环境准备
代码语言:javascript复制yum -y install epel-release #安装EPEL源
yum install easy-rsa openssh-server lzo openssl openssl-devel openvpn NetworkManager-openvpn openvpn-auth-ldap #安装OpenVPN和组件
配置OpenV**
代码语言:javascript复制cp /usr/share/doc/openvpn-*/sample/sample-config-files/server.conf /etc/openvpn #复制openvpn配置文件到主目录
#默认配置文件修改内容太多,修改配置麻烦,我们先备份一下默认配置文件,然后新建一个配置文件
cd /etc/openvpn
mv server.conf server.conf.bak
vim server.conf
配置文件参考及解释、
代码语言:javascript复制port 1194 #Openvpn 服务器监听端口
proto tcp #设置用TCP还是UDP协议。使用udp一般不会有DoS攻击,而且能能防止端口被扫描,能保证更安全。
dev tun #推荐tun
#定义openvpn运行时使用哪一种模式,openvpn有两种运行模式一种是tap模式,一种是tun模式。
#tap模式也就是桥接模式,通过软件在系统中模拟出一个tap设备,该设备是一个二层设备,同时支持链路层协议。
#tun模式也就是路由模式,通过软件在系统中模拟出一个tun路由,tun是ip层的点对点协议。
#具体使用哪一种模式,需要根据自己的业务进行定义。
ca ca.crt #定义openvpn使用的CA证书文件,该文件通过build-ca命令生成,CA证书主要用于验证客户证书的合法性。
cert server.crt #定义openvpn服务器端使用的证书文件。
key server.key #定义openvpn服务器端使用的秘钥文件,该文件必须严格控制其安全性。
dh dh2048.pem #指定 Diffie hellman parameters(密钥交换算法协议)
server 10.8.0.0 255.255.255.0 #配置 VPN 使用的网段,OpenVPN 会自动提供基于该网段的 DHCP 服务,但不能和任何一方的局域网段重复,保证唯一 。server 端 ip 默认会设为10.8.0.1的地址。
ifconfig-pool-persist ipp.txt #维持一个客户端和 virtual IP 的对应表,以方便客户端重新连接可以获得同样的 IP
push "redirect-gateway def1 bypass-dhcp" #重定向客户端的网关到openvpn服务器
push "route 192.168.0.0 255.255.255.0" #向客户端推送的路由信息,假如客户端的IP地址为10.8.0.2,要访问192.168.1.0网段的话,使用这条命令就可以了。可以添加多条路由
push "dhcp-option DNS 192.168.0.7" #向客户端推送的DNS信息
push "dhcp-option DNS 192.168.0.8" #向客户端推送的DNS信息
cipher AES-256-CBC #选择一种连接加密算法,Server端和Client端必须一样
user nobody
group nobody
#定义openvpn运行时使用的用户及用户组,建议加上这两条配置更安全
client-to-client #这条命令可以使客户端之间能相互访问,默认设置下客户端间是不能相互访问的
duplicate-cn #定义openvpn一个证书在同一时刻是否允许多个客户端接入,默认没有启用。
keepalive 10 120 #设置服务端检测的间隔和超时时间 每 10 秒 ping 一次,如果 120 秒没有回应则认为对方已经 down
comp-lzo #启用允许数据压缩,客户端配置文件也需要有这项
persist-key #通过keepalive检测超时后,重新启动VPN,不重新读取keys,保留第一次使用的keys。
persist-tun #通过keepalive检测超时后,重新启动VPN,一直保持tun或者tap设备是linkup的。否则网络连接,会先linkdown然后再linkup。
status openvpn-status.log #把openvpn的一些状态信息写到文件中,比如客户端获得的IP地址。
log-append openvpn.log #记录日志,每次重新启动openvpn后追加原有的log信息。
verb 3 #设置日志要记录的级别。
#0 只记录错误信息。
#4 能记录普通的信息。
#5 和 6 在连接出现问题时能帮助调试
#9 是极端的,所有信息都会显示,甚至连包头等信息都显示(像tcpdump)
mute 20 #相同信息的数量,如果连续出现 20 条相同的信息,将不记录到日志中。
使用easy-rsa生成证书及密钥
代码语言:javascript复制cp -R /usr/share/easy-rsa/ /etc/openvpn
vim /etc/openvpn/easy-rsa/2.0/vars #自定义内容,可以不更改直接使用
export KEY_COUNTRY="CN" #所属国家
export KEY_PROVINCE="SC" #所属省份
export KEY_CITY="CD" #所属城市
export KEY_ORG="aierpf.cn" #所属组织
export KEY_EMAIL="wusc@wscon.cn" #管理员邮箱地址
export KEY_OU="Aierpf" #所属机构
cd /etc/openvpn/easy-rsa/2.0 #进入证书目录
source ./vars #使vars文件生效
./clean-all #清除之前生成的所有证书。注:如果执行./clean-all 就会清空/etc/openvpn/easy-rsa/2.0/keys/下所有文件
服务端证书
代码语言:javascript复制cd /etc/openvpn/easy-rsa/2.0 #进入证书目录
./build-ca #生成服务端ca证书
#生成过程中部分需要手动输入:(如果有要求输入而下面没有的话可以直接回车)
#Organizational Unit Name (eg, section) [changeme]:master
#Common Name (eg, your name or your server's hostname) [changeme]:server //生成证书的名字,
./build-key-server server #生成服务器端秘钥key,后面的server是服务器名,自定义
#注:缺省配置一路回车,最后面两个选项一定要选择“y”,否则生成的是空证书
客户端证书
代码语言:javascript复制./build-key client #生成客户端key ,后面的client是客户端名,可自定义
#这里和生成服务端key时的操作相似,只是有一点不同, #Common Name (eg, your name or your server's hostname) [client]:client 这里生成的客户端证书,不同的client必须有不同的证书,即名字不同
生成Differ Hellman参数 ,DH验证文件
代码语言:javascript复制./build-dh
#注:生成diffie hellman参数用于增强openvpn安全性生成需要漫长等待,可以去休息一会儿
cp /etc/openvpn/easy-rsa/2.0/keys/dh2048.pem ca.crt server.crt server.key /etc/openvpn/ #复制证书文件到openvpn根目录,也可以在server.conf里面指定相关文件的绝对路径
防火墙配置和开启路由转发功能
代码语言:javascript复制firewall-cmd --permanent --add-port=1194/tcp #添加openvpn端口
firewall-cmd --permanent --add-masquerade #开启转发
firewall-cmd --reload #动态重启防火墙
echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf #添加net.ipv4.ip_forward = 1到/etc/sysctl.conf文件最后一行,如果已存在,修改或者无视
sysctl -p #使修改立即生效
启动并设置开启自动启动openvpn服务
代码语言:javascript复制systemctl start openvpn@server
systemctl enable openvpn@server
Windows客户顿设置
- 将服务端生成的部分证书放在客户端vpn安装路径下的config文件夹中,可以用过winscp这个软件进行拷贝,需要拷贝的证书:ca.crt、client.crt、client.key ,文件位于服务器的/etc/openvpn/easy-rsa/2.0/keys中
- 在客户端vpn安装路径下找到sample-config文件夹,在文件夹中找到client.ovpn文件,将其复制到上层目录中的config文件夹中
- 修改config文件夹中的client.ovpn文件,以记事本的方式打开
client
#定义这是一个client,配置从server端pull拉取过来,如IP地址,路由信息之类,Server使用push指令推送过来。
dev tun
#定义openvpn运行的模式,这个地方需要严格和Server端保持一致。
proto tcp
#定义openvpn使用的协议,这个地方需要严格和Server端保持一致。
remote X.X.X.X 1194
#设置Server的IP地址和端口,这个地方需要严格和Server端保持一致。
resolv-retry infinite
#始终重新解析Server的IP地址(如果remote后面跟的是域名),保证Server IP地址是动态的使用DDNS动态更新DNS后
#Client在自动重新连接时重新解析Server的IP地址。这样无需人为重新启动,即可重新接入VPN。
cipher AES-256-CBC #选择一种连接加密算法,Server端和Client端必须一样
nobind
#定义在本机不邦定任何端口监听incoming数据。
persist-key
persist-tun
ca ca.crt
#定义CA证书的文件名,用于验证Server CA证书合法性,该文件一定要与服务器端ca.crt是同一个文件。
cert client.crt
#定义客户端的证书文件
key client.key
#定义客户端的密钥文件。
comp-lzo
#启用允许数据压缩,这个地方需要严格和Server端保持一致
verb 3
#设置日志要记录的级别。
启动客户端
- 在开始中找到openvpn文件夹,点击openvpn gui,这是右下角会有一个锁的图形
- 右击右下角锁的图形,选择connet,过一会我们会发现连上openvpn了,服务端给我们非配了一个之前设置的局域网的ip
- 此时在网络连接中我们发现多出了一个本地连接TAP-Windows Adapter V9,此时是出于连接状态,右下角的那个锁状图形颜色会变成绿色
PS:目前openvpn服务器已经搭建完成了,但是有个问题,只要有上述三个证书文件和服务器IP信息,任何人都可以连接服务器,为了安全考虑,我们可以采取用户认证的方式管理,详情见:OpenVPN使用用户密码认证登录
PS:把证书整合到客户端配置文件并加密
代码语言:javascript复制vim client.ovpn
删除或者注释掉以下几行内容:
在这里我把它们注释掉:
ca ca.crt  改为:#ca ca.crt
cert client.crt  改为:#cert client.crt
key client.key  改为:#key client.key
tls-auth ta.key 1  改为:#tls-auth ta.key 1
在最后面添加以下内容:
<ca>
ca.crt文件内容
</ca>
<cert>
client.crt文件内容
</cert>
<key>
client.key文件内容
</key>
key-direction 1
<tls-auth>
ta.key文件内容
</tls-auth>