Centos7搭建openvpn（1）

centos7安裝配置openssl服務端+客戶端
在CentOS 7環境下搭建OpenVPN服務，Windows客戶端、Linux客戶端通過OpenVPN服務訪問后端機器。

1、環境要求
OpenVPN軟體版本
Linux 安裝：openvpn-2.4.9.tar.gz     # GitHub地址：https://github.com/OpenVPN/openvpn
Linux 安裝：easy-rsa-3.0.7.tar.gz    # GitHub地址：https://github.com/OpenVPN/easy-rsa
widows安裝：openvpn-install-2.4.9-I601-Win10.exe   # OpenVPN官網

如果widows安裝軟體在官方訪問失敗，那么可以從如下地址下載：
https://www.techspot.com/downloads/5182-openvpn.html

        環境需要有外網IP或通過防護墻可將內網IP做代理

2、VPN服務端配置要求：
OpenVPN機器配置必要修改：
開啟轉發功能并生效
## 不存在該配置則添加
grep 'net.ipv4.ip_forward = 1' /etc/sysctl.conf || echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf
sysctl -p
iptables配置
## 添加如下配置 
iptables -t nat -A POSTROUTING -s 10.8.1.0/24 -d 172.17.0.0/16 -o eth0 -j MASQUERADE   # 添加轉發策略，-s是設定的vpn的虛擬IP段，-d是設定的服務器內網環境IP
iptables-save > /etc/sysconfig/iptables   # 保存轉發策略
iptables -L -n -t nat      # 查看設定的策略

原因：客戶端連接VPN后，默認分配的10.8.0.0/24網段地址，不能直接訪問web01或web02機器【這兩臺是172.16.10.0/24網段】，因此需要在iptables進行nat配置。

洗掉上面的iptables配置資訊命令如下。作用：對比正常的訪問和例外的訪問
iptables -t nat -D POSTROUTING 1

系統時間與硬體時間同步：
crontab -l
*/10 * * * * /usr/sbin/ntpdate ntp1.aliyun.com >/dev/null 2>&1

ll /etc/localtime   # 使用上海時間
lrwxrwxrwx. 1 root root 33 Mar  9 03:59 /etc/localtime -> /usr/share/zoneinfo/Asia/Shanghai

hwclock --show   # 查看硬體時間
hwclock --systohc   # 系統時間同步到硬體時間

說明：如果時間不同步，那么VPN登錄訪問就可能存在問題。

3、服務端安裝openvpn服務
安裝依賴包
yum install -y lz4-devel lzo-devel pam-devel openssl-devel systemd-devel sqlite-devel
阿里服務器需要另外安裝如下安裝包
yum install -y autoconf automake libtool libtool-ltdl

從github上下載openvpn源代碼包并解壓后編譯安裝，最后建立軟連接
wget https://github.com/OpenVPN/openvpn/archive/v2.4.9.tar.gz
mv v2.4.9.tar.gz openvpn-2.4.9.tar.gz
tar xf openvpn-2.4.9.tar.gz 
cd openvpn-2.4.9/
autoreconf -i -v -f
./configure --prefix=/usr/local/openvpn --enable-lzo --enable-lz4 --enable-crypto --enable-server --enable-plugins --enable-port-share --enable-iproute2 --enable-pf --enable-plugin-auth-pam --enable-pam-dlopen --enable-systemd
make && make install
ln -s /usr/local/openvpn/sbin/openvpn /usr/local/sbin/openvpn

組態檔修改
# vim /usr/local/openvpn/lib/systemd/system/[email protected]
### 找到 ExecStart 這行，改為如下
ExecStart=/usr/local/openvpn/sbin/openvpn --config server.conf

配置系統服務，并開機自啟動
cp -a /usr/local/openvpn/lib/systemd/system/[email protected] /usr/lib/systemd/system/openvpn.service
systemctl enable openvpn.service

4、服務端生成證書
easy-rsa下載與配置修改

下載easy-rsa并解壓
cd /root/
wget https://github.com/OpenVPN/easy-rsa/archive/v3.0.7.tar.gz 
mv v3.0.7.tar.gz easy-rsa-3.0.7.tar.gz
tar xf easy-rsa-3.0.7.tar.gz

根據easy-rsa-3.0.7/easyrsa3/vars.example檔案生成全域組態檔vars
cd easy-rsa-3.0.7/easyrsa3
cp -a vars.example vars

修改vars檔案，根據需要去掉注釋，并修改對應值；或者直接在檔案末尾追加如下資訊：
# 國家
set_var EASYRSA_REQ_COUNTRY     "CN"
# 省
set_var EASYRSA_REQ_PROVINCE    "BJ"
# 城市
set_var EASYRSA_REQ_CITY        "BeiJing"
# 組織
set_var EASYRSA_REQ_ORG         "zhang"
# 郵箱
set_var EASYRSA_REQ_EMAIL       "[email protected]"
# 擁有者
set_var EASYRSA_REQ_OU          "ZJ"

# 長度
set_var EASYRSA_KEY_SIZE        2048
# 演算法
set_var EASYRSA_ALGO            rsa

# CA證書過期時間，單位天
set_var EASYRSA_CA_EXPIRE      36500
# 簽發證書的有效期是多少天，單位天
set_var EASYRSA_CERT_EXPIRE    36500

生成服務端和客戶端證書
初始化與創建CA根證書
./easyrsa init-pki
輸入yes

初始化，會在當前目錄創建PKI目錄，用于存盤一些中間變數及最終生成的證書
./easyrsa build-ca

操作說明：在這部分需要輸入PEM密碼 PEM pass phrase，輸入兩次，此密碼必須記住，不然以后不能為證書簽名。
  還需要輸入common name 通用名，如：openvpen，這個你自己隨便設定個獨一無二的。

生成服務端證書：
./easyrsa build-server-full server nopass
為服務端生成證書對并在本地簽名。nopass引數生成一個無密碼的證書；在此程序中會讓你確認ca密碼

創建Diffie-Hellman，確保key穿越不安全網路的命令，時間會有點長，耐心等待
./easyrsa gen-dh

生成客戶端證書：
生成多個客戶端證書
/root/easy-rsa-3.0.7/easyrsa3
./easyrsa build-client-full client nopass    # 無密碼，實際應用中不推薦，客戶端有密碼可提高安全性
./easyrsa build-client-full zhangsan    # 先讓你輸入密碼，后需要輸入PEM密碼，后續VPN連接時會使用
./easyrsa build-client-full lisi        
./easyrsa build-client-full wangwu      

為客戶端生成證書對并在本地簽名。nopass引數生成一個無密碼的證書；在此程序中都會讓你確認ca密碼

為了提高安全性，生成ta.key
openvpn --genkey --secret ta.key

加強認證方式，防攻擊。如果組態檔中啟用此項(默認是啟用的)，就需要執行上述命令，并把ta.key放到/etc/openvpn/server目錄。組態檔中服務端第二個引數為0，同時客戶端也要有此檔案，且client.conf中此指令的第二個引數需要為1。【服務端有該配置，那么客戶端也必須要有】

整理服務端證書
mkdir -p /etc/openvpn/server/
cp -a pki/ca.crt /etc/openvpn/server/
cp -a pki/private/server.key /etc/openvpn/server/
cp -a pki/issued/server.crt /etc/openvpn/server/
cp -a pki/dh.pem /etc/openvpn/server/
cp -a ta.key /etc/openvpn/server/

創建服務端組態檔
參照openvpn-2.4.9/sample/sample-config-files/server.conf檔案

cat /etc/openvpn/server/server.conf   # 組態檔內容
local 0.0.0.0
port 1194
proto tcp
dev tun
ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/server.crt
key /etc/openvpn/server/server.key
dh /etc/openvpn/server/dh.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 172.17.0.0 255.255.0.0"
;client-to-client
;duplicate-cn
keepalive 10 120
tls-auth /etc/openvpn/server/ta.key 0
cipher AES-256-CBC
compress lz4-v2
push "compress lz4-v2"
;comp-lzo
max-clients 1000
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
log  /var/log/openvpn.log
verb 3
;explicit-exit-notify 1

組態檔引數說明
local 0.0.0.0
表示openvpn服務端的監聽地址

port 1194
監聽的埠，默認是1194

proto tcp
使用的協議，有udp和tcp。建議選擇tcp

dev tun
使用三層路由IP隧道(tun)還是二層以太網隧道(tap)。一般都使用tun

ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
ca證書、服務端證書、服務端密鑰和密鑰交換檔案。如果它們和server.conf在同一個目錄下則可以不寫絕對路徑，否則需要寫絕對路徑呼叫

server 10.8.0.0 255.255.255.0
vpn服務端為自己和客戶端分配IP的地址池。
服務端自己獲取網段的第一個地址(此處為10.8.0.1)，后為客戶端分配其他的可用地址。以后客戶端就可以和10.8.0.1進行通信。
注意：該網段地址池不要和已有網段沖突或重復。其實一般來說是不用改的。除非當前內網使用了10.8.0.0/24的網段。

ifconfig-pool-persist ipp.txt
使用一個檔案記錄已分配虛擬IP的客戶端和虛擬IP的對應關系，
以后openvpn重啟時，將可以按照此檔案繼續為對應的客戶端分配此前相同的IP。也就是自動續借IP的意思。

server-bridge XXXXXX
使用tap模式的時候考慮此選項。

push "route 10.0.10.0 255.255.255.0"
push "route 192.168.10.0 255.255.255.0"
vpn服務端向客戶端推送vpn服務端內網網段的路由配置，以便讓客戶端能夠找到服務端內網。多條路由就寫多個Push指令

client-to-client
讓vpn客戶端之間可以互相看見對方，即能互相通信。默認情況客戶端只能看到服務端一個人；
默認是注釋的，不能客戶端之間相互看見

duplicate-cn
允許多個客戶端使用同一個VPN帳號連接服務端
默認是注釋的，不支持多個客戶登錄一個賬號

keepalive 10 120
每10秒ping一次，120秒后沒收到ping就說明對方掛了

tls-auth ta.key 0
加強認證方式，防攻擊。如果組態檔中啟用此項(默認是啟用的)
需要執行openvpn --genkey --secret ta.key，并把ta.key放到/etc/openvpn/server目錄
服務端第二個引數為0；同時客戶端也要有此檔案，且client.conf中此指令的第二個引數需要為1。

cipher AES-256-CBC
# 選擇一個密碼。如果在服務器上使用了cipher選項，那么您也必須在這里指定它。注意，v2.4客戶端/服務器將在TLS模式下自動協商AES-256-GCM。

compress lz4-v2
push "compress lz4-v2"
openvpn 2.4版本的vpn才能設定此選項。表示服務端啟用lz4的壓縮功能，傳輸資料給客戶端時會壓縮資料包。
Push后在客戶端也配置啟用lz4的壓縮功能，向服務端發資料時也會壓縮。如果是2.4版本以下的老版本，則使用用comp-lzo指令

comp-lzo
啟用lzo資料壓縮格式。此指令用于低于2.4版本的老版本。且如果服務端配置了該指令，客戶端也必須要配置

max-clients 100
并發客戶端的連接數

persist-key
persist-tun
通過ping得知超時時，當重啟vpn后將使用同一個密鑰檔案以及保持tun連接狀態

status openvpn-status.log
在檔案中輸出當前的連接資訊，每分鐘截斷并重寫一次該檔案

;log openvpn.log
;log-append openvpn.log
默認vpn的日志會記錄到rsyslog中，使用這兩個選項可以改變。
log指令表示每次啟動vpn時覆寫式記錄到指定日志檔案中，
log-append則表示每次啟動vpn時追加式的記錄到指定日志中。
但兩者只能選其一，或者不選時記錄到rsyslog中

verb 3
日志記錄的詳細級別。

;mute 20
沉默的重復資訊。最多20條相同訊息類別的連續訊息將輸出到日志。

explicit-exit-notify 1
當服務器重新啟動時，通知客戶端，以便它可以自動重新連接。僅在UDP協議是可用

啟動openvpn服務并查看行程與埠
systemctl start openvpn.service
ps -ef | grep 'open'
ss -tnl|grep 32311

日志檔案說明：
/var/log/openvpn.log   所有日志資訊
/etc/openvpn/server/openvpn-status.log   輸出當前的連接資訊，每分鐘截斷并重寫一次該檔案
/etc/openvpn/server/ipp.txt    IP連接資訊


5、Windows客戶端配置與訪問
安裝完畢后會在「網路連接」中會多出一個本地連接

客戶端client用戶組態檔
備注：檔案名 windows為client.ovpn，Linux為client.conf
需要的證書與組態檔如下：
注意路徑，在OpenVPN/config目錄下建立了client目錄
ca.crt、client.crt、client.key、ta.key、client.ovpn都是之前創建好的，只有client.ovpn需要單獨下載并修改。
備注：
client.crt，此檔案是根據用戶名創建的檔案，查找方式find / -name "idc-ludonggui.crt"    

client.ovpn內容如下：
client
dev tun
proto tcp
remote 10.0.0.190 1194 注：此ip是外網ip+埠
resolv-retry infinite
nobind
;user nobody
;group nobody
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
remote-cert-tls server
tls-auth ta.key 1
cipher AES-256-CBC
compress lz4-v2
verb 3
;mute 20

客戶端zhangsan用戶組態檔
備注：檔案名 windows為zhangsan.ovpn，Linux為zhangsan.conf

需要的證書與組態檔如下
說明：
1、注意路徑，在OpenVPN/config目錄下建立了zhangsan目錄
2、ca.crt、zhangsan.crt、zhangsan.key、ta.key、zhangsan.ovpn都是之前創建好的，只有zhangsan.ovpn需要單獨下載并修改。

zhangsan.ovpn內容如下：
client
dev tun
proto tcp
remote 10.0.0.190 1194    #這里的地址需要修改為服務端的外網IP地址
resolv-retry infinite
nobind
;user nobody
;group nobody
persist-key
persist-tun
ca ca.crt
cert zhangsan.crt
key zhangsan.key
remote-cert-tls server
tls-auth ta.key 1
cipher AES-256-CBC
compress lz4-v2
verb 3
;mute 20

其他用戶如：參考上述進行配置即可。

組態檔引數說明
# 檔案名 windows為client.ovpn，Linux為client.conf

client
# 標識這是個客戶端

dev tun
# 使用三層路由IP隧道(tun)還是二層以太網隧道(tap)。服務端是什么客戶端就是什么

proto tcp
# 使用的協議，有udp和tcp。服務端是什么客戶端就是什么

remote 10.0.0.190 1194
# 服務端的地址和埠

resolv-retry infinite
# 一直嘗試決議OpenVPN服務器的主機名。
# 在機器上非常有用，不是永久連接到互聯網，如筆記本電腦。

nobind
# 大多數客戶機不需要系結到特定的本地埠號。

;user nobody
;group nobody
# 初始化后的降級特權(僅非windows)

persist-key
persist-tun
# 嘗試在重新啟動時保留某些狀態。

ca ca.crt
cert client.crt
key client.key
# ca證書、客戶端證書、客戶端密鑰
# 如果它們和client.conf或client.ovpn在同一個目錄下則可以不寫絕對路徑，否則需要寫絕對路徑呼叫

remote-cert-tls server
# 通過檢查certicate是否具有正確的密鑰使用設定來驗證服務器證書。

tls-auth ta.key 1
# 加強認證方式，防攻擊。服務端有配置，則客戶端必須有

cipher AES-256-CBC
# 選擇一個密碼。如果在服務器上使用了cipher選項，那么您也必須在這里指定它。注意，v2.4客戶端/服務器將在TLS模式下自動協商AES-256-GCM。

compress lz4-v2
# 服務端用的什么，客戶端就用的什么
#

轉載請註明出處，本文鏈接：https://www.uj5u.com/caozuo/263995.html

標籤：應用程序開發區

上一篇：windows下makefile編譯報錯，提示系統找不到指定的路徑。 CC not found on PATH (arm-none-eabi-gcc).

下一篇：Centos7搭建openvpn（2）