centos系统搭建openvpn

[499689317]

关闭防火墙

systemctl stop firewalld.service systemctl disable firewalld.service

iptables设置

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j MASQUERADE

1. -s 10.8.0.0/24表示需要转发数据的网段，连接上openvpn的客户端内网地址要在这个范围内
2. -o 可以指定转发到哪个网卡
3. 执行前可以清空一下iptablesiptables -F && iptables -X

   ---

   • iptables nat设置会影响openvpn连接后数据转发规则
   • iptables可以设置某一内网网段的数据转发到指定网卡
   • 保存iptablesservice iptables save
   • 重启iptablesservice iptables restart

     ---

sysctl.conf设置

• 添加配置net.ipv4.ip_forward = 1

安装openvpn

• yum install openvpn

安装easy-rsa

• 下载连接
• 解压目录unzip master.zip && mv easy-rsa-master easy-rsa
• 移动到openvpn根目录下用于生成服务器证书cp -R easy-rsa /etc/openvpn
• 移动到当前目录下用于生成客户端证书cp -R easy-rsa client/easy-rsa
• 拷贝一份easy-rsa配置文件模板cp easy-rsa/easyrsa3/vars.example vars

  // 设置vars文件
  set_var EASYRSA_REQ_COUNTRY     "CN"
  set_var EASYRSA_REQ_PROVINCE    "BJ"
  set_var EASYRSA_REQ_CITY        "BEIJING"
  set_var EASYRSA_REQ_ORG         "NETFIX"
  set_var EASYRSA_REQ_EMAIL       "mdh_1991@sina.com"
  set_var EASYRSA_REQ_OU          "Devin OpenVPN"

  CA证书配置

根证书，其它证书基于根证书生成

• /etc/openvpn/easy-rsa/easyrsa3/目录下初始化pki./easyrsa init-pki
• 创建根证书./easyrsa build-ca这里需要输入二次密码，密码在生成子证书时要用上，不要随便按

openvpn服务器证书

• 创建./easyrsa gen-req server nopass生成一个server命名的证书
• 签名./easyrsa sign server server这里要输入创建根证书时的密码

Diffie-Hellman文件，应该是数据传输过程的一个加密密钥

• 创建./easyrsa gen-dh

openvpn客户端证书

• 在client/easy-rsa/easyrsa3目录下生成
• 初始化./easyrsa init-pki
• 创建client端证书和private key，nopass表示不加密private key./easyrsa gen-req devin nopass
• 进入openvpn下的easy-rsa下将客户端证书导入进来./easyrsa import-req client/easy-rsa/easyrsa3/pki/reqs/devin.req devin
• 对客户端证书签名./easyrsa sign client devin签名过程输入的common name跟server签名的name相同的话会出现客户端连接异常 *查看所有证书文件是否齐全

  // server端
  /etc/openvpn/easy-rsa/easyrsa3/pki/ca.crt
  /etc/openvpn/easy-rsa/easyrsa3/pki/reqs/server.req
  /etc/openvpn/easy-rsa/easyrsa3/pki/reqs/devin.req
  /etc/openvpn/easy-rsa/easyrsa3/pki/private/ca.key
  /etc/openvpn/easy-rsa/easyrsa3/pki/private/server.key
  /etc/openvpn/easy-rsa/easyrsa3/pki/issued/server.crt
  /etc/openvpn/easy-rsa/easyrsa3/pki/issued/devin.crt
  /etc/openvpn/easy-rsa/easyrsa3/pki/dh.pem
  // client端
  client/easy-rsa/easyrsa3/pki/private/devin.key
  client/easy-rsa/easyrsa3/pki/reqs/devin.req 

启动openvpn服务

设置openvpn启动配置

• copy openvpn启动需要的证书文件到/etc/openvpn目录下

  /etc/openvpn/ca.crt
  /etc/openvpn/server.crt
  /etc/openvpn/server.key
  /etc/openvpn/dh.pem

• 从openvpn安装包下的sample-config-files目录下找到server.conf文件并放到/etc/openvpn下 目前我服务器配置为

  port 1194
  proto tcp/udp
  dev tun
  ca /etc/openvpn/ca.crt
  cert /etc/openvpn/server.crt
  key /etc/openvpn/server.key
  dh /etc/openvpn/dh.pem
  server 10.8.0.0 255.255.255.0
  ifconfig-pool-persist ipp.txt
  ;push "route 0.0.0.0 0.0.0.0"
  push "redirect-gateway def1 bypass-dhcp"
  push "dhcp-option DNS 8.8.8.8"
  push "dhcp-option DNS 8.8.4.4"
  keepalive 5 30
  comp-lzo
  max-clients 100
  user nobody
  group nobody
  persist-key
  persist-tun
  status openvpn-status.log
  log-append  /tmp/openvpn.log
  verb 3

  启动服务

• 权限systemctl -f enable openvpn@server
• 启动systemctl start openvpn@server
• 重启systemctl restart openvpn@server
• 查看systemctl -l status openvpn@server

客户端连接

连接配置.ovpn文件

client
dev tun
proto tcp 要与服务器一致
remote 服务器地址 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
comp-lzo
verb 3
<ca>
-----BEGIN CERTIFICATE-----
// ca.cert
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
client.cert
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN ENCRYPTED PRIVATE KEY-----
client.key
-----END ENCRYPTED PRIVATE KEY-----
</key>