openvpn安装及证书制作
1. 安装vpn服务端(openvpn)
1) 安装epel 仓库源
wget http://dl.fedoraproject.org/pub/epel/6/i386/epel-release-6-8.noarch.rpm
rpm -Uvh epel-release-6-8.noarch.rpm
2) 安装openvpn
yum install -y openvpn
3) 安装easy-rsa(该包用来制作ca证书)
https://github.com/OpenVPN/easy-rsa 下载包
git clone https://github.com/OpenVPN/easy-rsa.git
ps:如果没有git就安装yum -y install git
将easy-rsa文件拷贝到/etc/openvpn/下面
cp -a /usr/local/hebei/easy-rsa/ /etc/openvpn/
将vars.example 文拷贝
cp vars.example vars
编辑文件vars
修改内容如下
4) 创建服务端证书及key
初始化
cd /etc/openvpn/easy-rsa/easyrsa3/
./easyrsa init-pki
初始化目录为
/etc/openvpn/easy-rsa/easyrsa3/pki
创建根证书
./easyrsa build-ca
文件存放在
/etc/openvpn/easy-rsa/easyrsa3/pki/ca.crt
创建服务器端证书
./easyrsa gen-req server nopass
文件存放在
req: /etc/openvpn/easy-rsa/easyrsa3/pki/reqs/server.req
key: /etc/openvpn/easy-rsa/easyrsa3/pki/private/server.key
签约服务端证书
./easyrsa sign server server
文件存放在
/etc/openvpn/easy-rsa/easyrsa3/pki/issued/server.crt
创建Diffie-Hellman,确保key穿越不安全网络的命令
./easyrsa gen-dh
5) 创建客户端证书
拷贝文件
cp -a /usr/local/hebei/easy-rsa/ /usr/local/hebei/client/
初始化
./easyrsa init-pki
创建客户端key及生成证书
./easyrsa gen-req coccnet
文件
req: /usr/local/hebei/client/easy-rsa/easyrsa3/pki/reqs/coccnet.req
key: /usr/local/hebei/client/easy-rsa/easyrsa3/pki/private/coccnet.key
将得到的coccnet.req导入然后签约证书
a. 进入到/etc/openvpn/easy-rsa/easyrsa3/
cd /etc/openvpn/easy-rsa/easyrsa3/
b. 导入req
./easyrsa import-req /usr/local/hebei/client/easy-rsa/easyrsa3/pki/reqs/coccnet.req coccnet
签约证书
./easyrsa sign client coccnet
置服务端证书
拷贝服务器端文件到openvpn
cp /etc/openvpn/easy-rsa/easyrsa3/pki/ca.crt /etc/openvpn/
cp /etc/openvpn/easy-rsa/easyrsa3/pki/private/server.key /etc/openvpn/
cp /etc/openvpn/easy-rsa/easyrsa3/pki/issued/server.crt /etc/openvpn/
cp /etc/openvpn/easy-rsa/easyrsa3/pki/dh.pem /etc/openvpn/
拷贝客户端端文件到client
cp /etc/openvpn/easy-rsa/easyrsa3/pki/ca.crt /usr/local/hebei/client/
cp /etc/openvpn/easy-rsa/easyrsa3/pki/issued/coccnet.crt /usr/local/hebei/client/
cp /usr/local/hebei/client/easy-rsa/easyrsa3/pki/private/coccnet.key /usr/local/hebei/client/
http://file.upyun.heanny.cn/openvpn_%E8%AF%81%E4%B9%A6.zip 7) 配置服务端文件 拷贝配置文件
cp /usr/share/doc/openvpn-2.4.8/sample/sample-config-files/server.conf /etc/openvpn/
修改配置文件
vim /etc/openvpn/server.conf
配置文件参考:
local 0.0.0.0 #监听地址
port 1194 #监听端口
proto udp #监听协议
dev tun #采用路由隧道模式
ca /etc/openvpn/ca.crt #ca证书路径
cert /etc/openvpn/server.crt #服务器证书
key /etc/openvpn/server.key # This file should be kept secret 服务器秘钥
dh /etc/openvpn/dh.pem #密钥交换协议文件
server 10.8.0.0 255.255.255.0 #给客户端分配地址池,注意:不能和VPN服务器内网网段有相同
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp" #给网关
push "dhcp-option DNS 8.8.8.8" #dhcp分配dns
client-to-client #客户端之间互相通信
keepalive 10 120 #存活时间,10秒ping一次,120 如未收到响应则视为断线
comp-lzo #传输数据压缩
max-clients 100 #最多允许 100 客户端连接
user openvpn #用户
group openvpn #用户组
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 3 配置log目录
mkdir /var/log/openvpn
chown -R openvpn.openvpn /var/log/openvpn/
chown -R openvpn.openvpn /etc/openvpn/*
生成ta.key
openvpn --genkey --secret /etc/openvpn/ta.key
8) 设置iptables配置nat规则和打开路由转发
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j MASQUERADE
iptables -vnL -t nat
vim /etc/sysctl.conf//打开路由转发
net.ipv4.ip_forward = 1sysctl -p
9) 启动openvpn服务端
openvpn --config /etc/openvpn/server.conf &
ss -nutl |grep 1194
10) 服务器iptables开启nat转发
若服务器防火墙为firewall,则需要关闭firewall,安装并开启iptables
service firewalld stop
systemctl disable firewalld
yum -y install iptables-services
systemctl enable iptables
修改配置文件
vim /etc/sysconfig/iptables
注释掉:
#-A INPUT -j REJECT --reject-with icmp-host-prohibited
#-A FORWARD -j REJECT --reject-with icmp-host-prohibited添加:
-A INPUT -p udp -m udp --dport 1194 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
及
-A INPUT -i tun0 -j ACCEPT
或
-A FORWARD -d 10.8.0.0/24 -j ACCEPT
-A FORWARD -s 10.8.0.0/24 -j ACCEPT
重启iptables