CentOS 7 安装 OpenVP*
一、安装
1、安装 open 和 easy-rsa(该包用来制作 ca 证书)
# 安装 epel 源
yum install epel-release -y
# 安装
yum install open easy-rsa2、配置 /etc/open/easy-rsa 目录
mkdir -p /etc/open/easy-rsa
cp -r /usr/share/easy-rsa/3.0.7/* /etc/open/easy-rsa/
# 拷贝 证书配置文件
cp /usr/share/doc/easy-rsa-3.0.7/vars.example /etc/open/easy-rsa/vars
# 拷贝 open 模版配置文件
cp /usr/share/doc/open-2.4.8/sample/sample-config-files/server.conf /etc/open/3、编辑 vars
vim /etc/open/easy-rsa/vars
# 修改内容
set_var EASYRSA_REQ_COUNTRY "CN"
set_var EASYRSA_REQ_PROVINCE "JiangSu"
set_var EASYRSA_REQ_CITY "XUYI"
set_var EASYRSA_REQ_ORG "MSH"
set_var EASYRSA_REQ_EMAIL "[email protected]"
set_var EASYRSA_REQ_OU "IT"二、创建 根、服务器端 证书 和 key
1、初始化
cd /etc/open/easy-rsa/
# 初始化,成功后出现 pki 目录
./easyrsa init-pki
2、创建 根 证书
./easyrsa build-ca
# 输入密码,这里输入 123456
Enter New CA Key Passphrase:
………
# 输入名称,这里输入 -ca
Common Name (eg: your user, host, or server name) [Easy-RSA CA]:-ca
# 成功后显示
CA creation complete and you may now import and sign cert requests.
Your new CA certificate file for publishing is at:
/etc/open/easy-rsa/pki/ca.crt
# ca.crt 证书文件
# private 目录里面放的是所有密钥文件,ca.key 后面的 server.key 也会在这里3、创建 服务器端 证书
./easyrsa build-server-full server nopass
# 输入前面定义的 ca 密码 123456
Enter pass phrase for /etc/open/easy-rsa/pki/private/ca.key:123456
....
Signature ok
The Subject's Distinguished Name is as follows
commonName :ASN.1 12:'server'
Certificate is to be certified until Jan 15 03:05:13 2025 GMT (825 days)
Write out database with 1 new entries
Data Base Updated4、创建Diffie-Hellman,确保key穿越不安全网络的命令
./easyrsa gen-dh5、生成 ta 密钥文件
open --genkey --secret ta.key三、创建 客户端 证书 和 key
1、生成证书
# 生成 tomma 对应姓名的客户端证书
./easyrsa build-client-full tomma
...................
# 输入客户端的密码 654321 ,后面登陆会用到
Enter PEM pass phrase:
# 输入 ca 证书密码 123456
Enter pass phrase for /etc/open/easy-rsa/pki/private/ca.key:123456
# 成功后显示
Signature ok
The Subject's Distinguished Name is as follows
commonName :ASN.1 12:'tomma'
Certificate is to be certified until Jul 24 08:38:44 2022 GMT (825 days)2、查看证书
find / -name tomma*
# 查看生成的客户端证书,这里要用到是 tomma.key,tomma.crt
/etc/open/easy-rsa/pki/private/tomma.key
/etc/open/easy-rsa/pki/reqs/tomma.req
/etc/open/easy-rsa/pki/issued/tomma.crt四、管理证书文件及配置
1、拷贝文件
# 拷贝根与服务器端的相关证书
cp pki/ca.crt /etc/open/server
cp pki/private/server.key /etc/open/server
cp pki/issued/server.crt /etc/open/server
cp pki/dh.pem /etc/open/server
cp /etc/open/easy-rsa/ta.key /etc/open/server
# 拷贝客户端相关证书
mkdir -p /etc/open/client/tomma
cp pki/ca.crt /etc/open/client/tomma
cp pki/issued/tomma.crt /etc/open/client/tomma
cp pki/private/tomma.key /etc/open/client/tomma
cp /etc/open/easy-rsa/ta.key /etc/open/client/tomma2、修改 server.conf 配置文件
vim /etc/open/server.conf
# 修改内容
local 0.0.0.0
port 1194
proto tcp
dev tun
ca /etc/open/server/ca.crt
cert /etc/open/server/server.crt
key /etc/open/server/server.key
dh /etc/open/server/dh.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
;push "redirect-gateway def1 bypass-dhcp"
push "route 192.168.0.0 255.255.255.0"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
tls-auth /etc/open/server/ta.key 0
cipher AES-256-GCM
compress lz4-v2
push "compress lz4-v2"
max-clients 100
persist-key
persist-tun
status /var/log/open/open-status.log
log /var/log/open/open.log
verb 33、说明
# 监听地址
local 0.0.0.0
# 监听端口
port 1194
# 监听协议
proto tcp
# 采用路由隧道模式
dev tun
# ca证书路径
ca /etc/open/ca.crt
# 服务器证书
cert /etc/open/server.crt
# This file should be kept secret 服务器秘钥
key /etc/open/server.key
# 密钥交换协议文件
dh /etc/open/dh.pem
# VPN服务端为自己和客户端分配IP的地址池,服务端自己获取网段的第一个地址(这里为10.8.0.1),后为客户端分配其他的可用地址。以后客户端就可以和10.8.0.1进行通信。注意:该网段地址池不要和已有网段冲突或重复
server 10.8.0.0 255.255.255.0
#使用一个文件记录已分配虚拟IP的客户端和虚拟IP的对应关系,以后open重启时,将可以按照此文件继续为对应的客户端分配此前相同的IP。也就是自动续借IP的意思
ifconfig-pool-persist ipp.txt
# 客户端所有流量都通过 open 转发,类似于代理
push "redirect-gateway def1 bypass-dhcp"
# 注意:客户端配置,当服务端开启上面一条流量转发后,客户端需要配置如下2条,客户端只有访问192.168.0.0/24的地址才会走隧道,也就是会使用服务端的IP地址,访问其他地址还是会走本地网络
route-nopull
route 192.168.0.0 255.255.255.0 _gateway
# 将服务器端的内网地址推给客户端,添加到客户端的路由表中,可以添加多条
push "route 192.168.0.0 255.255.255.0"
# 服务端推送客户端dhcp分配dns
push "dhcp-option DNS 8.8.8.8"
# 客户端之间互相通信
client-to-client
# 存活时间,10秒ping一次,120 如未收到响应则视为断线
keepalive 10 120
# open 2.4版本的才能设置此选项。表示服务端启用lz4的压缩功能,传输数据给客户端时会压缩数据包。Push后在客户端也配置启用lz4的压缩功能,向服务端发数据时也会压缩。如果是2.4版本以下的老版本,则使用用comp-lzo指令
compress lz4-v2
push "compress lz4-v2"
# 启用lzo数据压缩格式。此指令用于低于2.4版本的老版本。且如果服务端配置了该指令,客户端也必须要配置
comp-lzo
# 最多允许 100 客户端连接
max-clients 100
# 用户
user open
# 用户组
group open
# 参数 0 可以省略,如果不省略,那么客户端配置相应的参数该配成 1;如果省略,那么客户端不需要 tls-auth 配置
tls-auth /etc/open/server/ta.key 0 4、创建日志目录
mkdir -p /var/log/open/五、设置 路由
# 如果不设置,连上 VPN 后将无法正常上网
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j MASQUERADE
service iptables save
vim /etc/sysctl.conf
net.ipv4.ip_forward = 1
# 生效
sysctl -p六、启动
systemctl start [email protected]
# 查看
netstat -lntp | grep 1194
tcp 0 0 0.0.0.0:1194 0.0.0.0:* LISTEN 1470/open
七、客户端连接
1、下载,安装在 D盘
链接:https://pan.baidu.com/s/19TzFko54Et5OQA6fsA3uKQ
提取码:hhct
2、在安装目录 config下 创建 client.o 文件
client
dev tun
proto tcp
remote 192.168.1.71 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert tomma.crt
key tomma.key
remote-cert-tls server
tls-auth ta.key 1
cipher AES-256-GCM
compress lz4-v2
verb 3
auth-nocache3、拷贝服务器客户端上的相关文件
[root@vm71 easy-rsa]# ll /etc/open/client/tomma
-rw------- 1 root root 1151 Apr 20 17:12 ca.crt
-rw------- 1 root root 636 Apr 20 17:12 ta.key
-rw------- 1 root root 4405 Apr 20 17:12 tomma.crt
-rw------- 1 root root 1834 Apr 20 17:12 tomma.key
# 需要拷贝的文件有 4个 ca.crt ta.key tomma.crt tomma.key4、win10 下面显示如下
5、输入密码连接
6、成功
八,脚本管理
1、创建一个模版文件
vim /etc/open/client/sample.o
# 内容
client
dev tun
proto tcp
remote 192.168.1.71 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert admin.crt
key admin.key
remote-cert-tls server
tls-auth ta.key 1
cipher AES-256-GCM
compress lz4-v2
verb 32、创建脚本
vim add_user.sh
# 内容
#!/bin/bash
set -e
keys_dir=/etc/open/client/keys
easyras_dir=/etc/open/easy-rsa
pki_dir=$easyras_dir/pki
for user in "$@"
do
if [ -d "$keys_dir/$user" ]; then
rm -rf $keys_dir/$user
rm -rf $pki_dir/reqs/$user.req
sed -i '/'"$user"'/d' $pki_dir/index.txt
fi
cd $easyras_dir
./easyrsa build-client-full $user nopass
mkdir -p $keys_dir/$user
cp $pki_dir/ca.crt $keys_dir/$user/
cp $pki_dir/issued/$user.crt $keys_dir/$user/
cp $pki_dir/private/$user.key $keys_dir/$user/
cp /etc/open/client/sample.o $keys_dir/$user/$user.o
sed -i 's/admin/'"$user"'/g' $keys_dir/$user/$user.o
cp $easyras_dir/ta.key $keys_dir/$user/ta.key
cd $keys_dir
zip -r $user.zip $user
done
exit 03、执行脚本创建
bash /etc/open/easy-rsa/add_user.sh tomma
# 输入 ca 密码
Enter pass phrase for /etc/open/easy-rsa/pki/private/ca.key:
.................
Data Base Updated
adding: tomma/ (stored 0%)
adding: tomma/ca.crt (deflated 25%)
adding: tomma/tomma.crt (deflated 45%)
adding: tomma/tomma.key (deflated 23%)
adding: tomma/tomma.o (deflated 27%)
adding: tomma/ta.key (deflated 40%)4、查看证书
ll /etc/open/client/keys/tomma
# 成功创建
-rw------- 1 root root 1151 Apr 23 09:10 ca.crt
-rw------- 1 root root 636 Apr 23 09:10 ta.key
-rw------- 1 root root 4405 Apr 23 09:10 tomma.crt
-rw------- 1 root root 1704 Apr 23 09:10 tomma.key
-rw-r--r-- 1 root root 218 Apr 23 09:10 tomma.o九、清理客户端账号
1、手动清理
./easyrsa revoke tomma
./easyrsa gen-crl
vim /etc/open/server.conf
# 加入
crl-verify /etc/open/easy-rsa/pki/crl.pem
# 查看 tomma 状态 为 R
cat pki/index.txt
V 220727022607Z 9CC82E18AE4C7D1C26E29B4ED858A535 unknown /CN=server
R 220727023807Z 200423075824Z 557C6DCC5A4363F10960C1D1102A14E4 unknown /CN=tomma
# 重启后,客户端就连不上了
systemctl restart open@server2、创建脚本
vim del_user.sh
# 内容
# ! /bin/bash
set -e
keys_dir=/etc/open/client/keys
easyras_dir=/etc/open/easy-rsa/
for user in "$@"
do
cd $easyras_dir
echo -e 'yes\n' | ./easyrsa revoke $user
./easyrsa gen-crl
if [ -d "$keys_dir/$user" ]; then
rm -rf $keys_dir/${user}*
fi
systemctl restart open@server
done
exit 0