西部数码主机 | 阿里云主机| 虚拟主机 | 服务器 | 返回乐道官网
当前位置: 主页 > 开发教程 > linux教程 >

centos上部署openvpn的具体步骤(2)

时间:2016-10-14 20:15来源:未知 作者:好模板编辑 点击:
5、 配置openvpn #将证书复制到/usr/local/openvpn/keys/目录下 [root@www keys]# cp -a ca.crt ta.key www.roger.com.crt dh2048.pem www.roger.com.key /usr/local/openvpn/keys/ #在解压包中将配
    5、 配置openvpn
 
    #将证书复制到/usr/local/openvpn/keys/目录下
    [root@www keys]# cp -a ca.crt ta.key www.roger.com.crt dh2048.pem www.roger.com.key /usr/local/openvpn/keys/ 
    #在解压包中将配置文件复制到/usr/local/openvpn/    
    [root@www openvpn-2.3.11]# cp -a sample/sample-config-files/server.conf /usr/local/openvpn/
    #备份配置文件
    [root@www openvpn]# cp -a server.conf server.conf_20160706
    [root@www openvpn]# grep -v '^[#|;]' server.conf_20160706 | grep -v '^$' > server.conf
    #配置服务端openvpn
    [root@www 2.0]# vim /usr/local/openvpn/server.conf     
    # 设置监听IP,默认是监听所有IP
    ;local a.b.c.d
    #设置监听接口,注意防火墙开放
    port 1194
    #设置使用tcp 还是udp协议
    proto tcp
    #选择模式 tun为路由模式,tap为桥接模式
    dev tun
    #指定SSL/TLS root certificate (ca) 证书(cert)和私钥(key)
    #每个客户端和服务端都必须有自己的证书和私钥文件。
    #服务端和客户端使用相同的ca文件
    ca keys/ca.crt
    cert keys/www.roger.com.crt
    key keys/www.roger.com.key  # This file should be kept secret
    #指定Diffie hellman parameters. 默认是2048,生成ca的时候修改过dh参数“export KEY_SIZE”则改为对应的数字
    dh keys/dh2048.pem
    #证书秘钥加密传输,服务端设置ta.key 0 客户端设置ta.key 1
    tls-auth keys/ta.key 0
    # 配置VPN使用的网段,OpenVPN会自动提供基于该网段的DHCP服务,但不能和任何一方的局域网段重复
    server 10.8.0.0 255.255.255.0
    ifconfig-pool-persist ipp.txt
    #为客户端创建对应的路由,以另其通达公司网内部服务器
    #但记住,公司网内部服务器也需要有可用路由返回到客户端
    push "route 10.10.0.0 255.255.0.0"       
    # 用OpenVPN的DHCP功能为客户端提供指定的DNS、WINS等
    push "dhcp-option DNS 8.8.8.8"
    keepalive 10 120
    persist-key
    persist-tun
    # 使用lzo压缩的通讯,服务端和客户端都必须配置
    comp-lzo
    # 输出短日志,每分钟刷新一次,以显示当前的客户端
    status /var/log/openvpn/openvpn-status.log
    # 缺省日志会记录在系统日志中,但也可以导向到其他地方
    # 建议调试的使用先不要设置,调试完成后再定义
    log         /var/log/openvpn/openvpn.log
    log-append  /var/log/openvpn/openvpn.log
    #设置日志级别
    verb 3
    6、启动openvpn
 
    #将启动脚本复制到/etc/init.d/目录下
    [root@www openvpn-2.3.11]# cp -a distro/rpm/openvpn.init.d.rhel /etc/init.d/openvpn
    #修改启动脚本相关配置,脚本85行 修改为:work=/usr/local/openvpn
    [root@www openvpn-2.3.11]# vim /etc/init.d/openvpn
    #启动openvpn
    [root@www ~]# service openvpn start
    #添加开机启动
    [root@www ~]# chkconfig openvpn on
    7、开启外网访问,配置防火墙
 
    #开启系统IP转发功能,让数据包在不同的网段之间流通
    [root@www ~]# vim /etc/sysctl.conf
    #将net.ipv4.ip_forward = 0 改为 1
    [root@www ~]# sysctl -p #立即生效
    #配置防火墙 开启1194
    [root@www ~]# iptables -A INPUT -p TCP --dport 1194 -j ACCEPT
    #配置nat表将vpn网段IP转发到server内网 注意eth0是内网的接口
    [root@www ~]# iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
    #注意nat表POSTROUTING需要保存重启才生效
    #保存iptables
    [root@www ~]# service iptables save
    #重启iptables
    [root@www ~]# service iptables restart
    8、 Windows客户端配置:
 
        软件包下载:http://build.openvpn.net/downloads/releases/
 
        使用软件 openvpn-install-2.3.2-I003-x86_64.exe,一路默认选项安装。
 
        一般安装在目录中C:\program files\OpenVPN中
 
        在C:\program files\OpenVPN\config目录下创建client.ovpn 内容如下:
 
    client
    dev tun
    proto tcp
    remote 192.168.1.188 1194        #这里配置的是vpn服务端ip
    resolv-retry infinite
    ca ca.crt
    cert client1.crt
    key client1.key
    tls-auth ta.key 1
    comp-lzo
    persist-key
    persist-tun
    auth-nocache
    status openvpn-status.log
    verb 3
       下载服务器端生成的证书ca.crt client1.crt client1.key ta.key 并复制到 C:\program files\OpenVPN\config目录下。
 
       此时,可以启动openvpn连接了。
(责任编辑:好模板)
顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
栏目列表
热点内容