openvpn简介:
VPN直译就是虚拟专用通道,是提供给企业之间或者个人与公司之间安全数据传输的隧道,OpenVPN无疑是Linux下开源VPN的先锋,提供了良好的性能和友好的用户GUI。它大量使用了OpenSSL加密库中的SSLv3/TLSv1协议函数库。 目前OpenVPN能在Solaris、Linux、OpenBSD、FreeBSD、NetBSD、Mac OS X与Microsoft Windows以及Android和iOS上运行,并包含了许多安全性的功能。它并不是一个基于Web的VPN软件,也不与IPsec及其他VPN软件包兼容。
openvpn原理:
OpenVpn的技术核心是虚拟网卡,其次是SSL协议实现,由于SSL协议在其它的词条中介绍的比较清楚了,这里重点对虚拟网卡及其在OpenVpn的中的工作机理进行介绍:
虚拟网卡是使用网络底层编程技术实现的一个驱动软件,安装后在主机上多出现一个网卡,可以像其它网卡一样进行配置。服务程序可以在应用层打开虚拟网卡,如果应用软件(如IE)向虚拟网卡发送数据,则服务程序可以读取到该数据,如果服务程序写合适的数据到虚拟网卡,应用软件也可以接收得到。虚拟网卡在很多的操作系统下都有相应的实现,这也是OpenVpn能够跨平台一个很重要的理由。
在OpenVpn中,如果用户访问一个远程的虚拟地址(属于虚拟网卡配用的地址系列,区别于真实地址),则操作系统会通过路由机制将数据包(TUN模式)或数据帧(TAP模式)发送到虚拟网卡上,服务程序接收该数据并进行相应的处理后,通过SOCKET从外网上发送出去,远程服务程序通过SOCKET从外网上接收数据,并进行相应的处理后,发送给虚拟网卡,则应用软件可以接收到,完成了一个单向传输的过程,反之亦然。
---------------------------------------------------------
部署介绍:
openvpn服务端:
openvpn客户端:就是我本地的windows电脑
-----------------------------------------------
现在我们开始搭建openvpn
一、搭建openvpn
服务端操作
1.为了保证OpenVPN的安装,需要使用easy-rsa秘钥生成工具生成证书
[root@m01 ~]# yum install easy-rsa -y
安装完成!!
2.生成秘钥证书前,需要准备vars文件
[root@m01 ~]# mkdir /opt/easy-rsa
[root@m01 ~]# cd /opt/easy-rsa/
[root@m01 easy-rsa]# /usr/bin/cp -a /usr/share/easy-rsa/3.0.6/* ./
[root@m01 easy-rsa]# /usr/bin/cp -a /usr/share/doc/easy-rsa-3.0.6/vars.example ./vars
##上面2条命令需要注意下,请搭建注意下yum安装的版本,我这边安装的3.0.6所以路径也是3.0.6
[root@m01 easy-rsa]# cat vars
if [ -z "$EASYRSA_CALLER" ]; then
echo "You appear to be sourcing an Easy-RSA 'vars' file." >&2
echo "This is no longer necessary and is disallowed. See the section called" >&2
echo "'How to use this file' near the top comments for more details." >&2
return 1
fi
set_var EASYRSA_DN "cn_only"
set_var EASYRSA_REQ_COUNTRY "CN" #所在的国家
set_var EASYRSA_REQ_PROVINCE "Shanghai" #所在的省份
set_var EASYRSA_REQ_CITY "beijing" #所在的城市
set_var EASYRSA_REQ_ORG "Liangzeyu" #所在的组织
set_var EASYRSA_REQ_EMAIL "2249902650@qq.com" #邮箱的地址
set_var EASYRSA_NS_SUPPORT "yes"
-------把这些内容写入到vars文件中
请用vi编辑
3.初始化生成证书
#1.初始化,在当前目录创建PKI目录,用于存储证书
[root@m01 easy-rsa]# ./easyrsa init-pki
#2.创建根证书,会提示设置密码,用于ca对之后生成的server和client证书签名时使用,其他可默认; 输入: 1、1234 2、1234 3、回车
[root@m01 easy-rsa]# ./easyrsa build-ca
#3.创建server端证书和私钥文件,nopass表示不加密私钥文件,其他可默认 输入回车
[root@m01 easy-rsa]# ./easyrsa gen-req server nopass
#4.给server端证书签名,首先是对一些信息的确认,可以输入yes,然后创建ca根证书时设置的密码 1、yes 2、1234
[root@m01 easy-rsa]# ./easyrsa sign server server
#5.创建Diffie-Hellman文件,秘钥交换时的Diffie-Hellman算法、需要等很久
[root@m01 easy-rsa]# ./easyrsa gen-dh
#6.创建client端证书和私钥文件,nopass表示不加密私钥文件,其他可默认 输入回车
[root@m01 easy-rsa]# ./easyrsa gen-req client nopass
#7.给client端证书签名,首先是对一些信息的确认,可以输入yes,然后创建ca根证书时设置的密码 1、输入yes 2、输入回车
[root@m01 easy-rsa]# ./easyrsa sign client client
1.安装openvpn
[root@openvpn easy-rsa]# yum install openvpn -y
openvpn安装完毕!
2.配置openvpn
[root@openvpn easy-rsa]# cd /etc/openvpn/
自行创建一个配置文件
[root@web01 openvpn]# cat server.conf
port 1194 #端口
proto udp #协议
dev tun #采用路由隧道模式tun
ca ca.crt #ca证书文件位置
cert server.crt #服务端公钥名称
key server.key #服务端私钥名称
dh dh.pem #交换证书
server 10.8.0.0 255.255.255.0 #给客户端分配地址池,注意:不能和VPN服务器内网网段有相同
push "route 172.16.2.0 255.255.255.0" #允许客户端访问内网172.16.2.0网段
ifconfig-pool-persist ipp.txt #地址池记录文件位置
keepalive 10 120 #存活时间,10秒ping一次,120 如未收到响应则视为断线
max-clients 100 #最多允许100个客户端连接
status openvpn-status.log #日志记录位置
verb 3 #openvpn版本
client-to-client #客户端与客户端之间支持通信
log /var/log/openvpn.log #openvpn日志记录位置
persist-key #通过keepalive检测超时后,重新启动VPN,不重新读取keys,保留第一次使用的keys。
persist-tun #检测超时后,重新启动VPN,一直保持tun是linkup的。否则网络会先linkdown然后再linkup
duplicate-cn
3.根据配置需要文件中定义,需要拷贝openvpnServer端用到的证书至/etc/openvpn目录中
[root@m01 ~]# cd /etc/openvpn/
[root@m01 openvpn]# cp /opt/easy-rsa/pki/ca.crt ./
[root@m01 openvpn]# cp /opt/easy-rsa/pki/issued/server.crt ./
[root@m01 openvpn]# cp /opt/easy-rsa/pki/private/server.key ./
[root@m01 openvpn]# cp /opt/easy-rsa/pki/dh.pem ./
4.配置openvpn,首先需要开启内核转发功能
[root@m01 ~]# echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
[root@m01 ~]# systemctl restart network
8.启动openvpn服务并加入开机自启
[root@m01 ~]# systemctl -f enable openvpn@server.service #设置启动文件
[root@m01 ~]# systemctl start openvpn@server.service #启动openvpn服务
启动成功了老铁
----------------
现在我们将服务器中的证书下载到电脑桌面中
下载服务端生成的客户端密钥文件和ca文件至windows指定C:\Program Files\OpenVPN\config 目录中
[root@openvpn-client ~]# cd /etc/openvpn/
[root@openvpn-client openvpn]# sz /opt/easy-rsa/pki/ca.crt
[root@openvpn-client openvpn]# sz /opt/easy-rsa/pki/issued/client.crt
[root@openvpn-client openvpn]# sz /opt/easy-rsa/pki/private/client.key
并编辑创建client.ovpn文件
client #指定当前VPN是客户端
dev tun #使用tun隧道传输协议
proto udp #使用udp协议传输数据
remote 10.0.0.2 1194 #openvpn服务器IP地址端口号
resolv-retry infinite #断线自动重新连接,在网络不稳定的情况下非常有用
nobind #不绑定本地特定的端口号
ca ca.crt #指定CA证书的文件路径
cert client.crt #指定当前客户端的证书文件路径
key client.key #指定当前客户端的私钥文件路径
verb 3 #指定日志文件的记录详细级别,可选0-9,等级越高日志内容越详细
persist-key #通过keepalive检测超时后,重新启动VPN,不重新读取keys,保留第一次使用的keys
persist-tun #检测超时后,重新启动VPN,一直保持tun是linkup的。否则网络会先linkdown然后再linkup
--------------------
现在我们配置客户端(windows)
https://send.firefox.com/download/f59240220b16dd04/#bRX23nA8N9b4C58ALPSvhw <--可以在这个链接下载openvpn客户端,当你下载的时候可能会过期
-----
我们安装好之后进入openvpn客户端的安装位置,并将桌面的文件全部复制到config目录中;
然后以管理员权限启动openvpn
运行完之后会在右下角出现一个小电脑
那我们先测试下不连接时候我们电脑的路由是什么情况的;
打开电脑的cmd输入命令: route print -4
然后我们进行连接
点击右键选择连接(connect),然后我们在按照上面的方法看一下本地的路由
很明显,已经通了,现在我们ping一个客户端的内网地址:
通了,如果ping不通的好好检查下server.conf配置的网络ip是否填写正确;
有问题请加博主微信进行沟通!
全部评论