Openvpn路由模式配置方法

Openvpn路由模式配置方法

Openvpn配置模式有两种：第一种是路由模式，第二种是网桥模式，这篇文章将对路由模式配置方法进行总结。

详细步骤：

先检查服务器时间是否正确（重要）

1.下载安装软件及相应的必须软件

 ＃yum  -y  install openssl-devel  lzo-devel  pam-devel

2.去下载OPENVPN主程序。(2.3以后easy-rsa要单独下载麻烦所以用2.2了)

＃wget http://swupdate.openvpn.org/community/releases/openvpn-2.2.2.tar.gz

＃tar –zxvf openvpn-2.2.2.tar.gz

＃cd oepnvpn-2.2.2

＃./configure  —prefix=/usr/local/openvpn

＃make

＃make install

3、配置openvpn

   （1）先把easy-rsa拷贝到/etc/openvpn下

    #cp -R easy-rsa /usr/local/openvpn/

    # cd /usr/local/openvpn/easy-rsa/2.0/

    #vim vars

export KEY_COUNTRY="CN"

export KEY_PROVINCE="bj"

export KEY_CITY="beijing"

export KEY_ORG="gamebean"

export KEY_EMAIL=muy@gamebean.com

#source vars

#./clean-all 

它用来初始化keys目录，创建所需要的文件和目录。只需要生成第一个客户端证书的时候使用这个命令，第二个客户端证书生成时候不需要此步骤，它会清空以前所有的证书文件。

#./build-ca

它会生成root CA证书，用于签发server和client证书，密钥跟openssl紧密结合，如果没有修改的地方，一路回车即可。

#./build-dh

为服务器生成diffie-hellman文件，后边配置openvpn  server时候需要用到此文件；

（2）为服务器生成证书和密钥

 # ./build-key-server  server

一直默认，需要输y的时候输入y即可

（3）为客户端生成客户端证书文件

我们这里以mouyu这个名字来举例说明。在openvpn体系中，每一个登陆的vpn客户端都需有一个证书，每个证书在同一时刻只能提供一个客户端连接。所以需要建立许多证书。记住每一份证书的hostname名字不能一样。

     # ./build-key  mouyu

    一直默认，需要输y的时候输入y即可

       正常结束以上过程以后，我们可以看到keys目录里生成了正常的证书文件

#ll  keys/

(4)修改openvpn服务器的配置文件server.conf

#cp -p /usr/local/src/openvpn-2.2.2/sample-config-files/server.conf  /usr/local/openvpn/server.conf

#vim /usr/local/openvpn/server.conf 

一是将proto  udp改成proto tcp，即服务启动用tcp  1194端口。

二是将ca那4行内容改成如下形式：

ca /usr/local/openvpn/easy-rsa/2.0/keys/ca.crt

cert /usr/local/openvpn/easy-rsa/2.0/keys/server.crt

key /usr/local/openvpn/easy-rsa/2.0/keys/server.key

dh  /usr/local/openvpn/easy-rsa/2.0/keys/dh1024.pem

三是将server那行内容修改如下：

Server  10.8.0.0  255.255.255.0  （这是openvpn启动时为vpn网络分配的网段，注意不要与公司的真实网段发生冲突）

四是将verb 3改成verb 5，我们可以多查看以下调试信息日志。

（5）启动openvpn服务

  开启系统自身的ip转发工程，有了这个数据包才能在不通网段之间流通

#vim  /etc/sysctl.conf

将net.ipv4.ip_forward后边的0改成1后保存退出。

#sysctl  -p

  启动openvpn服务

#/usr/local/openvpn/sbin/openvpn --daemon --config /usr/local/openvpn/server.conf

启动后查看1194端口是否已经启动,并设置防火墙允许1194端口通过。
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

/etc/init.d/iptables save

/etc/init.d/iptables restart

（6）安装windows7客户端

   在windows客户端系在安装openvpn的客户端程序并进行拨号连接

①openvpn客户端必须和服务器端版本号一致,下载地址为：http://download.pchome.net/internet/tools/detail-82504.html

例如, 服务器装的是 OpenVPN 2.2.2, 那么下载的 OpenVPN GUI fow windows应该是: openvpn-2.2.0-install.exe

②执行openvpn-2.2.0-install.exe。一切采用默认设置。

③将ca.crt、mouyu.crt、mouyu.key复制到

C:\Program Files（x86）\OpenVPN\config。（不同用户使用不同的证书，每个证书包括.crt和.key两个文件，如client2.crt和client2.key）

④在服务器端操作

cd  /usr/local/src/openvpn/sample-config-files/client.conf 

cp client.conf   mouyu.ovpn

编辑mouyu.ovpn,修改如下内容：

1.proto udp 改成proto  tcp  （必须和服务器端配置相同）

2.remote 那行改成remote  10.10.11.21  1194  （ip根据实际情况更改）

3.ca 那3行改为：

ca  ca.crt

cert   mouyu.crt

key    mouyu.key

4.verb 3改为5

最后将mouyu.ovpn传到客户端的C:\Program Files（x86）\OpenVPN\config目录下

在客户端点击链接即可。

吊销客户端证书：

#cd  /usr/local/openvpn/easy-rsa/2.0

#source vars  (初始化环境)

#./revoke-full  mouyu

这条命令执行完成之后， 会在 keys 目录下面， 生成一个 crl.pem 文件，这个文件中包含了吊销证书的名单。成功注销某个证书之后，可以打开　keys/index.txt 文件，可以看到被注销的证书前面，已标记为R．

最后，我们需要修改服务端的配置文件，使被吊销的证书失效。

在服务端的配置文件 server.conf 中，加入这样一行：

crl-verify  /usr/local/openvpn/easy-rsa/2.0/keys/crl.pem

   重启一下openvpn即可。

参考文档：http://www.360doc.com/content/11/1225/00/4171006_174788280.shtml