openvpn简介：

VPN直译就是虚拟专用通道，是提供给企业之间或者个人与公司之间安全数据传输的隧道，OpenVPN无疑是Linux下开源VPN的先锋，提供了良好的性能和友好的用户GUI。它大量使用了OpenSSL加密库中的SSLv3/TLSv1协议函数库。 目前OpenVPN能在Solaris、Linux、OpenBSD、FreeBSD、NetBSD、Mac OS X与Microsoft Windows以及Android和iOS上运行，并包含了许多安全性的功能。它并不是一个基于Web的VPN软件，也不与IPsec及其他VPN软件包兼容。

openvpn原理：

OpenVpn的技术核心是虚拟网卡，其次是SSL协议实现，由于SSL协议在其它的词条中介绍的比较清楚了，这里重点对虚拟网卡及其在OpenVpn的中的工作机理进行介绍：

虚拟网卡是使用网络底层编程技术实现的一个驱动软件，安装后在主机上多出现一个网卡，可以像其它网卡一样进行配置。服务程序可以在应用层打开虚拟网卡，如果应用软件（如IE）向虚拟网卡发送数据，则服务程序可以读取到该数据，如果服务程序写合适的数据到虚拟网卡，应用软件也可以接收得到。虚拟网卡在很多的操作系统下都有相应的实现，这也是OpenVpn能够跨平台一个很重要的理由。 

在OpenVpn中，如果用户访问一个远程的虚拟地址（属于虚拟网卡配用的地址系列，区别于真实地址），则操作系统会通过路由机制将数据包（TUN模式）或数据帧（TAP模式）发送到虚拟网卡上，服务程序接收该数据并进行相应的处理后，通过SOCKET从外网上发送出去，远程服务程序通过SOCKET从外网上接收数据，并进行相应的处理后，发送给虚拟网卡，则应用软件可以接收到，完成了一个单向传输的过程，反之亦然。

---------------------------------------------------------

部署介绍：

openvpn服务端：

openvpn客户端：就是我本地的windows电脑

-----------------------------------------------

现在我们开始搭建openvpn

一、搭建openvpn 

服务端操作

1.为了保证OpenVPN的安装，需要使用easy-rsa秘钥生成工具生成证书
[root@m01 ~]# yum install easy-rsa -y

安装完成！！

2.生成秘钥证书前，需要准备vars文件
[root@m01 ~]# mkdir /opt/easy-rsa
[root@m01 ~]# cd /opt/easy-rsa/
[root@m01 easy-rsa]# /usr/bin/cp -a /usr/share/easy-rsa/3.0.6/* ./
[root@m01 easy-rsa]# /usr/bin/cp -a /usr/share/doc/easy-rsa-3.0.6/vars.example ./vars

##上面2条命令需要注意下，请搭建注意下yum安装的版本，我这边安装的3.0.6所以路径也是3.0.6

[root@m01 easy-rsa]# cat vars   
if [ -z "$EASYRSA_CALLER" ]; then
        echo "You appear to be sourcing an Easy-RSA 'vars' file." >&2
        echo "This is no longer necessary and is disallowed. See the section called" >&2
        echo "'How to use this file' near the top comments for more details." >&2
        return 1
fi
set_var EASYRSA_DN  "cn_only"
set_var EASYRSA_REQ_COUNTRY "CN"                    #所在的国家
set_var EASYRSA_REQ_PROVINCE "Shanghai"             #所在的省份
set_var EASYRSA_REQ_CITY "beijing"                 #所在的城市
set_var EASYRSA_REQ_ORG "Liangzeyu"                    #所在的组织
set_var EASYRSA_REQ_EMAIL "2249902650@qq.com"  #邮箱的地址
set_var EASYRSA_NS_SUPPORT "yes"

-------把这些内容写入到vars文件中

请用vi编辑

3.初始化生成证书

#1.初始化，在当前目录创建PKI目录，用于存储证书  
[root@m01 easy-rsa]# ./easyrsa init-pki    

#2.创建根证书，会提示设置密码，用于ca对之后生成的server和client证书签名时使用，其他可默认;  输入： 1、1234     2、1234  3、回车
[root@m01 easy-rsa]# ./easyrsa build-ca

#3.创建server端证书和私钥文件，nopass表示不加密私钥文件，其他可默认      输入回车
[root@m01 easy-rsa]# ./easyrsa gen-req server nopass     

#4.给server端证书签名，首先是对一些信息的确认，可以输入yes，然后创建ca根证书时设置的密码    1、yes  2、1234
[root@m01 easy-rsa]# ./easyrsa sign server server

#5.创建Diffie-Hellman文件，秘钥交换时的Diffie-Hellman算法、需要等很久
[root@m01 easy-rsa]# ./easyrsa gen-dh

#6.创建client端证书和私钥文件，nopass表示不加密私钥文件，其他可默认    输入回车
[root@m01 easy-rsa]# ./easyrsa gen-req client nopass

#7.给client端证书签名，首先是对一些信息的确认，可以输入yes，然后创建ca根证书时设置的密码   1、输入yes  2、输入回车
[root@m01 easy-rsa]# ./easyrsa sign client client 

1.安装openvpn
[root@openvpn easy-rsa]# yum install openvpn -y

openvpn安装完毕！

2.配置openvpn
[root@openvpn easy-rsa]# cd /etc/openvpn/

自行创建一个配置文件
[root@web01 openvpn]# cat server.conf
port 1194                               #端口
proto udp                               #协议
dev tun                                 #采用路由隧道模式tun
ca ca.crt                               #ca证书文件位置
cert server.crt                         #服务端公钥名称
key server.key                          #服务端私钥名称
dh dh.pem                               #交换证书
server 10.8.0.0 255.255.255.0           #给客户端分配地址池，注意：不能和VPN服务器内网网段有相同
push "route 172.16.2.0 255.255.255.0"   #允许客户端访问内网172.16.2.0网段
ifconfig-pool-persist ipp.txt           #地址池记录文件位置
keepalive 10 120                        #存活时间，10秒ping一次,120 如未收到响应则视为断线
max-clients 100                         #最多允许100个客户端连接
status openvpn-status.log               #日志记录位置
verb 3                                  #openvpn版本
client-to-client                        #客户端与客户端之间支持通信
log /var/log/openvpn.log                #openvpn日志记录位置
persist-key     #通过keepalive检测超时后，重新启动VPN，不重新读取keys，保留第一次使用的keys。
persist-tun     #检测超时后，重新启动VPN，一直保持tun是linkup的。否则网络会先linkdown然后再linkup
duplicate-cn

3.根据配置需要文件中定义，需要拷贝openvpnServer端用到的证书至/etc/openvpn目录中
[root@m01 ~]# cd /etc/openvpn/
[root@m01 openvpn]# cp /opt/easy-rsa/pki/ca.crt ./
[root@m01 openvpn]# cp /opt/easy-rsa/pki/issued/server.crt ./
[root@m01 openvpn]# cp /opt/easy-rsa/pki/private/server.key ./
[root@m01 openvpn]# cp /opt/easy-rsa/pki/dh.pem ./

4.配置openvpn，首先需要开启内核转发功能
[root@m01 ~]# echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
[root@m01 ~]# systemctl restart network

8.启动openvpn服务并加入开机自启
[root@m01 ~]# systemctl -f enable openvpn@server.service    #设置启动文件
[root@m01 ~]# systemctl start openvpn@server.service        #启动openvpn服务

启动成功了老铁

----------------

现在我们将服务器中的证书下载到电脑桌面中

下载服务端生成的客户端密钥文件和ca文件至windows指定C:\Program Files\OpenVPN\config 目录中
    [root@openvpn-client ~]# cd /etc/openvpn/
    [root@openvpn-client openvpn]# sz /opt/easy-rsa/pki/ca.crt
    [root@openvpn-client openvpn]# sz /opt/easy-rsa/pki/issued/client.crt
    [root@openvpn-client openvpn]# sz /opt/easy-rsa/pki/private/client.key

并编辑创建client.ovpn文件

client                  #指定当前VPN是客户端
dev tun                 #使用tun隧道传输协议
proto udp               #使用udp协议传输数据
remote 10.0.0.2 1194   #openvpn服务器IP地址端口号
resolv-retry infinite   #断线自动重新连接，在网络不稳定的情况下非常有用
nobind                  #不绑定本地特定的端口号
ca ca.crt               #指定CA证书的文件路径
cert client.crt         #指定当前客户端的证书文件路径
key client.key          #指定当前客户端的私钥文件路径
verb 3                  #指定日志文件的记录详细级别，可选0-9，等级越高日志内容越详细
persist-key     #通过keepalive检测超时后，重新启动VPN，不重新读取keys，保留第一次使用的keys
persist-tun     #检测超时后，重新启动VPN，一直保持tun是linkup的。否则网络会先linkdown然后再linkup

--------------------

现在我们配置客户端（windows）

https://send.firefox.com/download/f59240220b16dd04/#bRX23nA8N9b4C58ALPSvhw       <--可以在这个链接下载openvpn客户端，当你下载的时候可能会过期

-----

我们安装好之后进入openvpn客户端的安装位置，并将桌面的文件全部复制到config目录中；

然后以管理员权限启动openvpn

运行完之后会在右下角出现一个小电脑

那我们先测试下不连接时候我们电脑的路由是什么情况的；

打开电脑的cmd输入命令：  route print -4

然后我们进行连接

点击右键选择连接（connect），然后我们在按照上面的方法看一下本地的路由

很明显，已经通了，现在我们ping一个客户端的内网地址：

通了，如果ping不通的好好检查下server.conf配置的网络ip是否填写正确；