美文网首页
OpenVPN 安装与配置

OpenVPN 安装与配置

作者: 修行2年 | 来源:发表于2020-11-14 15:34 被阅读0次

    OpenVPN是一个开源应用程序,可让您通过公共Internet创建安全的专用网络。 OpenVPN实现了虚拟专用网络(VPN)以创建安全连接。 OpenVPN使用OpenSSL库提供加密,并提供几种身份验证机制,例如基于证书的预共享密钥以及用户名/密码身份验证。

    在本教程中,我们将使用最新版本的centos服务器(7.5),并将使用带有easy-rsa 3的OpenVPN 2.4。在安装OpenVPN和easy-rsa软件包之前,请确保“ epel”存储库 已安装在系统上。 如果没有,请使用下面的yum命令安装epel信息库。

    yum install epel-release -y

    步骤1:安装openvpn 和easy-rsa

    yum install openvpn easy-rsa -y

    安装完成后,检查openvpn和easy-rsa版本

    openvpn --version

    ss8.png

    ls -lah /usr/share/easy-rsa/

    ss8.png

    已安装带有easy-rsa 3的OpenVPN 2.4。

    步骤2:配置RSA

    在此步骤中,我们将通过创建新的“ vars”文件来配置easy-rsa 3。 “ vars”文件包含Easy-RSA 3设置。

    转到“ /etc/openvpn/”目录并复制“ easy-rsa”脚本。

    cd /etc/openvpncp -r /usr/share/easy-rsa /etc/openvpn/

    然后,跳转到/etc/openvpn/easy-rsa/3/目录并且创建vars文件,复制粘贴以下内容,并保存

    set_var EASYRSA                "$PWD"set_var EASYRSA_PKI            "$EASYRSA/pki"set_var EASYRSA_DN              "cn_only"set_var EASYRSA_REQ_COUNTRY    "ID"set_var EASYRSA_REQ_PROVINCE    "Jakarta"set_var EASYRSA_REQ_CITY        "Jakarta"set_var EASYRSA_REQ_ORG        "hakase-labs CERTIFICATE AUTHORITY"set_var EASYRSA_REQ_EMAIL      "openvpn@hakase-labs.io"set_var EASYRSA_REQ_OU          "HAKASE-LABS EASY CA"set_var EASYRSA_KEY_SIZE        2048set_var EASYRSA_ALGO            rsaset_var EASYRSA_CA_EXPIRE      7500set_var EASYRSA_CERT_EXPIRE    365set_var EASYRSA_NS_SUPPORT      "no"set_var EASYRSA_NS_COMMENT      "HAKASE-LABS CERTIFICATE AUTHORITY"set_var EASYRSA_EXT_DIR        "$EASYRSA/x509-types"set_var EASYRSA_SSL_CONF        "$EASYRSA/openssl-1.0.cnf"set_var EASYRSA_DIGEST          "sha256"

    根据需要更改变量的值。

    增加“ EASYRSA_KEY_SIZE”以提高安全性。

    更改“ EASYRSA_CA_EXPIRE”和“ EASYRSA_CERT_EXPIRE”。

    现在,通过更改文件的权限使“ vars”文件可执行。

    sudo chmod +x vars

    Easy-RSA 3设置的vars文件已创建。

    第3步:构建OpenVPN密钥

    在此步骤中,我们将基于我们创建的easy-rsa 3'vars'文件构建OpenVPN密钥。 我们将构建CA密钥,服务器和客户端密钥,DH和CRL PEM文件。

    我们将使用“ easyrsa”命令行构建所有这些键。 转到“/etc/openvpn/easy-rsa/ 3”目录。

    cd /etc/openvpn/easy-rsa/3/

    初始化和建立CA

    在构建任何密钥之前,我们需要初始化PKI目录并构建CA密钥。

    启动PKI目录,并建立使用下面的命令CA密钥。

    sudo./easyrsainit-pkisudo./easyrsa build-ca

    现在输入CA密钥的密码,您将在'pki'目录下获得ca.crtca.key文件。

    构建服务器密钥

    现在我们要构建服务器密钥,然后将构建名为“ hakase-server”的服务器密钥。

    使用以下命令构建服务器密钥“ hakase-server”。

    ./easyrsa gen-req hakase-server nopass

    nopass =选项,用于禁用“ hakase-server”密钥的密码。

    并使用我们的CA证书签署“ hakase-server”密钥。

    sudo ./easyrsa sign-req server hakase-server

    系统将要求您输入“ CA”密码,输入密码,然后按Enter。 您将在“ pki / issued /”目录下获得“ hakase-server.crt”证书文件

    创建的服务器证书位于

    /etc/openvpn/easy-rsa/3.0.6/pki/issued/hakase-server.crt

    使用OpenSSL命令验证证书文件,并确保没有错误。出现下面的信息就代表你前面所做的操作是没问题的

    $ sudo openssl verify-CAfilepki/ca.crt pki/issued/hakase-server.crt$pki/issued/hakase-server.crt:OK

    已创建所有服务器证书密钥。

    服务器私钥位于“ pki / private / hakase-server.key”。

    服务器证书位于“ pki / issued / hakase-server.crt”。

    创建客户端密钥

    现在我们需要为客户端构建密钥。 我们将生成名为“ client01”的新客户端密钥。

    使用以下命令生成“ client01”密钥

    sudo ./easyrsa gen-req client01 nopass

    ss8.png

    现在,使用我们的CA证书签署“ client01”密钥,如下所示。

    sudo ./easyrsa sign-req client client01

    键入“yes”以确认客户端证书请求,然后键入CA密码。

    已生成名为“ client01”的客户端证书,请使用openssl命令验证客户端证书。

    sudo openssl verify-CAfile pki/ca.crt pki/issued/client01.crt

    **生成Diffie-Hellman密钥

    此操作将花费大量时间,具体取决于我们选择的密钥长度和服务器上的可用熵。 我们将使用在“ vars”文件中定义的长度键。

    使用以下命令生成Diffie-Hellman密钥

    ss8.png

    可选:生成CRL密钥,本文跳过这一步骤

    CRL(证书吊销列表)密钥将用于吊销客户端密钥。 如果您的VPN服务器上有多个客户端证书,并且想撤消某些密钥,则只需使用easy-rsa命令撤消。

    如果要撤消某些密钥,请运行以下命令

    ./easyrsa revoke xxxx

    然后生成CRL密钥。

    ./easyrsa gen-crl

    复制证书文件

    已生成所有证书,现在复制证书文件和PEM文件。

    复制服务器密钥和证书。

    cp pki/ca.crt/etc/openvpn/server/cp pki/issued/hakase-server.crt/etc/openvpn/server/cp pki/private/hakase-server.key/etc/openvpn/server/

    复制client01密钥和证书。

    cp pki/ca.crt/etc/openvpn/client/cp pki/issued/client01.crt/etc/openvpn/client/cp pki/private/client01.key/etc/openvpn/client/

    复制DH和CRL密钥。

    cp pki/dh.pem /etc/openvpn/server/

    第4步-配置OpenVPN

    在这一步中,我们将为openvpn服务器创建新的配置'server.conf'。转到"/etc/openvpn/"目录,并使用vim创建新的配置文件"server.conf"

    将以下OpenVPN服务器配置粘贴到此处。

    cd /etc/openvpn/vim server.conf

    将以下OpenVPN服务器配置粘贴到此处。

    # OpenVPN Port, Protocol and the Tunport 1194proto udpdev tun# OpenVPN Server Certificate - CA, server key and certificateca /etc/openvpn/server/ca.crtcert /etc/openvpn/server/hakase-server.crtkey /etc/openvpn/server/hakase-server.key#DH and CRL keydh /etc/openvpn/server/dh.pem#注意本文没有跳过了丢消证书的检测#crl-verify /etc/openvpn/server/crl.pem# Network Configuration - Internal network# Redirect all Connection through OpenVPN Serverserver 10.10.1.0 255.255.255.0push "redirect-gateway def1"# Using the DNS from https://dns.watchpush "dhcp-option DNS 84.200.69.80"push "dhcp-option DNS 84.200.70.40"#Enable multiple client to connect with same Certificate keyduplicate-cn# TLS Securitycipher AES-256-CBCtls-version-min 1.2tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-128-CBC-SHA256auth SHA512auth-nocache# Other Configurationkeepalive 20 60persist-keypersist-tuncomp-lzo yesdaemonuser nobodygroup nobody# OpenVPN Loglog-append /var/log/openvpn.logverb 3

    OpenVPN的配置已创建。

    步骤5-启用端口转发并配置路由Firewalld

    在此步骤中,我们将启用端口转发内核模块并为OpenVPN配置路由“防火墙”。

    ss8.png

    通过运行以下命令来启用端口转发内核模块。

    echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.confsysctl -p

    接下来,使用Firewalld for OpenVPN配置路由。

    将 "openvpn"服务添加到防火墙列表服务,并将“tun0”接口添加到防火墙信任区域。

    sudo firewall-cmd--permanent--add-service=openvpnsudo firewall-cmd--permanent--zone=trusted--add-interface=tun0

    在防火墙的“受信任”区域上启用“ MASQUERADE”。

    sudo firewall-cmd--permanent--zone=trusted--add-masquerade

    如果你的网关是使用iptable,并且iptable默认情况下阻止该服务,那么请使用以下配置使openvpn正常运行。 首先,让我们在openvpn端口上进行tcp连接。 如果您使用的是udp或其他端口号,请相应地更改此行。

    iptables-AINPUT-i enp3s0-m state--stateNEW-p udp--dport1194-jACCEPT

    允许TUN接口连接到OpenVPN服务器

    iptables -A INPUT -i tun+ -j ACCEPT

    允许通过其他接口转发TUN接口连接

    iptables -A FORWARD -i tun+ -j ACCEPTiptables -A FORWARD -i tun+ -o enp3s0 -m state --state RELATED,ESTABLISHED -j ACCEPTiptables -A FORWARD -i enp3s0 -o tun+ -m state --state RELATED,ESTABLISHED -j ACCEPT

    NAT VPN客户端流量到Internet。 运行“ ifconfig”命令时,根据您的tun0结果信息更改IP地址掩码。

    iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o enp3s0 -j MASQUERADE

    如果您的默认iptables OUTPUT的值不是ACCEPT的话,则还需要以下行:

    iptables -A OUTPUT -o tun+ -j ACCEPT

    最后记得保存iptables的防火墙配置

    sudo iptables-save>/etc/sysconfig/iptables

    端口转发和防火墙路由已完成,现在启动openvpn服务,并使它能够在每次系统引导时自动启动。

    systemctl start openvpn@serversystemctl enable openvpn@server

    我们通过netstat -plntu | grep 1194查看服务器的监听接口

    第6步-OpenVPN客户端设置

    转到“/etc/openvpn/client”目录,并使用vim创建一个新的openvpn客户端配置文件“ client01.ovpn".

    cd /etc/openvpn/clientvim client01.ovpn

    复制粘贴以下内容到ovpn

    clientdev tunproto udp#真实的ip地址自己填写remote x.x.x.x 1194ca ca.crtcert client01.crtkey client01.keycipher AES-256-CBCauth SHA512auth-nocachetls-version-min 1.2tls-cipherTLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-128-CBC-SHA256resolv-retry infinitecompress lzonobindpersist-keypersist-tunmute-replay-warningsverb 3

    保存后退出

    现在将“/etc/openvpn/client”目录压缩为“ zip”或“ tar.gz”文件,并使用scp从本地计算机下载压缩文件。

    将“ /etc/openvpn/client”目录压缩到“ client01.tar.gz”文件。

    cd /etc/openvpn/tar -czvf client01.tar.gz client/*

    然后将该客户端所需的证书和配置文件拷贝到需要链接入vpn的客户端

    步骤7-测试OpenVPN

    安装OpenVPN软件包,如果需要GUI配置,请安装OpenVPN network-manager

    ss8.png

    如果要使用终端外壳进行连接,请运行以下OpenVPN命令。

    openvpn --config client01.ovpn

    作者:铁甲万能狗

    链接:https://www.jianshu.com/p/17a56994b74f

    来源:简书

    著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

    相关文章

      网友评论

          本文标题:OpenVPN 安装与配置

          本文链接:https://www.haomeiwen.com/subject/jvkwbktx.html