关闭

Ubutnu16.04搭建Open微皮恩服务端过程记录

标签: ubuntu
4176人阅读 评论(2) 收藏 举报

在Ubuntu上搭建PPTP服务端比较容易,而且支持Windows,Andorid,Ubuntu等等很多客户端,但是PPTP使用PPP建立通道和验证用户名密码的过程是没有加密的,很不安全。另外PPTP使用MPPE进行加密,而MPPE是基于RC4算法,已经被破解,所以PPTP不适合传输安全性很高的数据。

而Open微皮恩的安全性要比PPTP高的多,首先Open微皮恩的密钥交换过程是加密进行的,而且使用的加密算法为AES非对称密钥算法,需要使用CA证书,所以安全性上要比PPTP强很多,而在易用性上,Open微皮恩有自己的客户端,使用起来要比L2TP/IPsec要方便,因为ipsec经常需要根据不同的客户端来改配置文件,错综复杂极易绕晕。下面我就一Ubuntu16.04 Open微皮恩服务端+windows Open微皮恩客户端为例介绍一下Open微皮恩的搭建流程。目前我已经测试过非常可用。

在Ubuntu上搭建Open微皮恩主要分两步

1、生成服务端的CA证书,服务器证书,服务器密钥,客户端证书,客户端密钥等

2、将生成好的证书绑定到Open微皮恩上然后开启Open微皮恩服务


其中最麻烦的地方在第一步,就是生成一大堆证书。但是如果你不关心安全性只想安全上网一下的话,可以直接用别人生成好的证书和密钥,当然这样做安全性就只能照顾家用了,不过确实减少了很多复杂的步骤。为了降低入门的门槛,想学习如何制作ca证书的可以往下看,下面提供我刚刚生成的几个证书。

其中服务器需要使用到的文件有四个:

ca.crt 

alexserver.crt

alexserver.key

dh2048.pem

客户端要使用到的文件有3个

ca.crt

client.crt

client.key

证书下载地址:Open微皮恩服务端和客户端证书

其中,alexserver.key是服务器密钥,是应该仔细认真保管的,不能被其他人获取到,其余的文件交给需要使用的客户端即可。

有了上面预生成的几个证书,就不需要每次搭建Open微皮恩服务端都生成一大摞证书了,Open微皮恩的配置会简单到和搭建PPTP一样轻松

本文主要分四个部分介绍Open微皮恩

1、搭建Open微皮恩服务,开放相应端口

2、配置Windows客户端通过加密上网

3、制作Open微皮恩证书和密钥的方法

4、Android客户端配置Open微皮恩上网的方法


一、搭建Open微皮恩服务

首先把我上面提供的几个证书通过scp上传到你的Unbuntu 16.04服务器上,找一个安全的地址放起来,然后安装Open微皮恩服务

sudo apt-get install Open微皮恩

然后需要配置如下几个文件,和配置PPTP服务端有异曲同工之妙

首先将Open微皮恩提供的模板配置文件复制到/etc/Open微皮恩下,如果文件夹不存在就自己创建一个,然后解压会得到一个server.conf配置文件

cp /usr/share/doc/Open微皮恩/examples/sample-config-files/server.conf.gz /etc/Open微皮恩/
cd /etc/Open微皮恩
gunzip -d /etc/Open微皮恩/server.conf.gz
然后编辑/etc/Open微皮恩/server.conf 文件,主要修改如下标黄色的部分


上面需要将服务端需要的四个文件ca.crt alexserver.crt alexserver.key dh2048.pem的路径填在相应的位置上


上面是修改服务器地址,Open微皮恩的监听端口和Open微皮恩与外网交换的协议,推荐使用udp协议,我这里使用的是7000端口,因为像1723,1701端口很可能被ISP封掉,而Open微皮恩相比PPTP和L2TP很大的一个优点就是可以自由的指定端口。上面的192.168.1.81是我的Ubuntu电脑的内网IP,好像这一项不填保持默认也可以,没有试过


上面是修改给接入客户端分配的IP地址的选项,如果按照上面写,那么服务器的虚拟地址就是10.8.0.1,而客户端就是10.8.0.2,10.8.0.3这样的


上面是通告给客户端的DNS服务器,默认是OpenDNS的两个服务器,如果你想让Open微皮恩服务端代理客户端进行DNS解析防止DNS污染的话,应该把DNS服务端写成10.8.0.1也就是服务端的地址,并启动一个pdnsd服务监听在10.8.0.1的53端口上。具体步骤可以参考我的上一篇博客《OpenWrt搭建PPTP VPN服务器过程记录》。

(提示:如果这里的DNS服务器填写公网服务器,如114.114.114.114,那么DNS请求是由VPN客户端直接向公网DNS进行请求,因为是目标端口为53的UDP请求,所以很容易被投毒污染,如果设置内网地址如192.168.1.81那么只有当服务端与客户端在同一个内网也就是同一个物理交换机上才有效。如果设服务端的虚拟内网地址如10.8.0.1可以使用服务端的软件代理DNS请求,这样可以有效避免污染,但是Open微皮恩相对PPTP有bug,即客户端的物理网卡不能使用固定IP地址,只能使用DHCP自动分配,否则如果有线网卡配置了固定IP会导致DNS无法解析,但是10.8.0.1依然可以访问的情形)

这个server.conf就修改这么几行就行了,是不是很方便很容易理解,和PPTP的配置如出一辙,而且pptp需要修改三个文件,分别是pptpd.conf,chat-secret.conf,和pptpd.options,而Open微皮恩只需要修改一个文件就可以了,感觉很方便。

修改完server.conf之后就可以开启Open微皮恩服务端了

sudo openvpn --config /etc/Open微皮恩/server.conf

其中/etc/Open微皮恩/server.conf就是上面我们修改的那个文件的地址,启动成功的话中断输出如下


然后使用ifconfig查看会发现一个新的虚拟网卡,如下


使用sudo netstat -nlp可以看到Open微皮恩正在7000端口上进行监听


这样就证明你的Open微皮恩服务端已经启动成功啦,并且监听端口为192.168.1.81:7000,其中192.168.1.81就是刚刚在server.conf文件一开头写的local地址,注意要写你外部网卡的地址,这样才能保证外网用户能够准确访问到你的Open微皮恩服务,需要的话别忘了在路由器上做端口映射。如果你在OpenWrt上搭建Open微皮恩服务,这里的local不要填内网地址,而是公网地址。


二、配置Windows客户端

首先将我上面提供的三个客户端需要的文件下载到本地,路径不要有中文,空格等特殊字符,我选的是C:/OpenVPN/config

然后你需要自己创建一个.ovpn的文件,内容如下

client        #这个client不是自定义名称 不能更改
dev tun       #要与前面server.conf中的配置一致。
proto udp              #要与前面server.conf中的配置一致。
remote 192.168.1.81 7000    #将11.22.33.44替换为你VPS的IP,端口与前面的server.conf中配置一致。
resolv-retry infinite
nobind
persist-key
persist-tun
ca C:\\OpenVPN\\config\\ca.crt              #具体名称以刚下载的为准
cert C:\\OpenVPN\\config\\client.crt              #具体名称以刚下载的为准
key C:\\OpenVPN\\config\\client.key              #具体名称以刚下载的为准
ns-cert-type server
redirect-gateway
keepalive 20 60
#tls-auth ta.key 1
comp-lzo
verb 3
mute 20
route-method exe
route-delay 2
这个文件上的配置要参考之前/etc/Open微皮恩/server.conf的配置,上面的ca cert key字段填那三个客户端文件的绝对路径,\用\\代替,不要有中文,空格等特殊字符。

remote填写Open微皮恩监听的IP地址和端口。

然后去Open微皮恩的官网下载安装一个Open微皮恩 GUI

然后右击这个.ovpn文件点击


如果启动正常,输出如下


注意不要运行这个两次,否则就上不了网了

启动成功之后可以使用ipconfig发现windows电脑多了一块虚拟网卡,如下


可以看到我的电脑被分到的虚拟ip是10.8.0.6,但是默认网关是10.8.0.5,子网掩码也不是24,但这都不是事,不用管

现在打开“网络和共享中心”可以看到多了一个本地连接,如下


查看其属性能看到分配的ip地址和通告的DNS服务器


这样说明你的Windows客户端已经和Open微皮恩服务端连接成功了,但是目前还无法上网,是因为现在还没做SNAT,也就是说10.42.0.5的ip是无法在公网使用的需要NAT成服务端的地址,所以只需加一句话就行了

sudo iptables -t nat -A POSTROUTING -s 10.8.0.1/24 -j MASQUERADE

这样就把Open微皮恩服务端当成了网关,客户端可以上网了,你的IP就是Open微皮恩服务端的IP。至此一个Open微皮恩服务就彻底搭建完成

如果你连接成功,但是仍然无法上外网,但是内网可以访问的话,说明你可能还没有开启IP内核转发,开启Linux的内核转发方法是,打开/etc/sysctl.conf这个文件,取消掉 net.ipv4.ip_forward=1 这一行的注释.
然后执行
sudo sysctl -p
使修改后的文件配置立即生效。如果你以前配置过PPTP的VPN,那么这个应该以前打开过

如果还是不能上网,看看能否ping通服务端的虚拟地址,如下

如果连接成功而不能ping通服务端的虚拟IP,那么你重启电脑然后重启Open微皮恩一般就可以。

如果你想让你的Open微皮恩不仅仅在内网使用而想让外网的人访问你的内网或者供其上网,可以在路由器上配置端口映射实现内网穿透,只要将外网的某个端口映射到Open微皮恩监听的IP和端口上即可,但是要保证你有公网IP在外网才会生效。然后不需要更换证书,只需将ovpn文件的remote改成你外网的IP和端口即可连通。

三、制作CA证书和密钥的方法

下面再介绍一下比较复杂步骤,就是生成Open微皮恩服务端和客户端所需的一摞证书的方法。

首先可以使用一个叫easy-rsa的软件来轻松的生成ca证书

sudo apt-get install easy-rsa

然后我们把easy-rsa提供的模板配置文件拷贝出来进行修改

mkdir /etc/Open微皮恩/easy-rsa
cp -r /usr/share/easy-rsa /etc/Open微皮恩/easy-rsa

然后cd 到/etc/Open微皮恩/easy-rsa/easy-rsa下


第一步修改证书的配置文件,vars,只需修改下面黄色的部分


修改保存之后执行

sudo su

source ./vars

./clean-all

然后我们先生成ca证书,执行./build-ca


这样会在./keys文件夹下生成ca.crt和ca.key

然后生成服务器密钥./build-key-server <密钥名>

命令行输出如下,中间遇到输入停顿直接敲回车即可

root@alex-ThinkPad-T430:/etc/Open微皮恩/easy-rsa/easy-rsa# ./build-key-server alexserver
Generating a 2048 bit RSA private key
.....................+++
..+++
writing new private key to 'alexserver.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [US]:
State or Province Name (full name) [CA]:
Locality Name (eg, city) [SanFrancisco]:
Organization Name (eg, company) [Fort-Funston]:
Organizational Unit Name (eg, section) [MyOrganizationalUnit]:
Common Name (eg, your name or your server's hostname) [alexserver]:
Name [EasyRSA]:
Email Address [1886090@gmail.com]:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:123456
An optional company name []:youku
Using configuration from /etc/Open微皮恩/easy-rsa/easy-rsa/openssl-1.0.0.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName           :PRINTABLE:'US'
stateOrProvinceName   :PRINTABLE:'CA'
localityName          :PRINTABLE:'SanFrancisco'
organizationName      :PRINTABLE:'Fort-Funston'
organizationalUnitName:PRINTABLE:'MyOrganizationalUnit'
commonName            :PRINTABLE:'alexserver'
name                  :PRINTABLE:'EasyRSA'
emailAddress          :IA5STRING:'1886090@gmail.com'
Certificate is to be certified until Nov 12 01:18:00 2026 GMT (3650 days)
Sign the certificate? [y/n]:y


1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
root@alex-ThinkPad-T430:/etc/Open微皮恩/easy-rsa/easy-rsa# 

这样会生成服务器证书和服务器密钥,如下


然后生成Diffie-Hellman密钥 ./build-dh


这样会生成一个2048.pem文件,如下


然后生成客户端密钥 ./build-key <密钥名>,但是如果你想生成需要用户名和密码的密钥,就使用./build-key-pass client

root@alex-ThinkPad-T430:/etc/Open微皮恩/easy-rsa/easy-rsa# ./build-key client
Generating a 2048 bit RSA private key
...................................+++
.......................................+++
writing new private key to 'client.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [US]:
State or Province Name (full name) [CA]:
Locality Name (eg, city) [SanFrancisco]:
Organization Name (eg, company) [Fort-Funston]:
Organizational Unit Name (eg, section) [MyOrganizationalUnit]:
Common Name (eg, your name or your server's hostname) [client]:
Name [EasyRSA]:
Email Address [1886090@gmail.com]:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:123456
An optional company name []:youku
Using configuration from /etc/Open微皮恩/easy-rsa/easy-rsa/openssl-1.0.0.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName           :PRINTABLE:'US'
stateOrProvinceName   :PRINTABLE:'CA'
localityName          :PRINTABLE:'SanFrancisco'
organizationName      :PRINTABLE:'Fort-Funston'
organizationalUnitName:PRINTABLE:'MyOrganizationalUnit'
commonName            :PRINTABLE:'client'
name                  :PRINTABLE:'EasyRSA'
emailAddress          :IA5STRING:'1886090@gmail.com'
Certificate is to be certified until Nov 12 01:38:01 2026 GMT (3650 days)
Sign the certificate? [y/n]:y


1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

这样,所有服务端和客户端的证书都已经生成完毕,生成好的key在./keys文件夹下,下面标黄的是服务器需要用到的证书文件


现在你就可以使用自己生成的服务器和客户端证书来替换掉我上面给的预生成证书来搭建Open微皮恩服务器实现更好的安全性。

注:这里面最需要保管好的是alexserver.key,其他的可以分发给客户端使用


四、Android客户端配置的方法

一些几年前的老博客还将Open微皮恩的一个缺点是不支持移动端,但是现在情况已经不一样了,Open微皮恩的客户端在网上可以下到很多,下面以我从Google Play Store下载的非官方“Open微皮恩for Android”为例介绍如何在Android客户端上配置我们刚刚搭建的Open微皮恩服务端

首先连接电脑或者通过发邮件的方式将上面Windows客户端的4个文件拷贝到手机内存同一个目录下,无需修改其内容

然后进入app,点击右上角的加号,出现如下界面,点击“导入”按钮,选择ovpn文件


在下面页面中找到存放四个文件的目录,选择ovpn文件


选择好ovpn后,会自动提示你选择ca证书,客户端证书和客户端key,如下,点击“请选择”选择上面的ca.crt,client.crt 和client.key


全部选择完成之后点击右上角的对号,保存配置

返回首页之后点击刚刚新生成的配置文件,开始连接,出现如下图的提示,说明连接成功


再次点击配置文件,即可下线

注:如果你觉得每次都需要给客户端配置4个文件太麻烦,其实可以把两个证书和一个客户端密钥都合并到.ovpn文件里面去,这样你只需要拿着ovpn一个文件就可以到处跑了,而且你还可以在多个服务器部署相同的证书,然后修改ovpn上的remote ip地址切换不同的服务器(Android客户端支持UI界面上的更换IP)下面我就把我上面提供的三个客户端证书都整合到一个ovpn文件中,其实就是把ca.crt里面的内容粘贴到<ca></ca>标签内,client.crt的内容粘贴到<cert></cert>中去,client.key的内容粘贴到<key></key>标签内

client        #这个client不是自定义名称 不能更改
dev tun       #要与前面server.conf中的配置一致。
proto udp              #要与前面server.conf中的配置一致。
remote 192.168.1.81 7000    #将11.22.33.44替换为你VPS的IP,端口与前面的server.conf中配置一致。
resolv-retry infinite
nobind
persist-key
persist-tun
ns-cert-type server
redirect-gateway
keepalive 20 60
#tls-auth ta.key 1
comp-lzo
verb 3
mute 20
route-method exe
route-delay 2
<ca>
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

</ca>
<key>
-----BEGIN PRIVATE KEY-----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-----END PRIVATE KEY-----

</key>
<cert>
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 2 (0x2)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=US, ST=CA, L=SanFrancisco, O=Fort-Funston, OU=MyOrganizationalUnit, CN=Fort-Funston CA/name=EasyRSA/emailAddress=alex.zhuo@imaginato.com
        Validity
            Not Before: Nov 14 01:38:01 2016 GMT
            Not After : Nov 12 01:38:01 2026 GMT
        Subject: C=US, ST=CA, L=SanFrancisco, O=Fort-Funston, OU=MyOrganizationalUnit, CN=client/name=EasyRSA/emailAddress=alex.zhuo@imaginato.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:e1:7e:39:71:80:c2:fd:b5:57:19:2d:65:03:72:
                    33:55:59:3d:74:ec:0d:bf:0d:88:0a:1f:98:78:de:
                    1d:c3:ec:b9:9b:6b:13:8a:d4:d5:9a:4a:4c:4b:06:
                    d9:f8:6b:08:4f:f9:8e:63:2b:37:ce:c3:64:ac:d1:
                    40:16:05:a2:40:62:4e:d1:0d:2f:f8:70:b7:72:f3:
                    3c:76:56:77:ea:cb:bf:15:71:7b:c1:ae:33:15:fe:
                    8d:2a:8e:1c:87:46:75:30:21:67:55:04:51:7a:2b:
                    5e:77:c5:6c:c3:27:2a:a5:0f:03:31:67:e9:31:18:
                    0e:5e:32:ee:5e:1d:b5:e2:8c:c7:ce:e3:51:0c:61:
                    b7:92:df:f0:e0:5a:23:8d:3f:f5:a6:c3:68:a4:16:
                    b4:df:e8:c8:f3:77:c5:47:3d:bb:57:58:e7:31:5f:
                    0f:2b:27:98:56:ea:c1:84:91:08:2a:40:67:31:95:
                    c4:df:74:a8:6e:4d:1d:0b:c3:34:4c:6e:ea:28:b6:
                    9a:98:8b:11:d0:f6:a0:63:be:a7:31:3d:1f:16:8a:
                    eb:cb:b4:b2:14:ac:37:cf:a2:c6:a4:72:5b:f8:a6:
                    01:e9:36:65:4c:a9:98:e7:3a:05:c4:89:f4:30:50:
                    94:60:c3:f2:33:29:45:43:12:06:fd:00:e4:02:25:
                    5d:75
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            Netscape Comment: 
                Easy-RSA Generated Certificate
            X509v3 Subject Key Identifier: 
                23:95:AC:79:A3:5A:6D:D8:2D:28:4A:9B:62:40:17:AF:2A:EC:CE:33
            X509v3 Authority Key Identifier: 
                keyid:2C:EB:6F:BE:7D:E1:2F:5E:FD:5C:23:83:D6:49:7A:D7:77:02:2A:BE
                DirName:/C=US/ST=CA/L=SanFrancisco/O=Fort-Funston/OU=MyOrganizationalUnit/CN=Fort-Funston CA/name=EasyRSA/emailAddress=alex.zhuo@imaginato.com
                serial:DF:16:1D:FF:A0:E4:62:3C

            X509v3 Extended Key Usage: 
                TLS Web Client Authentication
            X509v3 Key Usage: 
                Digital Signature
            X509v3 Subject Alternative Name: 
                DNS:client
    Signature Algorithm: sha256WithRSAEncryption
         a5:cd:1d:8e:c2:6b:fe:e1:d5:62:4c:4d:62:4f:0e:5f:be:9d:
         29:fa:09:66:fe:f6:5f:d5:a5:53:55:c0:82:52:ec:24:d9:b4:
         ba:55:13:1c:7c:5a:00:29:f8:7d:5a:1b:f0:b2:7b:6a:a8:54:
         0e:21:2f:c3:da:52:34:26:63:3d:af:04:27:e1:7d:00:ec:93:
         9f:2f:70:b0:71:37:6f:4b:c1:e8:b9:1c:a8:d2:fb:e4:fc:45:
         fc:ba:9a:46:6f:56:d3:6c:c2:c1:c4:80:ba:24:80:de:3f:25:
         b9:ef:aa:c4:cb:fe:48:18:46:53:bf:57:5f:01:48:04:1e:6a:
         43:58:1f:75:3b:07:1c:7e:c7:e9:b4:c6:57:da:e7:87:14:e1:
         57:b1:42:fa:c6:3a:f6:62:60:6a:46:ac:48:7e:74:c1:a0:7c:
         bd:68:75:5a:95:c3:0d:a1:a1:54:9a:86:24:4b:0b:9f:a4:bd:
         43:85:76:19:8e:45:8e:e6:b0:33:52:09:a3:67:b6:f7:2a:44:
         67:7b:a3:34:4b:62:64:d0:1f:e6:70:fa:4d:84:02:22:75:81:
         5f:e9:90:40:31:83:f0:61:cb:f8:53:92:60:2a:41:2c:0d:9a:
         cf:23:a5:ad:03:62:a9:91:1e:de:00:ce:95:06:d8:88:e9:0c:
         b2:dc:fc:4e
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

</cert>


0
1

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:433609次
    • 积分:5055
    • 等级:
    • 排名:第6147名
    • 原创:143篇
    • 转载:0篇
    • 译文:1篇
    • 评论:188条
    最新评论