1.服务器
下载源代码编译openvpn,make install默认安装到/usr/local。(官网被墙,在github上可下载?)
用openssl制作CA,server,clinet证书,制作dh。
建议使用easy-rsa,比较方便,
几个命令就搞定了
-
source vars
-
build-ca
-
build-key-server
-
build-dh
-
build-key
而且证书的days、type、KU等设置不容易出错。源代码好像从openvpn独立出来了,在github上托管)
注意,key文件的权限必须为600,即其他用户不可读。
把CA,server证书和dh,放到/usr/local/etc下。
参照samples配置/usr/local/etc/server.conf
启动服务器
开启ip_forward,
-
echo 1 > /proc/sys/net/ipv4/ip_forward
放开iptables的FORWARD,
-
iptables -I FORWARD 1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-
iptables -I FORWARD 2 -s 192.168.2.0/24 -j ACCEPT # 192.168.2.0/24是vpn客户端的网段
设置nat,使客户端能访问vpn后面的其他机器
-
iptables -t NAT -A POSTROUTING -s 192.168.2.0/24 -j MASQUERAD
2.客户端(windows)
下载openvpn-install-2.3.9-I601-x86_64.exe并安装。
把client证书和client.conf放到config目录下,并把client.conf改名为client.ovpn
补充:
conf中,verb设置为3,如果连接出错需要调试,可以设置为5或6
阅读(1519) | 评论(0) | 转发(0) |