首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >运维实战技能Get---OpenV**搭建.

运维实战技能Get---OpenV**搭建.

作者头像
用户5766185
发布2019-07-08 14:56:10
4.5K1
发布2019-07-08 14:56:10
举报
文章被收录于专栏:运维架构之路运维架构之路

前言 : 为什么使用openV**?

作为运维人员经常会遇到各种故障,那我们就需要远程解决,为了保障服务器的安全性,此时我们需要连接内网,然后连接到跳板机,openV**是我们常用解决方案!下面我们介绍一下在云服务器搭建openV**方法!

一、环境

[root@V** openV**]# lsb_release -a
LSB Version:  :core-4.1-amd64:core-4.1-noarch
Distributor ID:  CentOS
Description:  CentOS Linux release 7.2.1511 (Core) 
Release:  7.2.1511
Codename:  Core

二、安装步骤

1.安装epel源,openV**及依赖

yum install epel-release
yum install -y openssl openssl-devel lzo lzo-devel pam pam-devel automake pkgconfig makecache
yum install -y openV**
yum install -y easy-rsa

2.创建openV**目录并复制文件到创建的目录

mkdir /etc/openV**/
cp -R  /usr/share/easy-rsa/ /etc/openV**/
cp /usr/share/doc/openV**-2.4.4/sample/sample-config-files/server.conf /etc/openV**/
cp -r /usr/share/doc/easy-rsa-3.0.3/vars.example /etc/openV**/easy-rsa/3.0/vars

3.服务端配置文件如下

[root@V**openV**]#grep -Ev "^#|^$|^;" /etc/openV**/server.conf 
port 1194
proto udp
dev tun
ca /etc/openV**/easy-rsa/3.0/pki/ca.crt
cert /etc/openV**/easy-rsa/3.0/pki/issued/wwwserver.crt
key /etc/openV**/easy-rsa/3.0/pki/private/wwwserver.key
dh /etc/openV**/easy-rsa/3.0/pki/dh.pem
server 10.100.8.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 10.100.0.0 255.255.0.0"
push "route 10.101.0.0 255.255.0.0"
push "route 192.168.0.0 255.255.0.0"
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 223.5.5.5"
push "dhcp-option DNS 114.114.114.114"
keepalive 10 120
tls-auth /etc/openV**/ta.key 0
cipher AES-256-CBC
comp-lzo
max-clients 100
persist-key
persist-tun
status openV**-status.log
log-append  openV**.log
verb 3
mute 20
explicit-exit-notify 1

修改第45、65、76、84-89、97、105、113、117、134、139、171、180、192行如下:

[root@V** openV**]# grep -Ev "^#|^$|^;" /etc/openV**/easy-rsa/3.0/vars
if [ -z "$EASYRSA_CALLER" ]; then
  echo "You appear to be sourcing an Easy-RSA 'vars' file." >&2
  echo "This is no longer necessary and is disallowed. See the section called" >&2
  echo "'How to use this file' near the top comments for more details." >&2
  return 1
fi
set_var EASYRSA  "$PWD"
set_var EASYRSA_PKI    "$EASYRSA/pki"
set_var EASYRSA_DN  "cn_only"
set_var EASYRSA_REQ_COUNTRY     "CN"
set_var EASYRSA_REQ_PROVINCE    "BEIJING"
set_var EASYRSA_REQ_CITY        "BEIJING"
set_var EASYRSA_REQ_ORG    "OpenV** CERTIFICATE AUTHORITY"
set_var EASYRSA_REQ_EMAIL       "110@qq.com"
set_var EASYRSA_REQ_OU          "OpenV** EASY CA"
set_var EASYRSA_KEY_SIZE  2048
set_var EASYRSA_ALGO    rsa
set_var EASYRSA_CA_EXPIRE  3650
set_var EASYRSA_CERT_EXPIRE  3650
set_var EASYRSA_NS_SUPPORT  "no"
set_var EASYRSA_NS_COMMENT "OpenV** CERTIFICATE AUTHORITY"
set_var EASYRSA_EXT_DIR  "$EASYRSA/x509-types"
set_var EASYRSA_SSL_CONF  "$EASYRSA/openssl-1.0.cnf"
set_var EASYRSA_DIGEST    "sha256"

4.创建证书

cd /etc/openV**/easy-rsa/3.0
./easyrsa init-pki
./easyrsa build-ca

设置ca密码(输入两次):yourpassword

当执行到输入密码后会让你输入Common Name,你需要输入OpenV** CERTIFICATE AUTHORITY,如下:

Common Name (eg: your user, host, or server name) [Easy-RSA CA]:OpenV** CERTIFICATE AUTHORITY

创建CA、密码:yourpassword

./easyrsa gen-dh

openV** --genkey --secret ta.key
cp -r ta.key /etc/openV**/

创建服务端证书,生成请求,使用gen-req来生成req

./easyrsa gen-req wwwserver

设置server密码(输入两次):yourpassword

输入两次密码之后,最后的Common Name可以直接回车即可。

签发证书,签约服务端证书

./easyrsa sign-req server wwwserver

执行此步会有个Confirm request选项,输入yes即可,如下:

Confirm request details: yes

输入yes签发证书,输入ca密码:yourpassword

生成windows客户端用户:

./easyrsa build-client-full www001

#注意:生成客户端用户的时候会提示设置密码

#可以直按回车密码为空、也可以设置输入密码(如设置密码,客户端连接时需输入密码)

生成客户端证书,并设置密码(客户端连接时用)

5.修改内核转发

vim /etc/sysctl.conf

末尾加入

net.ipv4.ip_forward = 1

保存后执行:sysctl -p

6.修改防火墙转发规则

防火墙列表

systemctl start firewalld.service
firewall-cmd --state
firewall-cmd --zone=public --list-all
firewall-cmd --add-service=openV** --permanent
firewall-cmd --add-port=1194/ucp --permanent
firewall-cmd --add-port=22/tcp --permanent
firewall-cmd --add-source=10.8.0.0 --permanent
firewall-cmd --query-source=10.8.0.0 --permanent
firewall-cmd --add-masquerade --permanent
firewall-cmd --query-masquerade --permanent
firewall-cmd --reload

7.启动openV**

systemctl start openV**@server

启动时输入服务端证书密码:yourpassword

第一次启动的时候可能会提示,重新执行systemctl start openV**@server输入密码即可

启动openV**

systemctl start openV**@server

启动时输入服务端证书密码:yourpassword

第一次启动的时候可能会提示,重新执行systemctl start openV**@server输入密码即可

启动V**,输入密码才能启动

网络信息,至此openV**服务器安装完成

8.由于是云服务器,我们还需要在安全组规则中放开1194端口,否则连接不成功,我为了简便把所有ip都能访问1194,生产中可以修改端口。

9.客户端需要的证书:www001.crt、www001.key、ca.crt、ta.key

存放到一个文件夹,然后将里边的文件夹拷贝到本地电脑

mkdir -p /etc/openV**/client
cp -r /etc/openV**/easy-rsa/3.0/pki/issued/www001.crt /etc/openV**/client/
cp -r /etc/openV**/easy-rsa/3.0/pki/private/www001.key /etc/openV**/client/
cp -r /etc/openV**/easy-rsa/3.0/pki/ca.crt /etc/openV**/client/
cp -r /etc/openV**/ta.key /etc/openV**/client/

10.下载客户端软件,客户端配置文件www001.oV**(ip换为openV**服务器外网ip)

client
dev tun
proto udp
resolv-retry infinite
nobind
remote remote ip 1194 
comp-lzo
ca ca.crt
cert www001.crt
key www001.key
tls-auth ta.key 1
keepalive 10 120
persist-key
persist-tun
verb 3
status www001-status.log
log-append www001.log

安装OpenV** 客户端后,清空config文件夹,将www001.crt、www001.key、ca.crt、ta.key、www001.oV**放入config中即可!

本文参与 腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2019-06-25,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 运维架构之路 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
云服务器
云服务器(Cloud Virtual Machine,CVM)提供安全可靠的弹性计算服务。 您可以实时扩展或缩减计算资源,适应变化的业务需求,并只需按实际使用的资源计费。使用 CVM 可以极大降低您的软硬件采购成本,简化 IT 运维工作。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档