openVPN

opneVPN

开源虚拟专用通道

干啥的：

OpenVPN允许参与建立VPN的单点使用共享金钥，电子证书，或者用户名/密码来进行身份验证。

被连接的是Server 服务器，服务端

连接的是Client 服务器，客户端

组成：

image.png

Server / Client 服务器端程序

OpenVPN的服务器端和客户端是合二为一的，并没有采用独立的服务器端程序或者客户端程序来区分其角色，它是通过配置文件来实现功能差异的。

Easyrsa 证书生成程序

一个独立程序，它可以为OpenVPN生成各种所需要的证书和密钥，所谓的证书就是一种绑定了额外信息的公钥，密钥则可以理解为私钥。

tls密钥 ta.key 并非由Easyrsa 而是由OpenVPN主程序生成的。

Server 服务器端配置文件 || Client 服务器端配置文件

server.conf || client .conf需要自己配置

Centos7安装服务端

1.貌似需要关闭selinux，但是我不确定这样有什么影响

[root@localhost ~]# sed -i '/^SELINUX/s/enforcing/disabled/g' /etc/selinux/config
[root@localhost ~]# setenforce 0

image.png

我执行后貌似什么都没发生
2.安装epel仓库
不是必要，要是有其他的yum源可以不安装

[root@localhost ~]# yum -y install epel-release

3.安装openvpn, Easy-RSA

[root@localhost ~]# yum -y install openvpn easy-rsa

image.png

安装需要时间，别急

image.png

完成后etc/openvpn应该会有这俩文件，里面应该是空的

root@localhost ~]# mkdir /etc/openvpn/easy-rsa

给etc/openvpn再创建一个easy-rsa文件夹

image.png

这里需要注意一下版本号，不一定一样，自己改一下

[root@localhost ~]# cp -r /usr/share/easy-rsa/3/* /etc/openvpn/easy-rsa/
[root@localhost ~]# cp -p /usr/share/doc/easy-rsa-3.0.6/vars.example /etc/openvpn/easy-rsa/vars

把easy-rsa的相关文件复制过去

image.png

image.png

4.创建各种秘钥
切换文件夹

[root@localhost ~]# cp -r /usr/share/easy-rsa/3/* /etc/openvpn/easy-rsa/
[root@localhost ~]# cp -p /usr/share/doc/easy-rsa-3.0.6/vars.example /etc/openvpn/easy-rsa/vars

image.png

除了 ta.key 以外秘钥都是由Easyrsa 生成的

证书生成

根证书（CA证书）

[root@localhost easy-rsa]# ./easyrsa init-pki

初始化，会在当前目录创建PKI目录，用于存储一些中间变量及最终生成的证书

image.png