关于OpenVPN的入门使用

1.1源代码编译安装的初步了解

1.2 安装OpenVPN

1.3 生成证书、服务器端证书、客户端证书

1.4 关于server.ovpm & client.ovpn的配置文件

1.5 启动OpenVPN

关于OpenVPN在Linux上面的安装

我们以Ubuntu为例进行安装，我们可以直接采用apt方式进行安装，但是因为软件库的问题，可能不是最新的版本，因此采用源代码的方式进行编译安装。

采用apt方式的安装

sudo apt-get install openvpn

1.1    源代码编译安装的初步了解

OpenVPN在Linux上面安装时基于源代码的编译安装，需要对这种源代码编译安装的方式进行初步的了解。

1）下载源代码解压后，

2）使用./configure 让系统检查编译源代码的所有的依赖关系存在，如果出现错误，证明缺少一些必要的依赖库，需要我们进行安装，比如说gcc g++（如果这个都没有安装，肯定是无法编译源代码的）。

3）编译源代码 make

4）安装编译后生成的执行文件到系统 make install, 这里注意使用sudo权限，因为这里是把编译生成的执行文件，复制到操作系统对应的目录中，比如/usr/bin, 还有修改系统的启动脚本命令（添加开机启动）

1.2  安装OpenVPN

1.2.1 Ubuntu安装OpenVPN

安装OpenVPN之前，你必须先确保Ubuntu上已经安装了C编译器(例如gcc)、OpenSSL、LZO(一种无损压缩算法)、PAM(一种可插入式的身份验证模块)。使用apt-get安装命令如下：

sudo apt-get install gcc libssl-dev liblzo2-devlibpam0g-dev

下载OpenVPN源代码openvpn-2.3.10.tar.gz，并且解压

1）~/openvpn-2.3.10$./configure # 编译检查环境和代码

2）编译: ~/openvpn-2.3.10$make

3）安装：~/openvpn-2.3.10$ sudo makeinstall

安装完成后，默认开机自启，但我们并没有配置文件，因此建议取消开机自启

1.2.2 Windows下面安装OpenVPN

Windows 7下直接安装软件即可，建议在windows7 64位操作系统中安装，安装选项里

面，把所有的组件全部选上，这样软件便安装在了C:\Program Files\OpenVPN目录中，并且添加到了服务中。

1.3 生成证书、服务器端证书、客户端证书

使用easy-rsa生成OpenVPN的配置文件，在github上面，easy-rsa（https://github.com/OpenVPN/easy-rsa）已经更新到了3.0 版本，但是3.0 的改动比较大，但是在OpenVPN中依旧使用的是2.0，下载地址（http://pan.baidu.com/s/1slu20bj），然后就可以生成对应的证书文件了。然后将客户端或者服务器的对应文件放到/etc/openvpn文件夹中。在Windows下面安装的OpenVPN已经带有组件easy-rsa组件，因此可直接在Windows下面生成证书、客户端配置文件和服务器端配置文件，首先修改easy-rsa 中的var.bat.sample

按照提示运行如下脚本命令

echo"enter the openvpn easy-rsa directory"

cdC:\Program Files\OpenVPN\easy-rsa

echo"init the env & clean all car and keys "

init-config

vars

clean-all

echo"build-ca generate the car files pay attention to setting the Common Namewith 'openvpn-ca'"

####KEY_CN=openvpn_ca

build-ca

echo"finished generating the  carfile"

echo"start buile the server key file"

echo"set the Common Name with 'server' name with 'server' , then input y & y"

bulid-key-serverserver

echo"build client key" #生成两个客户端证书 CommonName设置为client-a & client-b

build-keyclient-a

build-keyclient-b

cdC:\Program Files\OpenVPN\bin

#生成关于防止DDOS攻击的安全文件，生成TLS-auth密钥

openvpn--genkey --secret ../easy-rsa/keys/ta.key

#生成迪菲•赫尔曼交换密钥，这是一种安全的加密协议，用于加密数据进行传输

build-dh

查看生成文件的结果：

ca.crt # CA证书

ca.key #CA密钥这两个文件是使用build-ca生成的

server.crt

server.key#服务端证书和密钥使用build-key-server server

client-a.crt

client-a.key#客户端A的证书和密钥

client-b.crt

client-b.key#客户端A的证书和密钥

ta.key#TLS-auth密钥

dh1024.pem#迪菲•赫尔曼交换密钥

服务器端的文件（7个）：ca.crt ca.key server.crtserver.key dh1024.pem ta.key server.ovpn

客户端端的文件（5个）：ca.crt client-a.crtclient-a.key ta.key client.ovpn

关于server.ovpn 和 client.ovpn文件是OpenVPN启动的配置文件，后面讲解如何配置。

1.4 关于server.ovpm & client.ovpn的配置文件

上面两个配置文件是OpenVPN启动的关键配置文件，在sample-config有关于server.ovpn和client.ovpn的样例文件：

server.ovpn

# Which local IP address should  OpenVPN

# listen on? (optional)

local 192.168.1.101

port 1194
proto tcp

;proto udp

;dev tap

dev tun

ca ca.crt

cert server.crt

key server.key  # This file should be kept secret

dh dh1024.pem
server 10.8.0.0 255.255.255.0

ifconfig-pool-persist ipp.txt

client-to-client

keepalive 10 120

tls-auth ta.key 0 # This file is  secret

comp-lzo

persist-key

persist-tun

status openvpn-status.log

verb 3

client.ovpn

client        

client.ovpn

client#指定当前VPN是客户端

dev tun        #必须与服务器端的保持一致

proto udp      #必须与服务器端的保持一致

remote 192.168.1.101 1194      #指定连接的远程服务器的实际IP地址和端口号

resolv-retry infinite    #断线自动重新连接，在网络不稳定的情况下(例如：笔记本电脑无线网络)非常有用。

nobind         #不绑定特定的本地端口号

persist-key

persist-tun

ca ca.crt      #指定CA证书的文件路径

cert client1.crt       #指定当前客户端的证书文件路径

key client1.key    #指定当前客户端的私钥文件路径

ns-cert-type server      #指定采用服务器校验方式

tls-auth ta.key 1     #如果服务器设置了防御DoS等攻击的ta.key，则必须每个客户端开启；如果未设置，则注释掉这一行；

comp-lzo              #与服务器保持一致

verb 3                #指定日志文件的记录详细级别，可选0-9，等级越高日志内容越详细

1.5启动OpenVPN

1.5.1 Windows OpenVPN Server

把服务器端的配置文件放在OpenVPN安装目录中的config下面，通过OpenVPN服务启动该服务，则OpenVPN Server已经开启。

1.5.2 Windows OpenClient

把客户端的所有配置文件放在OpenVPN安装目录中的config下面，通过OpenVPN客户端双击启动即可。如果连接成功在右下角图标编程绿色。

1.5.3 Linux（Ubuntu）启动OpenVPN

启动脚本 start-vpn.sh

#!/bin/bash

openvpnPid="vpn-pid.txt"

if[ ! -f "$openvpnPid" ];then

sudo nohup  openvpn /etc/openvpn/client.ovpn & echo$! > vpn-pid.txt

else

echo "please stop the openvpnfirst by the stop-vpn.sh"

fi

关闭脚本 stop-vpn.sh

#!/bin/bash

openvpnPid="vpn-pid.txt"

if[ -f "$openvpnPid" ];then

sudo kill `cat vpn-pid.txt`

rm vpn-pid.txt

else

echo "the openvpn service is notrunning"

fi

配置NAT端口映射脚本 fo.sh

其中10.8.0.6是VPN客户端的VPN-IP 192.168.1.64是IPC摄像机的IP，这里涉及到了Linux数据包转发、防火墙ufw和iptables的知识，之后在专门的进行讲解

iptables-t nat -F

iptables-P INPUT ACCEPT

iptables-P FORWARD ACCEPT

iptables-t nat -A PREROUTING -d 10.8.0.6 -p tcp --dport 8080 -j DNAT --to-destination192.168.1.64:80

iptables-t nat -A PREROUTING -d 10.8.0.6 -p tcp --dport 8000 -j DNAT --to-destination192.168.1.64:8000

iptables-t nat -A POSTROUTING -s 192.168.1.64 -p tcp -j SNAT --to-source 10.8.0.6

XXXXXXX:~$ ping 10.8.0.1

PING 10.8.0.1 (10.8.0.1) 56(84) bytes of data.

64 bytes from 10.8.0.1: icmp_seq=1 ttl=64 time=1.42 ms

64 bytes from 10.8.0.1: icmp_seq=2 ttl=64 time=1.64 ms

64 bytes from 10.8.0.1: icmp_seq=3 ttl=64 time=1.48 ms

Success

文卿

2016-08-10