公司内部搭建OpenVPN服务(详细好用)

已于 2024-06-13 11:16:00 修改
阅读量914 收藏 10
点赞数 36
文章标签: 服务器 linux centos 运维 算法 数据结构 哈希算法
于 2024-06-13 09:41:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_80643218/article/details/139642842
版权

OpenVPN构建应用

OpenVPN是一个开源的应用程序,它允许您通过公共互联网创建一个安全的专用网络。OpenVPN实现一个虚拟专用网(VPN)来创建一个安全连接。OpenVPN使用OpenSSL库提供加密,它提供了几种身份验证机制,如基于证书的、预共享密钥和用户名/密码身份验证。

在本教程中,我们将向您展示如何在CentOS 7.4服务器上逐步安装和配置OpenVPN。

实现基于用户名和密码的OpenVPN认证

OpenVpn服务端构建

关闭selinux

[root@openvpn ~]# sed -i '/^SELINUX/s/enforcing/disabled/g' /etc/selinux/config && setenforce 0

安装epel仓库和openvpn, Easy-RSA工具

[root@openvpn ~]# yum -y install epel-release && yum -y install openvpn easy-rsa

配置EASY-RSA 3.0

在/etc/openvpn文件夹下面创建easy-rsa文件夹,并把相关文件复制进去

[root@openvpn ~]# mkdir -p /etc/openvpn/easy-rsa/
[root@openvpn ~]# cp -r /usr/share/easy-rsa/3/* /etc/openvpn/easy-rsa/
[root@openvpn ~]# cp -p /usr/share/doc/easy-rsa-3.0.8/vars.example /etc/openvpn/easy-rsa/vars

创建OpenVPN相关的密钥

我们将创建CA密钥,server端、client端密钥,DH和CRL PEM, TLS认证钥匙ta.key。

[root@openvpn easy-rsa]# cd /etc/openvpn/easy-rsa/

初始化并建立CA证书

创建服务端和客户端密钥之前,需要初始化PKI目录

[root@openvpn easy-rsa]# ./easyrsa init-pki

img

[root@openvpn easy-rsa]# ./easyrsa build-ca nopass

img

创建服务器密钥

创建服务器密钥名称为 server1.key

[root@openvpn easy-rsa]# ./easyrsa gen-req server1 nopass

添加nopass 选项,是指不需要为密钥添加密码。

img

用CA证书签署server1密钥

[root@openvpn easy-rsa]# ./easyrsa sign-req server server1
记得输入yes

img

创建客户端密钥

创建客户端密钥名称为 client1.key

[root@openvpn easy-rsa]# ./easyrsa gen-req client1 nopass

img

用CA证书签署client1密钥

[root@openvpn easy-rsa]# ./easyrsa sign-req client client1

img

创建DH密钥

根据在顶部创建的vars配置文件生成2048位的密钥

[root@openvpn easy-rsa]# ./easyrsa gen-dh

img

创建TLS认证密钥

[root@openvpn easy-rsa]# openvpn --genkey --secret /etc/openvpn/easy-rsa/ta.key

生成 证书撤销列表(CRL)密钥

CRL(证书撤销列表)密钥用于撤销客户端密钥。如果服务器上有多个客户端证书,希望删除某个密钥,那么只需使用./easyrsa revoke NAME这个命令撤销即可。

生成CRL密钥:

[root@openvpn easy-rsa]# ./easyrsa  gen-crl

img

复制证书文件

复制ca证书,ta.key和server端证书及密钥到/etc/openvpn/server文件夹里

[root@openvpn easy-rsa]# cp -p pki/ca.crt /etc/openvpn/server/ 
[root@openvpn easy-rsa]# cp -p pki/issued/server1.crt /etc/openvpn/server/ 
[root@openvpn easy-rsa]# cp -p pki/private/server1.key /etc/openvpn/server/ 
[root@openvpn easy-rsa]# cp -p ta.key /etc/openvpn/server/

复制ca证书,ta.key和client端证书及密钥到/etc/openvpn/client文件夹里

[root@openvpn easy-rsa]# cp -p pki/ca.crt /etc/openvpn/client/  
[root@openvpn easy-rsa]# cp -p ta.key /etc/openvpn/client/
[root@openvpn easy-rsa]# cp -p pki/issued/client1.crt /etc/openvpn/client/
[root@openvpn easy-rsa]# cp -p pki/private/client1.key /etc/openvpn/client/

复制dh.pem , crl.pem到/etc/openvpn/server文件夹里

[root@openvpn easy-rsa]# cp pki/dh.pem /etc/openvpn/server/ 
[root@openvpn easy-rsa]# cp pki/crl.pem /etc/openvpn/server/

修改OpenVPN配置文件

复制模板到主配置文件夹里面

[root@openvpn easy-rsa]# cp -p /usr/share/doc/openvpn-2.4.10/sample/sample-config-files/server.conf /etc/openvpn/server/
# 修改后的内容如下
[root@openvpn server]# cd /etc/openvpn/server/
[root@openvpn server]# cat server.conf |grep '^[^#|^;]'
port 1194
proto udp
dev tun
ca ca.crt
cert server1.crt #需要改
key server1.key  # #需要改This file should be kept secret
dh dh.pem #需要改
crl-verify crl.pem #需要加
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp" #需要删除注释
push "dhcp-option DNS 114.114.114.114" #需要改
duplicate-cn 
keepalive 10 120
tls-auth ta.key 0 # This file is secret
cipher AES-256-CBC
compress lz4-v2
push "compress lz4-v2" 
max-clients 100 
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
log-append  openvpn.log
verb 3
explicit-exit-notify 1
#下面是配置用户名密码登录需要添加
script-security 3
auth-user-pass-verify /etc/openvpn/checkpsw.sh via-env    #指定用户认证脚本
username-as-common-name
verify-client-cert none

img

注释:修改过后,本人已用sz进行下载

OpenVPN 设置账号密码登录(可多用户)

首先我们需要编写一个用户认证的脚本

vim /etc/openvpn/checkpsw.sh 
#!/bin/sh
###########################################################
# checkpsw.sh (C) 2004 Mathias Sundman 
#
# This script will authenticate OpenVPN users against
# a plain text file. The passfile should simply contain
# one row per user with the username first followed by
# one or more space(s) or tab(s) and then the password.
 
PASSFILE="/etc/openvpn/psw-file"
LOG_FILE="/etc/openvpn/openvpn-password.log"
TIME_STAMP=`date "+%Y-%m-%d %T"`
 
###########################################################
 
if [ ! -r "${PASSFILE}" ]; then
  echo "${TIME_STAMP}: Could not open password file \"${PASSFILE}\" for reading." >> ${LOG_FILE}
  exit 1
fi
 
CORRECT_PASSWORD=`awk '!/^;/&&!/^#/&&$1=="'${username}'"{print $2;exit}' ${PASSFILE}`
 
if [ "${CORRECT_PASSWORD}" = "" ]; then 
  echo "${TIME_STAMP}: User does not exist: username=\"${username}\", password=\"${password}\"." >> ${LOG_FILE}
  exit 1
fi
 
if [ "${password}" = "${CORRECT_PASSWORD}" ]; then 
  echo "${TIME_STAMP}: Successful authentication: username=\"${username}\"." >> ${LOG_FILE}
  exit 0
fi
 
echo "${TIME_STAMP}: Incorrect password: username=\"${username}\", password=\"${password}\"." >> ${LOG_FILE}
exit 1

接下来给脚本执行权限

chmod 755 /etc/openvpn/checkpsw.sh

现在我们配置用户密码文件

cat /etc/openvpn/psw-file 
test test
test1 test1
ziyuan ziyuan
#前面为用户名,后面为密码。 中间使用空格分开

开启转发

修改内核模块

[root@openvpn server]# echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf && sysctl -p
回显net.ipv4.ip_forward = 1

修改防火墙

[root@openvpn server]# firewall-cmd --permanent --add-service=openvpn
[root@openvpn server]# firewall-cmd --permanent --add-interface=tun0
[root@openvpn server]# firewall-cmd --permanent --add-masquerade
[root@openvpn server]# firewall-cmd --permanent --direct --passthrough ipv4 -t nat -A POSTROUTING -s  10.8.0.0/24 -o ens33 -j MASQUERADE  
[root@openvpn server]# firewall-cmd --zone=public --add-port=1194/udp --permanent
[root@openvpn server]# firewall-cmd --reload
切记一定保持firewalld防火墙为开启的状态,设置的转发策略才会生效。

启动服务并开机启动

[root@openvpn server]# systemctl enable openvpn-server@server 
[root@openvpn server]# systemctl start openvpn-server@server

检查一下服务是否启动

[root@openvpn server]# netstat -tlunp
[root@openvpn server]# systemctl status openvpn-server@server

img

OpenVPN 客户端安装

在openvpn服务器端操作,复制一个client.conf模板到/etc/openvpn/client文件夹下面。然后编辑该文件/etc/openvpn/client/client.conf

[root@openvpn server]# cp -p /usr/share/doc/openvpn-2.4.10/sample/sample-config-files/client.conf /etc/openvpn/client/
# 修改后的内容如下
[root@localhost client]# cat client.conf |grep '^[^#|^;]'
client
dev tun
proto udp
remote 192.168.43.138 1194 #要改为Openvpn服务器的IP地址,如果是路由器做端口映射,应该写路由器的ip地址 以及对应的端口号
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
;cert client.crt #注释
;key client.key #注释
remote-cert-tls server
tls-auth ta.key 1
cipher AES-256-CBC
verb 3
auth-user-pass              #使用用户名密码登录openvpn服务器

img

更改client.conf文件名为client.ovpn,然后把/etc/openvpn/client文件夹打包压缩:

# 更改client.conf文件名为client.ovpn
[root@openvpn ~]# cd /etc/openvpn/client
[root@openvpn client]# mv client.conf client.ovpn
# 安装lrzsz工具,通过sz命令把 client.tar.gz传到客户机上面
[root@openvpn client]# yum -y install lrzsz
# 打包client文件夹
[root@openvpn client]# cd ..
[root@openvpn openvpn]# tar -zcvf client.tar.gz client/

# 使用sz命令,把client.tar.gz传到客户机上面
[root@localhost openvpn]# sz client.tar.gz

img

在windows 10客户机连接测试

客户机安装openvpn-install-2.4.8-I602-Win10该软件包(百度搜索文件名可找到下载),安装完成之后解压刚才的client.tar.gz压缩包,把里面的文件复制到C:\Program Files\OpenVPN\config(这里的路径是默认安装位置,可自行调整)

我这里的路径为:D:\OpenVPN\config

img

调整路径方法:如下

img

img

需要把client.conf的名字改成client.ovpn,然后点击桌面上的OpenVPN GUI运行

img

电脑右下角有一个小电脑

img

右键点击连接,输入用户名密码,连接成功之后小电脑变成绿色。

img

注意事项

做实验时在测试环境做的。如果在真实环境操作,请在出口防火墙添加端口映射,开放openvpn的端口1194 tcp和udp协议的。

斯是 陋室
关注
  • 36
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux系统搭建L2TP协议的vpn
weixin_55701556的博客
08-14 2396
将 <分配给 L2TP 客户端的 IP 范围> 替换为你希望为 L2TP 客户端分配的 IP 地址范围,建议为第二块网卡的ip段。将 < L2TP用户名 > 替换为你想要创建的 L2TP 用户名,< L2TP密码 > 替换为相应的密码。将 <服务器公网IP> 替换为你的服务器的公网 IP 地址,<预共享密钥> 替换为你设置的预共享密钥。<服务器私网IP> 替换为你的服务器的私网 IP 地址,建议为第二块网的ip地址。将 <服务器公网IP> 替换为你的服务器的公网 IP 地址。left=<服务器公网IP>
windows server 2019 服务器搭建的方法步骤(图文)
01-09
一、windows server 2019 安装  Vmware 下安装 windows server 2019 。... 依次点击展开“计算机配置>>>管理模板>>>Windows 组件>>>远程桌面服务>>>远程桌面会话主机>>>连接” 4、在连接项右侧找
linux/openwrt软路由搭建CNS/CLNC图文教程
gally16的博客
05-28 2223
CNS/CLNC是萌咖大佬编写的一套网络脚本。 服务器端简称CNS,本地端为CLNC。
OpenVPN构建应用
itxuchuanlong的博客
02-18 834
客户机安装openvpn-install-2.4.8-I602-Win10该软件包(百度搜索文件名可找到下载),安装完成之后解压刚才的client.tar.gz压缩包,把里面的文件复制到C:\Program Files\OpenVPN\config(这里的路径是默认安装位置,可自行调整)在openvpn服务器端操作,复制一个client.conf模板到/etc/openvpn/client文件夹下面。复制ca证书,ta.key和client端证书及密钥到/etc/openvpn/client文件夹里。
公司内网openvpn部署,
热门推荐
yang558855的博客
04-07 3万+
公司内网openvpn部署 准备环境 编号 服务器名称 网卡名称 网卡 定位 1号虚拟机 lan1 ens33 lan:10.2.2.1 内网主机 2号虚拟机 lan2 ens33 lan:10.2.2.2 ...
CentOS搭建OpenVPN实现异地访问内网OA
轻舟已过万重山
05-03 2820
本期教大家如何使用OpenVPN来实现异地接入公司内网访问办公OA系统,解决异地办公的安全问题。主要应用于中小型企业的异地办公,异地组网等需求,大家可以以此作为参考。在这里我将使用云服务器来给大家做演示。
[Linux虚拟机]OpenVPN安装和基本使用方法,帮你快速理解公司网络
网络安全知识分享
09-08 2017
什么是OpenVPN VPN直译就是虚拟专用通道,是提供给企业之间或者个人与公司之间安全数据传输的隧道,OpenVPN无疑是Linux下开源VPN的先锋,提供了良好的性能和友好的用户GUI。 [1] 它大量使用了OpenSSL加密库中的SSLv3/TLSv1协议函数库。 [1] OpenVpn的技术核心是虚拟网卡,其次是SSL协议实现,由于SSL协议在其它的词条中介绍的比较清楚了,这里重点对虚拟网卡及其在OpenVpn的中的工作机理进行介绍: [1] 虚拟网卡是使用网络底层编程技术实现的一个驱动软件,安装后
在Windows Server 2003中安装和配置VPN服务器.doc
最新发布
06-29
服务器
搭建ChatGLM服务,免费使用
09-16
搭建ChatGLM服务使用,省去chatGPT注册账号及复杂的VPN翻墙,轻松的使用语言模型,自搭建ChatGLM及配合云服务完成客户端问话,回答功能,支持3级关联对话,由于计算机配置原因,速度比较慢,需要的朋友们可以下载...
阿里云 ubuntu16.04搭建IPSec服务
01-20
IPSec协议的设计目标:是在IPV4和IPV6环境中为网络层流量提供灵活的安全服务。 IPSec VPN:是基于IPSec协议族构建的在IP层实现的安全虚拟专用网。通过在数据包中插入一个预定义头部的方式,来保障OSI上层协议数据的...
利用公网IP搭建端口映射.zip
10-25
本教程将详细讲解如何利用公网IP搭建端口映射,实现内网穿透。 首先,我们需要理解什么是公网IP。公网IP是全球唯一、可以直接通过互联网访问的IP地址,而私网IP则是局域网内部使用的地址,不能直接被外部网络访问。...
CentOS7搭建OpenVPN
gyfghh的博客
01-15 2278
参考文档。
使用Lighthouse搭建OpenVPN轻松访问内网服务
Hi_iuiu的博客
11-28 1444
OpenVPN是一种功能强大的开源虚拟私有网络(VPN)解决方案,可以在多种应用场景下使用。以下是几个常见的OpenVPN应用场景: 远程访问和远程办公:OpenVPN可以用于建立安全的远程连接,使远程用户能够安全地访问内部资源、文件共享和应用程序,从而实现远程办公和远程访问。 跨地域网络连接:OpenVPN可用于连接位于不同地理位置的局域网(LAN),通过隧道方式将不同的网络链接起来,构建一个安全的虚拟私有网络。这对于跨越多个办公室、分支机构或数据中心的组织非常有用。
win10安装openvpn客户端
qq_36200932的博客
10-21 1万+
进入C:\Program Files\TAP-Windows\bin目录,然后右键用管理员权限执行addtap.bat文件,此文件执行会创建一个网卡。链接:https://pan.baidu.com/s/1KAifTiP7qp1i5ZkfdnfwkA。4.2 进入安装目录的config下新建一个文件夹,将证书文件全部挪进去(不移动.ovpn文件)3.4 将拿到的ssl认证文件放入安装目录的config目录下。然后修改ovpn文件 “./”代表当前路径,第二个链接重复。3.1 一直下一步到这里打上勾。
gui open 连接失败_windows使用openconnect-gui教程
weixin_36125719的博客
01-14 4643
客户端在百度网盘里面。请自己下载。链接: https://pan.baidu.com/s/19GUPKXu5iyHxclWpmYy3cQ 提取码: kjymwindows提供了两个客户端。建议使用openconnect-gui版本。另外一个需要每次输入密码。麻烦。安卓,iphone,mac请自己摸索使用。客户端都在里面。本教程仅适用于windows使用openconnect-gui版本。第一步。安...
基于windows 10打造的kali工具集-ICS Windows v2.0
qq_36584013的博客
01-08 3744
ICS Windows v2.0 距离上一次IRTeam发布ICS windows v1.0已经差不多一年了,根据很多安全小伙伴的要求,发布更新版本基于原来的kali windows v1.1,更新了Windows 10 1909版本,同时增加了一些工具并加入一些ICS攻击工具。这是一种为网络安全从业人员打造的免费安全研究平台。 首先,从百度网盘下载ICS.ova(文件链接:https:...
【Windows Server 2019】企业虚拟专用网络服务的配置和管理(上)
VMware, Windows, Linux, Cisco, Container, Kubernetes, Kali
09-21 1万+
博文介绍了部署企业虚拟专用网的定义,目的,以及好处。同时说明了实验拓扑图以及虚拟专用网络的工作原理。
OpenVPN 简介及部署
wang11876的博客
08-30 9269
OpenVPN 是一个健全且高效的 VPN 守护进程,它支持 SSL/TLS 安全、以太网桥,支持TCP 或者 UDP 代理或者是 NAT 通道传输,支持动态 IP 地址和 DHCP,可支持成百上千的用户,并且可以移植到大多数主要平台的操作系统上。OpenVPN 需要使用 OpenSSL 库,这是因为它使用了 OpenSSL 的加密功能。OpenVPN 支持常规的加密,即使用预共享密钥(即静态 Key 模式)或者客户端和服务器端的证书公钥安全(即 SSL/TLS 模式)。
Linux搭建OpenVPN服务器
04-22
好的,很高兴收到您的问题。在Linux服务器搭建OpenVPN服务器需要以下几个步骤: 1. 安装OpenVPN软件包 在Ubuntu系统上,可以使用以下命令安装OpenVPN软件包: ``` sudo apt-get update sudo apt-get install openvpn ``` 2. 创建证书和密钥 在OpenVPN服务器上,您需要为每个客户端创建一个证书和密钥对。可以使用EasyRSA或OpenSSL工具的脚本或手动创建它们。 3. 配置OpenVPN服务器 您需要编辑OpenVPN服务器的配置文件并进行以下配置: - 指定使用UDP或TCP协议。 - 指定使用的OpenVPN协议版本。 - 指定使用的加密算法。 - 指定DH密钥交换大小。 - 指定本地虚拟IP地址池。 - 指定客户端连接所使用的端口号和IP地址。 4. 配置IP转发和iptables防火墙规则 在OpenVPN服务器上,需要开启IP转发并添加iptables防火墙规则以允许OpenVPN流量通过。可以使用以下命令开启IP转发: ``` sudo sysctl -w net.ipv4.ip_forward=1 ``` 并使用以下规则添加iptables规则: ``` sudo iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT sudo iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT ``` 5. 启动OpenVPN服务器 最后,您需要使用以下命令启动OpenVPN服务器: ``` sudo openvpn --config /path/to/server.conf ``` 希望这些步骤能够帮助您成功地在Linux服务器搭建OpenVPN服务器

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值