将两个局域网用openvpn连接起来

考虑到我们做集群的时候需要用到可能有20台机器,可能我的要求跟别人的不一样的,我需要做20台左右的集群,不仅仅是会,而且需要非常熟练的搭建,最后通过脚步一键自动化部署安装。 目前我有两台电脑,一台可以运行7台,另一台可以运行12台左右,刚好可以满足的我的要求,但是我两台电脑都是设置的nat模式的网络,为什么我非要配置nat模式呢,根据集群架构思想,为了保证架构安全,集群全部在内网做。还有一个优点就是做nat模式可以自由迁移电脑,搭建的集群还能运行,如果是桥接模式就不行了,现在的状况就是有两台的电脑虚拟机nat模式,如何连接起来一起工作,研究了很久,居然可以用openvpn可以解决。下面来具体介绍如何搭建openvpn

1. 制作yum源和epe源,这个就不详细说了,我用的是阿里云的源,去阿里云的帮助文档也可以找到制作方法,很简单的,别忘记了

yum clean  all

yum repolist

2、安装openvpn和证书制作工具easy-rsa

yum install -y openssl openssl-devel lzo lzo-devel pam pam-devel automake pkgconfig openvpn easy-rsa

3、配置openvpn 拷贝配置文件

cp /usr/share/doc/openvpn-*/sample/sample-config-files/server.conf  /etc/openvpn/

4.编辑openvpn主配置文件

vim /etc/openvpn/server.conf

主要修改以下几个配置,把前边的分号注释去掉,其中DNS配置项,改成阿里公共DNS地址

proto udp //使用udp协议,还有一个tcp协议,允许http代理
dev tap  //使用tap设备
server 192.168.44.0  255.255.255.0 //配置网关
push "route 192.168.43.0 255.255.255.0" //配置路由
#vpn的内网地址段,与NAT转发规则相对应,openvpn在使用tun路由模式时,分配给client端分配的IP地址段  
push "redirect-gateway def1 bypass-dhcp" //开启自动分配地址
//设置dns解析
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4" 
//设置运行时使用的用户和用户组
user nobody
group nobody
log         openvpn.log //开启日志
explicit-exit-notify 0 //默认是1 默认的意思使用udp协议,这里我们改成0

5、配置证书文件

mkdir -p  /etc/openvpn/easy-rsa/keys   
cp  -a  /usr/share/easy-rsa/2.0/*  /etc/openvpn/easy-rsa/    
vi   /etc/openvpn/easy-rsa/vars

修改以下配置的内容,自定义设置各项值就可以。

export KEY_COUNTRY="CN"
export KEY_PROVINCE="BJ"
export KEY_CITY="Bei Jing"
export KEY_ORG="mabang" #定义所在的组织
export KEY_EMAIL="626612631@qq.com"
export KEY_OU="magedu"  #定义所在的单位
export KEY_NAME="vpnserver"#定义openvpn服务器的名称
export KEY_CN="magedu" 这行配置,前边默认的“#”号注释去掉。

制作证书 openvpn

cp  /etc/openvpn/easy-rsa/openssl-1.0.0.cnf  /etc/openvpn/easy-rsa/openssl.cnf
cd /etc/openvpn/easy-rsa    #切换工作目录
source ./vars    #让配置文件生效
./clean-all 
./build-ca    #之前已配置好相关参数,故执行命令后,按回车键,一直到结束。

创建服务端证书

./build-key-server server   
#按回车键进行,在提示输入密码的地方,设置一个密码如123456在An optional company name处输入如:srayban
最后输入两次“y”回车

创建客户端证书

./build-dh     #创建秘钥文件,等待命令执行完。
ls   /etc/openvpn/easy-rsa/keys/       #可以看到,目录中已经创建好了证书文件。
cd  /etc/openvpn/easy-rsa/keys
cp  dh2048.pem  ca.crt  server.crt  server.key   /etc/openvpn/
cd  /etc/openvpn/easy-rsa
./build-key client     
#创建客户端证书文件,按回车进行,提示输入密码的地方,输入之前设置的证书密码,123456
An optional company name处输入先前设置的公司名字(srayban)。
【一定要和先前输入的一样哦.,其他参数如果前面设置了,也要保持一致噢】 
#另外注意:有多少个客户端就需要
./build-key client 多少次,当然client名字需不同。

ls /etc/openvpn/easy-rsa/keys/    #可以看到,生成了客户端的证书文件

6、设置iptables,firewalld、路由转发

  • [ ] iptables 设置
yum install -y iptables-services
systemctl enable iptables
systemctl stop firewalld   #关闭Centos7默认的 firewall防火墙
systemctl start iptables   #启动iptables
iptables  -F     #清空默认的iptables规则 设置iptables NAT转发规则
iptables -t nat -A POSTROUTING -s 192.168.43.0/24  -j MASQUERADE 
iptables -A INPUT -p TCP --dport 1194 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
service i.ptables save   #保存防火墙规则
echo 1 > /proc/sys/net/ipv4/ip_forward     #临时开启路由转发
vi  /etc/sysctl.conf  
#编辑配置文件,添加以下配置,设置永久路由转发
net.ipv4.ip_forward = 1
  • [√] firewalld 设置

在CentOS 7中,iptables防火墙已经被firewalld所取代,需要使用如下方法:首先启动firewalld,先查看防火墙状态

systemctl status firewalld.service
如果防火墙没有启动,启动防火墙

service firewalld start

查看有哪些服务已经在列表中允许通过:
# firewall-cmd --list-services
dhcpv6-client http https ssh



可以看到已经有了dhcpv6-client, http, https, ssh四项,接下来添加openvpn:
# firewall-cmd --add-service openvpn 
success
# firewall-cmd --permanent --add-service openvpn 
success


检查一下:
# firewall-cmd --list-services
dhcpv6-client http https openvpn ssh

最后添加masquerade:

# firewall-cmd --add-masquerade 
success
# firewall-cmd --permanent --add-masquerade 
success

以下命令用于确认masquerade是否添加成功:
# firewall-cmd --query-masquerade
yes
  • [ ] 允许IP转发

在sysctl中开启IP转发

vim /etc/sysctl.conf

# Controls IP packet forwarding
net.ipv4.ip_forward = 1
  1. 启动OpenVPN服务

启动OpenVPN服务器并添加自动启动项:

sysctl -p

systemctl -f enable openvpn@server.service      #设置启动文件

systemctl start openvpn@server.service  #启动openvpn的命令
systemctl enable openvpn@server.service  #开机自启动

至此服务端搭建完成。

8、openvpn客户端(电脑、手机)连接vpn 把服务器上的三个客户端证书文件,下载到本地电脑配置vpn客户端。

/etc/openvpn/easy-rsa/keys/ca.crt 
/etc/openvpn/easy-rsa/keys/client.crt 
/etc/openvpn/easy-rsa/keys/client.key

安装好openvpn客户端软件后,把证书文件,存放到openvpn安装目录的config文件夹下。
从sample-config文件夹下,拷贝客户端的配置文件client.ovpn 到config文件夹下。
编辑config文件夹下的配置文件client.ovpn,
修改remote my-server-1 1194 这行配置,
指定openvpn服务器的ip地址,默认为你服务器的外网IP。
可以添加 push route 61.139.2.69 #电信DNS地址
配置好后,点击openvpn的客户端图标,连接vpn。
openvpn的图标显示绿色后,表示已经连接上vpn了。

然后在本地电脑进行测试,连接vpn后,可以访问ECS服务器的内网,
通过ECS服务器连接公网。 本地电脑用浏览器上网,显示的ECS服务器的公网ip。
在客户端ping一下服务器IP,查看响应情况。 最后,百度输入IP,查看本机IP,
发现你的IP已经变成服务器IP就表明VPN搭建成功了。

如果你要让别人连VPN呢?难道也把那么多配置文件发给别人,太麻烦了,
所以可采取如下策略,将ca.crt、client.crt、client.key全部拷贝到Client.ovpn里,
这样只需这一个文件即可连接

原创文章,作者:srayban,如若转载,请注明出处:http://www.178linux.com/74524

(10)
sraybansrayban
上一篇 2017-05-01
下一篇 2017-05-01

相关推荐

  • linux下find(文件查找)命令的详解

    文件查找命令locate和find详解 locate 配合数据库缓存,快速查看文件位置,非实时查找( 数据库查找) find 实际搜寻硬盘查询文件名称 ,实时查找 locate简介 locate命令其实是find -name的另一种写法,但是要比后者快得多,原因在于它不搜索具体目录,而是搜索一个数据库/var/lib/locat…

    Linux干货 2016-08-18
  • 马哥教育网络班20期+第二周课程练习

    1、Linux上的文件管理类命令都有哪些,其常用的使用方法及其相关示例演示。  答:文件管理类命令有: touch :创建一个新文件 示例:在/tmp/目录下创建一个1.log文件 touch /tmp/1.log mv:移动文件  示例:将/etc/fstab文件移至/tmp/目录中。  mv /etc/fstab /tmp/…

    Linux干货 2016-06-23
  • btr文件系统与网络基础

    btrfs文件系统技术预览版Btrfs (B-tree, Butter FS, Better FS), GPL, Oracle, 2007, CoW核心特性:多物理卷支持:btrfs可由多个底层物理卷组成;支持RAID,以及联机“添加”、“移除”,“修改”写时复制更新机制(CoW):复制、更新及替换指针,而非“就地”更新数据及元数据校验码:checksum子…

    Linux干货 2016-09-02
  • ansible运维自动化工具

      ansible简介 运维工具分类:         agent:基于专用的agent程序完成管理功能,puppet, func, zabbix, …        agent…

    Linux干货 2016-11-11
  • ​ 基于Sentinel实现redis主从自动切换

    Sentinel(哨兵)是用于监控redis集群中Master状态的工具,它可以实现对redis的监控、通知、自动故障转移。 Sentinel作用: Master状态检测 当被监控的某个 Redis Master异常无法连接时 Sentinel 可以向系统管理员发送通知, 也可以通过 API 向其他程序发送通知,并且进行Master-Slave切换,将其中一…

    Linux干货 2016-02-14
  • 踩踩Linux命令中的那些坑

    有时候面对命令的执行和条件的判断,可能会遇到莫名奇妙的原因,可能是人为错误导致,也可能是命令本身的问题。

    Linux干货 2017-11-23

评论列表(2条)

  • PowerMichael
    PowerMichael 2017-05-02 08:15

    厉害,干货,学习了。

  • kemenkai
    kemenkai 2017-05-19 16:16

    Server端和Client端都是单网卡还是双网卡的?
    这也是点对点的连接吗?