Open××× 是一个基于 OpenSSL 库的应用层 ××× 实现。和传统 ××× 相比,它的优点是简单易用
Open×××允许参与建立×××的单点使用共享金钥,电子证书,或者用户名/密码来进行身份验证。它大量使用了OpenSSL加密库中的SSLv3/TLSv1 协议函式库。Open×××能在Solaris、Linux、OpenBSD、FreeBSD、NetBSD、Mac OS X与Windows 2000/XP/Vista上运行,并包含了许多安全性的功能。它并不是一个基于Web的×××软件,也不与IPsec及其他×××软件包兼容。
默认open***本地yum包是没有的,所有我们添加epel额外包
wget http://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
rpm -ivh epel-release-latest-7.noarch.rpm
安装open***
yum install open*** -y
下载easy-rsa用于生成证书。 下载地址:http://down.51cto.com/data/2446120
官网下载地址:https://github.com/Open×××/easy-rsa
easy-rsa下载之后用winscp或者其他工具导入到linux系统里面
mv easy-rsa-3.0.5 easy-rsa
cp -a easy-rsa /etc/open***/
cd /etc/open***/easy-rsa/easyrsa3/
cp vars.example vars
vim vars #默认不修改也是可以的
set_var EASYRSA_REQ_COUNTRY "CN" #定义所在的国家
set_var EASYRSA_REQ_PROVINCE "gd" #定义所在的省
set_var EASYRSA_REQ_CITY "gz" #定义所在的城市
set_var EASYRSA_REQ_ORG "tang" #定义所在的组织
set_var EASYRSA_REQ_EMAIL "[email protected]" #定义邮箱
set_var EASYRSA_REQ_OU "My Open×××" #定义所在单位
chmod +x easyrsa
证书申请:
./easyrsa init-pki#创建pki
./easyrsa build-ca#创建ca,输入密码,输入名称,必须独一无二
./easyrsa gen-req server nopass #生成服务器端证书,名称任意输入,必须独一无二
./easyrsa sign server server #签约服务端证书,期间需要输入AC的密码
./easyrsa gen-dh #创建Diffie-Hellman,确保key穿越不安全网络的命令
open*** --genkey --secret /etc/open***/ta.key #生成ta.key密钥
cd
mkdir client #创建客户端证书
cp -a easy-rsa client/
cd client/easy-rsa/easyrsa3/
chmod +x easyrsa
./easyrsa init-pki # 需输入yes 确定
./easyrsa gen-req client #生成客户端密码
cd /etc/open***/easy-rsa/easyrsa3/
./easyrsa import-req /root/client/easy-rsa/easyrsa3/pki/reqs/client.req client
./easyrsa sign client client #签约证书,生成client所以必须为client
cp /etc/open***/easy-rsa/easyrsa3/pki/ca.crt /etc/open***/
cp /etc/open***/easy-rsa/easyrsa3/pki/private/server.key /etc/open***/
cp /etc/open***/easy-rsa/easyrsa3/pki/issued/server.crt /etc/open***/
cp /etc/open***/easy-rsa/easyrsa3/pki/dh.pem /etc/open***/
安装ftp,用于将客户端需要的证书贡献给客户端
yum install vsftpd -y
systemctl restart vsftpd
cp -a /etc/open***/easy-rsa/easyrsa3/pki/ca.crt /var/ftp/pub
cp -a /etc/open***/easy-rsa/easyrsa3/pki/issued/client.crt /var/ftp/pub
cp -a /root/client/easy-rsa/easyrsa3/pki/private/client.key /var/ftp/pub
cp -a /etc/open***/ta.key /var/ftp/pub
chomd +x /var/ftp/pub
cp /usr/share/doc/open***-2.4.5/sample/sample-config-files/server.conf /etc/open***
vim /etc/open***/server.conf
local 0.0.0.0 #监听地址
port 1194 #监听端口
proto udp #监听协议
dev tun #采用路由隧道模式
ca /etc/open***/ca.crt #ca证书路径
cert /etc/open***/server.crt #服务器证书
key /etc/open***/server.key # This file should be kept secret 服务器秘钥
dh /etc/open***/dh.pem #密钥交换协议文件
server 10.8.0.0 255.255.255.0 #给客户端分配地址池,注意:不能和×××服务器内网网段有相同
ifconfig-pool-persist ipp.txt
push "dhcp-option DNS 223.5.5.5" #dhcp分配dns
client-to-client #客户端之间互相通信
keepalive 10 120 #存活时间,10秒ping一次,120 如未收到响应则视为断线
comp-lzo #传输数据压缩
max-clients 100 #最多允许 100 客户端连接
user open*** #用户
group open*** #用户组
persist-key
persist-tun
status /var/log/open***/open***-status.log
log /var/log/open***/open***.log
verb 3
mkdir /var/log/open***
chown -R open***.open*** /var/log/open***/
chown -R open***.open*** /etc/open***/*
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j MASQUERADE
iptables -vnL -t nat
echo "net.ipv4.ip_forward = 1" > /etc/sysctl.conf
sysctl -p
open*** /etc/open***/server.conf 开启服务
systemctl -f enable open***@server.service
systemctl start open***@server.service
systemctl stop firewalld
ss -nutl |grep 1194
看看端口有没有开启。
Windows open***客户端
下载地址:http://down.51cto.com/data/2446118
官网下载地址:官网需要×××,请自备×××。
安装后打开open***安装路径
从sample-config文件,复制client.o***到config文件里面,然后打开修改,将remote后面的IP地址修改为服务器的ip地址,其他修改请同步服务器
然后打开ftp,把里面共享的证书拷贝到安装目录下的config下
然后打开以管理员权限打开open***,输入密码就可以连接了,
绿色表示连接成功
以上配置参考于http://www.zhimengzhe.com/linux/408192.html
下一篇,我会上传自己用shell写的自动化安装open***脚本。