本文主要讲述如何在Linux(以CentOS6.7为例)环境中搭建×××(Open×××)服务器。

Open×××基本介绍:

Open×××是开源的×××守护进程(daemon),easy-RSA提供一些简易的CA证书工具。

×××原理:

简单讲就是客户端主机A通过与***服务器B建立连接(可以是TCP也可以是UDP),通过***客户端在客户端主机A上创建一个虚拟网卡a(×××客户端与×××服务器端连接建立后形成),这个虚拟网卡a通过×××服务器开放的端口与×××服务器B上的另一块虚拟网卡b(×××服务启动后形成)建立所谓的“私有连接”通道,在连接成功后,根据×××服务器B上的配置,在客户端主机A上建一条路由,根据这一条路由使得客户机A想访问某些特定网络(特定网络可以有多条)时就走这条×××通道,实现网络×××实际上就是一个代理的作用,相当于一个踏板。

搭建实验环境:

实验环境可以通过VMware等虚拟化软件软件模拟,Open×××服务端可以单网卡也可以双网卡,单网卡无非就是在原先网卡的基础上配置一个虚拟网卡,此处以双网卡为例。

实验环境拓扑图如下:

CentOS6.7安装Open***服务端_第1张图片

(1)×××客户端A:

Windows 8 + Open××× 2.3.4 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Jun  5 2014

网卡1:192.168.1.228

(2)×××服务器B:

CentOS release 6.7 (Final)

Linux localhost.localdomain 2.6.32-573.3.1.el6.x86_64 #1 SMP Thu Aug 13 22:55:16 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux

Open×××版本:Open××× 2.3.8 (git source)

网卡1:192.168.1.182

网卡2:10.20.0.129

(3)服务器C(用于进一步测试×××连通性):

网卡1:192.168.1.113(假设没有此地址,此地址与本次实验无关,之所以列出是为了不使读者阅读下面的内容时感到困惑)

网卡2:10.20.0.130

Open×××安装步骤:

S1.安装基本软件包,用于编译安装open***和解决open***相关的依赖包

yum -y install gcc gcc-c++    
yum -y install autoconf     
yum -y install automake     
yum -y install libtool     
yum -y install gettext     
yum -y install lzo lzo-devel     
yum -y install pam-devel

S2.从github获得Open×××的源码,选择一个稳定版本的分支,生成configure等文件,编译安装

git clone [email protected]:Open×××/open***.git    
git checkout -b 2.3 remotes/origin/release/2.3     
autoreconf -i -v -f     
./configure --prefix=/usr/local/open***     
make     
make install

S3.配置Open×××服务端

S3.1配置Open×××

cp distro/rpm/open***.init.d.rhel /etc/init.d/open***    
ln -s /usr/local/open***/sbin/open*** /usr/sbin/open***     
mkdir /usr/local/open***/etc     
ln -s /usr/local/open***/etc /etc/open***     
cp sample/sample-config-files/server.conf /etc/open***/

S3.2编辑Open×××主配置文件,上一步的配置文件sample-config中的注释能帮助你很好的理解每一个字段的内容,在此就不详细讲解了,一看就懂。

vim /etc/open***/server.conf    
    # grep -v ^# /etc/open***/server.conf | grep -v ^$ | grep -v ^\;     
    port 1194     
    proto udp     
    dev tun     
    ca ca.crt     
    cert server.crt     
    key server.key  # This file should be kept secret     
    dh dh2048.pem     
    server 10.8.0.0 255.255.255.0     
    ifconfig-pool-persist ipp.txt     
    push "route 10.20.0.0 255.255.255.0"  
    push "dhcp-option DNS 114.114.114.114"     
    push "dhcp-option DNS 8.8.4.4"     
    client-to-client     
    duplicate-cn     
    keepalive 10 120     
    comp-lzo     
    persist-key     
    persist-tun     
    status open***-status.log     
    log         open***.log     
    verb 3

S4.配置Open×××服务器和客户端证书,使客户端通过证书登录Open×××

S4.1从github获得easy-RSA的源码,用于生成服务端、客户端证书,可以用openssl工具单独生成

cd    
git clone [email protected]:Open×××/easy-rsa.git     
git checkout -b 2.x remotes/origin/release/2.x     
cd easy-rsa/easy-rsa/2.0/

S4.2编辑证书配置信息

vim vars    
    # grep -v ^# vars | grep -v ^$     
    export EASY_RSA="`pwd`"     
    export OPENSSL="openssl"     
    export PKCS11TOOL="pkcs11-tool"     
    export GREP="grep"     
    export KEY_CONFIG=`$EASY_RSA/whichopensslcnf $EASY_RSA`     
    export KEY_DIR="$EASY_RSA/keys"     
    echo NOTE: If you run ./clean-all, I will be doing a rm -rf on $KEY_DIR     
    export PKCS11_MODULE_PATH="dummy"     
    export PKCS11_PIN="dummy"     
    export KEY_SIZE=2048     
    export CA_EXPIRE=3650     
    export KEY_EXPIRE=3650     
    export KEY_COUNTRY="CN"     
    export KEY_PROVINCE="Shandong"     
    export KEY_CITY="Qingdao"     
    export KEY_ORG="51devops"     
    export KEY_EMAIL="[email protected]"     
    export KEY_OU="chris"     
    export KEY_NAME="EasyRSA"

S4.3.生成服务器证书,包括CA和Server证书  

source vars     
./clean-all     
./pkitool --initca     
./pkitool --server server     
./build-dh

S4.4.生成客户端证书  

# ./pkitool client-christhinkt430     
./pkitool --pkcs12 client-christhinkt430
\cp -f keys/ca.crt /etc/open***/    
\cp -f keys/server.crt /etc/open***/     
\cp -f keys/server.key /etc/open***/     
\cp -f keys/dh2048.pem /etc/open***/

S5.启动Open×××服务,准备测试

开启内核转发参数:

vim /etc/sysctl.conf
net.ipv4.conf.default.accept_source_route = 1
net.ipv4.conf.default.rp_filter = 0
net.ipv4.ip_forward = 1

配置iptables内网转发并启动Open×××服务

iptables -I INPUT -m state --state NEW -m udp -p udp --dport 1194 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth1 -j MASQUERADE
service iptables save || iptables-save > /etc/sysconfig/iptables
service open*** start

如果iptables提示nat有问题(具体问题当时没有截图和文字记录),可能是因为模块没有加载,可以通过“modprobe iptable_nat”命令加载nat模块,再通过“lsmod  | grep nat”命令确认它已经正确加载到内核中。

此处额外列一下iptables文件(/etc/sysconfig/iptables)的内容,以便于参考:

# Generated by iptables-save v1.4.7 on Tue Sep 15 09:50:41 2015   
*filter    
:INPUT ACCEPT [95751:71225675]    
:FORWARD ACCEPT [2:120]    
:OUTPUT ACCEPT [18830:1205082]    
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT    
-A INPUT -p icmp -j ACCEPT    
-A INPUT -i lo -j ACCEPT    
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT    
-A INPUT -p udp -m state --state NEW -m udp --dport 1194 -j ACCEPT    
#-A INPUT -j REJECT --reject-with icmp-host-prohibited    
#-A FORWARD -j REJECT --reject-with icmp-host-prohibited    
COMMIT    
# Completed on Tue Sep 15 09:50:41 2015    
# Generated by iptables-save v1.4.7 on Tue Sep 15 09:50:41 2015    
*nat    
:PREROUTING ACCEPT [8758:1233668]    
:POSTROUTING ACCEPT [467:144522]    
:OUTPUT ACCEPT [466:144462]    
-A POSTROUTING -s 10.8.0.0/24 -o eth1 -j MASQUERADE    
COMMIT    
# Completed on Tue Sep 15 09:50:41 2015

CentOS6.7安装Open***服务端_第2张图片

查看Open×××服务器B上的日志

CentOS6.7安装Open***服务端_第3张图片

Open×××服务器B上的网卡信息

CentOS6.7安装Open***服务端_第4张图片

Open××× 服务器上显示的Client连接日志信息

CentOS6.7安装Open***服务端_第5张图片

服务器B上的网卡和IP信息

CentOS6.7安装Open***服务端_第6张图片

Open×××客户端上的IP信息(上面显示子网掩码为255.255.255.252先可以忽略,不影响连接)

S6.将S4.4步骤中生成的客户端证书传输到Windows客户端上,配置Windows的Open×××客户端使之能连接Open×××服务器

客户端的证书同样也在/root/easy-rsa/easy-rsa/2.0/keys路径下,只需要client-christhinkt430.p12这个证书即可。

Windows如何安装将证书放到Open×××安装路径下的config文件夹下即可,并创建一个.o***的配置文件。配置文件内容如下:

remote 192.168.1.182 1194 udp   
persist-key    
tls-client    
pull    
dev tun    
persist-tun    
comp-lzo adaptive    
nobind    
pkcs12 client-christhinkt430.p12

CentOS6.7安装Open***服务端_第7张图片

用管理员权限打开Open×××客户端,选择“connect”即可,如果连接成功,会有如下提示信息,原先的灰色小图标也会变成绿色。

CentOS6.7安装Open***服务端_第8张图片

CentOS6.7安装Open***服务端_第9张图片

此时就可以连接Open×××服务器后端的内网地址了,如下图所示,表示连接成功。

CentOS6.7安装Open***服务端_第10张图片

简单总结:

配置Open×××的一些难点或技巧:

1.如果不×××,获取Open×××安装包和文档支持比较困难,可以通过github的方式解决,要通过合适的branch选择合适的release以及客户端等

2.iptables防火墙的POSTROUTING、MASQUERADE需要理解,它的原理就是通过SNAT将某一段网络的地址转化(封装、伪装)成某一个网卡上的地址,以达到内网穿透的目的

例如iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth1 -j MASQUERADE,它的意思是源地址为10.8.0.0/24网段时,将这些地址伪装成eth1网卡的地址,实现内网穿透,例如10.8.0.6(Open×××客户端地址)这个地址要访问10.20.0.130(服务器B地址)时,实际是通过10.20.0.129(Open×××服务器eth1的地址)这个地址出去的。

最后列举一些可供参考的文章:

1.Linux下Open×××配置  http://blog.chinaunix.net/uid-26835604-id-3484906.html    
2.iptables中SNAT、DNAT和MASQUERADE的含义 http://blog.csdn.net/jk110333/article/details/8229828    
3.Ubuntu Simple Client Configuration https://help.ubuntu.com/lts/serverguide/open***.html#open***-simple-client-configuration

tag: Linux配置Open×××,Linux安装Open×××,Open×××配置,Open×××防火墙配置,CentOS编译安装Open×××

--end--