.gz
http://swupdate.openvpn.org/community/releases/openvpn-install-2.3.12-I602-x86_64.exe
開始安裝
yum install gcc openssl openssl-devel pam-devel.x86_64 easy-rsa
tar xf lzo-2.09.tar.gz && cd lzo-2.09 && ./configure && make && make install
echo "/usr/local/lib" >> /etc/ld.so.conf
ldconfig
tar xf openvpn-2.3.12.tar.gz
mv openvpn-2.3.12 /usr/local/openvpn
cd /usr/local/openvpn && ./configure && make && make install
(
如果yum沒有easy-rsa,兩種解決方式
1、安裝一個新的epel
2、使用tar.gz
)
cp -ra /usr/share/easy-rsa /usr/local/openvpn/
cd /usr/local/openvpn/easy-rsa/2.0/
vim vars #根據實際情況修改為自己的,主要是創建證書的時候是交互式操作,免得後續老是提示輸入這些信息,創建完這個就直接回車即可,主要修改如下內容:
export KEY_COUNTRY="CN"
export KEY_PROVINCE="GuangDong"
export KEY_CITY="ShenZhen"
export KEY_ORG="HuiPa"
export KEY_EMAIL="[email protected]"
export KEY_OU="HuiPa"
export KEY_NAME="HP.OPENVPN"
export PKCS11_MODULE_PATH="trasin"
export PKCS11_PIN="1234"
source ./vars #讓修改的變量生效
./clean-all
創建根證書ca.crt和根密鑰ca.key #一直回車
./build-ca
生產服務器證書和私鑰 #一直回車,最後兩步輸入y
./build-key-server server
./build-dh #創建Diffie-Hellman,在keys目錄下會生成dh2048.pem文件,時間會比較長
生成 HMAC firewall 驗證碼 #資料顯示,這是一種經加密的散列消息驗證碼,可以對信息數據的完整性和真實性進行同步檢查
/usr/local/sbin/openvpn --genkey --secret keys/ta.key
以上就是服務端證書密鑰,接下來就是創建客戶端證書和密鑰
無密碼方式,客戶端登陸的時候不會輸入密碼
./build-key trasin
有密碼方式,客戶端登陸的時候會要求輸入這個時候設置的密碼
./build-key-pass trasin
接下來可以看到keys目錄下生成了很多文件
-rw-r--r-- 1 root root 5492 Dec 23 15:59 01.pem
-rw-r--r-- 1 root root 5376 Dec 23 15:59 02.pem
-rw-r--r-- 1 root root 1732 Dec 23 15:55 ca.crt
-rw------- 1 root root 1704 Dec 23 15:55 ca.key
-rw-r--r-- 1 root root 424 Dec 23 16:00 dh2048.pem
-rw-r--r-- 1 root root 401 Dec 23 16:02 index.txt
-rw-r--r-- 1 root root 21 Dec 23 16:02 index.txt.attr
-rw-r--r-- 1 root root 21 Dec 23 16:02 index.txt.attr.old
-rw-r--r-- 1 root root 269 Dec 23 16:02 index.txt.old
-rw-r--r-- 1 root root 3 Dec 23 16:02 serial
-rw-r--r-- 1 root root 3 Dec 23 16:01 serial.old
-rw-r--r-- 1 root root 5492 Dec 23 15:59 server.crt
-rw-r--r-- 1 root root 1115 Dec 23 15:59 server.csr
-rw------- 1 root root 1704 Dec 23 15:59 server.key
-rw------- 1 root root 636 Dec 23 15:59 ta.key
-rw-r--r-- 1 root root 5369 Dec 23 16:02 trasin.crt
-rw-r--r-- 1 root root 1115 Dec 23 16:02 trasin.csr
-rw------- 1 root root 1834 Dec 23 16:02 trasi.key
ca.crt #./build-ca 這個腳本生成的
ca.key #./build-ca 這個腳本生成的
server.crt #./build-key-server server 生成的
server.csr #./build-key-server server 生成的
server.key #./build-key-server server 生成的
trasin.crt #./build-key vpnuser 生成的
trasin.csr #./build-key vpnuser 生成的
trasin.key #./build-key vpnuser 生成的
dh2048.pem #./build-dh生成的
ta.key #openvpn可執行文件生成的
接下來配置服務端
mkdir /etc/openvpn
cd /etc/openvpn
ln -s /usr/local/openvpn/easy-rsa/2.0/keys ./
cp /usr/local/openvpn/sample/sample-config-files/server.conf /etc/openvpn/temp.server.conf
cd /etc/openvpn/
grep '^[^#;]' temp.server.conf > server.conf
修改server.conf內容
local server_ipaddr #指定偵聽請求的IP ,openvpn服務器本機IP
port 1194 #端口
proto udp #指定協議,(聽說tcp很慢,還沒有試驗)
dev tun #IP層的點對點協議
ca keys/ca.crt #前面生成的ca證書,驗證客戶是證書是否合法
cert keys/server.crt
key keys/server.key # This file should be kept secret #指定客戶端獲取的IP
dh keys/dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp" #指定客戶端網關
push "dhcp-option DNS 114.114.114.114" #DNS
push "dhcp-option DNS 8.8.8.8" #DNS
keepalive 10 120 #存活時間,10秒ping一次,120秒如未收到響應則視為斷線
tls-auth keys/ta.key 0
comp-lzo #數據進行壓縮,注意Server和Client一致
max-clients 100 #最多允許100個客戶端
persist-key #通過keepalive檢測超時後,當重新啟動VPN後,不重新讀取私鑰,保留第一次使用的私鑰
persist-tun #通過keepalive檢測超時後,當重新啟動VPN後,一直保持tun設備是連接的,否則網絡連接會先斷開再連接
status openvpn-status.log
log openvpn.log #日志文件
verb 3
開啟系統NAT轉發
vim /etc/sysctl.conf
net.ipv4.ip_forward = 0 改為 1
sysctl -p
或者
echo 1 >/proc/sys/net/ipv4/ip_forward
sysctl -p
配置iptables
iptables -A INPUT -p udp --dport 1194 -j ACCEPT #根據你的情況來選擇開放UDP還是TCP
iptables -A FORWARD -s 192.168.0.0/24 -o em1 -j ACCEPT
iptables -A FORWARD -d 192.168.0.0/24 -i em1 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o em1 -j MASQUERADE
添加路由
route add -net 10.8.0.0 netmask 255.255.255.0 dev em1
啟動openvpn服務端
/usr/local/sbin/openvpn --daemon --config /etc/openvpn/server.conf
安裝客戶端
openvpn-install-2.3.12-I602-x86_64.exe
安裝完成以後
下載ca.crt ta.key trasin.crt trasin.key
再復制
C:\Program Files\OpenVPN\sample-config\client.ovpn到C:\Program Files\OpenVPN\config
修改客戶端配置文件
client
dev tun
proto tcp
remote server_ipaddr 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert trasin.crt
key trasin.key
remote-cert-tls server
tls-auth ta.key 1
comp-lzo
verb 3
管理員運行openvpn客戶端,到此openvpn配置完成
如果要創建多個用戶,重復./build-key-pass username,然後把ca.crt ta.key username.crt username.key證書和密鑰給指定用戶既可以
如果遇到連上vpn,但是上不了網,檢查iptables配置,server.conf配置等信息
目前遇到一個問題(連上vpn以後,無法通過ssh登陸server,其他網絡是正常的),暫時還沒有解決,留著後面有空再找原因
參考文檔:
http://www.cnblogs.com/fjping0606/p/6042758.html
特別感謝!
http://xxxxxx/Linuxjc/1182080.html TechArticle