Chinaunix首页 | 论坛 | 博客

bigbirdxixi

首页 |  博文目录 |  关于我

kesai

  • 博客访问: 33209
  • 博文数量: 14
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 151
  • 用 户 组: 普通用户
  • 注册时间: 2017-04-07 23:15
个人简介

一步一个脚印,扎扎实实投资自己。

文章分类

全部博文(14)

文章存档

2017年(14)

我的朋友
最近访客
推荐博文
相关博文
openvpn搭建

分类: LINUX

2017-10-13 17:52:56

系统环境:
内网192.168.0.244服务器装有ubuntu14.04.3 LTS
1、下载安装包,放到/opt/source目录下
下载openvpn-2.3.8.tar.gz包:
下载easy-rsa-master.zip包:
2、安装openvpn
  1. tar -zxvf openvpn-2.3.8.tar.gz
  2. cd ./openvpn-2.3.8
  3. ./configure –prefix=/opt/openvpn && make && make install
期间如果出现依赖关系需要解决:
ubuntu系统用apt-get install ****
CentOS系统用yum install ***
4、将easy-rsa-master.zip上传到服务器/opt/openvpn目录
  1. cd /opt/openvpn/
  2. unzip easy-rsa-master
  3. mv easy-rsa-master easy-rsa

服务器密钥设置及分配:
1、设置easy-rsa变量
  1. cd /opt/openvpn/easy-rsa/easyrsa3
  2. cp vars.example vars
  3. vi vars
以下均为可选设置,将set_var前的’#‘去掉可进行设置
  1. set_var EASYRSA_REQ_COUNTRY "CN"    #国家
  2. set_var EASYRSA_REQ_PROVINCE "SiChuan"    #省市
  3. set_var EASYRSA_REQ_CITY "ChengDu"    #城市
  4. set_var EASYRSA_REQ_ORG "complany"    #公司
  5. set_var EASYRSA_REQ_EMAIL "bigbirdxixi@gmail.com"    #管理员邮箱
  6. set_var EASYRSA_REQ_OU "YunWei"    #部门
  7. set_var EASYRSA_KEY_SIZE 2048    #迪夫赫尔曼密钥长度
2、初始化并生成密服目录树
  1. sh ./easyrsa init-pki
3、生成服务端CA证书
  1. sh ./easyrsa build-ca    #根据提示输入并CA证书密码
  2. sh ./easyrsa gen-req server nopass    #创建服务端证书
  3. sh ./easyrsa sign server server    #签约服务端证书
  4. sh ./easyrsa gen-dh    #创建diffie-hellman密钥
4、将ca证书、服务器证书、配置文件拷贝至特定目录给OPENVPN调用

  1. mkdir /opt/openvpn/ca
  2. cp /opt/openvpn/easy-rsa/easyrsa3/pki/ca.crt /opt/openvpn/ca/
  3. cp /opt/openvpn/easy-rsa/easyrsa3/pki/private/ca.key /opt/openvpn/ca/
  4. cp /opt/openvpn/easy-rsa/easyrsa3/pki/issued/server.crt /opt/openvpn/ca/
  5. cp /opt/openvpn/easy-rsa/easyrsa3/pki/private/server.key /opt/openvpn/ca/
  6. cp /opt/openvpn/easy-rsa/easyrsa3/dh.pem /opt/openvpn/ca/
  7. mkdir /opt/openvpn/conf
  8. cp /opt/source/openvpn-2.3.8/sample/sample-config-files/server.conf /opt/openvpn/conf
5、生成防DOS溢出攻击密钥

  1. cd /opt/openvpn/
  2. ./sbin/openvpn --genkey --secret `pwd`/ca/ta.key
6、配置服务端配置文件
  1. vi /opt/openvpn/conf/server.conf
文件配置如下:
  1. local 192.168.0.244    #监控IP
  2. port 1194    #监控端口
  3. proto tcp
  4. proto tcp
  5. ca /opt/openvpn/ca/ca.crt    #CA证书路径
  6. cert /opt/openvpn/ca/server.crt    #服务器证书路径
  7. key /opt/openvpn/ca/server.key    #服务器私钥路径
  8. dh /opt/openvpn/ca/dh.pem    #diff-hellman密钥路径
  9. server 192.168.10.0 255.255.255.0    #VPN网段
  10. push "route 54.223.0.0 255.255.0.0"    #推送到CLIENT端的路由
  11. client-to-client    #VPN客户端相互访问
  12. keepalive 10 120    #链接保持时间
  13. comp-lzo    #压缩传输
  14. max-clients 100    #最大连接数
  15. persist-key
  16. persist-tun
  17. status openvpn-status.log    #日志文件
  18. verb 3    #日志记录级别
7、配置并启动OPENVPN
  1. cp /opt/source/openvpn-2.3.8/sample/sample-config-files/openvpn-startup.sh /opt/openvpn/sbin/
  2. cp /opt/source/openvpn-2.3.8/sample/sample-config-files/openvpn-shutdown.sh /opt/openvpn/sbin/
  3. cp /opt/source/openvpn-2.3.8/sample/sample-config-files/firewall.sh /opt/openvpn/conf/
  4. /opt/openvpn/sbin/openvpn-startup

交换机端口及服务器路由设置
1、登陆192.168.0.1交换机:用户名:admin 密码:
进入“传输控制”-->“虚拟服务器”按下图将tcp1194端口转发到192.168.0.244机器

2192.168.0.244路由设置
查看是否开启路由转发
  1. sysctl net.ipv4.ip_forward

如果结果为’0‘
  1. echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
  2. sysctl -p
查看路由转发规则
  1. iptables -t nat -vnL
用如下命令添加转发规则
  1. iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o em1 -j MASQUERADE
参数说明
-s    来源网段参数
-o em1    出口网卡
MASQUERADE  IP伪装

分配客户端装密钥
1ssh登陆192.168.0.244服务器
以下红色字体第一次给客户端分配密钥时使用
  1. mkdir /opt/openvpn/client
  2. mkdir /opt/openvpn/client/keys
  3. cp /opt/source/easy-rsa-master /opt/openvpn/client
  4. cd /opt/openvpn/client
  5. unzip easy-rsa-master
  6. mv easy-rsa-master easy-rsa
  7. cd /opt/openvpn/client/easy-rsa/easyrsa3
  8. sh ./easyrsa init-pki
2、生成客户端证书clientnam命名规则姓全拼+名首字母。例:小明 xiaom
  1. sh ./easyrsa gen-req clientname #根据提示输入证书密码
3、导入并注册客户端证书
  1. cd /opt/openvpn/easy-rsa/easyrsa3
  2. sh ./easyrsa import-req /opt/openvpn/client/easy-rsa/easyrsa3/pki/reqs/clientname.req clientname
  3. sh ./easyrsa sign client clientname #注册证书,根据提示输入CA密码
4、将客户端证书拷贝到特定目录方便下载并给客户端使用
  1. mkdir /opt/openvpn/client/keys/clientname
  2. cd /opt/openvpn/client/keys/clientname
  3. cp /opt/openvpn/ca/ca.crt ./
  4. cp /opt/openvpn/ca/ta.key ./
  5. cp /opt/openvpn/easy-rsa/easyrsa3/pke/issued/clientname.crt ./
  6. cp /opt/openvpn/client/easy-rsa/easyrsa3/pke/private/clientname.key ./

客户端证书的回收(红色字体只第一次配置时添加)
/opt/app/openvpn/sbin/server.conf配置文件添加crl-verify crl.pem

  1. echo "crl-verify crl.pem" >> /opt/app/openvpn/sbin/server.conf
  2. /opt/openvpn/easy-rsa/easyrsa3/easyrsa revoke clientname    #根据提示输入确认yes,输入ca密码
  3. /opt/openvpn/easy-rsa/easyrsa3/easyrsa gen-crl
  4. cat /opt/openvpn/easy-rsa/easyrsa3/pki/crl.pem > /opt/app/openvpn/sbin/crl.pem   #输入ca密码
重启openvpn
注:crl.pem一定要拷贝到sbin目录下才能生效
  1. /opt/openvpn/sbin/openvpn-shutdown
  2. /opt/openvpn/sbin/openvpn-startup

安装OPENVPN客户端
1、下载安装openvpn-install-2.3.8-I601-x86_64.exe到D:\Program Files\OpenVPN
2、拷贝客户端证书及客户端配置文件
192.168.0.244服务器/opt/openvpn/client/easy-rsa/clientname目录中所有文件,拷贝到D:\Program Files\OpenVPN\config
D:\Program Files\OpenVPN\sample-config\client.ovpn文件拷贝至D:\Program Files\OpenVPN\config,并重命名为clientname.ovpn
4、clientname.ovpn文件配置如下
  1. client    #客户端模式
  2. dev tun
  3. proto tcp    #使用TCP链接
  4. remote 125.71.215.141 1194    #VPN服务器及端口
  5. resolv-retry infinite
  6. nobind
  7. persist-key
  8. persist-tun
  9. ca ca.crt #CA证书
  10. cert clientname.crt    #客户端证书
  11. key clientname.key    #客户端私钥
  12. remote-cert-tls server
  13. tls-auth ta.key 1    #预防DOS及溢出的ta.key
  14. comp-lzo
  15. verb 3
5、运行桌面openvpn快捷方式,右键电脑左下角图标可以修改登陆密码
(默认初始为:姓全拼+名首字母,例:小明,初始密码为:xiaom)
密码修改后点击连接,弹出下图界面。输入客户端密码即可登陆使用公司VPN




网上参考文档:
阅读(1175) | 评论(0) | 转发(0) |
0

上一篇:没有了

下一篇:LOGSTASH5+NAGIOS-pssive模式实现日志报警

给主人留下些什么吧!~~
关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6