Openvpn路由模式配置方法
来源:互联网 发布:ieee33节点数据 编辑:程序博客网 时间:2024/05/22 02:08
Openvpn路由模式配置方法
Openvpn配置模式有两种:第一种是路由模式,第二种是网桥模式,这篇文章将对路由模式配置方法进行总结。
详细步骤:
先检查服务器时间是否正确(重要)
1.下载安装软件及相应的必须软件
#yum -y install openssl-devel lzo-devel pam-devel
2.去下载OPENVPN主程序。(2.3以后easy-rsa要单独下载麻烦所以用2.2了)
#wget http://swupdate.openvpn.org/community/releases/openvpn-2.2.2.tar.gz
#tar –zxvf openvpn-2.2.2.tar.gz
#cd oepnvpn-2.2.2
#./configure —prefix=/usr/local/openvpn
#make
#make install
3、配置openvpn
(1)先把easy-rsa拷贝到/etc/openvpn下
#cp -R easy-rsa /usr/local/openvpn/
# cd /usr/local/openvpn/easy-rsa/2.0/
#vim vars
export KEY_COUNTRY="CN"
export KEY_PROVINCE="bj"
export KEY_CITY="beijing"
export KEY_ORG="gamebean"
export KEY_EMAIL=muy@gamebean.com
#source vars
#./clean-all
它用来初始化keys目录,创建所需要的文件和目录。只需要生成第一个客户端证书的时候使用这个命令,第二个客户端证书生成时候不需要此步骤,它会清空以前所有的证书文件。
#./build-ca
它会生成root CA证书,用于签发server和client证书,密钥跟openssl紧密结合,如果没有修改的地方,一路回车即可。
#./build-dh
为服务器生成diffie-hellman文件,后边配置openvpn server时候需要用到此文件;
(2)为服务器生成证书和密钥
# ./build-key-server server
一直默认,需要输y的时候输入y即可
(3)为客户端生成客户端证书文件
我们这里以mouyu这个名字来举例说明。在openvpn体系中,每一个登陆的vpn客户端都需有一个证书,每个证书在同一时刻只能提供一个客户端连接。所以需要建立许多证书。记住每一份证书的hostname名字不能一样。
# ./build-key mouyu
一直默认,需要输y的时候输入y即可
正常结束以上过程以后,我们可以看到keys目录里生成了正常的证书文件
#ll keys/
(4)修改openvpn服务器的配置文件server.conf
#cp -p /usr/local/src/openvpn-2.2.2/sample-config-files/server.conf /usr/local/openvpn/server.conf
#vim /usr/local/openvpn/server.conf
一是将proto udp改成proto tcp,即服务启动用tcp 1194端口。
二是将ca那4行内容改成如下形式:
ca /usr/local/openvpn/easy-rsa/2.0/keys/ca.crt
cert /usr/local/openvpn/easy-rsa/2.0/keys/server.crt
key /usr/local/openvpn/easy-rsa/2.0/keys/server.key
dh /usr/local/openvpn/easy-rsa/2.0/keys/dh1024.pem
三是将server那行内容修改如下:
Server 10.8.0.0 255.255.255.0 (这是openvpn启动时为vpn网络分配的网段,注意不要与公司的真实网段发生冲突)
四是将verb 3改成verb 5,我们可以多查看以下调试信息日志。
(5)启动openvpn服务
开启系统自身的ip转发工程,有了这个数据包才能在不通网段之间流通
#vim /etc/sysctl.conf
将net.ipv4.ip_forward后边的0改成1后保存退出。
#sysctl -p
启动openvpn服务
#/usr/local/openvpn/sbin/openvpn --daemon --config /usr/local/openvpn/server.conf
启动后查看1194端口是否已经启动,并设置防火墙允许1194端口通过。
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
/etc/init.d/iptables save
/etc/init.d/iptables restart
(6)安装windows7客户端
在windows客户端系在安装openvpn的客户端程序并进行拨号连接
①openvpn客户端必须和服务器端版本号一致,下载地址为:http://download.pchome.net/internet/tools/detail-82504.html
例如, 服务器装的是 OpenVPN 2.2.2, 那么下载的 OpenVPN GUI fow windows应该是: openvpn-2.2.0-install.exe
②执行openvpn-2.2.0-install.exe。一切采用默认设置。
③将ca.crt、mouyu.crt、mouyu.key复制到
C:\Program Files(x86)\OpenVPN\config。(不同用户使用不同的证书,每个证书包括.crt和.key两个文件,如client2.crt和client2.key)
④在服务器端操作
cd /usr/local/src/openvpn/sample-config-files/client.conf
cp client.conf mouyu.ovpn
编辑mouyu.ovpn,修改如下内容:
1.proto udp 改成proto tcp (必须和服务器端配置相同)
2.remote 那行改成remote 10.10.11.21 1194 (ip根据实际情况更改)
3.ca 那3行改为:
ca ca.crt
cert mouyu.crt
key mouyu.key
4.verb 3改为5
最后将mouyu.ovpn传到客户端的C:\Program Files(x86)\OpenVPN\config目录下
在客户端点击链接即可。
吊销客户端证书:
#cd /usr/local/openvpn/easy-rsa/2.0
#source vars (初始化环境)
#./revoke-full mouyu
这条命令执行完成之后, 会在 keys 目录下面, 生成一个 crl.pem 文件,这个文件中包含了吊销证书的名单。成功注销某个证书之后,可以打开 keys/index.txt 文件,可以看到被注销的证书前面,已标记为R.
最后,我们需要修改服务端的配置文件,使被吊销的证书失效。
在服务端的配置文件 server.conf 中,加入这样一行:
crl-verify /usr/local/openvpn/easy-rsa/2.0/keys/crl.pem
重启一下openvpn即可。参考文档:http://www.360doc.com/content/11/1225/00/4171006_174788280.shtml
- Openvpn路由模式配置方法
- openvpn成功配置再思考【路由】
- DD-WRT路由上配置openvpn
- Android + OpenVPN 完全配置方法
- Android上的OpenVPN-TAP模式/策略路由
- OpenVPN高级路由技术-全面的互通性配置
- openvpn配置成功再思考(服务器)[路由]
- 配置ADSL路由模式
- OpenVPN添加路由
- ubuntu使用openvpn连接ipv6配置方法
- 简单路由配置方法
- openvpn配置
- OpenVPN 配置
- openvpn配置
- Phalcon路由模式快速配置
- 静态路由 | 动态路由 | 默认路由的配置方法
- OpenVPN的高级路由技术-内部路由
- OpenVPN的高级路由技术-内部路由
- uva11081(最长公共子序列)
- c++ lambda表达式
- 如何在 Laravel 中使用阿里云 OSS
- Android环境的配置
- 带参构造函数的类对象数组初始化
- Openvpn路由模式配置方法
- 做好外推工作需要什么?
- 收藏一个python通过uft8 编码来提取中文的例子
- Android学习系列(36)--App调试内存泄露之Context篇(上)(下)
- 理解Javascript的闭包
- 解决 LeanCloud SDK 中 70% 问题的调试方法
- 譯文 別再用 JS 框架了
- Android学习系列(32)--App调试内存泄露之Cursor篇
- Andy Hunt:音乐和编程,都是想象力在现实世界的宣言