openvpn安装配置过程

前言

    之前为了方便远程办公时访问公司的内部系统,如:svn、OA、wiki、禅道等等;通通在防火墙上做了端口映射。然后有个内部系统被黑了,各种弱口令没办法。果断关闭端口映射,看来还是得搭建个VPN服务器,vpn设备感觉大材小用。马上就想到了开源的openvpn,下面就来介绍openvpn的安装配置过程。

openvpn简介

    官方网站:https://openvpn.net 打不开请爬墙

    openssl原理:http://www.178linux.com/archives/2704 参考书生的博客,哈哈

    openvpn原理:http://freeloda.blog.51cto.com/2033581/1354768 参考往期学员的博客,此处就不赘述了。

安装配置步骤

    1、安装openvpn软件

    2、生成服务器证书

    3、修改主配置文件

    4、生成并签署客户端证书

    4、客户端配置并连接

    

一、安装openvpn软件    

    安装epel源

[root@qin ~]# rpm -ivh http://mirrors.zju.edu.cn/epel/6/i386/epel-release-6-8.noarch.rpm
Retrieving http://mirrors.zju.edu.cn/epel/6/i386/epel-release-6-8.noarch.rpm
Preparing...                ########################################### [100%]
   1:epel-release           ########################################### [100%]

    安装openvpn

 [root@qin ~]# yum -y install openvpn

    下载easyesa,创建CA、生成证书都需要它

[root@qin ~]# wget https://github.com/OpenVPN/easy-rsa/archive/master.zip 
[root@qin ~]# unzip master.zip
[root@qin ~]# mv easy-rsa-master/ /etc/openvpn

二、生成服务器证书

    先切换目录到/etc/openvpn/easy-rsa-master/easyrsa3以便生成证书

cd.png

    pki目录初始化,此动作会删除pki目录下所有证书及密钥文件

initpki.png

    创建根证书,密钥文件需要设置密码保护,并指定一个名称

buildca.png

    生成一个服务器端的证书请求文件,不需要密码保护

gen-req.png

    签署服务器端的请求证书,需要输入根证书的密码授权

sign-req.png

    生成 Diffie Hellman 参数

gen-dh.png

    查看服务器端生成的所有证书及密钥文件

    treepki.png

    为方便查看及配置,把服务器端需要用到的证书及密钥文件放到/etc/openvpn目录下

cp.png

三、修改主配置文件,

    默认没有主配置文件,需要从/usr/share/doc下复制一个模版文件过来

[root@qin ~]# cp /usr/share/doc/openvpn-2.3.6/sample/sample-config-files/server.conf /etc/openvpn
[root@qin ~]# vim /etc/openvpn/server.conf
local 192.168.18.42
port 2285
proto udp
dev tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key  # This file should be kept secret
dh /etc/openvpn/dh.pem
server 10.38.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
;push "redirect-gateway def1 bypass-dhcp"     #启用后,客户端连接后所有上网请求都走VPN网关
push "route 192.168.0.0 255.255.0.0"
push "dhcp-option DNS 114.114.114.114"
keepalive 10 120
comp-lzo
max-clients 100
persist-key
persist-tun
status /var/log/openvpn-status.log
log         /var/log/openvpn.log
log-append  /var/log/openvpn.log
verb 3
[root@qin ~]# service openvpn start

    需要启用路由转发

[root@qin ~]# sysctl -w net.ipv4.ip_forward=1

  

    服务启动后会生成一个VPN网关

ip.png

    在硬件防火墙上做端口映射后,openvpn就可以提供连接服务了

    服务器iptables没启动,此处略过,可以参考示例文件 /usr/share/doc/openvpn-2.3.6/sample/sample-config-files/firewall.sh

四、生成并签署客户端证书

    生成一个证书请求文件,在服务器端或客户端都可以生成;设置密码保护并指定一个名称

[root@qin ~]# cp -r /etc/openvpn/easy-rsa-master/ /tmp
[root@qin ~]# cd /tmp/easy-rsa-master/easyrsa3/
[root@qin easyrsa3]# ./easyrsa init-pki

genclient.png

    导入客户端证书请求文件

[root@qin ~]# cd /etc/openvpn/easy-rsa-master/easyrsa3/
[root@qin easyrsa3]# ./easyrsa import-req /tmp/easy-rsa-master/easyrsa3/pki/reqs/client1.req client1

    签署客户端证书,同样,需要需要输入根证书密码授权

signclient.png

五、客户端配置并连接

    到官网下载相应的软件 https://openvpn.net/index.php/open-source/downloads.html

    默认会安装到 C:\Program Files\OpenVPN 下

    下载根证书、客户端证书、客户端密钥这三个文件,放到 C:\Program Files\OpenVPN\config下

/etc/openvpn/easy-rsa-master/easyrsa3/pki/ca.crt
/etc/openvpn/easy-rsa-master/easyrsa3/pki/issued/client1.crt
/tmp/easy-rsa-master/easyrsa3/pki/private/client1.key

    修改客户端配置文件,默认没有此文件,需要从 C:\Program Files\OpenVPN\sample-config\client.ovpn 复制一份到config目录下

client
dev tun
proto udp
remote 192.168.18.42 2285 #指向openvpn服务器ip及端口
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt #指向证书,默认路径无需指定
cert client1.crt
key client1.key
comp-lzo
verb 3

client.png

    注意:config目录下没有证书和配置文件时,软件是不能使用的,如图

vpn.png

    有配置文件和证书后,点击connect并输入client1.key的密钥密码后即可连接,如图

vpn.png

写的比较简单,不要见怪哈~

原创文章,作者:秦,如若转载,请注明出处:http://www.178linux.com/4114

(0)
上一篇 2015-05-11 05:44
下一篇 2015-05-11 11:55

相关推荐

  • 文件查找与压缩-2

    1、tar [OPTION]… (1) 创建归档(打包而非压缩) 其中-c是创建备份,-f是指定创建备份成的文件即是/PATH/TO/SOMEFILE.tar #tar -c -f /PATH/TO/SOMEFILE.tar  FILE… #tar cf / PATH/TO/SOMEFILE.tar FILE… …

    Linux干货 2016-08-18
  • GOPS 2016全球运维大会 • 北京站

    GOPS 2016全球运维大会 • 北京站已经圆满落幕,最新GOPS大会推荐:GOPS2017全球运维大会 • 深圳站 基本信息: GOPS2017全球运维大会 • 深圳站 时间:2017-04-21 08:00:00 至 2017-04-22 18:00:00结束 地点:深圳    会议规模:5000人 会议详情:http://www….

    Linux干货 2016-11-03
  • Find小总结及应用

    Find总结及应用 搜索命令:     locate命令:         在文件系统上查找符合条件的文件         非实时查找( 数据库查找)…

    Linux干货 2016-08-16
  • CentOS7.2编译安装httpd

    环境:CentOS7.2 软件包:httpd-2.2.29.tar.bz2 1、解压缩httpd-2.2.29.tar.bz2 2、进入解压过的文件夹,查看用法(INSTALL、)后然后./configure –help查看参数后执行需要的参数操作,     通过选项传递参数,指定启用特性,安装路径的等,…

    Linux干货 2016-08-24
  • SQL Server 2012 故障转移群集最佳实践

    一、Windows server  2012 系统主域的安装配置 功能介绍:  SQL Server 故障转移群集在网络上显示为一台计算机上的单个 SQL Server 实例。在群集内部,一次只有一个节点拥有群集资源组,满足针对该故障转移群集实例的所有客户端请求。在出现故障(硬件故障、操作系统故障、应用程序或服务故障)或进行计划升级时,组…

    Linux干货 2015-10-27
  • 高级文件系统管理之mdadm与lvm的创建

    ※配置配额系统 磁盘配额就是管理员可以为用户所能使用的磁盘空间进行配额限制,每一用户只能使用最大配额范围内的磁盘空间,比如一些网盘就是基于这个功能来做的,分配给用户固定的空间,花钱买,可以将空间设置的更大。 功能作用 磁盘配额可以限制指定账户能够使用的磁盘空间,这样可以避免因某个用户的过度的使用磁盘空间造成其它用户无法运行或工作甚至影响系统运行。这个功能不止…

    Linux干货 2016-08-27

评论列表(3条)

  • stanley
    stanley 2015-05-11 11:53

    不错,可以尝试下标题段落功能,样式会更好

  • 风追海浪
    风追海浪 2015-05-22 09:33

    可以尝试user/password验证。

    • 秦
      2015-05-22 10:11

      @风追海浪嗯,已经实现了呢,server.conf加俩字段,取消私钥认证,可以使用系统帐号登录
      auth-user-pass-verify auth-pam.pl via-file
      client-cert-not-required