CentOS 搭建openVPN

1、安裝前準備

# 關閉selinux
setenforce 0
sed -i '/^SELINUX=/c\SELINUX=disabled' /etc/selinux/config

# 安裝openssl和lzo，lzo用於壓縮通訊資料加快傳輸速度
yum -y install openssl openssl-devel
yum -y install lzo

 

 

 

2、安裝及配置OpenVPN和easy-rsa

[root@vpn ~]# yum install -y openssl-devel
[root@vpn ~]# wge thttps://swupdate.openvpn.org/community/releases/openvpn-2.3.11.tar.gz
[root@vpn ~]# tar zxvfopenvpn-2.3.11.tar.gz
[root@vpn ~]# cd openvpn-2.3.11
[root@vpn openvpn-2.3.4]# ./configure --with-lzo-headers=/usr/local/include/ --with-lzo-lib=/usr/local/lib   {./configure  預設安裝}
[root@vpn openvpn-2.3.4]# make && make install
[root@vpn openvpn-2.3.4]# which openvpn/usr/local/sbin/openvpn #看到這裡，說明安裝openvpn成功

# 安裝easy-rsa
yum -y install easy-rsa

# 修改vars檔案
cd /usr/share/easy-rsa/2.0/
vim vars
# 修改註冊資訊，比如公司地址、公司名稱、部門名稱等。
export KEY_COUNTRY="CN"
export KEY_PROVINCE="Shandong"
export KEY_CITY="Qingdao"
export KEY_ORG="MySelf"
export KEY_EMAIL="me@myhost.mydomain"
export KEY_OU="MyOrganizationalUnit"
# 初始化環境變數
source vars

# 清除keys目錄下所有與證書相關的檔案
# 下面步驟生成的證書和金鑰都在/usr/share/easy-rsa/2.0/keys目錄裡
./clean-all

# 生成根證書ca.crt和根金鑰ca.key（一路按回車即可）
./build-ca

# 為服務端生成證書和金鑰（一路按回車，直到提示需要輸入y/n時，輸入y再按回車，一共兩次）
./build-key-server server

# 每一個登陸的VPN客戶端需要有一個證書，每個證書在同一時刻只能供一個客戶端連線，下面建立2份
# 為客戶端生成證書和金鑰（一路按回車，直到提示需要輸入y/n時，輸入y再按回車，一共兩次）
./build-key client1
./build-key client2

# 建立迪菲·赫爾曼金鑰，會生成dh2048.pem檔案（生成過程比較慢，在此期間不要去中斷它）
./build-dh

# 生成ta.key檔案（防DDos攻擊、UDP淹沒等惡意攻擊）
openvpn --genkey --secret keys/ta.key

 

 

 

3、建立伺服器端配置檔案

# 服務端 配置檔案隨便在自己喜歡的路徑放置即可
mkdir /usr/local/etc/openvpn/

# 將需要用到的openvpn證書和金鑰複製一份到剛建立好的keys目錄中
cp /usr/share/easy-rsa/2.0/keys/{ca.crt,server.{crt,key},dh2048.pem,ta.key}  /usr/local/etc/openvpn/

# 並需要在本路徑下建立 .conf 檔案用來載入服務端配置資訊;
local  xxx.xxx.xxx.xxx   找到本地ip，放置再次:  若不填寫local ip 客戶端不能連線: cannot locate HMAC incoming packet from xxx.xxx.xxx.xxx
port 1194
# 改成tcp，預設使用udp，如果使用HTTP Proxy，必須使用tcp協議
proto tcp
dev tun
# 路徑前面加keys，全路徑為/etc/openvpn/keys/ca.crt
ca keys/ca.crt
cert keys/server.crt
key keys/server.key # This file should be kept secret
dh keys/dh2048.pem
# 預設虛擬區域網網段，不要和實際的區域網衝突即可
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
# 10.0.0.0/8是我這臺VPN伺服器所在的內網的網段，讀者應該根據自身實際情況進行修改
push "route 10.0.0.0 255.0.0.0"
# 可以讓客戶端之間相互訪問直接通過openvpn程式轉發，根據需要設定
client-to-client
# 如果客戶端都使用相同的證書和金鑰連線VPN，一定要開啟這個選項，否則每個證書只允許一個人連線VPN
duplicate-cn
keepalive 10 120
tls-auth keys/ta.key 0 # This file is secret
comp-lzo
persist-key
persist-tun
# OpenVPN的狀態日誌，預設為/etc/openvpn/openvpn-status.log
status openvpn-status.log
# OpenVPN的執行日誌，預設為/etc/openvpn/openvpn.log 
log-append openvpn.log
# 改成verb 5可以多檢視一些除錯資訊
verb 5

 

4、配置核心和防火牆，啟動服務

# 開啟路由轉發功能
sed -i '/net.ipv4.ip_forward/s/0/1/' /etc/sysctl.conf
sysctl -p

# 配置防火牆，別忘記儲存
iptables -I INPUT -p tcp --dport 1194 -m comment --comment "openvpn" -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j MASQUERADE
service iptables save

 

openvpn  --config  server.conf  >> /dev/null &   #啟動程式

# 若是想隨機自啟動，可
將
    openvpn --config  server.conf >> /dev/null & 寫入到 /etc/rc.local 檔案中

注意書寫完整路徑

也可以寫入到 /etc/init.d/  設定service服務

 

 

5、建立客戶端配置檔案

　　下載 vpn  

　　yum -y  openvpn  或者向上查詢下載安裝包，進行編譯安裝;

dev tun
# 改為tcp
proto tcp
# OpenVPN伺服器的外網IP和埠
remote 203.195.xxx.xxx 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
# client1的證書
cert client1.crt
# client1的金鑰
key client1.key
ns-cert-type server
# 去掉前面的註釋  其中注意要與server端一直， 是否啟用傳輸加密， 否則: 將log日誌中將發現 加密錯誤;
tls-auth ta.key 1  
comp-lzo
verb 3

 

openvpn  --config client.ovpn  >> /dev/null &   #啟動程式

# 若是想隨機自啟動，可
將
    openvpn --config  client.ovpn >> /dev/null & 寫入到 /etc/rc.local 檔案中

注意書寫完整路徑

 

使用傳輸加密時需要的檔案為:

　　　　client.crt   client.key   ca.crt   ta.key  client.ovpn

　　不適用傳輸加密， 則可以渠道ta.key 檔案;

 

 

若是使用vpn客戶端軟體， mac linux 直接將 ovpn檔案拖進客戶端圖示，或者使用客戶端開啟。

　　window版本 請將以上檔案放置到 客戶端目錄下的conf資料夾中;