5、 配置openvpn
#将证书复制到/usr/local/openvpn/keys/目录下
[root@www keys]# cp -a ca.crt ta.key www.roger.com.crt dh2048.pem www.roger.com.key /usr/local/openvpn/keys/
#在解压包中将配置文件复制到/usr/local/openvpn/
[root@www openvpn-2.3.11]# cp -a sample/sample-config-files/server.conf /usr/local/openvpn/
#备份配置文件
[root@www openvpn]# cp -a server.conf server.conf_20160706
[root@www openvpn]# grep -v '^[#|;]' server.conf_20160706 | grep -v '^$' > server.conf
#配置服务端openvpn
[root@www 2.0]# vim /usr/local/openvpn/server.conf
# 设置监听IP,默认是监听所有IP
;local a.b.c.d
#设置监听接口,注意防火墙开放
port 1194
#设置使用tcp 还是udp协议
proto tcp
#选择模式 tun为路由模式,tap为桥接模式
dev tun
#指定SSL/TLS root certificate (ca) 证书(cert)和私钥(key)
#每个客户端和服务端都必须有自己的证书和私钥文件。
#服务端和客户端使用相同的ca文件
ca keys/ca.crt
cert keys/www.roger.com.crt
key keys/www.roger.com.key # This file should be kept secret
#指定Diffie hellman parameters. 默认是2048,生成ca的时候修改过dh参数“export KEY_SIZE”则改为对应的数字
dh keys/dh2048.pem
#证书秘钥加密传输,服务端设置ta.key 0 客户端设置ta.key 1
tls-auth keys/ta.key 0
# 配置VPN使用的网段,OpenVPN会自动提供基于该网段的DHCP服务,但不能和任何一方的局域网段重复
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
#为客户端创建对应的路由,以另其通达公司网内部服务器
#但记住,公司网内部服务器也需要有可用路由返回到客户端
push "route 10.10.0.0 255.255.0.0"
# 用OpenVPN的DHCP功能为客户端提供指定的DNS、WINS等
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
persist-key
persist-tun
# 使用lzo压缩的通讯,服务端和客户端都必须配置
comp-lzo
# 输出短日志,每分钟刷新一次,以显示当前的客户端
status /var/log/openvpn/openvpn-status.log
# 缺省日志会记录在系统日志中,但也可以导向到其他地方
# 建议调试的使用先不要设置,调试完成后再定义
log /var/log/openvpn/openvpn.log
log-append /var/log/openvpn/openvpn.log
#设置日志级别
verb 3
6、启动openvpn
#将启动脚本复制到/etc/init.d/目录下
[root@www openvpn-2.3.11]# cp -a distro/rpm/openvpn.init.d.rhel /etc/init.d/openvpn
#修改启动脚本相关配置,脚本85行 修改为:work=/usr/local/openvpn
[root@www openvpn-2.3.11]# vim /etc/init.d/openvpn
#启动openvpn
[root@www ~]# service openvpn start
#添加开机启动
[root@www ~]# chkconfig openvpn on
7、开启外网访问,配置防火墙
#开启系统IP转发功能,让数据包在不同的网段之间流通
[root@www ~]# vim /etc/sysctl.conf
#将net.ipv4.ip_forward = 0 改为 1
[root@www ~]# sysctl -p #立即生效
#配置防火墙 开启1194
[root@www ~]# iptables -A INPUT -p TCP --dport 1194 -j ACCEPT
#配置nat表将vpn网段IP转发到server内网 注意eth0是内网的接口
[root@www ~]# iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
#注意nat表POSTROUTING需要保存重启才生效
#保存iptables
[root@www ~]# service iptables save
#重启iptables
[root@www ~]# service iptables restart
8、 Windows客户端配置:
软件包下载:http://build.openvpn.net/downloads/releases/
使用软件 openvpn-install-2.3.2-I003-x86_64.exe,一路默认选项安装。
一般安装在目录中C:\program files\OpenVPN中
在C:\program files\OpenVPN\config目录下创建client.ovpn 内容如下:
client
dev tun
proto tcp
remote 192.168.1.188 1194 #这里配置的是vpn服务端ip
resolv-retry infinite
ca ca.crt
cert client1.crt
key client1.key
tls-auth ta.key 1
comp-lzo
persist-key
persist-tun
auth-nocache
status openvpn-status.log
verb 3
下载服务器端生成的证书ca.crt client1.crt client1.key ta.key 并复制到 C:\program files\OpenVPN\config目录下。
此时,可以启动openvpn连接了。
(责任编辑:好模板) |