openvpn安装文档

什么是VPN

 

IP机制仿真出一个私有的广域网"是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用Internet公众数据网络的长途数据线路。
 
OpenVPN的功能
 

可以将两个不同的网段打通一条通道，可以互相访问，对于运维人员来说主要是为了安全，因为OpenVPNssl加密机制，增加了密码的安全度，运维人员可以自定义ip段进行管理服务器，简单点说，安全方便。

 

SSL VPN原理

 

      如果把SSL和VPN 两个概念分开，大家对他们的含义应该都非常清楚，但是作为一种新技术，它们之间是如何结合起来的大家也许还不是很了解。从学术和商业的角度来讲，因为他们代表的含义有所不同，因而常常会被曲解。
      SSL（安全套接层）协议是一种在Internet上保证发送信息安全的通用协议。它处于应用层。SSL用公钥加密通过SSL连接传输的数据来工作。 SSL协议指定了在应用程序协议（如HTTP、Telnet和FTP等）和 TCP/IP协议之间进行数据交换的安全机制，为TCP/IP连接提供数据加密、服务器认证以及可选的客户机认证。SSL协议包括握手协议、记录协议以及警告协议三部分。握手协议负责确定用于客户机和服务器之间的会话加密参数。记录协议用于交换应用数据。警告协议用于在发生错误时终止两个主机之间的会话。
      VPN（虚拟专用网）则主要应用于虚拟连接网络，它可以确保数据的机密性并且具有一定的访问控制功能。VPN是一项非常实用的技术，它可以扩展企业的内部网络，允许企业的员工、客户以及合作伙伴利用Internet访问企业网，而成本远远低于传统的专线接入。过去，VPN总是和IPSec 联系在一起，因为它是VPN 加密信息实际用到的协议。IPSec 运行于网络层，IPSec VPN 则多用于连接两个网络或点到点之间的连接。

      所谓的SSL VPN，其实是VPN设备厂商为了与IPsec VPN区别所创造出来的名词，指的是使用者利用浏览器内建的Secure Socket Layer封包处理功能，用浏览器连回公司内部SSL VPN服务器，然后透过网络封包转向的方式，让使用者可以在远程计算机执行应用程序，读取公司内部服务器数据。它采用标准的安全套接层（SSL）对传输中的数据包进行加密，从而在应用层保护了数据的安全性。高质量的SSL VPN解决方案可保证企业进行安全的全局访问。在不断扩展的互联网Web站点之间、远程办公室、传统交易大厅和客户端间，SSL VPN克服了IPSec VPN的不足，用户可以轻松实现安全易用、无需客户端安装且配置简单的远程访问，从而降低用户的总成本并增加远程用户的工作效率。而同样在这些地方，设置传统的IPSec VPN非常困难，甚至是不可能的，这是由于必须更改网络地址转换（NAT）和防火墙设置。

      首先，我所购买的vps是基于OpenVZ类型，无法配置标准的VPN(无测试过),部分手机可能无法支持,但OpenVZ支持pptp和openVPN

       ok!在安装之前请确认一下你购买的vps是否开启了tun/tap的支持，burst vps默认是不开启tun/tap的，可以使用cat /dev/net/tun进行检查

 

 

 

      如果是没有权限的话可以发个ticket要求客服为你开启tun/tap

 

 

出现File descriptor in bad state说明tun/tap已经开启，可以开始进行openVPN的安装配置

 

我的vps安装的系统为CentOS release 5.5 (Final)，下面一系列安装和配置都在此vps上进行配置

 

一、服务端安装

 

现在开始在vps上安装和配置openVPN，需要的有下列的软件
gcc g++ [gcc g++为系统需要的编译工具]
lzo库 [Lzo库的功能是对虚拟链路进行压缩]
openssl [囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议]
openvpn

 

1.安装编译工具gcc g++ 

1. # yum install gcc

2. # yum install gcc-c++

 

2.安装lzo库

1. # cd/home/download/

2. # wget http://www.oberhumer.com/opensource/lzo/download/lzo-2.03.tar.gz

3. # tar-xvzf lzo-2.03.tar.gz

4. # cd lzo-2.03

5. #./configure -prefix=/usr/local/lzo&& make && make install

6. # vi/etc/ld.so.conf

编辑完ld.so.conf,执行

1. # ldconfig

使动态库生效

 

3.安装openssl

1. # cd/home/download/

2. # wget http://www.openssl.org/source/openssl-0.9.8.tar.gz

3. # tar-xvzf openssl-0.9.8.tar.gz

4. #./config -prefix=/usr/local/openssl&& make && make install

 

4.安装openvpn

1. # cd/home/download/

2. # wget http://www.openvpn.net/release/openvpn-2.0.9.tar.gz

3. # tar-xvzf openvpn-2.0.9.tar.gz

4. # cd openvpn-2.0.9

5. #./configure -prefix=/usr/local/openvpn&& make && make install

二.配置

 

1.创建配置环境

 

1. # mkdir/etc/openvpn

2. # cp-R /home/download/openvpn-2.0.9/easy-rsa/ /etc/openvpn

3. # cd/etc/openvpn/easy-rsa/2.0/

4. # ls

5. total 112

6. -rwxr-xr-x1 root root 121Oct 26 03:14 build-ca

7. -rwxr-xr-x1 root root 354Oct 26 03:14 build-dh

8. -rwxr-xr-x1 root root 190Oct 26 03:14 build-inter

9. -rwxr-xr-x1 root root 165Oct 26 03:14 build-key

10.-rwxr-xr-x1 root root 159Oct 26 03:14 build-key-pass

11.-rwxr-xr-x1 root root 251Oct 26 03:14 build-key-pkcs12

12.-rwxr-xr-x1 root root 270Oct 26 03:14 build-key-server

13.-rwxr-xr-x1 root root 215Oct 26 03:14 build-req

14.-rwxr-xr-x1 root root 160Oct 26 03:14 build-req-pass

15.-rwxr-xr-x1 root root 430Oct 26 03:14 clean-all

16.-rwxr-xr-x1 root root 1459Oct 26 03:14 inherit-inter

17.-rwxr-xr-x1 root root 297Oct 26 03:14 list-crl

18.-rw-r--r--1 root root 422Oct 26 03:14Makefile

19.-rwxr-xr-x1 root root 7768Oct 26 03:14 openssl-0.9.6.cnf

20.-rwxr-xr-x1 root root 8230Oct 26 03:14 openssl.cnf

21.-rwxr-xr-x1 root root 12068Oct 26 03:14 pkitool

22.-rw-r--r--1 root root 8864Oct 26 03:14 README

23.-rwxr-xr-x1 root root 894Oct 26 03:14 revoke-full

24.-rwxr-xr-x1 root root 180Oct 26 03:14 sign-req

25.-rwxr-xr-x1 root root 1602Oct 26 03:14 vars

26.-rwxr-xr-x1 root root 190Oct 26 03:14 whichopensslcnf

结果是程序以及脚本，这个简要的说明一下

 

vars 脚本，是用来创建环境变量，设置所需要的变量的脚本
clean-all 脚本，是创建生成CA证书及密钥文件所需要的文件和目录
build-ca 脚本，生成CA证书(交互)
build-dh 脚本，生成Diffie-Hellman文件(交互)
build-key-server 脚本，生成服务器端密钥(交互)
build-key 脚本，生成客户端密钥(交互)
pkitool 脚本，直接使用vars的环境变量设置直接生成证书(非交互)

 

2.生成CA证书及密钥

1. # cd/etc/openvpn/easy-rsa/2.0/

2. #./vars

3. NOTE:If you run ./clean-all, I will be doing arm-rf on /etc/openvpn/easy-rsa/2.0/keys

注:如果你执行了./clean-all,系统将删除/etc/openvpn/easy-rsa/2.0/keys下的文件

修改vars文件

# 定义你所在的国家，2个字符
export KEY_COUNTRY=CN
# 你所在的省份
export KEY_PROVINCE=”SH”
# 你所在的城市
export KEY_CITY=”SHANGHAI”
# 你所在的组织
export KEY_ORG="OpenVPN ORG"
# 你的单位
export KEY_OU="OpenVPN"
# 你的邮件地址
export KEY_EMAIL="feiyang@163.com"

#. ./vars (注意有两个点，两个点之间有空格)
 

初始化keys文件

 

1. #./clean-all#[注:删除/etc/openvpn/easy-rsa/2.0/keys下的文件]

2. #./build-ca #[注:生成一个a1024 bit RSA的密钥,writingnew private key to'ca.key']

一路按回车就可以

1. # cd keys

2. # ls

3. ca.crt ca.key index.txt serial可以看到生成的ca.crt ca.key文件

可以看到生成的ca.crt ca.key文件

 

4.生成Diffie-Hellman文件

1. # cd..

2. #./build-dh #[注:Generating DH parameters,1024 bit long safe prime]

3. # ls keys

4. ca.crt ca.key dh1024.pem index.txt serial

注:可以看到生成了1024为的Diffie-Hellman文件

 

5.生成服务器使用的VPN server ca证书

 

# ./build-key-server chenyz #[注:其中chenyz是CA证书的一个名字]

 

 

一路回车,Sign the certificate? [y/n]:y选择y

然后把刚才生成的CA证书和密钥copy到/etc/openvpn/下

 

# cd keys
# cp ca.crt ca.key chenyz.crt chenyz.key dh1024.pem /etc/openvpn/

 

6.生成客户端CA证书及密钥

 

# ./build-key client-chenyz
一路回车,Sign the certificate? [y/n]:y选择y

在keys目录下生成了client-chenyz.crt client-chenyz.csr client-chenyz.key三个客户端证书
并且将ca.crt ca.key client-chenyz.crt client-chenyz.csr client-chenyz.key五个文件打包,以便客户端vpn

 

使用

1. # cd keys

2. # mkdir userkey

3. # cp ca.crt ca.key client-chenyz.crt client-chenyz.csr client-chenyz.key userkey/

4. # tar-zcvf userkey.tar.gz userkey/

5. userkey/

6. userkey/ca.crt

7. userkey/client-chenyz.csr

8. userkey/ca.key

9. userkey/client-chenyz.key

10.userkey/client-chenyz.crt

11. 

12.# sz userkey.tar.gz

13.Starting zmodem transfer.Press Ctrl+C to cancel.

14.Transferring userkey.tar.gz

15.100%4 KB 4 KB/s00:00:010 Errors

使用sz将其下载到windows客户端

 

7.openvpn配置文件

 

# cp /home/download/openvpn-2.0.9/sample-config-files/server.conf/etc/openvpn/openvpn.conf
将vpenvpn的原始样例文件复制到/etc/openvpn下,并改名为openvpn.conf,我们将在样例文件上进行修改

 

 

 

使用的端口，默认1194

使用的协议，默认使用UDP，如果使用HTTP proxy，必须使用TCP协议

ca:使用build-ca生成的，用于验证客户是证书是否合法
cert:使用build-key-server,Server使用的证书对应的key,注意安全,防止被盗

dh:生成的加密文件

通过VPN Server往Client push路由，client通过pull指令获得Server push的所有选项并应用

可以让客户端之间相互访问直接通过openvpn程序转发

如果Client使用的CA的Common Name有重复了，或者说客户都使用相同的CA #和keys连接VPN，一定要打开这个选项，否则只允许一个人连接VPN

对数据进行压缩

定义用户

openvpn状态log

每次重新启动openvpn后保留原有的log信息，新信息追加到文件最后

 

8.启动OpenVPN

 

修改完毕后,即可以启动vpn,--daemon为后台守护进程模型启动
/usr/local/openvpn/sbin/openvpn --daemon --config /etc/openvpn/openvpn.conf

 

使用netstat -ln查看1194openvpn的端口是否已经起来

 

二.win客户端的安装和配置

 

下载openvpn客户端 http://www.openvpn.net/release/openvpn-2.0.9-install.exe安装完毕
把刚刚打包的userkey.tar.gz下载解压到 C:\Program Files\OpenVPN\config目录下
将/home/download/openvpn-2.0.9/sample-config-files/client.conf也下载到 C:\ProgramFiles\OpenVPN\config目录下

接着是配置这个client.conf客户端配置文件

主要修改有以下几个地方

dev tun
proto tcp
remote 你的vpn地址 1194
user nobody
group nogroup
ca ca.crt
cert client-chenyz.crt
key client-chenyz.key ##注:文件名和路径必须对应
comp-lzo
redirect-gateway def1

确保与服务端的配置对应,然后将client.conf修改文件名为client.ovpn,右键点击client.ovpn,选择"Start OpenVPN on this config file"

可以看到连接已经成功,并且创建了 [本地连接 6]一条新的链路

 

 

 

      或者你也可以打开C:\Program Files\OpenVPN\bin\openvpn-gui-1.0.3.exe进行连接,双击后会在任务栏里有个小连接图标,变成绿色的话就表明你连接成功

      openvpn的参数配置,感觉不算很多,也比较容易理解,中文的资料也很齐全,大概这个东西在国内还是广泛应用(翻墙^_^)

      如果只是简单的应用,配置倒真的很简单,不过如果真的是要用起来,网段设置和访问控制各种问题真的不少,入是否配置dhcp,是否分配dns,vpn如何和内网通讯,很多很多,因为我只是拿来做代理这里就不细说了

 

 

 

Linux作为客户端执行：

cd /usr/local/openvpn/conf/

/usr/local/openvpn/sbin/openvpn   /usr/local/openvpn/conf/*.ovpn > /dev/null &