Linux系统搭建搭建OpenVPN

目录

一、简介

二、应用场景

三、OpenVPN服务器搭建部署

 1、环境准备

2、服务端部署搭建

2.1、安装配置证书软件

2.2、创建证书

2.3、安装open并写入服务端配置文件

2.4、启动并检查端口

3、客户端配置

3.1、安装并配置open

4、测试

一、简介

1、定义

         VPN就是虚拟专用通道，是提供给企业之间或者公司个人与公司之间安全数据传输的隧道，OpenVPN是Linux下开源VPN的先锋，提供了良好的性能和友好的用户GUI（图形用户界面）。

2、原理
OpenVPN的技术核心是虚拟网卡，其次是SSL协议实现

虚拟网卡是使用网络底层编程技术实现的一个驱动软件。安装此类程序后主机上会增加一个非真实的网卡，并可以像其它网卡一样进行配置。服务程序可以在应用层打开虚拟网卡，如果应用软件（如网络浏览器）向虚拟网卡发送数据，则服务程序可以读取到该数据。如果服务程序写合适的数据到虚拟网卡，应用软件也可以接收得到。虚拟网卡在很多的操作系统中都有相应的实现，这也是OpenVPN能够跨平台使用的一个重要原因。

　　在OpenVPN中，如果用户访问一个远程的虚拟地址（属于虚拟网卡配用的地址系列，区别于真实地址），则操作系统会通过路由机制将数据包（TUN模式）或数据帧（TAP模式）发送到虚拟网卡上，服务程序接收该数据并进行相应的处理后，会通过SOCKET从外网上发送出去。这完成了一个单向传输的过程，反之亦然。当远程服务程序通过SOCKET从外网上接收到数据，并进行相应的处理后，又会发送回给虚拟网卡，则该应用软件就可以接收到。

3、加密和身份验证
（1）加密

　　OpenVPN使用OpenSSL库来加密数据与控制信息。这意味着，它能够使用任何OpenSSL支持的算法。它提供了可选的数据包HMAC功能以提高连接的安全性。此外，OpenSSL的硬件加速也能提高它的性能。2.3.0以后版本引入PolarSSL。

（2）身份验证

OpenVPN提供了多种身份验证方式，用以确认连接双方的身份，包括：

① 预享私钥

② 第三方证书

③ 用户名／密码组合

　　预享密钥最为简单，但同时它只能用于创建点对点的VPN；基于PKI的第三方证书提供了最完善的功能，但是需要额外维护一个PKI证书系统。OpenVPN2.0后引入了用户名／口令组合的身份验证方式，它可以省略客户端证书，但是仍需要一份服务器证书用作加密。

二、应用场景

1、个人出差需要访问公司只有内网的服务器

2、公司不同地区之间简历服务通

三、OpenVPN服务器搭建部署

 1、环境准备

1、更新CentOS7的RPM包
[root@localhost ~]# yum update  -y

2、安装EPRL仓库和vim，tree
[root@localhost ~]# yum install epel-release vim tree -y

2、服务端部署搭建

2.1、安装配置证书软件

1、安装证书软件
[root@localhost ~]# yum install easy-rsa -y

2、创建并进入目录
[root@localhost ~]# mkdir /opt/easy-rsa
[root@localhost easy-rsa]# cd /opt/easy-rsa

3、查看列表
[root@localhost easy-rsa]# rpm -ql easy-rsa

4、复制文件
[root@localhost easy-rsa]# cp -a /usr/share/easy-rsa/3.0.8/* .
[root@localhost easy-rsa]# cp -a /usr/share/doc/easy-rsa-3.0.8/vars.example ./vars

5、配置证书软件
[root@localhost easy-rsa]# vim vars

if [ -z "$EASYRSA_CALLER" ]; then
        echo "You appear to be sourcing an Easy-RSA 'vars' file." >&2
        echo "This is no longer necessary and is disallowed. See the section called" >&2
        echo "'How to use this file' near the top comments for more details." >&2
       return 1
fi
set_var EASYRSA_DN                 "cn_only"
set_var EASYRSA_REQ_COUNTRY        "CN"
set_var EASYRSA_REQ_PROVINCE       "shanxi"
set_var EASYRSA_REQ_CITY           "xian"
set_var EASYRSA_REQ_ORG            "oupeng"
set_var EASYRSA_REQ_EMAIL          "[email protected]"
set_var EASYRSA_NS_SUPPORT         "yes"

2.2、创建证书

1、初始化，在当前目录创建PKI目录，用于存储整数
[root@localhost easy-rsa]# ./easyrsa init-pki

2、创建根证书，会提示设置密码，用于ca对之后生成的server和client证书签名时使用，其他提示内容直接回车
[root@localhost easy-rsa]# ./easyrsa build-ca

Enter New CA Key Passphrase:         #注意密码不能太短，我这边设置的是123456
Re-Enter New CA Key Passphrase: 

3、创建server端证书和私钥文件，nopass表示不加密私钥文件，提示内容直接回车即可
[root@localhost easy-rsa]# ./easyrsa gen-req server nopass   

4、给server端证书签名，提示内容需要输入yes和创建ca根证书时候的密码 
[root@localhost easy-rsa]# ./easyrsa sign server server  

5、创建Diffie-Hellman文件，密钥交换时的Diffie-Hellman算法 
[root@localhost easy-rsa]# ./easyrsa gen-dh  

6、创建client端的证书和私钥文件，nopass表示不加密私钥文件，提示内容直接回车
[root@localhost easy-rsa]# ./easyrsa gen-req client nopass  

7、给client端证书前面，提示内容输入yes和创建ca根证书时候的密码 
[root@localhost easy-rsa]# ./easyrsa sign client client    

#检查是否有ca根证书、客户端服务端证书、客户端服务端私钥
[root@localhost easy-rsa]# tree
.
├── easyrsa                    #管理命令
├── openssl-easyrsa.cnf
├── pki
│   ├── ca.crt                #ca根证书，服务端与客户端都需要用
│   ├── certs_by_serial
│   │   ├── 633C217979C7B5F1D0A9ECA971006F96.pem
│   │   └── 857F9B2E3F6C3D35934672212343B42D.pem
│   ├── dh.pem                #认证算法 服务端
│   ├── index.txt
│   ├── index.txt.attr
│   ├── index.txt.attr.old
│   ├── index.txt.old
│   ├── issued
│   │   ├── client.crt        #客户端证书
│   │   └── server.crt        #服务端证书
│   ├── openssl-easyrsa.cnf
│   ├── private
│   │   ├── ca.key
│   │   ├── client.key        #客户端私钥
│   │   └── server.key        #服务端私钥
......

2.3、安装open并写入服务端配置文件

[root@localhost easy-rsa]# yum install open -y
[root@localhost easy-rsa]# vim /etc/open/server.conf
port 1194                                  #端口
proto udp                                  #协议
dev tun                                    #采用路由隧道模式
ca /opt/easy-rsa/pki/ca.crt                #ca证书的位置
cert /opt/easy-rsa/pki/issued/server.crt   #服务端公钥的位置
key /opt/easy-rsa/pki/private/server.key   #服务端私钥的位置
dh /opt/easy-rsa/pki/dh.pem                #证书校验算法  
server 10.8.0.0 255.255.255.0              #给客户端分配的地址池
push "route 172.16.1.0 255.255.255.0"   #允许客户端访问的内网网段
ifconfig-pool-persist ipp.txt              #地址池记录文件位置，未来让open客户端固定ip地址使用的
keepalive 10 120                           #存活时间，10秒ping一次，120秒如果未收到响应则视为短线
max-clients 100                            #最多允许100个客户端连接
status open-status.log                  #日志位置，记录open状态
log /var/log/open.log                   #open日志记录位置
verb 3                                     #open版本
client-to-client                           #允许客户端与客户端之间通信
persist-key                                #通过keepalive检测超时后，重新启动VPN，不重新读取
persist-tun                                #检测超时后，重新启动VPN，一直保持tun是linkup的，否则网络会先linkdown然后再linkup
duplicate-cn                               #客户端密钥（证书和私钥）是否可以重复
comp-lzo                                   #启动lzo数据压缩格式

2.4、启动并检查端口

[root@localhost easy-rsa]# systemctl start open@server
[root@localhost easy-rsa]# systemctl enable open@server
Created symlink from /etc/systemd/system/multi-user.target.wants/[email protected] to /usr/lib/systemd/system/[email protected].
[root@localhost easy-rsa]# ip a s tun0 #查看网段
3: tun0:  mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
    link/none 
    inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0
       valid_lft forever preferred_lft forever
    inet6 fe80::9ecf:9cef:7dcc:d1ce/64 scope link flags 800 
       valid_lft forever preferred_lft forever
[root@localhost easy-rsa]# ss -lntup|grep 1194    #检查端口
udp    UNCONN     0      0         *:1194                  *:*                   users:(("open",pid=47104,fd=6))
[root@Web01 easy-rsa]# ps -ef|grep open    #检查pid
root      47104      1  0 10:59 ?        00:00:00 /usr/sbin/open --cd /etc/open/ --config server.conf
root      47202  40565  0 11:01 pts/0    00:00:00 grep --color=auto open

3、客户端配置

3.1、安装并配置open

[root@localhost ~]# yum -y install open
[root@localhost ~]# cat /etc/open/client.conf
client
dev tun
proto udp
remote 10.0.0.7 1194
resolv-retry infinite
nobind
ca ca.crt
cert client.crt
key client.key
verb 3
persist-key
comp-lzo

[root@localhos pki]# scp private/client.key 172.16.1.8:/etc/open/
[root@localhos pki]# scp issued/client.crt  172.16.1.8:/etc/open/
[root@localhos pki]# scp ca.crt 172.16.1.8:/etc/open/
 
root@localhos pki]# systemctl start open@client
root@localhos pki]# systemctl enable open@client
Created symlink from /etc/systemd/system/multi-user.target.wants/[email protected] to /usr/lib/systemd/system/[email protected].

4、测试

[root@localhost ~]# ifdown eth1        #关闭内网IP
[root@localhost ~]# ping 172.16.1.7    #成功通过open ping通
PING 172.16.1.7 (172.16.1.7) 56(84) bytes of data.
64 bytes from 172.16.1.7: icmp_seq=1 ttl=64 time=0.686 ms
64 bytes from 172.16.1.7: icmp_seq=2 ttl=64 time=1.13 ms
^C
--- 172.16.1.7 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 0.686/0.908/1.130/0.222 ms