将两个局域网用openvpn连接起来

考虑到我们做集群的时候需要用到可能有20台机器,可能我的要求跟别人的不一样的,我需要做20台左右的集群,不仅仅是会,而且需要非常熟练的搭建,最后通过脚步一键自动化部署安装。 目前我有两台电脑,一台可以运行7台,另一台可以运行12台左右,刚好可以满足的我的要求,但是我两台电脑都是设置的nat模式的网络,为什么我非要配置nat模式呢,根据集群架构思想,为了保证架构安全,集群全部在内网做。还有一个优点就是做nat模式可以自由迁移电脑,搭建的集群还能运行,如果是桥接模式就不行了,现在的状况就是有两台的电脑虚拟机nat模式,如何连接起来一起工作,研究了很久,居然可以用openvpn可以解决。下面来具体介绍如何搭建openvpn

1. 制作yum源和epe源,这个就不详细说了,我用的是阿里云的源,去阿里云的帮助文档也可以找到制作方法,很简单的,别忘记了

yum clean  all

yum repolist

2、安装openvpn和证书制作工具easy-rsa

yum install -y openssl openssl-devel lzo lzo-devel pam pam-devel automake pkgconfig openvpn easy-rsa

3、配置openvpn 拷贝配置文件

cp /usr/share/doc/openvpn-*/sample/sample-config-files/server.conf  /etc/openvpn/

4.编辑openvpn主配置文件

vim /etc/openvpn/server.conf

主要修改以下几个配置,把前边的分号注释去掉,其中DNS配置项,改成阿里公共DNS地址

proto udp //使用udp协议,还有一个tcp协议,允许http代理
dev tap  //使用tap设备
server 192.168.44.0  255.255.255.0 //配置网关
push "route 192.168.43.0 255.255.255.0" //配置路由
#vpn的内网地址段,与NAT转发规则相对应,openvpn在使用tun路由模式时,分配给client端分配的IP地址段  
push "redirect-gateway def1 bypass-dhcp" //开启自动分配地址
//设置dns解析
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4" 
//设置运行时使用的用户和用户组
user nobody
group nobody
log         openvpn.log //开启日志
explicit-exit-notify 0 //默认是1 默认的意思使用udp协议,这里我们改成0

5、配置证书文件

mkdir -p  /etc/openvpn/easy-rsa/keys   
cp  -a  /usr/share/easy-rsa/2.0/*  /etc/openvpn/easy-rsa/    
vi   /etc/openvpn/easy-rsa/vars

修改以下配置的内容,自定义设置各项值就可以。

export KEY_COUNTRY="CN"
export KEY_PROVINCE="BJ"
export KEY_CITY="Bei Jing"
export KEY_ORG="mabang" #定义所在的组织
export KEY_EMAIL="626612631@qq.com"
export KEY_OU="magedu"  #定义所在的单位
export KEY_NAME="vpnserver"#定义openvpn服务器的名称
export KEY_CN="magedu" 这行配置,前边默认的“#”号注释去掉。

制作证书 openvpn

cp  /etc/openvpn/easy-rsa/openssl-1.0.0.cnf  /etc/openvpn/easy-rsa/openssl.cnf
cd /etc/openvpn/easy-rsa    #切换工作目录
source ./vars    #让配置文件生效
./clean-all 
./build-ca    #之前已配置好相关参数,故执行命令后,按回车键,一直到结束。

创建服务端证书

./build-key-server server   
#按回车键进行,在提示输入密码的地方,设置一个密码如123456在An optional company name处输入如:srayban
最后输入两次“y”回车

创建客户端证书

./build-dh     #创建秘钥文件,等待命令执行完。
ls   /etc/openvpn/easy-rsa/keys/       #可以看到,目录中已经创建好了证书文件。
cd  /etc/openvpn/easy-rsa/keys
cp  dh2048.pem  ca.crt  server.crt  server.key   /etc/openvpn/
cd  /etc/openvpn/easy-rsa
./build-key client     
#创建客户端证书文件,按回车进行,提示输入密码的地方,输入之前设置的证书密码,123456
An optional company name处输入先前设置的公司名字(srayban)。
【一定要和先前输入的一样哦.,其他参数如果前面设置了,也要保持一致噢】 
#另外注意:有多少个客户端就需要
./build-key client 多少次,当然client名字需不同。

ls /etc/openvpn/easy-rsa/keys/    #可以看到,生成了客户端的证书文件

6、设置iptables,firewalld、路由转发

  • [ ] iptables 设置
yum install -y iptables-services
systemctl enable iptables
systemctl stop firewalld   #关闭Centos7默认的 firewall防火墙
systemctl start iptables   #启动iptables
iptables  -F     #清空默认的iptables规则 设置iptables NAT转发规则
iptables -t nat -A POSTROUTING -s 192.168.43.0/24  -j MASQUERADE 
iptables -A INPUT -p TCP --dport 1194 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
service i.ptables save   #保存防火墙规则
echo 1 > /proc/sys/net/ipv4/ip_forward     #临时开启路由转发
vi  /etc/sysctl.conf  
#编辑配置文件,添加以下配置,设置永久路由转发
net.ipv4.ip_forward = 1
  • [√] firewalld 设置

在CentOS 7中,iptables防火墙已经被firewalld所取代,需要使用如下方法:首先启动firewalld,先查看防火墙状态

systemctl status firewalld.service
如果防火墙没有启动,启动防火墙

service firewalld start

查看有哪些服务已经在列表中允许通过:
# firewall-cmd --list-services
dhcpv6-client http https ssh



可以看到已经有了dhcpv6-client, http, https, ssh四项,接下来添加openvpn:
# firewall-cmd --add-service openvpn 
success
# firewall-cmd --permanent --add-service openvpn 
success


检查一下:
# firewall-cmd --list-services
dhcpv6-client http https openvpn ssh

最后添加masquerade:

# firewall-cmd --add-masquerade 
success
# firewall-cmd --permanent --add-masquerade 
success

以下命令用于确认masquerade是否添加成功:
# firewall-cmd --query-masquerade
yes
  • [ ] 允许IP转发

在sysctl中开启IP转发

vim /etc/sysctl.conf

# Controls IP packet forwarding
net.ipv4.ip_forward = 1
  1. 启动OpenVPN服务

启动OpenVPN服务器并添加自动启动项:

sysctl -p

systemctl -f enable openvpn@server.service      #设置启动文件

systemctl start openvpn@server.service  #启动openvpn的命令
systemctl enable openvpn@server.service  #开机自启动

至此服务端搭建完成。

8、openvpn客户端(电脑、手机)连接vpn 把服务器上的三个客户端证书文件,下载到本地电脑配置vpn客户端。

/etc/openvpn/easy-rsa/keys/ca.crt 
/etc/openvpn/easy-rsa/keys/client.crt 
/etc/openvpn/easy-rsa/keys/client.key

安装好openvpn客户端软件后,把证书文件,存放到openvpn安装目录的config文件夹下。
从sample-config文件夹下,拷贝客户端的配置文件client.ovpn 到config文件夹下。
编辑config文件夹下的配置文件client.ovpn,
修改remote my-server-1 1194 这行配置,
指定openvpn服务器的ip地址,默认为你服务器的外网IP。
可以添加 push route 61.139.2.69 #电信DNS地址
配置好后,点击openvpn的客户端图标,连接vpn。
openvpn的图标显示绿色后,表示已经连接上vpn了。

然后在本地电脑进行测试,连接vpn后,可以访问ECS服务器的内网,
通过ECS服务器连接公网。 本地电脑用浏览器上网,显示的ECS服务器的公网ip。
在客户端ping一下服务器IP,查看响应情况。 最后,百度输入IP,查看本机IP,
发现你的IP已经变成服务器IP就表明VPN搭建成功了。

如果你要让别人连VPN呢?难道也把那么多配置文件发给别人,太麻烦了,
所以可采取如下策略,将ca.crt、client.crt、client.key全部拷贝到Client.ovpn里,
这样只需这一个文件即可连接

原创文章,作者:srayban,如若转载,请注明出处:http://www.178linux.com/74524

(10)
sraybansrayban
上一篇 2017-05-01
下一篇 2017-05-01

相关推荐

  • linux计划任务

    linux计划任务、周期性任务执行 未来的某时间点执行一次某任务:at,batch 周期性运行某任务:crontab 执行结果: 会通过邮件发送给用户, 存放在/var/spool/mail/UserName ~]# ss -tnl 或者 ~]# netstat -tnlp  查看是否有25号端口打开,来判断本机的邮件服务是否正常打开 本地电子邮件…

    Linux干货 2016-09-19
  • 搭建lnmp实现动静分离

    LNMP代表的就是:Linux系统下Nginx+MySQL+PHP这种网站服务器架构。 (nginx主机)web 处理静态内容 172.16.250.149 (fpm server   mariad bserver)处理动态内容 172.16.253.131 以上为两台CentOS7.3主机 试验拓扑图如下:   ==…

    2017-07-22
  • N22-妙手-第七周课程练习

    1、创建一个10G分区,并格式为ext4文件系统;    (1) 要求其block大小为2048, 预留空间百分比为2, 卷标为MYDATA, 默认挂载属性包含acl; [root@localhost ~]# mke2fs -t ext4 -m 2 -L MY…

    Linux干货 2016-10-09
  • 04用户和组的相关配置文件总结

    1、用户 个人理解的是,给使用者一个在系统中使用的身份,即用户。 用户分两种:管理员和普通用户。 而每一个用户都有一些属性,每一个属性都是用冒号分割开来。配置文件存储在【/etc/passwd】中。 例如,sarash:x:507:508::/home/sarash:/bin/nologin 他们分别是,用户名,密码,ID号,主组ID号,注释,家目录,默认登…

    Linux干货 2016-10-24
  • Linux作业管理和并发执行

    概述 本章将为大家介绍一些进程管理的补充部分作业管理和任务的并发执行,同时也将介绍一下Linux系统上计划任务的相关内容,具体分为:1、Linux作业管理2、任务的并发执行 第一章 Linxu作业管理 1、前台作业和后台作业    前台作业:通过中断启动,且启动后一直占据终端    后台作业:可通过终端启动,但启动后即…

    Linux干货 2016-09-28
  • Memcached命令

    Memcache 的命令行用法: 1、启动Memcache 常用参数    memcached 1.4.3      -p <num>      设置端口号(默认不设置为: 11211)      -U <num> &nbsp…

    Linux干货 2015-05-18

评论列表(2条)

  • PowerMichael
    PowerMichael 2017-05-02 08:15

    厉害,干货,学习了。

  • kemenkai
    kemenkai 2017-05-19 16:16

    Server端和Client端都是单网卡还是双网卡的?
    这也是点对点的连接吗?