Linux安装OpenVPN服务端
先将本机的yum换成阿里云的yum源
curl -o /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo
yum clean all
yum makecache
安装依赖的软件包
yum install rpm-build gcc lsof -y
yum install -y pam-devel*
yum install -y lzo lzo-devel openssl openssl-devel pam pam-devel
yum -y install epel*
yum install -y pkcs11-helper pkcs11-helper-devel
#确认已经安装完成:
rpm -qa lzo lzo-devel openssl openssl-devel pam pam-devel pkcs11-helper pkcs11-helper-devel
yum -y install wget
#下载open
wget http://oss.aliyuncs.com/aliyunecs/open-2.2.2.tar.gz
#编译
rpmbuild -tb open-2.2.2.tar.gz
#执行上面这条命令以后就会正常开始编译了,编译完成以后会在 /root/rpmbuild/RPMS/x86_64 目录下生成 open-2.2.2-1.x86_64.rpm 安装包。
#查看安装包
ls /root/rpmbuild/RPMS/x86_64
#安装
rpm -ivh /root/rpmbuild/RPMS/x86_64/open-2.2.2-1.x86_64.rpm
配置OpenVPN服务(服务端)
#初始化KPI
cd /usr/share/doc/open-2.2.2/easy-rsa/2.0
#进入到 /usr/share/doc/open-2.2.2/easy-rsa/2.0 目录下,找到 vars 证书环境文件,修改以下几行 export 定义的参数值
vim vars
export KEY_COUNTRY="CN"
export KEY_PROVINCE="SH"
export KEY_CITY="SHANGHAI"
export KEY_ORG="wu2700222"
export KEY_EMAIL="[email protected]"
#上述参数的值可以自定义设置,也可以不改,对配置无影响
生成服务端的证书
#清除并删除keys目录下的所有key
cd /usr/share/doc/open-2.2.2/easy-rsa/2.0
#创建软链接
ln -s openssl-1.0.0.cnf openssl.cnf
ll openssl*
source ./vars
./clean-all
#生成CA证书,刚刚上面已经在vars文件中配置了默认参数值,多次回车完成就可以:
./build-ca
#一路回车
#生成服务器证书
#如下kuping是自定义的名字,一直回车,到最后会有两次交互,输入y确认,完成后会在keys目录下保存了kuping.key、kuping.csrl和kuping.crt 三个文件。
./build-key-server kupingVPN
#一路回车,遇到交互提示时,输入y
#查看一下,刚生成的文件
ls keys/
创建VPN登陆用户的秘钥与证书
#如下,创建用户名为kevin的秘钥和证书,一直回车,到最后会有两次确认,只要按y确认即可。完成后,在keys目录下生成1024位RSA服务器密钥kevin.key、kevin.crt和kevin.csr 三个文件。
./build-key kevin
#一路回车,遇到交互提示时,输入y
#查看一下,刚生成的文件
ls keys/
如果创建用户证书时报错,可以将keys整个目录删除,然后从source ./vars这一步开始重新操作(慎重,否则之前在keys目录里的用户数据就会都删除)
生成Diffie Hellman参数
./build-dh
#执行了./build-dh后,会在 keys 目录下生成 dh 参数文件 dh1024.pem。该文件客户端验证的时候会用到
##查看一下,刚生成的pem文件
ls keys/
#将/usr/share/doc/open-2.2.2/easy-rsa/2.0/keys 目录下的所有文件复制到 /etc/open下:
cp -a /usr/share/doc/open-2.2.2/easy-rsa/2.0/keys/* /etc/open/
#复制open服务端配置文件 server.conf 到 /etc/open/ 目录下:
cp -a /usr/share/doc/open-2.2.2/sample-config-files/server.conf /etc/open/
#查看server.conf文件的配置
vim /etc/open/server.conf
#修改对应的证书名
ca ca.crt
cert kupingVPN.crt
key kupingVPN.key # This file should be kept secret
#日志文件 vim /etc/open/open.log
;log open.log
;log-append open.log
设置iptables
vim /etc/sysctl.conf
net.ipv4.ip_forward = 1
vm.min_free_kbytes = 409600
vm.vfs_cache_pressure = 200
vm.swappiness = 0
fs.file-max = 1024000
fs.aio-max-nr = 1024000
kernel.sysrq = 1
#载入配置
sysctl -p
#显示如下
net.ipv4.ip_forward = 1
vm.min_free_kbytes = 409600
vm.vfs_cache_pressure = 200
vm.swappiness = 0
fs.file-max = 1024000
fs.aio-max-nr = 1024000
kernel.sysrq = 1
#添加iptables规则,确保服务器可以转发数据包到外网:
yum install -y iptables iptables-services
#查看版本
iptables -V
iptables v1.4.21
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j MASQUERADE
service iptables save
systemctl restart iptables
#查看
iptables -t nat -L
启动OpenVPN服务
/etc/init.d/open start 或者 service open start
#查看启动状态
systemctl status open
ps aux|grep open
chkconfig open on //设置为开机自启
#查看启动的端口
lsof -i:1194
#显示如下
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
openVPN 83101 nobody 5u IPv4 348617 0t0 UDP *:open
#如果1194端口启动不起来,可以通过查看/etc/open/open.log日志进行原因排查
给其他同事开通VPN账号
后续给同事开VPN账号,只需要下面几步(比如给wuwei同事开)
cd /usr/share/doc/open-2.2.2/easy-rsa/2.0
./build-key wuwei
#不需要重启open /etc/init.d/open restart
#lsof -i:1194
#然后编写wuwei用户的config.o客户端配置文件
#创建客户端配置文件,注意ip换成open服务端的ip
vim /tmp/config.o
cat /tmp/config.o
client
dev tun
proto udp
remote 192.168.0.15 1194
resolv-retry infinite
nobind
mute-replay-warnings
ca ca.crt
cert wuwei.crt
key wuwei.key
comp-lzo
#然后将ca.crt、config.o、wuwei.crt、wuwei.csr、wuwei.key这五个文件放到wuwei用户下
mkdir /tmp/wuwei
cp keys/wuwei.* keys/ca.crt /tmp/config.o /tmp/wuwei/
#查看文件
ls /tmp/wuwei/
#显示如下
ca.crt config.o wuwei.crt wuwei.csr wuwei.key
#打包
cd /tmp/ && tar -zvcf wuwei.tar.gz wuwei