OpenVPN 安装与配置

OpenVPN是一个开源应用程序,可让您通过公共Internet创建安全的专用网络。 OpenVPN实现了虚拟专用网络(VPN)以创建安全连接。 OpenVPN使用OpenSSL库提供加密,并提供几种身份验证机制,例如基于证书的预共享密钥以及用户名/密码身份验证。

在本教程中,我们将使用最新版本的centos服务器(7.5),并将使用带有easy-rsa 3的OpenVPN 2.4。在安装OpenVPN和easy-rsa软件包之前,请确保“ epel”存储库 已安装在系统上。 如果没有,请使用下面的yum命令安装epel信息库。

yum install epel-release -y

步骤1:安装openvpn 和easy-rsa

yum install openvpn easy-rsa -y

安装完成后,检查openvpn和easy-rsa版本

openvpn --version

ss8.png

ls -lah /usr/share/easy-rsa/

ss8.png

已安装带有easy-rsa 3的OpenVPN 2.4。

步骤2:配置RSA

在此步骤中,我们将通过创建新的“ vars”文件来配置easy-rsa 3。 “ vars”文件包含Easy-RSA 3设置。

转到“ /etc/openvpn/”目录并复制“ easy-rsa”脚本。

cd /etc/openvpncp -r /usr/share/easy-rsa /etc/openvpn/

然后,跳转到/etc/openvpn/easy-rsa/3/目录并且创建vars文件,复制粘贴以下内容,并保存

set_var EASYRSA                "$PWD"set_var EASYRSA_PKI            "$EASYRSA/pki"set_var EASYRSA_DN              "cn_only"set_var EASYRSA_REQ_COUNTRY    "ID"set_var EASYRSA_REQ_PROVINCE    "Jakarta"set_var EASYRSA_REQ_CITY        "Jakarta"set_var EASYRSA_REQ_ORG        "hakase-labs CERTIFICATE AUTHORITY"set_var EASYRSA_REQ_EMAIL      "openvpn@hakase-labs.io"set_var EASYRSA_REQ_OU          "HAKASE-LABS EASY CA"set_var EASYRSA_KEY_SIZE        2048set_var EASYRSA_ALGO            rsaset_var EASYRSA_CA_EXPIRE      7500set_var EASYRSA_CERT_EXPIRE    365set_var EASYRSA_NS_SUPPORT      "no"set_var EASYRSA_NS_COMMENT      "HAKASE-LABS CERTIFICATE AUTHORITY"set_var EASYRSA_EXT_DIR        "$EASYRSA/x509-types"set_var EASYRSA_SSL_CONF        "$EASYRSA/openssl-1.0.cnf"set_var EASYRSA_DIGEST          "sha256"

根据需要更改变量的值。

增加“ EASYRSA_KEY_SIZE”以提高安全性。

更改“ EASYRSA_CA_EXPIRE”和“ EASYRSA_CERT_EXPIRE”。

现在,通过更改文件的权限使“ vars”文件可执行。

sudo chmod +x vars

Easy-RSA 3设置的vars文件已创建。

第3步:构建OpenVPN密钥

在此步骤中,我们将基于我们创建的easy-rsa 3'vars'文件构建OpenVPN密钥。 我们将构建CA密钥,服务器和客户端密钥,DH和CRL PEM文件。

我们将使用“ easyrsa”命令行构建所有这些键。 转到“/etc/openvpn/easy-rsa/ 3”目录。

cd /etc/openvpn/easy-rsa/3/

初始化和建立CA

在构建任何密钥之前,我们需要初始化PKI目录并构建CA密钥。

启动PKI目录,并建立使用下面的命令CA密钥。

sudo./easyrsainit-pkisudo./easyrsa build-ca

现在输入CA密钥的密码,您将在'pki'目录下获得ca.crtca.key文件。

构建服务器密钥

现在我们要构建服务器密钥,然后将构建名为“ hakase-server”的服务器密钥。

使用以下命令构建服务器密钥“ hakase-server”。

./easyrsa gen-req hakase-server nopass

nopass =选项,用于禁用“ hakase-server”密钥的密码。

并使用我们的CA证书签署“ hakase-server”密钥。

sudo ./easyrsa sign-req server hakase-server

系统将要求您输入“ CA”密码,输入密码,然后按Enter。 您将在“ pki / issued /”目录下获得“ hakase-server.crt”证书文件

创建的服务器证书位于

/etc/openvpn/easy-rsa/3.0.6/pki/issued/hakase-server.crt

使用OpenSSL命令验证证书文件,并确保没有错误。出现下面的信息就代表你前面所做的操作是没问题的

$ sudo openssl verify-CAfilepki/ca.crt pki/issued/hakase-server.crt$pki/issued/hakase-server.crt:OK

已创建所有服务器证书密钥。

服务器私钥位于“ pki / private / hakase-server.key”。

服务器证书位于“ pki / issued / hakase-server.crt”。

创建客户端密钥

现在我们需要为客户端构建密钥。 我们将生成名为“ client01”的新客户端密钥。

使用以下命令生成“ client01”密钥

sudo ./easyrsa gen-req client01 nopass

ss8.png

现在,使用我们的CA证书签署“ client01”密钥,如下所示。

sudo ./easyrsa sign-req client client01

键入“yes”以确认客户端证书请求,然后键入CA密码。

已生成名为“ client01”的客户端证书,请使用openssl命令验证客户端证书。

sudo openssl verify-CAfile pki/ca.crt pki/issued/client01.crt

**生成Diffie-Hellman密钥

此操作将花费大量时间,具体取决于我们选择的密钥长度和服务器上的可用熵。 我们将使用在“ vars”文件中定义的长度键。

使用以下命令生成Diffie-Hellman密钥

ss8.png

可选:生成CRL密钥,本文跳过这一步骤

CRL(证书吊销列表)密钥将用于吊销客户端密钥。 如果您的VPN服务器上有多个客户端证书,并且想撤消某些密钥,则只需使用easy-rsa命令撤消。

如果要撤消某些密钥,请运行以下命令

./easyrsa revoke xxxx

然后生成CRL密钥。

./easyrsa gen-crl

复制证书文件

已生成所有证书,现在复制证书文件和PEM文件。

复制服务器密钥和证书。

cp pki/ca.crt/etc/openvpn/server/cp pki/issued/hakase-server.crt/etc/openvpn/server/cp pki/private/hakase-server.key/etc/openvpn/server/

复制client01密钥和证书。

cp pki/ca.crt/etc/openvpn/client/cp pki/issued/client01.crt/etc/openvpn/client/cp pki/private/client01.key/etc/openvpn/client/

复制DH和CRL密钥。

cp pki/dh.pem /etc/openvpn/server/

第4步-配置OpenVPN

在这一步中,我们将为openvpn服务器创建新的配置'server.conf'。转到"/etc/openvpn/"目录,并使用vim创建新的配置文件"server.conf"

将以下OpenVPN服务器配置粘贴到此处。

cd /etc/openvpn/vim server.conf

将以下OpenVPN服务器配置粘贴到此处。

# OpenVPN Port, Protocol and the Tunport 1194proto udpdev tun# OpenVPN Server Certificate - CA, server key and certificateca /etc/openvpn/server/ca.crtcert /etc/openvpn/server/hakase-server.crtkey /etc/openvpn/server/hakase-server.key#DH and CRL keydh /etc/openvpn/server/dh.pem#注意本文没有跳过了丢消证书的检测#crl-verify /etc/openvpn/server/crl.pem# Network Configuration - Internal network# Redirect all Connection through OpenVPN Serverserver 10.10.1.0 255.255.255.0push "redirect-gateway def1"# Using the DNS from https://dns.watchpush "dhcp-option DNS 84.200.69.80"push "dhcp-option DNS 84.200.70.40"#Enable multiple client to connect with same Certificate keyduplicate-cn# TLS Securitycipher AES-256-CBCtls-version-min 1.2tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-128-CBC-SHA256auth SHA512auth-nocache# Other Configurationkeepalive 20 60persist-keypersist-tuncomp-lzo yesdaemonuser nobodygroup nobody# OpenVPN Loglog-append /var/log/openvpn.logverb 3

OpenVPN的配置已创建。

步骤5-启用端口转发并配置路由Firewalld

在此步骤中,我们将启用端口转发内核模块并为OpenVPN配置路由“防火墙”。

ss8.png

通过运行以下命令来启用端口转发内核模块。

echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.confsysctl -p

接下来,使用Firewalld for OpenVPN配置路由。

将 "openvpn"服务添加到防火墙列表服务,并将“tun0”接口添加到防火墙信任区域。

sudo firewall-cmd--permanent--add-service=openvpnsudo firewall-cmd--permanent--zone=trusted--add-interface=tun0

在防火墙的“受信任”区域上启用“ MASQUERADE”。

sudo firewall-cmd--permanent--zone=trusted--add-masquerade

如果你的网关是使用iptable,并且iptable默认情况下阻止该服务,那么请使用以下配置使openvpn正常运行。 首先,让我们在openvpn端口上进行tcp连接。 如果您使用的是udp或其他端口号,请相应地更改此行。

iptables-AINPUT-i enp3s0-m state--stateNEW-p udp--dport1194-jACCEPT

允许TUN接口连接到OpenVPN服务器

iptables -A INPUT -i tun+ -j ACCEPT

允许通过其他接口转发TUN接口连接

iptables -A FORWARD -i tun+ -j ACCEPTiptables -A FORWARD -i tun+ -o enp3s0 -m state --state RELATED,ESTABLISHED -j ACCEPTiptables -A FORWARD -i enp3s0 -o tun+ -m state --state RELATED,ESTABLISHED -j ACCEPT

NAT VPN客户端流量到Internet。 运行“ ifconfig”命令时,根据您的tun0结果信息更改IP地址掩码。

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o enp3s0 -j MASQUERADE

如果您的默认iptables OUTPUT的值不是ACCEPT的话,则还需要以下行:

iptables -A OUTPUT -o tun+ -j ACCEPT

最后记得保存iptables的防火墙配置

sudo iptables-save>/etc/sysconfig/iptables

端口转发和防火墙路由已完成,现在启动openvpn服务,并使它能够在每次系统引导时自动启动。

systemctl start openvpn@serversystemctl enable openvpn@server

我们通过netstat -plntu | grep 1194查看服务器的监听接口

第6步-OpenVPN客户端设置

转到“/etc/openvpn/client”目录,并使用vim创建一个新的openvpn客户端配置文件“ client01.ovpn".

cd /etc/openvpn/clientvim client01.ovpn

复制粘贴以下内容到ovpn

clientdev tunproto udp#真实的ip地址自己填写remote x.x.x.x 1194ca ca.crtcert client01.crtkey client01.keycipher AES-256-CBCauth SHA512auth-nocachetls-version-min 1.2tls-cipherTLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-128-CBC-SHA256resolv-retry infinitecompress lzonobindpersist-keypersist-tunmute-replay-warningsverb 3

保存后退出

现在将“/etc/openvpn/client”目录压缩为“ zip”或“ tar.gz”文件,并使用scp从本地计算机下载压缩文件。

将“ /etc/openvpn/client”目录压缩到“ client01.tar.gz”文件。

cd /etc/openvpn/tar -czvf client01.tar.gz client/*

然后将该客户端所需的证书和配置文件拷贝到需要链接入vpn的客户端

步骤7-测试OpenVPN

安装OpenVPN软件包,如果需要GUI配置,请安装OpenVPN network-manager

ss8.png

如果要使用终端外壳进行连接,请运行以下OpenVPN命令。

openvpn --config client01.ovpn

作者:铁甲万能狗

链接:https://www.jianshu.com/p/17a56994b74f

来源:简书

著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

推荐阅读更多精彩内容