说明:
1、发现一个很奇怪的现象,CentOS和Ubuntu有着对用户不同的管理理念,比如CentOS中安装一切软件都是以root优先(su -),而Ubuntu则以当前用户优先,安装软件以sudo开头赋予当前用户权限执行安装。所以下面安装软件基本是CentOS默认以root下操作,而Ubuntu则以当前用户+sudo执行。当然,为了两者的统一,可以在Ubuntu下按照CentOS这一套统一去管理也是完全通用的。
2、网上针对OpenVPN服务器的搭建教程非常多,但是感觉有些乱,比如有些是专门搭建转发实现GFW的跨越,有些则做为跳板机实现访问内网没有连上VPN的机器等等;所以,个人建议先找一些最基本的,且最容易达到效果的教程来配置,比如就单纯的配置一个Server,每个Client能连接上去,分配好每个Client的IP,然后每个Client能通过这个IP正常访问就可以了。切记,前期先不要了解原理是什么,配置文件怎么配置才是最好,前期目标先保证能通为准。
3、完成上一步之后,再来深入配置,比如配置文件优化配置,原理是什么,IP分配的策略等等。
4、对于Ubuntu和CentOS的配置基本一致,不同的在于安装软件方法不一样。
5、理论上OpenVPN是跨平台的,在任何一个平台上搭建配置基本相同,但一般以Linux搭建服务器,Windows使用Client连接为主。当然也可以直接使用Windows做为服务器,但一般不会这么干。
6、OpenVPN一般结合iptables使用,实现转发功能。
7、建议不要以root用户启动,使用当前用户使用风险少很多。
软件准备:
CentOS:
- 服务器环境:CentOS 6.9 64位系统
- 内网IP:10.143.80.116
- 外网IP:203.195.1.2
- OpenVPN版本:OpenVPN 2.4.4
Ubuntu:
- 服务器环境:Ubuntu 16.04 64位系统
- 内网IP:10.143.80.116
- 外网IP:203.195.1.2
- OpenVPN版本:OpenVPN 2.3.10
OpenVPN:
- 一般以系统源安装的版本为准,比如现在安装的基本以2.4.4为主,可能以后会随着源升级而更新到最新版本。
- 可以单独上官网(需要翻出去)下载指定版本的来安装,但前提注意系统安装的依赖。
CentOS服务器搭建过程:
1、安装前准备
# 关闭selinux setenforce sed -i '/^SELINUX=/c\SELINUX=disabled' /etc/selinux/config # 安装openssl和lzo,lzo用于压缩通讯数据加快传输速度 yum -y install openssl openssl-devel yum -y install lzo # 安装epel源 rpm -ivh http://mirrors.sohu.com/fedora-epel/6/x86_64/epel-release-6-8.noarch.rpm sed -i 's/^mirrorlist=https/mirrorlist=http/' /etc/yum.repos.d/epel.repo
2、安装及配置OpenVPN和easy-rsa
# 安装openvpn和easy-rsa yum -y install openvpn easy-rsa # 修改vars文件 cd /usr/share/easy-rsa/2.0/ vim vars
# 修改注册信息,比如公司地址、公司名称、部门名称等。 export KEY_COUNTRY="CN" export KEY_PROVINCE="Shandong" export KEY_CITY="Qingdao" export KEY_ORG="MyOrganization" export KEY_EMAIL="me@myhost.mydomain" export KEY_OU="MyOrganizationalUnit"
# 初始化环境变量 source vars # 清除keys目录下所有与证书相关的文件 # 下面步骤生成的证书和密钥都在/usr/share/easy-rsa/2.0/keys目录里 ./clean-all # 生成根证书ca.crt和根密钥ca.key(一路按回车即可) ./build-ca # 为服务端生成证书和私钥(一路按回车,直到提示需要输入y/n时,输入y再按回车,一共两次) ./build-key-server server # 每一个登陆的VPN客户端需要有一个证书,每个证书在同一时刻只能供一个客户端连接,下面建立2份 # 为客户端生成证书和私钥(一路按回车,直到提示需要输入y/n时,输入y再按回车,一共两次) ./build-key client1 ./build-key client2 # 创建迪菲·赫尔曼密钥,会生成dh2048.pem文件(生成过程比较慢,在此期间不要去中断它) ./build-dh # 生成ta.key文件(防DDos攻击、UDP淹没等恶意攻击) openvpn --genkey --secret keys/ta.key
3、创建服务器端配置文件
# 在openvpn的配置目录下新建一个keys目录
mkdir /etc/openvpn/keys
# 将需要用到的openvpn证书和密钥复制一份到刚创建好的keys目录中
cp /usr/share/easy-rsa/2.0/keys/{ca.crt,server.{crt,key},dh2048.pem,ta.key} /etc/openvpn/keys/
# 复制一份服务器端配置文件模板server.conf到/etc/openvpn/
cp /usr/share/doc/openvpn-*/sample/sample-config-files/server.conf /etc/openvpn/
# 查看server.conf里的配置参数
grep '^[^#;]' /etc/openvpn/server.conf
# 编辑server.conf
vim /etc/openvpn/server.conf
port # 改成tcp,默认使用udp,如果使用HTTP Proxy,必须使用tcp协议 proto tcp dev tun # 路由模式,桥接模式用dev tap # 路径前面加keys,全路径为/etc/openvpn/keys/ca.crt ca keys/ca.crt cert keys/server.crt key keys/server.key # This file should be kept secret dh keys/dh2048.pem # 默认虚拟局域网网段,不要和实际的局域网冲突即可 server 10.8.0.0 255.255.255.0 # 路由模式,桥接模式用server-bridge ifconfig-pool-persist ipp.txt # 10.0.0.0/8是我这台VPN服务器所在的内网的网段,读者应该根据自身实际情况进行修改 push "route 10.0.0.0 255.0.0.0" # 可以让客户端之间相互访问直接通过openvpn程序转发,根据需要设置 client-to-client # 如果客户端都使用相同的证书和密钥连接VPN,一定要打开这个选项,否则每个证书只允许一个人连接VPN duplicate-cn keepalive tls-auth keys/ta.key # This file is secret comp-lzo persist-key persist-tun # OpenVPN的状态日志,默认为/etc/openvpn/openvpn-status.log status openvpn-status.log # OpenVPN的运行日志,默认为/etc/openvpn/openvpn.log log-append openvpn.log # 改成verb 5可以多查看一些调试信息 verb
4、配置内核和防火墙,启动服务
# 开启路由转发功能 sed -i '/net.ipv4.ip_forward/s/0/1/' /etc/sysctl.conf sysctl -p # 配置防火墙,别忘记保存 iptables -I INPUT -p tcp --dport -m comment --comment "openvpn" -j ACCEPT iptables -t nat -A POSTROUTING -s -j MASQUERADE service iptables save # 启动openvpn并设置为开机启动 service openvpn start chkconfig openvpn on
5、创建客户端配置文件client.ovpn(用于客户端软件使用)
# 复制一份client.conf模板命名为client.ovpn cp /usr/share/doc/openvpn-*/sample/sample-config-files/client.conf /etc/openvpn/client.ovpn # 编辑client.ovpn vim /etc/openvpn/client.ovpn
client dev tun # 路由模式 # 改为tcp proto tcp # OpenVPN服务器的外网IP和端口 remote resolv-retry infinite nobind persist-key persist-tun ca ca.crt # client1的证书 cert client1.crt # client1的密钥 key client1.key ns-cert-type server # 去掉前面的注释 tls-auth ta.key comp-lzo verb
6、配置client
安装软件,可以和服务器安装的保持一致:
# 安装openssl和lzo,lzo用于压缩通讯数据加快传输速度 yum -y install openssl openssl-devel yum -y install lzo # 安装epel源 rpm -ivh http://mirrors.sohu.com/fedora-epel/6/x86_64/epel-release-6-8.noarch.rpm sed -i 's/^mirrorlist=https/mirrorlist=http/' /etc/yum.repos.d/epel.repo # 安装openvpn和easy-rsa yum -y install openvpn easy-rsa
在服务器上下载回需要的文件
sz /etc/openvpn/client.ovpn /usr/share/easy-rsa/keys/ca.crt /usr/share/easy-rsa/keys/client1.crt /usr/share/easy-rsa/keys/client1.key /usr/share/easy-rsa/keys/ta.key
将OpenVPN服务器上的client.ovpn、ca.crt、client1.crt、client1.key、ta.key上传到Linux客户端安装目录下的/etc/openvpn文件夹(使用rz命令)
[root@linux64 openvpn]# pwd /etc/openvpn [root@linux64 openvpn]# ls ca.crt client1.crt client1.key client.ovpn conf ta.key
启动客户端
openvpn --daemon --cd /etc/openvpn --config client.ovpn --log-append /var/log/openvpn.log &
上面是以守护进程启动的,可以把上面脚本放在/etc/rc.local实现开机启动。或者使用以服务的形式启动,如果想清晰明了,建议放在启动脚本。
#查看服务器端,多出10. 的网卡: [root@web10 config]# ifconfig tun0 Link encap:UNSPEC HWaddr --------------- inet addr:10.8.0.1 P-t-P:10.8.0.2 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU: Metric: RX packets: errors: dropped: overruns: frame: TX packets: errors: dropped: overruns: carrier: collisions: txqueuelen: RX bytes: ( (168.0 b) #查看客户端, 多出网卡10.: [root@linux64 openvpn]# ifconfig tun0 Link encap:UNSPEC HWaddr --------------- inet addr:10.8.0.6 P-t-P:10.8.0.5 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU: Metric: RX packets: errors: dropped: overruns: frame: TX packets: errors: dropped: overruns: carrier: collisions: txqueuelen: RX bytes: ( (168.0 b) #客户端Ping服务器 [root@linux64 ~]# ping 10.8.0.1 PING () bytes of data. bytes from ttl= time=8.28 ms bytes from ttl= time=2.36 ms
Ubuntu服务器搭建过程:
Ubuntu搭建和配置过程基本和CentOS的一致,只是安装的软件不一样而已,下面将展示安装软件,配置参照上面一步:
1、服务端和客户端软件安装
sudo apt-get install openssl libssl-dev sudo apt-get install openvpn lzop sudo apt-get install easy-rsa
Ubuntu客户端启动比较慢,注意观察日志。如果libssl-dev安装不上就要装了,不影响。
常见问题:
1、Bad LZO decompression header
解决:加上comp-lzo
2、Cannot ioctl TUNSETIFF tun: Operation not permitted (errno=1)
解决:没有权限,加上sudo,或者root用户启动
3、Wed Sep 20 18:37:27 2017 VERIFY ERROR: depth=1, error=certificate is not yet valid: C=CN, ST=Shandong, L=Qiangdao, O=Fort-Funston, OU=MyOrganizationalUnit, CN=Fort-Funston CA, name=EasyRSA, emailAddress=me@myhost.mydomain
解决:服务端和客户端时间不同步,ntpdate time.windows.com ,更新时间再启动成功
参考:
CentOS6搭建OpenVPN服务器(CentOS6搭建教程)
在Debian下搭建OpenVPN | 雨天阳光 (Ubuntu搭建教程)
OpenVPN - 软件指南针(OpenVPN原理、配置文件详解、Linux+Windows搭建教程)
CentOS6搭建OpenVPN服务器_服务器应用_Linux公社-Linux系统门户网站
centos6.5下搭建openvpn服务,访问内网服务器 - CSDN博客
CentOS6搭建OpenVPN服务器-启程的Linux博客-51CTO博客