系统环境:
内网192.168.0.244服务器装有ubuntu14.04.3 LTS
1、下载安装包,放到/opt/source目录下
下载openvpn-2.3.8.tar.gz包:
下载easy-rsa-master.zip包:
2、安装openvpn
-
tar -zxvf openvpn-2.3.8.tar.gz
-
cd ./openvpn-2.3.8
-
./configure –prefix=/opt/openvpn && make && make install
期间如果出现依赖关系需要解决:
ubuntu系统用apt-get install ****
CentOS系统用yum install ***
4、将easy-rsa-master.zip上传到服务器/opt/openvpn目录
-
cd /opt/openvpn/
-
unzip easy-rsa-master
-
mv easy-rsa-master easy-rsa
服务器密钥设置及分配:
1、设置easy-rsa变量
-
cd /opt/openvpn/easy-rsa/easyrsa3
-
cp vars.example vars
-
vi vars
以下均为可选设置,将set_var前的’#‘去掉可进行设置
-
set_var EASYRSA_REQ_COUNTRY "CN" #国家
-
set_var EASYRSA_REQ_PROVINCE "SiChuan" #省市
-
set_var EASYRSA_REQ_CITY "ChengDu" #城市
-
set_var EASYRSA_REQ_ORG "complany" #公司
-
set_var EASYRSA_REQ_EMAIL "bigbirdxixi@gmail.com" #管理员邮箱
-
set_var EASYRSA_REQ_OU "YunWei" #部门
-
set_var EASYRSA_KEY_SIZE 2048 #迪夫赫尔曼密钥长度
2、初始化并生成密服目录树
3、生成服务端CA证书
-
sh ./easyrsa build-ca #根据提示输入并CA证书密码
-
sh ./easyrsa gen-req server nopass #创建服务端证书
-
sh ./easyrsa sign server server #签约服务端证书
-
sh ./easyrsa gen-dh #创建diffie-hellman密钥
4、将ca证书、服务器证书、配置文件拷贝至特定目录给OPENVPN调用
-
mkdir /opt/openvpn/ca
-
cp /opt/openvpn/easy-rsa/easyrsa3/pki/ca.crt /opt/openvpn/ca/
-
cp /opt/openvpn/easy-rsa/easyrsa3/pki/private/ca.key /opt/openvpn/ca/
-
cp /opt/openvpn/easy-rsa/easyrsa3/pki/issued/server.crt /opt/openvpn/ca/
-
cp /opt/openvpn/easy-rsa/easyrsa3/pki/private/server.key /opt/openvpn/ca/
-
cp /opt/openvpn/easy-rsa/easyrsa3/dh.pem /opt/openvpn/ca/
-
mkdir /opt/openvpn/conf
-
cp /opt/source/openvpn-2.3.8/sample/sample-config-files/server.conf /opt/openvpn/conf
5、生成防DOS溢出攻击密钥
-
cd /opt/openvpn/
-
./sbin/openvpn --genkey --secret `pwd`/ca/ta.key
6、配置服务端配置文件
-
vi /opt/openvpn/conf/server.conf
文件配置如下:
-
local 192.168.0.244 #监控IP
-
port 1194 #监控端口
-
proto tcp
-
proto tcp
-
ca /opt/openvpn/ca/ca.crt #CA证书路径
-
cert /opt/openvpn/ca/server.crt #服务器证书路径
-
key /opt/openvpn/ca/server.key #服务器私钥路径
-
dh /opt/openvpn/ca/dh.pem #diff-hellman密钥路径
-
server 192.168.10.0 255.255.255.0 #VPN网段
-
push "route 54.223.0.0 255.255.0.0" #推送到CLIENT端的路由
-
client-to-client #VPN客户端相互访问
-
keepalive 10 120 #链接保持时间
-
comp-lzo #压缩传输
-
max-clients 100 #最大连接数
-
persist-key
-
persist-tun
-
status openvpn-status.log #日志文件
-
verb 3 #日志记录级别
7、配置并启动OPENVPN
-
cp /opt/source/openvpn-2.3.8/sample/sample-config-files/openvpn-startup.sh /opt/openvpn/sbin/
-
cp /opt/source/openvpn-2.3.8/sample/sample-config-files/openvpn-shutdown.sh /opt/openvpn/sbin/
-
cp /opt/source/openvpn-2.3.8/sample/sample-config-files/firewall.sh /opt/openvpn/conf/
-
/opt/openvpn/sbin/openvpn-startup
交换机端口及服务器路由设置
1、登陆192.168.0.1交换机:用户名:admin 密码:
进入“传输控制”-->“虚拟服务器”按下图将tcp1194端口转发到192.168.0.244机器
2、192.168.0.244路由设置
查看是否开启路由转发
-
sysctl net.ipv4.ip_forward
![](/attachment/201710/13/7910284_1507882883BUq1.png)
如果结果为’0‘则
-
echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
-
sysctl -p
用如下命令添加转发规则
-
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o em1 -j MASQUERADE
参数说明
-s 来源网段参数
-o em1 出口网卡
MASQUERADE IP伪装
分配客户端装密钥
1、ssh登陆192.168.0.244服务器
以下红色字体第一次给客户端分配密钥时使用
-
mkdir /opt/openvpn/client
-
mkdir /opt/openvpn/client/keys
-
cp /opt/source/easy-rsa-master /opt/openvpn/client
-
cd /opt/openvpn/client
-
unzip easy-rsa-master
-
mv easy-rsa-master easy-rsa
-
cd /opt/openvpn/client/easy-rsa/easyrsa3
-
sh ./easyrsa init-pki
2、生成客户端证书clientnam命名规则姓全拼+名首字母。例:小明 xiaom
-
sh ./easyrsa gen-req clientname #根据提示输入证书密码
3、导入并注册客户端证书
-
cd /opt/openvpn/easy-rsa/easyrsa3
-
sh ./easyrsa import-req /opt/openvpn/client/easy-rsa/easyrsa3/pki/reqs/clientname.req clientname
-
sh ./easyrsa sign client clientname #注册证书,根据提示输入CA密码
4、将客户端证书拷贝到特定目录方便下载并给客户端使用
-
mkdir /opt/openvpn/client/keys/clientname
-
cd /opt/openvpn/client/keys/clientname
-
cp /opt/openvpn/ca/ca.crt ./
-
cp /opt/openvpn/ca/ta.key ./
-
cp /opt/openvpn/easy-rsa/easyrsa3/pke/issued/clientname.crt ./
-
cp /opt/openvpn/client/easy-rsa/easyrsa3/pke/private/clientname.key ./
客户端证书的回收(红色字体只第一次配置时添加)
/opt/app/openvpn/sbin/server.conf配置文件添加crl-verify crl.pem
-
echo "crl-verify crl.pem" >> /opt/app/openvpn/sbin/server.conf
-
/opt/openvpn/easy-rsa/easyrsa3/easyrsa revoke clientname #根据提示输入确认yes,输入ca密码
-
/opt/openvpn/easy-rsa/easyrsa3/easyrsa gen-crl
-
cat /opt/openvpn/easy-rsa/easyrsa3/pki/crl.pem > /opt/app/openvpn/sbin/crl.pem #输入ca密码
重启openvpn
注:crl.pem一定要拷贝到sbin目录下才能生效
-
/opt/openvpn/sbin/openvpn-shutdown
-
/opt/openvpn/sbin/openvpn-startup
安装OPENVPN客户端
1、下载安装openvpn-install-2.3.8-I601-x86_64.exe到D:\Program Files\OpenVPN
2、拷贝客户端证书及客户端配置文件
将192.168.0.244服务器/opt/openvpn/client/easy-rsa/clientname目录中所有文件,拷贝到D:\Program Files\OpenVPN\config
将D:\Program Files\OpenVPN\sample-config\client.ovpn文件拷贝至D:\Program Files\OpenVPN\config,并重命名为clientname.ovpn
4、clientname.ovpn文件配置如下
-
client #客户端模式
-
dev tun
-
proto tcp #使用TCP链接
-
remote 125.71.215.141 1194 #VPN服务器及端口
-
resolv-retry infinite
-
nobind
-
persist-key
-
persist-tun
-
ca ca.crt #CA证书
-
cert clientname.crt #客户端证书
-
key clientname.key #客户端私钥
-
remote-cert-tls server
-
tls-auth ta.key 1 #预防DOS及溢出的ta.key
-
comp-lzo
-
verb 3
5、运行桌面openvpn快捷方式,右键电脑左下角图标可以修改登陆密码
(默认初始为:姓全拼+名首字母,例:小明,初始密码为:xiaom)
密码修改后点击连接,弹出下图界面。输入客户端密码即可登陆使用公司VPN
网上参考文档:
阅读(1175) | 评论(0) | 转发(0) |