一、openvpn原理
二、安装openvpn
三、制作相关证书
3.1 制作CA证书
3.2 制作Server端证书
3.3 制作Client端证书
四、配置Server端
五、配置Client端
一、openvpn原理
openvpn通过使用公开密钥(非对称密钥,加密解密使用不同的key,一个称为Publice key,另外一个是Private key)对数据进行加密的。这种方式称为TLS加密
openvpn使用TLS加密的工作过程是,首先VPN Sevrver端和VPN Client端要有相同的CA证书,双方通过交换证书验证双方的合法性,用于决定是否建立VPN连接。
然后使用对方的CA证书,把自己目前使用的数据加密方法加密后发送给对方,由于使用的是对方CA证书加密,所以只有对方CA证书对应的Private key才能解密该数据,这样就保证了此密钥的安全性,并且此密钥是定期改变的,对于窃听者来说,可能还没有破解出此密钥,VPN通信双方可能就已经更换密钥了。
二、安装openvpn
yum方式安装,此处统一使用aliyun中centos和epel源
# rm /etc/yum.repos.d/* -fr
# vim /etc/yum.repos.d/ali.repo
[centos6]
name=centeros6 base
baseurl=http://mirrors.aliyun.com/centos/6/os/x86_64/
gpgcheck=0
[epel]
name=epel base
baseurl=http://mirrors.aliyun.com/epel/6/x86_64
gpgcheck=0
为避免出现错误,关闭selinux
# setenforce 0;sed -i 's/SELINUX=.*/SELINUX=permissive/' /etc/selinux/config
我们可以使用如下命令:
# yum install -y openvpn openssl pkcs11-helper
openvpn安装完毕后,我们来查看openvpn的版本,如下:
# openvpn –version
openvpn安装完毕后,我们再来安装easy-rsa。
easy-rsa是用来制作openvpn相关证书的。
安装easy-rsa,使用如下命令:
[root@localhost keys]# yum install -y easy-rsa
查看easy-rsa安装的文件,如下:
[root@localhost keys]# rpm -ql easy-rsa
通过上图,我们可以很明显的看到easy-rsa已经安装到/usr/share/easy-rsa/目录下。
三、制作相关证书
根据第一章节openvpn的工作原理,我们可以知道openvpn的证书分为三部分:CA证书、Server端证书、Client端证书。
下面我们通过easy-rsa分别对其进行制作。
3.1 制作CA证书
openvpn与easy-rsa安装完毕后,我们需要在/etc/openvpn/目录下创建easy-rsa文件夹,如下:
[root@localhost keys]# mkdir /etc/openvpn/easy-rsa/
然后把/usr/share/easy-rsa/目录下的所有文件全部复制到/etc/openvpn/easy-rsa/下,如下:
[root@localhost keys]# cp -r /usr/share/easy-rsa/2.0/* /etc/openvpn/easy-rsa/
[root@localhost keys]# ll /etc/openvpn/easy-rsa/
当然,我们也可以直接在/usr/share/easy-rsa/制作相关的证书,但是为了后续的管理证书的方便,我们还是把easy-rsa放在了openvpn的启动目录下。
在开始制作CA证书之前,我们还需要编辑vars文件,修改如下相关选项内容即可。如下:
[root@localhost keys]# vim /etc/openvpn/easy-rsa/vars
export KEY_COUNTRY=”CN”
export KEY_PROVINCE=”BJ”
export KEY_CITY=”Chaoyang”
export KEY_ORG=”TEST”
export KEY_EMAIL=”TEST@TEST.com”
export KEY_OU=”TEST”
export KEY_NAME=”TEST”
vars文件主要用于设置证书的相关组织信息,红色部分的内容可以根据自己的实际情况自行修改。
然后使用source vars命令使其生效,如下:
[root@localhost easy-rsa]# source vars.
[root@localhost easy-rsa]# ./clean-all
注意:执行clean-all命令会删除,当前目录下keys文件夹里证书等文件。
现在开始正式制作CA证书,使用如下命令:
[root@localhost easy-rsa]# ./build-ca
一路按回车键即可。制作完成后,我们可以查看keys目录。如下:
[root@localhost easy-rsa]# ll keys/
通过上图,我们可以很明显的看到已经生成了ca.crt和ca.key两个文件,其中ca.crt就是我们所说的CA证书。如此,CA证书制作完毕。
现在把该CA证书的ca.crt文件复制到openvpn的启动目录/etc/openvpn下,如下:
[root@localhost easy-rsa]# cp keys/ca.crt /etc/openvpn
[root@localhost easy-rsa]# ll /etc/openvpn/
3.2 制作Server端证书
CA证书制作完成后,我们现在开始制作Server端证书。如下:
[root@localhost easy-rsa]# ./build-key-server vpnserver
查看生成的Server端证书,如下:
[root@localhost easy-rsa]# ll keys/
通过上图,可以看到已经生成了vpnserver.crt、vpnserver.key和vpnserver.csr三个文件。其中vpnserver.crt和vpnserver.key两个文件是我们要使用的。
现在再为服务器生成加密交换时的Diffie-Hellman文件,如下:
[root@localhost easy-rsa]# ./build-dh
查看生成的文件,如下:
[root@localhost easy-rsa]# ll keys/
通过上图,我们可以很明显的看出已经生成了dh2048.pem,这个文件。
以上操作完毕后,把vpnserver.crt、vpnserver.key、dh2048.pem复制到/etc/openvpn/目录下,如下:
[root@localhost easy-rsa]# cp keys/vpnserver.crt keys/vpnserver.key keys/dh2048.pem /etc/openvpn/
[root@localhost easy-rsa]# ll /etc/openvpn/
至此,Server端证书就制作完毕。
3.3 制作Client端证书
Server端证书制作完成后,我们现在开始制作Client端证书,如下:
[root@localhost easy-rsa]# ./build-key user1
注意:上述命令中的user1,是客户端的名称。这个是可以进行自定义的。
如果你想快速生成用户证书不需要手工交互的话,可以使用如下命令:
[root@localhost easy-rsa]# ./build-key –batch user2
查看生成的证书,如下:
[root@localhost easy-rsa]# ll keys/
通过上图,我们可以很明显的看出已经生成了user1.csr、user1.crt和user1.key这个三个文件。user1.crt和user1.key两个文件是我们要使用的。
如此,Client端证书就制作完毕。
四、配置Server端
所有证书制作完毕后,我们现在开始配置Server端。Server端的配置文件,我们可以从openvpn自带的模版中进行复制。如下:
[root@localhost easy-rsa]# cp /usr/share/doc/openvpn-2.3.10/sample/sample-config-files/server.conf /etc/openvpn/server.conf.bak
[root@localhost easy-rsa]# cd /etc/openvpn/
现在我们通过修改server.conf.bak文件来生成server.conf文件,如下:
[root@localhost openvpn]# grep -vE "^#|^;|^$" server.conf.bak > server.conf
[root@localhost openvpn]# vim server.conf
port 1194
proto tcp
dev tun
ca ca.crt
cert vpnserver.crt
key vpnserver.key
dh dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
与原模版文件相比,在此我修改几个地方。
第一、修改了openvpn运行时使用的协议,由原来的UDP协议修改为TCP协议。生成环境建议使用TCP协议。
第二、修改了openvpn服务器的相关证书,由原来的server.csr、server.key修改为vpnserver.crt、vpnserver.key。
注意:上述server.conf文件中vpnserver.crt、vpnserver.key、dh2048.pem要与/etc/openvpn/目录下的相关文件一一对应。
同时,如果上述文件如果没有存放在/etc/openvpn/目录下,在server.conf文件中,我们要填写该文件的绝对路径。如下所示:
配置文件修改完毕后,我们现在来启动openvpn,使用如下命令:
[root@localhost openvpn]# service openvpn start
[root@localhost openvpn]# ss -tnlp |grep 1194
通过上图,我们可以的看出openvpn已经在此启动,使用的TCP协议的1194端口。
五、配置Client端
Server端配置并启动后,我们现在来配置Client端。我们主要在Windows OS上。下载安装“openvpn-2.1.1-gui-1.0.3-install-cn-64bit”,地址为: https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/vpntech/openvpn-2.1.1-gui-1.0.3-install-cn-64bit.zip
5.1 在Windows OS上
无论是在Windows OS还是在Linux OS上Client端的配置,我们都需要把Client证书、CA证书以及Client配置文件下载下来。
先来下载Client证书和CA证书,Client证书我们主要使用crt和key结尾的两个文件,而CA证书我们主要使用crt结尾的文件。如下:
先把这几个文件复制到/root/user1目录下,然后再把openvpn客户端的配置文件模版也复制到/root/user1/目录下。如下:
[root@localhost keys]# mkdir /root/user1/ -pv
[root@localhost keys]# cp /usr/share/doc/openvpn-2.3.10/sample/sample-config-files/client.conf /root/user1/client.ovpn
[root@localhost keys]# cp user1.crt user1.key /root/user1/
复制完毕后,回到/root/user1目录下,然后使用sz命令把这几个文件下载到windows上存放user1配置文件的目录。如下:
windows下路径C:\Program Files (x86)\OpenVPN\config,存放user1的配置文档,新建文件夹user1
[root@localhost keys]# cd /root/user1
[root@localhost user1]# sz *
下载完毕后,然后编辑client.ovpn,如下:
client
dev tun
proto tcp
remote openvpnserver.test.com 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert user1.crt
key user1.key
ns-cert-type server
comp-lzo
verb 3
Client配置文件client.ovpn,修改了几个地方:
第一、使用的协议,由原来的UDP修改为TCP,这个一定要和Server端保持一致。否则Client无法连接。
第二、remote地址,这个地址要修改为Server端的地址。
第三、Client证书名称,这个要和我们现在使用用户的Client证书名称保持一致。
现在我们来启动openvpn客户端连接Server,如下:
点击“连接服务”,会出现如下的弹窗:
如果配置都正确的话,会出现如下的提示:
通过上图,我们可以很明显的看到Client已经正确连接Server端,并且获得的IP地址是10.8.0.6。
下面我们在本机查看下,该IP地址,如下:
通过上图,我们可以看到本机确实已经连接到Server端,而且获得的IP地址也确实为10.8.0.6。
到此为止,openvpn的配置完成,如果需要设定vpnClient访问特定网段,例如访问“192.168.3.0,192.168.4.0,192.168.100.0”,则需要在Server的配置文件里增加以下路由推送语句。
push "route 192.168.3.0 255.255.255.0"
push "route 192.168.4.0 255.255.255.0"
push "route 192.168.100.0 255.255.255.0"
重启openvpn服务即可。
此文参考自http://www.ilanni.com/?p=9837,并根据实际环境进行了修改,非常感谢~~烂泥行天下-起于尘土,翱翔于九天!分享技术,永不止步…… http://www.ilanni.com/
原创文章,作者:Tuolei,如若转载,请注明出处:http://www.178linux.com/15145
评论列表(1条)
有markdown的润色会更上一层楼