专栏/从零开始学习云计算:第四章 4.26 Openvpn部署

从零开始学习云计算:第四章 4.26 Openvpn部署

2020年06月22日 03:03--浏览 · --点赞 · --评论
粉丝:283文章:89


https://blog.csdn.net/wu2700222/article/details/85261003#1 参考链接


1) 先将本机的yum换成阿里云的yum源

[root@openvepn ~]# curl -o /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo
[root@openvepn ~]# yum clean all
[root@openvepn ~]# yum makecache

2)安装依赖的软件包

[root@openvepn ~]# yum install rpm-build gcc lsof -y
[root@openvepn ~]# yum install -y pam-devel*
[root@openvepn ~]# yum install -y lzo lzo-devel openssl openssl-devel pam pam-devel
[root@openvepn ~]# yum -y install epel*
[root@openvepn ~]# yum install -y pkcs11-helper pkcs11-helper-devel

确认已经安装完成:

[root@openvepn ~]# rpm -qa lzo lzo-devel openssl openssl-devel pam pam-devel pkcs11-helper pkcs11-helper-devel


[root@openvepn ~]# yum -y install wget

[root@openvepn ~]# wget http://oss.aliyuncs.com/aliyunecs/openvpn-2.2.2.tar.gz

[root@openvepn ~]# rpmbuild -tb openvpn-2.2.2.tar.gz

执行上面这条命令以后就会正常开始编译了,编译完成以后会在 ``/root/rpmbuild/RPMS/x86_64 目录下生成 openvpn-2.2.2-1.x86_64.rpm 安装包。

[root@openvepn ~]# ls /root/rpmbuild/RPMS/x86_64

[root@openvepn ~]# rpm -ivh /root/rpmbuild/RPMS/x86_64/openvpn-2.2.2-1.x86_64.rpm

4)配置Openvpn服务(服务端)

初始化KPI

[root@openvepn ~]# cd /usr/share/doc/openvpn-2.2.2/easy-rsa/2.0

进入到 ``/usr/share/doc/openvpn-2``.2.2``/easy-rsa/2``.0 目录下,找到 vars 证书环境文件,修改以下几行 ``export 定义的参数值

[root@openvepn ~]# vim vars
export KEY_COUNTRY="CN"
export KEY_PROVINCE="SH"
export KEY_CITY="SHANGHAI"
export KEY_ORG="wu2700222"
export KEY_EMAIL="wu2700222@126.com"

修改成这个样子


上述参数的值可以自定义设置,对配置无影响

生成服务端的证书

清除并删除keys目录下的所有key

[root@openvepn 2.0]# cd /usr/share/doc/openvpn-2.2.2/easy-rsa/2.0
[root@openvepn 2.0]# ln -s openssl-1.0.0.cnf openssl.cnf
[root@openvepn 2.0]# ll openssl*


[root@openvepn 2.0]# source ./vars

[root@openvepn 2.0]# ./clean-all

生成CA证书,刚刚上面已经在vars文件中配置了默认参数值,多次回车完成就可以:

[root@openvepn 2.0]# ./build-ca

生成服务器证书

如下kuping是自定义的名字,一直回车,到最后会有两次交互,输入y确认,完成后会在keys目录下保存了kupingvpn.key、kupingvpn.csrl和kupingvpn.crt 三个文件。

[root@openvepn 2.0]#  ./build-key-server kupingVPN


查看一下

[root@openvepn 2.0]# ls keys/


创建VPN登陆用户的秘钥与证书

如下,创建用户名为kevin的秘钥和证书,一直回车,到最后会有两次确认,只要按y确认即可。完成后,在keys目录下生成1024位RSA服务器密钥kevin.key、kevin.crt和kevin.csr 三个文件。

[root@openvepn 2.0]# ./build-key kevin

如果创建用户证书时报错,可以将keys整个目录删除,然后从``source .``/vars``这一步开始重新操作(慎重,否则之前在keys目录里的用户数据就会都删除)

生成Diffie Hellman参数

[root@openvepn 2.0]# ./build-dh

执行了.``/build-dh``后,会在 keys 目录下生成 dh 参数文件 dh1024.pem。该文件客户端验证的时候会用到

[root@openvepn 2.0]# ls keys/

将``/usr/share/doc/openvpn-2``.2.2``/easy-rsa/2``.0``/keys 目录下的所有文件复制到 ``/etc/openvpn``下:

复制openvpn服务端配置文件 server.conf 到 ``/etc/openvpn/ 目录下:

[root@openvepn 2.0]# cp -a /usr/share/doc/openVPN-2.2.2/easy-rsa/2.0/keys/* /etc/openvpn/
[root@openvepn 2.0]# cp -a /usr/share/doc/openVPN-2.2.2/sample-config-files/server.conf /etc/openvpn/

查看server.conf文件的配置

5)设置iptables

[root@openvepn ~]#  vim /etc/sysctl.conf

[root@openvepn ~]# sysctl -p

net.ipv4.ip_forward = 1

vm.min_free_kbytes = 409600

vm.vfs_cache_pressure = 200

vm.swappiness = 0

fs.file-max = 1024000

fs.aio-max-nr = 1024000

kernel.sysrq = 1

添加iptables规则,确保服务器可以转发数据包到外网:

[root@openvepn ~]# yum install -y iptables iptables-services
[root@openvepn ~]# iptables -V
iptables v1.4.21
[root@openvepn ~]# iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j MASQUERADE
[root@openvepn ~]# service iptables save
[root@openvepn ~]# systemctl restart iptables
[root@openvepn ~]# iptables -t nat -L


6)启动OpenVPN

[root@openvepn ~]# /etc/init.d/openvpn start  或者service openvpn start
[root@openvepn ~]# chkconfig openvpn on  //设置为开机自启
[root@openvepn openvpn]# lsof -i:1194
COMMAND   PID   USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
openVPN 83101 nobody    5u  IPv4 348617      0t0  UDP *:openvpn

如果1194端口启动不起来,可以通过查看/etc/openvpn/openvpn.log日志进行原因排查

后续给同事开VPN账号,只需要下面几步(比如给wuwei同事开vpn)

[root@openvepn ~]# cd /usr/share/doc/openvpn-2.2.2/easy-rsa/2.0
[root@openvepn 2.0]# ./build-key wuwei[root@openvepn 2.0]# /etc/init.d/openvpn restart
[root@openvepn 2.0]# lsof -i:1194


然后编写wuwei用户的config.ovpn客户端配置文件

[root@openvepn 2.0]# vim /tmp/config.oVPN
[root@openvepn 2.0]# cat /tmp/config.oVPN
client
dev tun
proto udp
remote 113.96.61.15 1194
resolv-retry infinite
nobind
mute-replay-warnings
ca  ca.crt
cert wuwei.crt
key wuwei.key
comp-lzo

然后将ca.crt、config.ovpn、wuwei.crt、wuwei.csr、wuwei.key这五个文件放到wuwei用户下

[root@openvepn 2.0]# mkdir /tmp/wuwei
[root@openvepn 2.0]# cp keys/wuwei.* keys/ca.crt /tmp/config.oVPN /tmp/wuwei/
[root@openvepn 2.0]# ls /tmp/wuwei/
ca.crt  config.ovpn  wuwei.crt  wuwei.csr  wuwei.key
[root@openvepn 2.0]#  cd /tmp/ && tar -zvcf wuwei.tar.gz wuwei

7)openvpn使用说明

7.1)、mac用户 参考https://blog.csdn.net/wu2700222/article/details/85264962

7.2)、windows用户

  1. 需要向管理员申请openVPN的配置及秘钥文件(总共包括5个文件:ca.crt证书、config.ovpn客户端配置文件、用户.crt、用户.csr、用户.key)。(其中,config.ovpn客户端文件是直接配置好拷贝给客户机的,这个文件在服务器端是不存在的,需要自己编写)

  2. 软件安装包见文末

  3. 如果你的电脑没有安装过TAP,安装过程中会有下面的提示,选择安装。

下载地址:

https://openvpn.net/community-downloads/

https://swupdate.openvpn.org/community/releases/openvpn-install-2.4.7-I603.exe

4.鼠标右键点击软件安装包以管理员方式运行,一直点next 或者agree即可


接着下一步,同意直到安装完成.

5.安装完成后你的桌面会出现下面的图标,出现这个说明安装成功了。


6.然后打开我的电脑,进到openVPN安装目录即 C:\Program Files\Openvpn\config 这个文件夹下,然后拿出管理员给你的配置文件,放到这个目录下,如下


7.回到桌面,右键openvpn的图标,选择以管理员身份运行


8.这时候电脑右下角会出现openVPN的程序


9.鼠标右键,选择connect


10.程序图标变成绿色,就说明openVPN连接成功了



投诉或建议