linux安装Openvpn详解

linux安装Openvpn详解


软件版本


Centos - 7.x

easy-rsa - 3.0.3

OpenVPN - 2.4.6

安装

建议安装启用epel源,采用yum的方式安装openvpn。


yum install -y epel-release

yum update -y

yum install -y openssl lzo pamopenssl-devel lzo-devel pam-devel

yum install -y easy-rsa

yum install -y openvpn

使用路由还是桥接?

建议使用路由,除非你有一些需要桥接的特定场景,例如:


VPN需要能够处理非ip协议,如IPX

通过VPN运行应用程序,该VPN依赖于网络广播(如局域网游戏)

希望允许跨VPN浏览Windows文件共享,而无需设置Samba或WINS服务器

确定私有子网

Server 与 Client 的VPN通道子网,不要与已有环境的网络冲突即可。


默认:10.8.0.0/16


配置证书密钥

我们通过yum方式安装的easy-rsa 版本是3.x,直接从安装路径copy一份工具出来。这里用默认的 easy-rsa 3.x 来配置生成证书密钥。


cp -rf /usr/share/easy-rsa/3.0.3/etc/openvpn/server/easy-rsa

cd /etc/openvpn/server/easy-rsa

./easyrsa init-pki

./easyrsa build-ca nopass

./easyrsa build-server-full server nopass

./easyrsa build-client-full client1 nopass

./easyrsa build-client-full client2 nopass

./easyrsa gen-dh

openvpn --genkey --secret ta.key

bash

补充:easy-rsa 2.x 执行方式(下载地址)


. ./vars

./clean-all

./build-ca

./build-key-server server

./build-key client1

./build-key client2

./build-dh

openvpn --genkey --secret ta.key

配置 Server 端

创建使用的目录

# 日志存放目录

mkdir -p /var/log/openvpn/

# 用户管理目录

mkdir -p /etc/openvpn/server/user

# 配置权限

chown openvpn:openvpn /var/log/openvpn

bash

创建Server配置文件

编辑/etc/openvpn/server/server.conf文件,并写入以下内容:


#################################################

# This file is for the server side              #

# of a many-clients <->one-server              #

# OpenVPN configuration.                        #

#                                              #

# Comments are preceded with '#' or';'         #

#################################################

port 1194

proto tcp-server

## Enable the management interface

# management-client-auth

# management localhost 7505/etc/openvpn/user/management-file

dev tun    # TUN/TAP virtual network device

user openvpn

group openvpn

ca /etc/openvpn/server/easy-rsa/pki/ca.crt

cert/etc/openvpn/server/easy-rsa/pki/issued/server.crt

key /etc/openvpn/server/easy-rsa/pki/private/server.key

dh /etc/openvpn/server/easy-rsa/pki/dh.pem

tls-auth/etc/openvpn/server/easy-rsa/ta.key 0

## Using System user auth.

# plugin/usr/lib64/openvpn/plugins/openvpn-plugin-auth-pam.so login

## Using Script Plugins

auth-user-pass-verify/etc/openvpn/server/user/checkpsw.sh via-env

script-security 3

# client-cert-not-required  # Deprecated option

verify-client-cert

username-as-common-name

## Connecting clients to be able to reacheach other over the VPN.

client-to-client

## Allow multiple clients with the samecommon name to concurrently connect.

duplicate-cn

# client-config-dir /etc/openvpn/server/ccd

# ifconfig-pool-persist ipp.txt

server 10.8.0.0 255.255.255.0

push "dhcp-option DNS114.114.114.114"

push "dhcp-option DNS 1.1.1.1"

push "route 10.93.0.0255.255.255.0"

# comp-lzo - DEPRECATED This option will beremoved in a future OpenVPN release. Use the newer --compress instead.

compress lzo

# cipher AES-256-CBC

ncp-ciphers"AES-256-GCM:AES-128-GCM"

## In UDP client mode or point-to-pointmode, send server/peer an exit notification if tunnel is restarted or OpenVPNprocess is exited.

# explicit-exit-notify 1

keepalive 10 120

persist-key

persist-tun

verb 3

log /var/log/openvpn/server.log

log-append /var/log/openvpn/server.log

status /var/log/openvpn/status.log

bash

注意!!! 这里创建完配置文件后,需要做个配置文件的软连接,因为当前版本的openvpn systemd 启动文件中读取的是.service.conf配置。


cd /etc/openvpn/server/

ln -sf server.conf .service.conf

创建用户密码文件

格式是用户 密码以空格分割即可


tee /etc/openvpn/server/user/psw-file<< EOF

mytest mytestpass

EOF

chmod 600 /etc/openvpn/server/user/psw-file

chown openvpn:openvpn/etc/openvpn/server/user/psw-file

创建密码检查脚本

#!/bin/sh

###########################################################

# checkpsw.sh (C) 2004 Mathias Sundman

#

# This script will authenticate OpenVPNusers against

# a plain text file. The passfile shouldsimply contain

# one row per user with the username firstfollowed by

# one or more space(s) or tab(s) and thenthe password.

PASSFILE="/etc/openvpn/server/user/psw-file"

LOG_FILE="/var/log/openvpn/password.log"

TIME_STAMP=`date "+%Y-%m-%d %T"`

###########################################################

if [ ! -r "${PASSFILE}" ]; then

 echo "${TIME_STAMP}: Could not open password file\"${PASSFILE}\" for reading." >>  ${LOG_FILE}

 exit 1

fi

CORRECT_PASSWORD=`awk'!/^;/&&!/^#/&&$1=="'${username}'"{print $2;exit}'${PASSFILE}`

if [ "${CORRECT_PASSWORD}" ="" ]; then

 echo "${TIME_STAMP}: User does not exist:username=\"${username}\", password=

\"${password}\"." >>${LOG_FILE}

 exit 1

fi

if [ "${password}" ="${CORRECT_PASSWORD}" ]; then

 echo "${TIME_STAMP}: Successful authentication:username=\"${username}\"." >> ${LOG_FILE}

 exit 0

fi

echo "${TIME_STAMP}: Incorrectpassword: username=\"${username}\", password=

\"${password}\"." >>${LOG_FILE}

exit 1

bash

防火墙配置

firewall-cmd --permanent --add-masquerade

firewall-cmd --permanent--add-service=openvpn

# 或者添加自定义端口

# firewall-cmd --permanent  --add-port=1194/tcp

firewall-cmd --permanent --direct--passthrough ipv4 -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

firewall-cmd --reload

bash

启动服务

# 查看service名

rpm -ql openvpn |grep service

/usr/lib/systemd/system/openvpn-client@.service

/usr/lib/systemd/system/openvpn-server@.service

/usr/lib/systemd/system/openvpn@.service

# 启动

systemctl startopenvpn-server@.service.service

bash

配置客户端

从server上将生成的ca.crt、client1.crt、client1.key、ta.key文件下载到客户端,客户端配置内容C:\Program

Files\OpenVPN\config\client.ovpn如下:


#

client

proto tcp-client

dev tun

auth-user-pass

remote yourserver.domain 1194

ca ca.crt

cert client1.crt

key client1.key

tls-auth ta.key 1

remote-cert-tls server

auth-nocache

persist-tun

persist-key

compress lzo

verb 4

mute 10

转自嘉为教育-rhce认证_rhce培训_linux培训_linux认证_linux考证

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,332评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,508评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,812评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,607评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,728评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,919评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,071评论 3 410
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,802评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,256评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,576评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,712评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,389评论 4 332
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,032评论 3 316
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,798评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,026评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,473评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,606评论 2 350

推荐阅读更多精彩内容