openvpn安装配置过程

前言

    之前为了方便远程办公时访问公司的内部系统,如:svn、OA、wiki、禅道等等;通通在防火墙上做了端口映射。然后有个内部系统被黑了,各种弱口令没办法。果断关闭端口映射,看来还是得搭建个VPN服务器,vpn设备感觉大材小用。马上就想到了开源的openvpn,下面就来介绍openvpn的安装配置过程。

openvpn简介

    官方网站:https://openvpn.net 打不开请爬墙

    openssl原理:http://www.178linux.com/archives/2704 参考书生的博客,哈哈

    openvpn原理:http://freeloda.blog.51cto.com/2033581/1354768 参考往期学员的博客,此处就不赘述了。

安装配置步骤

    1、安装openvpn软件

    2、生成服务器证书

    3、修改主配置文件

    4、生成并签署客户端证书

    4、客户端配置并连接

    

一、安装openvpn软件    

    安装epel源

[root@qin ~]# rpm -ivh http://mirrors.zju.edu.cn/epel/6/i386/epel-release-6-8.noarch.rpm
Retrieving http://mirrors.zju.edu.cn/epel/6/i386/epel-release-6-8.noarch.rpm
Preparing...                ########################################### [100%]
   1:epel-release           ########################################### [100%]

    安装openvpn

 [root@qin ~]# yum -y install openvpn

    下载easyesa,创建CA、生成证书都需要它

[root@qin ~]# wget https://github.com/OpenVPN/easy-rsa/archive/master.zip 
[root@qin ~]# unzip master.zip
[root@qin ~]# mv easy-rsa-master/ /etc/openvpn

二、生成服务器证书

    先切换目录到/etc/openvpn/easy-rsa-master/easyrsa3以便生成证书

cd.png

    pki目录初始化,此动作会删除pki目录下所有证书及密钥文件

initpki.png

    创建根证书,密钥文件需要设置密码保护,并指定一个名称

buildca.png

    生成一个服务器端的证书请求文件,不需要密码保护

gen-req.png

    签署服务器端的请求证书,需要输入根证书的密码授权

sign-req.png

    生成 Diffie Hellman 参数

gen-dh.png

    查看服务器端生成的所有证书及密钥文件

    treepki.png

    为方便查看及配置,把服务器端需要用到的证书及密钥文件放到/etc/openvpn目录下

cp.png

三、修改主配置文件,

    默认没有主配置文件,需要从/usr/share/doc下复制一个模版文件过来

[root@qin ~]# cp /usr/share/doc/openvpn-2.3.6/sample/sample-config-files/server.conf /etc/openvpn
[root@qin ~]# vim /etc/openvpn/server.conf
local 192.168.18.42
port 2285
proto udp
dev tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key  # This file should be kept secret
dh /etc/openvpn/dh.pem
server 10.38.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
;push "redirect-gateway def1 bypass-dhcp"     #启用后,客户端连接后所有上网请求都走VPN网关
push "route 192.168.0.0 255.255.0.0"
push "dhcp-option DNS 114.114.114.114"
keepalive 10 120
comp-lzo
max-clients 100
persist-key
persist-tun
status /var/log/openvpn-status.log
log         /var/log/openvpn.log
log-append  /var/log/openvpn.log
verb 3
[root@qin ~]# service openvpn start

    需要启用路由转发

[root@qin ~]# sysctl -w net.ipv4.ip_forward=1

  

    服务启动后会生成一个VPN网关

ip.png

    在硬件防火墙上做端口映射后,openvpn就可以提供连接服务了

    服务器iptables没启动,此处略过,可以参考示例文件 /usr/share/doc/openvpn-2.3.6/sample/sample-config-files/firewall.sh

四、生成并签署客户端证书

    生成一个证书请求文件,在服务器端或客户端都可以生成;设置密码保护并指定一个名称

[root@qin ~]# cp -r /etc/openvpn/easy-rsa-master/ /tmp
[root@qin ~]# cd /tmp/easy-rsa-master/easyrsa3/
[root@qin easyrsa3]# ./easyrsa init-pki

genclient.png

    导入客户端证书请求文件

[root@qin ~]# cd /etc/openvpn/easy-rsa-master/easyrsa3/
[root@qin easyrsa3]# ./easyrsa import-req /tmp/easy-rsa-master/easyrsa3/pki/reqs/client1.req client1

    签署客户端证书,同样,需要需要输入根证书密码授权

signclient.png

五、客户端配置并连接

    到官网下载相应的软件 https://openvpn.net/index.php/open-source/downloads.html

    默认会安装到 C:\Program Files\OpenVPN 下

    下载根证书、客户端证书、客户端密钥这三个文件,放到 C:\Program Files\OpenVPN\config下

/etc/openvpn/easy-rsa-master/easyrsa3/pki/ca.crt
/etc/openvpn/easy-rsa-master/easyrsa3/pki/issued/client1.crt
/tmp/easy-rsa-master/easyrsa3/pki/private/client1.key

    修改客户端配置文件,默认没有此文件,需要从 C:\Program Files\OpenVPN\sample-config\client.ovpn 复制一份到config目录下

client
dev tun
proto udp
remote 192.168.18.42 2285 #指向openvpn服务器ip及端口
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt #指向证书,默认路径无需指定
cert client1.crt
key client1.key
comp-lzo
verb 3

client.png

    注意:config目录下没有证书和配置文件时,软件是不能使用的,如图

vpn.png

    有配置文件和证书后,点击connect并输入client1.key的密钥密码后即可连接,如图

vpn.png

写的比较简单,不要见怪哈~

原创文章,作者:秦,如若转载,请注明出处:http://www.178linux.com/4114

(0)
上一篇 2015-05-11 05:44
下一篇 2015-05-11 11:55

相关推荐

  • 初学Linux

       已经学习了Linux一周了,从原来的设计网页、动画影视制作、3D模型到现在的黑白界面虚拟世界,从原来吃睡由我到现在重回高三生活,说实话,一开始还是不太能适应的,尤其是眼睛,酸胀痛。不过,越努力越幸运,也觉得linux其实很有意思。。以下是我第一篇微博的内容,也是我学习linux一周所总结的知识。 首先,学习一门知识就要先了解他的历史…

    Linux干货 2017-07-15
  • 如何在linux系统上获取命令的帮助信息,man文档的章节划分

    内置命令获取帮助文档的方式:   判断一个命令是否是Linux内置的,可以用type命令,只有Linux的内置命令才能使用 help 命令获得帮助。 type cd 输出:cd is a shell builtin 说明这个命令是系统自带的内置命令,那么就可以使用 help命令来获取帮助。 help 命令名 外部命令获取帮助文档的方式: 第一种办法是使用 &…

    Linux干货 2016-10-31
  • N22-妙手-第一周博客作业

           描述计算机的组成及其功能 1946年冯诺依曼提出冯 诺依曼结构,也称普林斯顿结构,即一种将程序指令存储器和数据存储器合并在一起的存储器结构。根据他的结构,计算机组成是: (1)运算器:负责数据的算术运算和逻辑运算 (2)控制器:  负责对程序信息和数据进行分析,控制并协调其输…

    Linux干货 2016-08-15
  • date 命令练习

    一、课外资料补充: 1.命令格式: date[参数]…[+格式] 2.命令功能: date可以用来显示或设定系统的日期与时间。 3.命令参数: 必要参数: %H小时(以00-23来表示)。 %I小时(以01-12来表示)。 %K小时(以0-23来表示)。 %l小时(以0-12来表示)。 %M分钟(以00-59来表示)。 %P AM或PM…

    Linux干货 2016-08-05
  • 马哥教育网络班22期第二周课程练习1-未闻花名

    1、Linux管理文件和目录的命令 命令 功能 命令 功能 pwd 显示当前目录 ls 查看目录下的内容 cd 改变所在目录 cat 显示文件的内容 grep 在文件中查找某字符 cp 复制文件 touch 创建文件 mv 移动文件 rm 删除文件 rmdir 删除目录 1.1 pwd命令 该命令的英文解释为print working directory(打…

    Linux干货 2016-08-29
  • N25-第10周博客作业

    请详细描述CentOS的启动流程     启动第一步–加载BIOS         当打开计算机电源,计算机会首先加载BIOS信息,BIOS信息是如此的重要,以至于计算机必须在最开始就找到它,这是因为BIOS中包含了CPU的相关信息、设备启动顺序信息、硬盘信息、内存信息…

    Linux干货 2017-03-10

评论列表(3条)

  • stanley
    stanley 2015-05-11 11:53

    不错,可以尝试下标题段落功能,样式会更好

  • 风追海浪
    风追海浪 2015-05-22 09:33

    可以尝试user/password验证。

    • 秦
      2015-05-22 10:11

      @风追海浪嗯,已经实现了呢,server.conf加俩字段,取消私钥认证,可以使用系统帐号登录
      auth-user-pass-verify auth-pam.pl via-file
      client-cert-not-required