Centos 55 上面安装OpenVPN完整版上篇服务端配置.docx
- 文档编号:16957317
- 上传时间:2023-07-20
- 格式:DOCX
- 页数:7
- 大小:18.35KB
Centos 55 上面安装OpenVPN完整版上篇服务端配置.docx
《Centos 55 上面安装OpenVPN完整版上篇服务端配置.docx》由会员分享,可在线阅读,更多相关《Centos 55 上面安装OpenVPN完整版上篇服务端配置.docx(7页珍藏版)》请在冰点文库上搜索。
Centos55上面安装OpenVPN完整版上篇服务端配置
Centos5.5上面安装OpenVPN完整版上篇【服务端配置】
VPN是虚拟专用网络,是提供给企业之间或者个人和公司之间安全数据传输的隧道,OpenVPN是Linux下面开源VPN的佼佼者,提供了良好的性能和友好的用户GUI,使用OpenSSL库加密与验证功能。
支持UDP和TCP协议,提供两种虚拟网络接口:
Tun/Tap模式。
下面是在Centos5.5上面安装OpenVPN详细过程,希望对各位朋友有所帮助,采用RPM包,(tar编译包费时,配置方法一致)。
1.下载软件包,在下载2个安装必须的rpm包。
lzo-2.02-3.el5.kb.i386.rpm (压缩工具)
openvpn-2.1-0.20.rc4.el5.kb.i386.rpm (安装包)
2.安装。
[root@nagios~]#rpm-ivhlzo-2.02-3.el5.kb.i386.rpm
Preparing... ###########################################[100%]
1:
lzo ###########################################[100%]
[root@nagios~]#rpm-ivhopenvpn-2.1-0.20.rc4.el5.kb.i386.rpm
Preparing... ###########################################[100%]
1:
openvpn ###########################################[100%]
3.1拷贝openvpn的配置文件到/etc/openvpn/目录里面。
[root@nagios~]#cp-r/usr/share/openvpn/easy-rsa/2.0//etc/openvpn/
[root@nagios~]#cp/usr/share/doc/openvpn-2.1/sample-config-files/server.conf/etc/openvpn/
3.2编辑变量定义文件在/etc/openvpn/2.0目录里面。
vimvars
修改下面几项
exportKEY_COUNTRY="CN" /指定属于哪个国家
exportKEY_PROVINCE="SHS" /指定属于哪个省份
exportKEY_CITY="SH" /指定属于哪个城市
exportKEY_ORG="VPN-TEST" /指定属于公司
exportKEY_EMAIL="" /指定邮件地址
使用source使vars生效
[root@nagios2.0]#source./vars
NOTE:
Ifyourun./clean-all,Iwillbedoingarm-rfon/etc/openvpn/2.0/keys
查看刚才配置,是否多了下面几行,如果有就是OK的。
[root@nagios2.0]#env|grepKEY
KEY_EXPIRE=3650
KEY_SIZE=1024
KEY_DIR=/etc/openvpn/2.0/keys
KEY_CITY=SH
KEY_PROVINCE=SHS
KEY_ORG=VPN-TEST
执行./clean-all清除OpenVPN所有证书相关的值,发现在该目录下生成keys文件
[root@nagios2.0]#./clean-all
[root@nagios2.0]#ls
build-ca build-key-server list-crl revoke-full build-dh build-req Makefile sign-req
build-inter build-req-pass openssl-f vars build-key clean-all f whichopensslcnf
build-key-pass inherit-inter pkitool build-key-pkcs12 keys README
3.3建立CA证书。
[root@nagios2.0]#./build-ca
Generatinga1024bitRSAprivatekey
...........++++++
....................................................++++++
writingnewprivatekeyto'ca.key'
-----
Youareabouttobeaskedtoenterinformationthatwillbeincorporated
intoyourcertificaterequest.
WhatyouareabouttoenteriswhatiscalledaDistinguishedNameoraDN.
Therearequiteafewfieldsbutyoucanleavesomeblank
Forsomefieldstherewillbeadefaultvalue,
Ifyouenter'.',thefieldwillbeleftblank.
-----
CountryName(2lettercode)[CN]:
/直接回车
StateorProvinceName(fullname)[SHS]:
/直接回车
LocalityName(eg,city)[SH]:
/直接回车
OrganizationName(eg,company)[VPN-TEST]:
/直接回车
OrganizationalUnitName(eg,section)[]:
TEST /自定义组织的名称
CommonName(eg,yournameoryourserver'shostname)[VPN-TESTCA]:
server /指定VPN服务器FQDN名称
EmailAddress[shifeng_zhang88@]:
此时生成了CA的crt和key文件
[root@nagios2.0]#lskeys/
ca.crt ca.keyindex.txt serial
3.4生成VPN服务器的证书,端私钥文件。
[root@nagios2.0]#./build-key-serverserver /自定义私钥文件名称
Generatinga1024bitRSAprivatekey
...++++++
........++++++
writingnewprivatekeyto'server.key'
-----
Youareabouttobeaskedtoenterinformationthatwillbeincorporated
intoyourcertificaterequest.
WhatyouareabouttoenteriswhatiscalledaDistinguishedNameoraDN.
Therearequiteafewfieldsbutyoucanleavesomeblank
Forsomefieldstherewillbeadefaultvalue,
Ifyouenter'.',thefieldwillbeleftblank.
-----
CountryName(2lettercode)[CN]:
/直接回车
StateorProvinceName(fullname)[SHS]:
/直接回车
LocalityName(eg,city)[SH]:
/直接回车
OrganizationName(eg,company)[VPN-TEST]:
/直接回车
OrganizationalUnitName(eg,section)[]:
TEST /和CA保持一致
CommonName(eg,yournameoryourserver'shostname)[server]:
server /和CA保持一致
EmailAddress[shifeng_zhang88@]:
Pleaseenterthefollowing'extra'attributes
tobesentwithyourcertificaterequest
Achallengepassword[]:
david123 /指定密码
Anoptionalcompanyname[]:
/直接回车
Usingconfigurationfrom/etc/openvpn/2.0/f
Checkthattherequestmatchesthesignature
Signatureok
TheSubject'sDistinguishedNameisasfollows
countryName :
PRINTABLE:
'CN'
stateOrProvinceName :
PRINTABLE:
'SHS'
localityName :
PRINTABLE:
'SH'
organizationName :
PRINTABLE:
'VPN-TEST'
organizationalUnitName:
PRINTABLE:
'TEST'
commonName :
PRINTABLE:
'server'
emailAddress :
IA5STRING:
'shifeng_zhang88@'
CertificateistobecertifieduntilOct2513:
30:
312021GMT(3650days)
Signthecertificate?
[y/n]:
y /按Y回车,证书期限是10年
1outof1certificaterequestscertified,commit?
[y/n]y /按Y回车
Writeoutdatabasewith1newentries
DataBaseUpdated
发现生成server密钥文件
[root@nagios2.0]#lskeys/
01.pem ca.key index.txt.attr serial server.crt server.key ca.crt index.txt index.txt.old serial.old server.csr
3.5生成需要拨入OpenVPN的客户端的证书和私钥。
[root@nagios2.0]#./build-keysfzhang /指定VPN客户端主机FQDN名称Generatinga1024bitRSAprivatekey
...........++++++
....++++++
writingnewprivatekeyto'sfzhang.key'
-----
Youareabouttobeaskedtoenterinformationthatwillbeincorporated
intoyourcertificaterequest.
WhatyouareabouttoenteriswhatiscalledaDistinguishedNameoraDN.
Therearequiteafewfieldsbutyoucanleavesomeblank
Forsomefieldstherewillbeadefaultvalue,
Ifyouenter'.',thefieldwillbeleftblank.
-----
CountryName(2lettercode)[CN]:
/直接回车
StateorProvinceName(fullname)[SHS]:
/直接回车
LocalityName(eg,city)[SH]:
/直接回车
OrganizationName(eg,company)[VPN-TEST]:
/直接回车
OrganizationalUnitName(eg,section)[]:
TEST
CommonName(eg,yournameoryourserver'shostname)[sfzhang]:
sfzhang /指定客户端的主机FQDN名称sfzhang
EmailAddress[shifeng_zhang88@]:
Pleaseenterthefollowing'extra'attributes
tobesentwithyourcertificaterequest
Achallengepassword[]:
david123 /和server端保持一致
Anoptionalcompanyname[]:
Usingconfigurationfrom/etc/openvpn/2.0/f
Checkthattherequestmatchesthesignature
Signatureok
TheSubject'sDistinguishedNameisasfollows
countryName :
PRINTABLE:
'CN'
stateOrProvinceName :
PRINTABLE:
'SHS'
localityName :
PRINTABLE:
'SH'
organizationName :
PRINTABLE:
'VPN-TEST'
organizationalUnitName:
PRINTABLE:
'TEST'
commonName :
PRINTABLE:
'sfzhang'
emailAddress :
IA5STRING:
'shifeng_zhang88@'
CertificateistobecertifieduntilOct2513:
35:
592021GMT(3650days)
Signthecertificate?
[y/n]:
y 按Y回车,证书有效期为10年
1outof1certificaterequestscertified,commit?
[y/n]y 按Y回车
Writeoutdatabasewith1newentries
DataBaseUpdated
查看客户端证书文件
[root@nagios2.0]#lskeys/
01.pem index.txt serial server.key 02.pem index.txt.attr serial.oldsfzhang.crt
ca.crt index.txt.attr.old server.crt sfzhang.csr ca.key index.txt.old server.csr sfzhang.key
安装上面的方法可以生成多个客户端的文件。
3.6创建DiffieHellman参数,生成一个HMAC是一种经过加密的散列消息验证吗,可以对信息数据的完整性和真实性进行验证。
[root@nagios2.0]#./build-dh
3.7将KEY下面ca.crtca.keysfzhang.*的文件拷贝到客户端sfzhang的OpenVPNGUI的安装目录里面。
4.创建服务端配置文件。
将keys下面的ca.crtserver.crtserver.keydh1024拷贝到/etc/openvpn
[root@nagios2.0]#cpkeys/ca.crt/etc/openvpn/
[root@nagios2.0]#cpkeys/server.*/etc/openvpn/
[root@nagios2.0]#cpkeys/dh1024.pem/etc/openvpn/
配置openvpn的主配置文件/etc/openvpn/server.conf
#侦听客户端VPN请求接口的IP地址
local192.168.1.200
#侦听客户端VPN请求接口的端口,默认为1194,可以自定义修改
port1194
#侦听客户端VPN请求接口的协议
protoudp
devtun /定义使用的设备可选择Tap或tun,tap是二层设备,支持链路层协议,tun是IP层的点对点协议
#指定CA信任证书所在路径
ca/etc/openvpn/ca.crt
#指定VPN服务器所在的路径
cert/etc/openvpn/erver.crt
#指定使用Diffie-Hellman文件所在路径
dh/etc/openvpn/dh1024.pem
server172.16.0.0255.255.255.0 /VPN服务器分配给VPN客户端的内网IP地址范围,不要和VPN客户端同一个网段
client-to-client/多台VPN客户端成功拨入后,这些VPN客户端之间也可以通信
keepalive10120 /每10秒钟ping一次,若120秒为收到封包,即认定客户端短线
push"route192.168.1.0255.255.255.0" /VPN客户端与内网不在同一个网段,必须添加路由条目
#启动网络传输压缩
comp-lzo
#指定客户端最大连接数为20
max-clients20
persist-key
persist-tun
statusopenvpn-status.log
logopenvpn.log
tls-auth/etc/openvpn/keys/ta.key0
#指定日志文件冗余
verb4
5.启动服务OpenVPN服务。
[root@nagiosopenvpn]#serviceopenvpnrestart
正在关闭openvpn:
[确定]
正在启动openvpn:
[确定]
ifconfig查看网卡信息,如果配置成功的话就会多下面tun0,即OpenVPN采用虚拟网络模式。
tun0 Linkencap:
UNSPEC HWaddr00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inetaddr:
172.16.0.1 P-t-P:
172.16.0.2 Mask:
255.255.255.255
UPPOINTOPOINTRUNNINGNOARPMULTICAST MTU:
1500 Metric:
1
RXpackets:
7360errors:
0dropped:
0overruns:
0frame:
0
TXpackets:
8339errors:
0dropped:
0overruns:
0carrier:
0
collisions:
0txqueuelen:
100
RXbytes:
975643(952.7KiB) TXbytes:
4564854(4.3MiB)
6.在公司出口的服务器上面做一个DNAT或者在路由器上面做一个端口映射,即把访问目标地址为IP(公司出口的公网IP),端口为1194(OpenVPN的端口)的请求转发到内网的VPN服务器(192.168.1.200)上面。
iptables-tnat-APREROUTING-P-udp-dIP--dpprt1194-jDNATto192.168.1.200:
1194
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Centos 55 上面安装OpenVPN完整版上篇服务端配置 上面 安装 OpenVPN 完整版 上篇 服务端 配置
![提示](https://static.bingdoc.com/images/bang_tan.gif)