前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >openvpn安装及证书制作

openvpn安装及证书制作

作者头像
一朵灼灼华
发布2022-08-05 20:54:03
7.3K0
发布2022-08-05 20:54:03
举报

1. 安装vpn服务端(openvpn)

1) 安装epel 仓库源 wget http://dl.fedoraproject.org/pub/epel/6/i386/epel-release-6-8.noarch.rpm rpm -Uvh epel-release-6-8.noarch.rpm

2) 安装openvpn yum install -y openvpn

3) 安装easy-rsa(该包用来制作ca证书) https://github.com/OpenVPN/easy-rsa 下载包 git clone https://github.com/OpenVPN/easy-rsa.git ps:如果没有git就安装yum -y install git

将easy-rsa文件拷贝到/etc/openvpn/下面 cp -a /usr/local/hebei/easy-rsa/ /etc/openvpn/ 将vars.example 文拷贝 cp vars.example vars 编辑文件vars 修改内容如下

4) 创建服务端证书及key  初始化 cd /etc/openvpn/easy-rsa/easyrsa3/ ./easyrsa init-pki 初始化目录为 /etc/openvpn/easy-rsa/easyrsa3/pki

 创建根证书 ./easyrsa build-ca 文件存放在 /etc/openvpn/easy-rsa/easyrsa3/pki/ca.crt

 创建服务器端证书 ./easyrsa gen-req server nopass 文件存放在 req: /etc/openvpn/easy-rsa/easyrsa3/pki/reqs/server.req key: /etc/openvpn/easy-rsa/easyrsa3/pki/private/server.key

 签约服务端证书 ./easyrsa sign server server 文件存放在 /etc/openvpn/easy-rsa/easyrsa3/pki/issued/server.crt

 创建Diffie-Hellman,确保key穿越不安全网络的命令 ./easyrsa gen-dh

5) 创建客户端证书  拷贝文件 cp -a /usr/local/hebei/easy-rsa/ /usr/local/hebei/client/  初始化 ./easyrsa init-pki  创建客户端key及生成证书 ./easyrsa gen-req coccnet 文件 req: /usr/local/hebei/client/easy-rsa/easyrsa3/pki/reqs/coccnet.req key: /usr/local/hebei/client/easy-rsa/easyrsa3/pki/private/coccnet.key

 将得到的coccnet.req导入然后签约证书 a. 进入到/etc/openvpn/easy-rsa/easyrsa3/ cd /etc/openvpn/easy-rsa/easyrsa3/ b. 导入req ./easyrsa import-req /usr/local/hebei/client/easy-rsa/easyrsa3/pki/reqs/coccnet.req coccnet

签约证书 ./easyrsa sign client coccnet

置服务端证书  拷贝服务器端文件到openvpn cp /etc/openvpn/easy-rsa/easyrsa3/pki/ca.crt /etc/openvpn/ cp /etc/openvpn/easy-rsa/easyrsa3/pki/private/server.key /etc/openvpn/ cp /etc/openvpn/easy-rsa/easyrsa3/pki/issued/server.crt /etc/openvpn/ cp /etc/openvpn/easy-rsa/easyrsa3/pki/dh.pem /etc/openvpn/  拷贝客户端端文件到client cp /etc/openvpn/easy-rsa/easyrsa3/pki/ca.crt /usr/local/hebei/client/ cp /etc/openvpn/easy-rsa/easyrsa3/pki/issued/coccnet.crt /usr/local/hebei/client/ cp /usr/local/hebei/client/easy-rsa/easyrsa3/pki/private/coccnet.key /usr/local/hebei/client/

http://file.upyun.heanny.cn/openvpn_%E8%AF%81%E4%B9%A6.zip 7) 配置服务端文件  拷贝配置文件

cp /usr/share/doc/openvpn-2.4.8/sample/sample-config-files/server.conf /etc/openvpn/  修改配置文件 vim /etc/openvpn/server.conf 配置文件参考:

代码语言:javascript
复制
    local 0.0.0.0 #监听地址
    port 1194 #监听端口
    proto udp #监听协议
    dev tun #采用路由隧道模式
    ca /etc/openvpn/ca.crt #ca证书路径
    cert /etc/openvpn/server.crt #服务器证书
    key /etc/openvpn/server.key # This file should be kept secret 服务器秘钥
    dh /etc/openvpn/dh.pem #密钥交换协议文件
    server 10.8.0.0 255.255.255.0 #给客户端分配地址池,注意:不能和VPN服务器内网网段有相同
    ifconfig-pool-persist ipp.txt
    push "redirect-gateway def1 bypass-dhcp" #给网关
    push "dhcp-option DNS 8.8.8.8" #dhcp分配dns
    client-to-client #客户端之间互相通信
    keepalive 10 120 #存活时间,10秒ping一次,120 如未收到响应则视为断线
    comp-lzo #传输数据压缩
    max-clients 100 #最多允许 100 客户端连接
    user openvpn #用户
    group openvpn #用户组
    persist-key
    persist-tun
    status /var/log/openvpn/openvpn-status.log
    log /var/log/openvpn/openvpn.log
    verb 3

 配置log目录 mkdir /var/log/openvpn chown -R openvpn.openvpn /var/log/openvpn/ chown -R openvpn.openvpn /etc/openvpn/*  生成ta.key openvpn --genkey --secret /etc/openvpn/ta.key

8) 设置iptables配置nat规则和打开路由转发 iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j MASQUERADE iptables -vnL -t nat vim /etc/sysctl.conf//打开路由转发

代码语言:javascript
复制
net.ipv4.ip_forward = 1

sysctl -p 9) 启动openvpn服务端 openvpn --config /etc/openvpn/server.conf &

ss -nutl |grep 1194

10) 服务器iptables开启nat转发 若服务器防火墙为firewall,则需要关闭firewall,安装并开启iptables service firewalld stop systemctl disable firewalld yum -y install iptables-services systemctl enable iptables 修改配置文件 vim /etc/sysconfig/iptables 注释掉:

代码语言:javascript
复制
#-A INPUT -j REJECT --reject-with icmp-host-prohibited
#-A FORWARD -j REJECT --reject-with icmp-host-prohibited

添加:

代码语言:javascript
复制
-A INPUT -p udp -m udp --dport 1194 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
及
-A INPUT -i tun0 -j ACCEPT
或
-A FORWARD -d 10.8.0.0/24 -j ACCEPT
-A FORWARD -s 10.8.0.0/24 -j ACCEPT

重启iptables

本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2020-02-26,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 1. 安装vpn服务端(openvpn)
相关产品与服务
NAT 网关
NAT 网关(NAT Gateway)提供 IP 地址转换服务,为腾讯云内资源提供高性能的 Internet 访问服务。通过 NAT 网关,在腾讯云上的资源可以更安全的访问 Internet,保护私有网络信息不直接暴露公网;您也可以通过 NAT 网关实现海量的公网访问,最大支持1000万以上的并发连接数;NAT 网关还支持 IP 级流量管控,可实时查看流量数据,帮助您快速定位异常流量,排查网络故障。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档