一、安裝open微皮恩服務
1.安裝epel-release
yum -y install epel-release
2.安裝open微皮恩
yum -y install open微皮恩
3.下載easy-rsa
easy-rsa 是構建和管理 PKI CA 的 CLI 實用程式,用外行的話說,這意味著創建根證書頒發機構,并請求和簽署證書,包括中間 CA 和證書吊銷串列 (CRL),
git clone https://github.com/Open微皮恩/easy-rsa.git
或者直接訪問網址下載
4.創建 /etc/open微皮恩/ 目錄
4.1創建目錄,并復制easy-rsa 目錄
mkdir -p /etc/open微皮恩/
cp -a easy-rsa /etc/open微皮恩/
2.配置,編輯vars檔案,修改vars模板
cd /etc/open微皮恩/easy-rsa/easyrsa3
cp vars.example vars
vim vars
在組態檔底部添加以下內容
set_var EASYRSA_REQ_COUNTRY "CN"
set_var EASYRSA_REQ_PROVINCE "Beijing"
set_var EASYRSA_REQ_CITY "Beijing"
set_var EASYRSA_REQ_ORG "baozao"
set_var EASYRSA_REQ_EMAIL "baozao@163.com"
set_var EASYRSA_REQ_OU "My Open微皮恩"
圖例
5. 創建服務端證書和key檔案
5.1 初始化
cd /etc/open微皮恩/easy-rsa/easyrsa3/
./easyrsa init-pki
5.2 創建根證書
./easyrsa build-ca
5.3 創建服務器端證書
./easyrsa gen-req server nopass
5.4 簽約服務端證書
./easyrsa sign server server
5.5 創建Diffie-Hellman,確保key穿越不安全網路的命令
./easyrsa gen-dh
6.創建客戶端證書(一臺主機上做)
6.1 回到/usr/local/src/創建客戶端證書
cd /usr/local/src/
mkdir client
cp -a /etc/open微皮恩/easy-rsa /usr/local/src/client/
cd /usr/local/src/client/easy-rsa/easyrsa3/
6.2 初始化
./easyrsa init-pki
6.3 創建客戶端key及生成證書(記住生成是自己客戶端登錄輸入的密碼)
./easyrsa gen-req baozao
6.4 將的到的baozao.req匯入然后簽約證書
cd /etc/open微皮恩/easy-rsa/easyrsa3/
./easyrsa import-req /usr/local/src/client/easy-rsa/easyrsa3/pki/reqs/baozao.req baozao
簽約證書
./easyrsa sign client baozao
7.把服務器端必要檔案放到etc/open微皮恩/ 目錄下
ca的證書、服務端的證書、秘鑰
cp /etc/open微皮恩/easy-rsa/easyrsa3/pki/ca.crt /etc/open微皮恩/
cp /etc/open微皮恩/easy-rsa/easyrsa3/pki/private/server.key /etc/open微皮恩/
cp /etc/open微皮恩/easy-rsa/easyrsa3/pki/issued/server.crt /etc/open微皮恩/
cp /etc/open微皮恩/easy-rsa/easyrsa3/pki/dh.pem /etc/open微皮恩/
8.把客戶端必要檔案放到/usr/local/src/client/目錄下
客戶端的證書、秘鑰
cp /etc/open微皮恩/easy-rsa/easyrsa3/pki/ca.crt /usr/local/src/client/
cp /etc/open微皮恩/easy-rsa/easyrsa3/pki/issued/baozao.crt /usr/local/src/client/
cp /usr/local/src/client/easy-rsa/easyrsa3/pki/private/baozao.key /usr/local/src/client/
9.為服務端撰寫組態檔
查看open微皮恩組態檔所在位置
rpm -ql open微皮恩 |grep server.conf
復制到/etc/open微皮恩
cp /usr/share/doc/open微皮恩-2.4.9/sample/sample-config-files/server.conf /etc/open微皮恩
修改組態檔
vim /etc/open微皮恩/server.conf
local 0.0.0.0 #監聽地址
port 1194 #監聽埠
proto tcp #監聽協議
dev tun #采用路由隧道模式
ca /etc/open微皮恩/ca.crt #ca證書路徑
cert /etc/open微皮恩/server.crt #服務器證書
key /etc/open微皮恩/server.key # This file should be kept secret 服務器秘鑰
dh /etc/open微皮恩/dh.pem #密鑰交換協議檔案
server 192.168.100.0 255.255.255.0 #給客戶端分配地址池,注意:不能和V微皮恩服務器內網網段有相同
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp" #給網關
push "dhcp-option DNS 8.8.8.8" #dhcp分配dns
client-to-client #客戶端之間互相通信
keepalive 10 120 #存活時間,10秒ping一次,120 如未收到回應則視為斷線
comp-lzo #傳輸資料壓縮
max-clients 100 #最多允許 100 客戶端連接
user open微皮恩 #用戶
group open微皮恩 #用戶組
persist-key
persist-tun
status /var/log/open微皮恩/open微皮恩-status.log
log /var/log/open微皮恩/open微皮恩.log
verb 3
創建日志目錄并授權
mkdir /var/log/open微皮恩
chown -R open微皮恩.open微皮恩 /var/log/open微皮恩/
chown -R open微皮恩.open微皮恩 /etc/open微皮恩/*
10.iptables 設定nat 規則和打開路由轉發
自己內網ip網段如192.168.59.0
iptables -t nat -A POSTROUTING -s xx.xx.xx.x/24 -j MASQUERADE
iptables -vnL -t nat
vim /etc/sysctl.conf //打開路由轉發
net.ipv4.ip_forward = 1
sysctl -p
11.開啟open微皮恩 服務
open微皮恩 /etc/open微皮恩/server.conf
后臺運行
open微皮恩 /etc/open微皮恩/server.conf &
檢查埠是否存在如果沒有就是開啟失敗,查詢日志排錯
ss -nutl |grep 1194
二、客戶端連接
1.下載open微皮恩客戶端
鏈接:https://pan.baidu.com/s/16TZ9MUVtVb6nDzOU_OJYrA
提取碼:d19k
2.寫一個client.o微皮恩組態檔
cd /usr/local/src/client/
vim client.o微皮恩
client
dev tun
proto tcp
remote 192.168.59.144 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert baozao.crt
key baozao.key
comp-lzo
verb 3
匯出這四個證書key還有組態檔
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/205294.html
標籤:其他
上一篇:實驗一