Loading... #### 环境准备 ```bash yum -y install epel-release #安装EPEL源 yum install easy-rsa openssh-server lzo openssl openssl-devel openvpn NetworkManager-openvpn openvpn-auth-ldap #安装OpenVPN和组件 ``` #### 配置OpenVPN ```bash cp /usr/share/doc/openvpn-*/sample/sample-config-files/server.conf /etc/openvpn #复制openvpn配置文件到主目录 #默认配置文件修改内容太多,修改配置麻烦,我们先备份一下默认配置文件,然后新建一个配置文件 cd /etc/openvpn mv server.conf server.conf.bak vim server.conf ``` #### 配置文件参考及解释、 ```bash port 1194 #Openvpn 服务器监听端口 proto tcp #设置用TCP还是UDP协议。使用udp一般不会有DoS攻击,而且能能防止端口被扫描,能保证更安全。 dev tun #推荐tun #定义openvpn运行时使用哪一种模式,openvpn有两种运行模式一种是tap模式,一种是tun模式。 #tap模式也就是桥接模式,通过软件在系统中模拟出一个tap设备,该设备是一个二层设备,同时支持链路层协议。 #tun模式也就是路由模式,通过软件在系统中模拟出一个tun路由,tun是ip层的点对点协议。 #具体使用哪一种模式,需要根据自己的业务进行定义。 ca ca.crt #定义openvpn使用的CA证书文件,该文件通过build-ca命令生成,CA证书主要用于验证客户证书的合法性。 cert server.crt #定义openvpn服务器端使用的证书文件。 key server.key #定义openvpn服务器端使用的秘钥文件,该文件必须严格控制其安全性。 dh dh2048.pem #指定 Diffie hellman parameters(密钥交换算法协议) server 10.8.0.0 255.255.255.0 #配置 VPN 使用的网段,OpenVPN 会自动提供基于该网段的 DHCP 服务,但不能和任何一方的局域网段重复,保证唯一 。server 端 ip 默认会设为10.8.0.1的地址。 ifconfig-pool-persist ipp.txt #维持一个客户端和 virtual IP 的对应表,以方便客户端重新连接可以获得同样的 IP push "redirect-gateway def1 bypass-dhcp" #重定向客户端的网关到openvpn服务器 push "route 192.168.0.0 255.255.255.0" #向客户端推送的路由信息,假如客户端的IP地址为10.8.0.2,要访问192.168.1.0网段的话,使用这条命令就可以了。可以添加多条路由 push "dhcp-option DNS 192.168.0.7" #向客户端推送的DNS信息 push "dhcp-option DNS 192.168.0.8" #向客户端推送的DNS信息 cipher AES-256-CBC #选择一种连接加密算法,Server端和Client端必须一样 user nobody group nobody #定义openvpn运行时使用的用户及用户组,建议加上这两条配置更安全 client-to-client #这条命令可以使客户端之间能相互访问,默认设置下客户端间是不能相互访问的 duplicate-cn #定义openvpn一个证书在同一时刻是否允许多个客户端接入,默认没有启用。 keepalive 10 120 #设置服务端检测的间隔和超时时间 每 10 秒 ping 一次,如果 120 秒没有回应则认为对方已经 down comp-lzo #启用允许数据压缩,客户端配置文件也需要有这项 persist-key #通过keepalive检测超时后,重新启动VPN,不重新读取keys,保留第一次使用的keys。 persist-tun #通过keepalive检测超时后,重新启动VPN,一直保持tun或者tap设备是linkup的。否则网络连接,会先linkdown然后再linkup。 status openvpn-status.log #把openvpn的一些状态信息写到文件中,比如客户端获得的IP地址。 log-append openvpn.log #记录日志,每次重新启动openvpn后追加原有的log信息。 verb 3 #设置日志要记录的级别。 #0 只记录错误信息。 #4 能记录普通的信息。 #5 和 6 在连接出现问题时能帮助调试 #9 是极端的,所有信息都会显示,甚至连包头等信息都显示(像tcpdump) mute 20 #相同信息的数量,如果连续出现 20 条相同的信息,将不记录到日志中。 ``` ##### 使用easy-rsa生成证书及密钥 ```bash cp -R /usr/share/easy-rsa/ /etc/openvpn vim /etc/openvpn/easy-rsa/2.0/vars #自定义内容,可以不更改直接使用 export KEY_COUNTRY="CN" #所属国家 export KEY_PROVINCE="SC" #所属省份 export KEY_CITY="CD" #所属城市 export KEY_ORG="aierpf.cn" #所属组织 export KEY_EMAIL="wusc@wscon.cn" #管理员邮箱地址 export KEY_OU="Aierpf" #所属机构 cd /etc/openvpn/easy-rsa/2.0 #进入证书目录 source ./vars #使vars文件生效 ./clean-all #清除之前生成的所有证书。注:如果执行./clean-all 就会清空/etc/openvpn/easy-rsa/2.0/keys/下所有文件 ``` ##### 服务端证书 ```bash cd /etc/openvpn/easy-rsa/2.0 #进入证书目录 ./build-ca #生成服务端ca证书 #生成过程中部分需要手动输入:(如果有要求输入而下面没有的话可以直接回车) #Organizational Unit Name (eg, section) [changeme]:master #Common Name (eg, your name or your server's hostname) [changeme]:server //生成证书的名字, ./build-key-server server #生成服务器端秘钥key,后面的server是服务器名,自定义 #注:缺省配置一路回车,最后面两个选项一定要选择“y”,否则生成的是空证书 ``` ##### 客户端证书 ```bash ./build-key client #生成客户端key ,后面的client是客户端名,可自定义 #这里和生成服务端key时的操作相似,只是有一点不同, #Common Name (eg, your name or your server's hostname) [client]:client 这里生成的客户端证书,不同的client必须有不同的证书,即名字不同 ``` ##### 生成Differ Hellman参数 ,DH验证文件 ```bash ./build-dh #注:生成diffie hellman参数用于增强openvpn安全性生成需要漫长等待,可以去休息一会儿 cp /etc/openvpn/easy-rsa/2.0/keys/dh2048.pem ca.crt server.crt server.key /etc/openvpn/ #复制证书文件到openvpn根目录,也可以在server.conf里面指定相关文件的绝对路径 ``` ##### 防火墙配置和开启路由转发功能 ```bash firewall-cmd --permanent --add-port=1194/tcp #添加openvpn端口 firewall-cmd --permanent --add-masquerade #开启转发 firewall-cmd --reload #动态重启防火墙 echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf #添加net.ipv4.ip_forward = 1到/etc/sysctl.conf文件最后一行,如果已存在,修改或者无视 sysctl -p #使修改立即生效 ``` #### 启动并设置开启自动启动openvpn服务 ```bash systemctl start openvpn@server systemctl enable openvpn@server ``` #### Windows客户顿设置 1. 将服务端生成的部分证书放在客户端vpn安装路径下的config文件夹中,可以用过winscp这个软件进行拷贝,需要拷贝的证书:ca.crt、client.crt、client.key ,文件位于服务器的/etc/openvpn/easy-rsa/2.0/keys中 2. 在客户端vpn安装路径下找到sample-config文件夹,在文件夹中找到client.ovpn文件,将其复制到上层目录中的config文件夹中 3. 修改config文件夹中的client.ovpn文件,以记事本的方式打开 ```bash client #定义这是一个client,配置从server端pull拉取过来,如IP地址,路由信息之类,Server使用push指令推送过来。 dev tun #定义openvpn运行的模式,这个地方需要严格和Server端保持一致。 proto tcp #定义openvpn使用的协议,这个地方需要严格和Server端保持一致。 remote X.X.X.X 1194 #设置Server的IP地址和端口,这个地方需要严格和Server端保持一致。 resolv-retry infinite #始终重新解析Server的IP地址(如果remote后面跟的是域名),保证Server IP地址是动态的使用DDNS动态更新DNS后 #Client在自动重新连接时重新解析Server的IP地址。这样无需人为重新启动,即可重新接入VPN。 cipher AES-256-CBC #选择一种连接加密算法,Server端和Client端必须一样 nobind #定义在本机不邦定任何端口监听incoming数据。 persist-key persist-tun ca ca.crt #定义CA证书的文件名,用于验证Server CA证书合法性,该文件一定要与服务器端ca.crt是同一个文件。 cert client.crt #定义客户端的证书文件 key client.key #定义客户端的密钥文件。 comp-lzo #启用允许数据压缩,这个地方需要严格和Server端保持一致 verb 3 #设置日志要记录的级别。 ``` #### 启动客户端 1. 在开始中找到openvpn文件夹,点击openvpn gui,这是右下角会有一个锁的图形 2. 右击右下角锁的图形,选择connet,过一会我们会发现连上openvpn了,服务端给我们非配了一个之前设置的局域网的ip 3. 此时在网络连接中我们发现多出了一个本地连接TAP-Windows Adapter V9,此时是出于连接状态,右下角的那个锁状图形颜色会变成绿色 > PS:目前openvpn服务器已经搭建完成了,但是有个问题,只要有上述三个证书文件和服务器IP信息,任何人都可以连接服务器,为了安全考虑,我们可以采取用户认证的方式管理,详情见:[OpenVPN使用用户密码认证登录](https://www.wsczx.com/28.html) > PS:把证书整合到客户端配置文件并加密 ```bash vim client.ovpn 删除或者注释掉以下几行内容: 在这里我把它们注释掉: ca ca.crt 改为:#ca ca.crt cert client.crt 改为:#cert client.crt key client.key 改为:#key client.key tls-auth ta.key 1 改为:#tls-auth ta.key 1 在最后面添加以下内容: <ca> ca.crt文件内容 </ca> <cert> client.crt文件内容 </cert> <key> client.key文件内容 </key> key-direction 1 <tls-auth> ta.key文件内容 </tls-auth> ``` Last modification:August 1, 2020 © Allow specification reprint Support Appreciate the author AliPayWeChat Like 0 如果觉得我的文章对你有用,请随意赞赏