openVPN安装搭建步骤,实现内网穿透

已于 2024-09-26 10:43:47 修改
阅读量1.8w 收藏 180
点赞数 23
分类专栏: 系统和网络配置 文章标签: linux debian 运维 服务器
于 2023-03-31 16:39:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/QAZ600888/article/details/129883353
版权
本文详细介绍如何在Ubuntu服务端和RedHat、Debian客户端之间搭建OpenVPN服务,包括安装配置过程、生成证书密钥、设置CCD功能等内容。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

搭建步骤

安装OpenVPN服务端

测试环境介绍:
云服务器(Ubuntu20.04 64位)搭建服务端,公网IP:119.96.126.25
一台测试机搭建客户端(RedHat系),IP:10.10.111.24
另一台测试机搭建客户端(MOXA系统,Debian系),IP:10.10.112.63
最后目标是实现两台客户端之间能够互联

使用命令在三台主机上安装openVPN

RedHat系

yum install -y openvpn

Debian系

apt install openvpn

在这里插入图片描述

安装Easy RSA套件(用于生成服务端和客户端所需的证书和密钥)

下载Easy RSA源码包;

Easy RSA下载官网:https://github.com/OpenVPN/easy-rsa/releases
[root@localhost ~]wget https://github.com/OpenVPN/easy-rsa/releases/download/v3.1.2/EasyRSA-3.1.2.tgz

下载完后解压,在/etc/openvpn目录下创建目录easy-rsa,将刚才解压缩的所有文件复制到这个目录下

[root@localhost ~]#tar -zxvf EasyRSA-3.1.2.tgz
[root@localhost ~]#mkdir /etc/openvpn/easy-rsa
[root@localhost ~]#cp -r EasyRSA-3.1.2/* /etc/openvpn/easy-rsa
在这里插入图片描述

在服务端生成私钥和证书

- 进入Easy RSA的安装目录,并配置参数;
[root@localhost ~]# cd /etc/openvpn/easy-rsa/
[root@localhost easy-rsa]# cp vars.example vars
[root@localhost easy-rsa]# vim vars
在这里插入图片描述
- 清理原有证书和私钥并初始化;
[root@localhost easy-rsa]# ./easyrsa clean-all
在这里插入图片描述
- 生成CA根证书;
[root@localhost easy-rsa]# ./easyrsa build-ca
在这里插入图片描述
CA根证书生成位置:/etc/openvpn/easy-rsa/pki/ca.crt

- 为OpenVPN服务端生成server证书和私钥;
备注:这里使用nopass参数设置不需要密码,那么在启动OpenVPN服务的时候就不提示输入密码。
[root@localhost easy-rsa]# ./easyrsa build-server-full server nopass
在这里插入图片描述
服务端证书路径:/etc/openvpn/easy-rsa/pki/issued/server.crt
服务端私钥路径:/etc/openvpn/easy-rsa/pki/private/server.key

- 生成Diffie-Hellman算法需要的密钥文件;
[root@localhost easy-rsa]# ./easyrsa gen-dh
等待一段时间即可生成成功
在这里插入图片描述
- 生成tls-auth Key用于防止DDOS和TLS攻击;
[root@localhost easy-rsa]# openvpn --genkey --secret ta.key
在这里插入图片描述
ta.key路径:/etc/openvpn/easy-rsa/ta.key

OpenVPN服务端配置

- 修改OpenVPN服务端配置文件vim /etc/openvpn/server/server.conf;
在这里插入图片描述
在这里插入图片描述
- 拷贝私钥、公钥和证书等文件到server.conf同级目录下;
备注:需要拷贝的文件包括ca.crt、ca.key、server.crt、server.key、dh.pem、ta.key。
[root@localhost server]# cp /etc/openvpn/easy-rsa/pki/ca.crt .
[root@localhost server]# cp /etc/openvpn/easy-rsa/pki/private/ca.key .
[root@localhost server]# cp /etc/openvpn/easy-rsa/pki/issued/server.crt .
[root@localhost server]# cp /etc/openvpn/easy-rsa/pki/private/server.key .
[root@localhost server]# cp /etc/openvpn/easy-rsa/pki/dh.pem .
[root@localhost server]# cp /etc/openvpn/easy-rsa/ta.key .
在这里插入图片描述

启动服务端服务

[root@uos server]# openvpn --config server.conf

OpenVPN客户端配置

##在服务端生成客户端的证书和私钥,每多一个客户端就要多生成一份
[root@localhost easy-rsa]# ./easyrsa build-client-full client nopass
在这里插入图片描述
客户端证书路径:/etc/openvpn/easy-rsa/pki/issued/client.crt
客户端私钥路径:/etc/openvpn/easy-rsa/pki/private/client.key
将生成的客户端证书(client.crt)、私钥(client.key),服务端根证书(ca.crt)、ta.key打包发送到客户端的/etc/openvpn/client,可以用sz命令通过XSHEEL发送到Windows端,然后用rz命令从Windows端发送给客户端
在这里插入图片描述
- 修改OpenVPN客户端配置文件 vim /etc/openvpn/client/client.conf
在这里插入图片描述

启动客户端服务

[root@uos client]# openvpn --config client.conf
在这里插入图片描述
使用ifconfig查看虚拟网卡的IP地址
在这里插入图片描述
另外一台客户端执行同样的操作

在云服务器上配置安全组

之前启动客户端怎么也没法连上服务器,折腾半天最后发现是服务器上的端口没有放行,这条非常重要!!!
在这里插入图片描述

测试能否互连

一台服务端和两台客户端启动openVPN服务后,互相ping测试能否互连
在这里插入图片描述

在Windows配置openVPN客户端

跟之前一样先在服务端生成一份客户端的证书和密钥,然后将必要的这5份文件拷贝到如图所示的目录下。注意:在windows系统下client.conf的需要改成client.ovpn
在这里插入图片描述
打开openVPN客户端连接,可以看到当前状态连接成功
在这里插入图片描述

查看openVPN服务是否运行

ps -ef | grep openvpn

在这里插入图片描述

结束openvpn服务

kill -9 pid

在这里插入图片描述

在Linux环境下设置openVPN开机自启动脚本

1.打开终端并使用root权限登录到系统
2.创建一个systemd服务来在Linux系统启动时自动启动OpenVPN客户端

vim /etc/systemd/system/openvpn-client.service

3.将以下内容复制并粘贴到文件中:

[Unit]
Description=OpenVPN client service
After=network.target

[Service]
Type=simple
ExecStart=/usr/sbin/openvpn --cd /etc/openvpn/client --config /etc/openvpn/client/client.conf
Restart=always

[Install]
WantedBy=multi-user.target

在这里插入图片描述
4.保存关闭后,重新启动systemd服务

sudo systemctl daemon-reload
sudo systemctl enable openvpn-client.service

5.现在,当系统启动时,OpenVPN客户端将自动启动并连接到服务器。

OpenVPN Connect使用连接公网VPN服务器实现内网穿透
11-20 5075
两个内网主机通过公网VPN穿透。
利用树莓派4B搭建NAS系统与OpenMediaVault内网穿透技术的实践与前景
最新发布
s13596191285的博客
03-19 132
随着物联网(IoT)设备的广泛应用,数据存储需求日益增长。树莓派作为一种低功耗且高性价比的硬件平台,逐渐成为DIY存储方案的优选设备。本文介绍了如何利用树莓派4B搭建网络附加存储(NAS)系统,并通过OpenMediaVault(OMV)实现内网穿透。该方案为家庭用户和小型企业提供了简单且高效的文件存储解决方案,并通过VPN技术、端口转发等手段实现远程访问,推动了数据存储与云服务的本地化。
WireGuard 组网教程:快速构建安全高效的私密网络并实现内网穿透
pursuit的博客
11-16 3万+
通过阅读本文,读者将了解 WireGuard 的基本概念和原理,学会安装和配置 WireGuard,以及如何使用 WireGuard 实现内网穿透。此外,还介绍了一些与 WireGuard 相关的工具,以帮助读者更好地管理和使用 WireGuard。
推荐10个内网穿透工具,有免费且开源的,也有国产的,太香了!从零基础到精通,收藏这篇就够了!
yy1715713348的博客
03-14 5384
内网穿透是指通过特定的网络技术或工具,突破内网的防火墙和路由器,允许外部设备访问内网的服务。远程控制内网设备:开发者需要在外部访问处于内网中的服务器。网站和API的暴露:开发中的Web应用、数据库等需要暴露给外部进行测试。IoT设备接入:物联网设备通过内网穿透与外部服务通信。内网穿透工具通过“隧道”或“代理”方式实现外部设备和内网设备之间的直接连接,而无需修改路由器或防火墙配置。
OpenVPN 安装与使用
Shawn的个人博客
02-29 6580
可以添加、删除、查看等,网段默认是10.8.0.x,按照客户端启动顺序给予分配ip,同时客户端可以访问server端所在的内网(可以使用route命令查看,原因是转发到vpn网卡的流量全部进行了转发)都提示success代表安装成功,然后根据上图底部的提示路径把ovpn文件下载下来,对于管理客户端,就再次执行。参数表示可以添加路由的条数,默认只允许添加100条路由,如果少于100条路由可不加这个参数。默认不配置是全量转发,如果有多个内网网卡,可以设置选择性转发,在配置文件增加对应配置即可。
OpenVPN实现内网穿透
吾辈当自强
12-27 634
证书文件安全存储不同客户端使用独立证书定期备份证书和配置保持服务器安全更新。
内网穿透openvpn
weixin_64600209的博客
10-04 984
都黏贴到新建文件夹下(保证是同一文件夹,因为配置文件默认加载同一目录下的其他内容,没在同一文件夹下则报。· 对第二个KEY_EMAIL要注释掉,否则会覆盖。可见到,已经生成了一个虚拟网卡,并且分配了网段地址。对以上参数进行修改(没有实际意义,可以随便写)文件夹,并且后面生成的证书都在这个文件夹中。执行后会在当前目录下生成一个。同上修改连接方式为tcp。后面按着填便好,且都是。修改相关证书和密钥位置。修改拒绝服务攻击证书。
云安全技术——搭建VPN
热门推荐
qq_53142796的博客
05-08 3万+
VPN(Virtual Private Network)是一种可以在公共网络上建立安全连接的技术。VPN是实现保密通信的基本手段,在windows系统上,可以直接进行VPN服务的搭建。1.VPN的工作原理:通过使用加密协议和认证机制,将本地计算机和远程服务器之间的通信加密和保护。2.VPN的分类:根据不同的方式和用途,VPN可以分为不同类型,例如远程访问VPN、站点到站点VPN等。3.VPN的优势:VPN可以带来许多好处,如提高数据安全性、隐藏真实IP地址、突破地理限制等。4.
通过openVPN实现安全内网穿透
qq_16005627的博客
11-30 1万+
openVPN 为开源服务,虚拟,是提供给企业之间或者个人与公司之间的隧道,跨平台,支持linux\window\macos\和,值得学习使用。ubuntu环境下安装完成后生成了目录。
搭建frp+OpenVPN实现公网服务器对内网服务器的访问
m0_59575008的博客
09-08 5866
本实验需求一台公网服务器,两台内网服务器
frp+open*pn实现访问内网
qq_34501148的博客
08-26 2153
frp+openvpn实现访问内网
openvpn组网实现文明6局域网联机
m0_63927635的博客
09-13 1908
参考博客:文明 6 联机方法与实践:https://blog.yllhwa.com/2023/02/24/%E6%96%87%E6%98%8E6%E8%81%94%E6%9C%BA%E6%96%B9%E6%B3%95%E4%B8%8E%E5%AE%9E%E8%B7%B5/通过OpenVPN部署虚拟局域网实现文明6联机:https://gist.github.com/Pylogmon/31338d48a14848da552c90c13c7c1770。
WireGuard 组网教程:快速构建安全高效的私密网络并实现内网穿透_wire guard
2401_84297455的博客
05-02 1566
通过Wireguard可以将广域网上的主机连接起来,形成一个局域网。只需要有一台具有固定公网IP的服务器,就可以将其作为我们搭建的局域网的中心节点,让其他的主机(不论是否有公网IP,不论是否在NAT内),都通过这个中心节点和彼此相连。由此就构建了一个中心辐射型的局域网,实现内网穿透等功能。WireGuard还可用于Docker容器之间的通信。在Docker环境中,容器之间的网络通信是一个重要的问题。
教你搭建VPN(企业级)
宠辱不惊,看庭前花开花落;去留无意,望天空云卷云舒。
12-25 6289
OpenVPN 是一个基于 OpenSSL 库的应用层 VPN 实现。和传统 VPN 相比,它的优点是简单易用。
网络拓扑—VPN服务搭建
本散修的一些学习心得与笔记,道友请自便。
05-24 7367
网络拓扑—VPN服务搭建
vpn服务搭建
qq_28219531的博客
11-27 2114
因为需要一个服务器,所以我免费申请试用阿里云服务器。云服务器作为服务器,本地作为客户端进行通讯测试。修改配置文件,(生成证书使用)
完整的openvpn 服务端搭建,小白也能搭建!!网上最全的openvpn 服务端搭建文档之一,附带客户端创建管理的脚本
weixin_42474071的博客
11-19 1万+
最近想尝试通过openvpn连接连接家里的nas和手机进行照片传输分享。加上之前从网上找教程,搞了很久才搞出服务端,但是但是当时不太了解,导致部署的openvpn server可以使用,但是感觉摇摇欲坠,像是一堆bug的软件,自己都不知道为啥可以用了。这次趁着有时间,也有需求就重新搭建了。由于网上各种教程参差不齐,所以自己写一个完成过程的笔记。以方便自己日后使用,也方便其他人参考。PS:不知道为啥群晖上导入客户端证书会提示无效证书,已经找群晖技术支持,目前还没反馈。有大佬知道要怎么搞可以说一下吗。
[Linux安全运维] OpenVPN部署
Da1NtY的博客
07-19 4661
同样的,在创建服务端证书的时候也需要输入一个Common Name用户名,注意与根证书用户名不一样。下载网址: https://github.com/OpenVPN/easy-rsa。2.6.1 将服务端所需的必要文件放到/etc/openvpn/中。2.6.2 将客户端所需的必要文件放到/root/client/中。创建/etc/openvpn/目录,将easy-rsa放进去。签约证书需要输入根证书的密码,与签约服务端证书时的过程一样。在日志文件/var/log/中创建一个openvpn/
openvpn客户端借线服务端
01-16
### 配置OpenVPN客户端连接至服务器 #### 准备工作 确保已成功安装`epel-release`以及`openvpn`,这可以通过命令行工具yum来完成。对于基于Red Hat的Linux发行版如CentOS而言,执行以下指令可以实现软件包的安装: ```bash yum -y install epel-release yum -y install openvpn ``` 上述命令会自动处理依赖关系并下载必要的组件[^1]。 #### 获取配置文件 通常情况下,在安装过程结束后,系统将在`/etc/openvpn`路径下创建相应的子目录用于存储服务端(`server`)与客户端(`client`)的相关设置文档。为了使本地计算机作为客户机访问远程网络资源,则需获取由管理员分发的具体`.ovpn`格式的配置档案,并将其置于前述提到的`client`文件夹内。 #### 修改配置文件 打开所获得的配置文件进行编辑,确认其中包含了指向目标服务器的信息,比如公共IP地址或域名、监听端口等参数。此外还需注意认证方式的选择——无论是预共享密钥还是证书链验证均应按照实际环境的要求妥善设定。如果涉及到私钥或者用户名密码字段,请务必保证其安全性[^3]。 #### 启动连接尝试 当一切准备就绪之后,可通过如下所示的方法启动OpenVPN进程并与指定的服务节点建立加密隧道通信链接: ```bash sudo systemctl start openvpn@<your_config_name> ``` 这里的`<your_config_name>`应当替换为客户机器上真实存在的那个不含扩展名的基础名称部分。
评论 18
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

MC皮蛋侠客

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值