centos7搭建openvpn服务端

已于 2023-12-12 19:35:58 修改
阅读量507 收藏 2
点赞数
文章标签: centos ubuntu 网络
于 2023-12-09 22:00:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SeeYouGoodBye/article/details/134901408
版权

适用场景

  • 个人电脑和公司办公网络互通

  • 不同部门,分公司的网络互通

主机环境

主机角色公网ip,内网ip,网关,子网系统信息
server(linux)公网地址,172.19.233.160,172.19.239.253,255.255.255.0centos7.9
client(linux)192.168.202.128,192.168.202.2,255.255.255.0ubuntu22.04
client(linux)192.168.202.129,192.168.202.2,255.255.255.0centos7.9

安装openvpn服务端(centos7.9)

repo源不能直接安装,需要下载rpm包

#安装vim和wget以及下载epel的rpm包
yum install -y vim wget
​
mkdir /tmp/openvpn
cd /tmp/openvpn
wget https://repo.huaweicloud.com/epel/epel-release-latest-7.noarch.rpm
rpm -ivh epel-release-latest-7.noarch.rpm
yum update
​
​
#安装easy-rsa以及生成server和client的证书
​
yum install -y openssl lzo pam easy-rsa
​
​
mkdir /root/easy-rsa
cd /root/easy-rsa/
cp -a  /usr/share/easy-rsa/3.0.8/* ./
cp -a /usr/share/doc/easy-rsa-3.0.8/vars.example ./vars
​
grep -v '^#' vars | grep -v ^$
if [ -z "$EASYRSA_CALLER" ]; then
    echo "You appear to be sourcing an Easy-RSA 'vars' file." >&2
    echo "This is no longer necessary and is disallowed. See the section called" >&2
    echo "'How to use this file' near the top comments for more details." >&2
    return 1
fi
set_var EASYRSA_DN  "cn_only"
set_var EASYRSA_REQ_COUNTRY "CN"
set_var EASYRSA_REQ_PROVINCE    "SiChuan"
set_var EASYRSA_REQ_CITY    "ChengDu"
set_var EASYRSA_REQ_ORG "aaaaaa"
set_var EASYRSA_REQ_EMAIL   "admin.openvpn@aaaaaa.cn"
set_var EASYRSA_REQ_OU      "aaa"
set_var EASYRSA_NS_SUPPORT  "yes"
​
[root@iZf8z3xsyghofo5njspgavZ easy-rsa]# ./easyrsa init-pki
​
Note: using Easy-RSA configuration from: /root/easy-rsa/vars
​
init-pki complete; you may now create a CA or requests.
Your newly created PKI dir is: /root/easy-rsa/pki
​
##生成ca根证书
[root@iZf8z3xsyghofo5njspgavZ easy-rsa]# ./easyrsa build-ca
​
Note: using Easy-RSA configuration from: /root/easy-rsa/vars
Using SSL: openssl OpenSSL 1.0.2k-fips  26 Jan 2017
​
Enter New CA Key Passphrase:     #输入密码
Re-Enter New CA Key Passphrase:  #再次输入密码
Generating RSA private key, 2048 bit long modulus
.+++
......+++
e is 65537 (0x10001)
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Common Name (eg: your user, host, or server name) [Easy-RSA CA]:  #直接回车或输入主机名
​
CA creation complete and you may now import and sign cert requests.
Your new CA certificate file for publishing is at:
/root/easy-rsa/pki/ca.crt
​
##生成服务端的证书和私钥
[root@iZf8z3xsyghofo5njspgavZ easy-rsa]# ./easyrsa build-server-full server nopass
​
Note: using Easy-RSA configuration from: /root/easy-rsa/vars
Using SSL: openssl OpenSSL 1.0.2k-fips  26 Jan 2017
Generating a 2048 bit RSA private key
...................................................................+++
.....+++
writing new private key to '/root/easy-rsa/pki/easy-rsa-27540.IzadnR/tmp.COc2PW'
-----
Using configuration from /root/easy-rsa/pki/easy-rsa-27540.IzadnR/tmp.KLkuTm
Enter pass phrase for /root/easy-rsa/pki/private/ca.key:
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
commonName            :ASN.1 12:'server'
Certificate is to be certified until Mar 13 12:26:56 2026 GMT (825 days)
​
Write out database with 1 new entries
Data Base Updated
​
##生成Diffie-Hellman算法需要的密钥文件
[root@iZf8z3xsyghofo5njspgavZ easy-rsa]# ./easyrsa gen-dh
​
Note: using Easy-RSA configuration from: /root/easy-rsa/vars
Using SSL: openssl OpenSSL 1.0.2k-fips  26 Jan 2017
Generating DH parameters, 2048 bit long safe prime, generator 2
This is going to take a long time
................................+.......................................................................+..................................................................................................................................................................................................+.......................+..........+........+...................+.......................++*++*
​
DH parameters of size 2048 created at /root/easy-rsa/pki/dh.pem
​
##生成客户端的证书和私钥保存到本地,并传递到客户端
##在服务端生成客户端的证书和私钥,每多一个客户端就要多生成一份
[root@iZf8z3xsyghofo5njspgavZ easy-rsa]# ./easyrsa build-client-full client nopass
​
Note: using Easy-RSA configuration from: /root/easy-rsa/vars
Using SSL: openssl OpenSSL 1.0.2k-fips  26 Jan 2017
Generating a 2048 bit RSA private key
.....+++
...........................................................................................................................................+++
writing new private key to '/root/easy-rsa/pki/easy-rsa-27647.Iycjw0/tmp.20jrOv'
-----
Using configuration from /root/easy-rsa/pki/easy-rsa-27647.Iycjw0/tmp.KaU3pL
Enter pass phrase for /root/easy-rsa/pki/private/ca.key:
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
commonName            :ASN.1 12:'client'
Certificate is to be certified until Mar 13 12:36:10 2026 GMT (825 days)
​
Write out database with 1 new entries
Data Base Updated
​
​
​
#安装openvpn
​
yum install -y openvpn
​
​
#拷贝证书到/etc/openvpn/server/下面
ls /etc/openvpn/server/
​
​
[root@iZf8z3xsyghofo5njspgavZ easy-rsa]# cd /etc/openvpn/server/
[root@iZf8z3xsyghofo5njspgavZ server]# ls
[root@iZf8z3xsyghofo5njspgavZ server]# cp /root/easy-rsa/pki/ca.crt .
[root@iZf8z3xsyghofo5njspgavZ server]# cp /root/easy-rsa/pki/issued/server.crt .
[root@iZf8z3xsyghofo5njspgavZ server]# cp /root/easy-rsa/pki/private/server.key .
[root@iZf8z3xsyghofo5njspgavZ server]# cp /root/easy-rsa/pki/dh.pem .
[root@iZf8z3xsyghofo5njspgavZ server]# vim /etc/openvpn/server/server.conf 
port 1194                               #端口,默认1194,这里可以修改为其他的
proto udp                               #协议,可客户端一致,云上一定要打开此协议的端口
dev tun                                 #采用路由隧道模式tun
ca ca.crt                               #ca证书文件位置
cert server.crt                         #服务端公钥名称
key server.key                          #服务端私钥名称
dh dh.pem                               #交换证书
server 10.8.0.0 255.255.255.0           #给客户端分配地址池,注意:不能和VPN服务器内网网段有相同
push "route 172.32.45.0 255.255.255.0"   #允许客户端访问内网网段,这个可以通过查看服务端的route -n获取
ifconfig-pool-persist ipp.txt           #地址池记录文件位置
keepalive 10 120                        #存活时间,10秒ping一次,120 如未收到响应则视为断线
max-clients 10                         #最多允许10个客户端连接
status openvpn-status.log               #日志记录位置
verb 3                                  #openvpn版本
client-to-client                        #客户端与客户端之间支持通信
log /var/log/openvpn.log                #openvpn日志记录位置
persist-key     #通过keepalive检测超时后,重新启动VPN,不重新读取keys,保留第一次使用的keys。
persist-tun     #检测超时后,重新启动VPN,一直保持tun是linkup的。否则网络会先linkdown然后再linkup
duplicate-cn
comp-lzo  #使用lzo压缩的通讯,服务端和客户端都必须配置
​
​
[root@iZf8z3xsyghofo5njspgavZ server]# echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
[root@iZf8z3xsyghofo5njspgavZ server]# systemctl restart network
​
##暂时未确定是否必须配置
​
#临时关闭selinux
setenforce 0
#配置文件永久关闭 修改/etc/selinux/config 文件
SELINUX=disabled
​
​
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
iptables -I INPUT -p udp --dport 1194 -j ACCEPT   ##端口和协议和server.conf一致
​
​
#保存规则并重启
service iptables save
systemctl restart iptables
​
#启动服务
​
[root@testc openvpn]# systemctl -f enable openvpn@server.service
Created symlink from /etc/systemd/system/multi-user.target.wants/openvpn@server.service to /usr/lib/systemd/system/openvpn@.service.
​
#用systemctl启动暂时有问题,先手动启动看看
cd /etc/openvpn/server/
openvpn server.conf   #新打开一个命令行,然后查看/var/log/openvpn.log日志
​
systemctl start openvpn@server.service
systemctl status openvpn@server.service

注意事项

        云上部署openvpn服务端,一定要放开对应协议的端口即实例所在安全组设置。

安装openvpn客户端(ubuntu22.04)

#安装openvpn软件和route命令
apt update
apt install openvpn vim net-tools  


#传递密钥文件 ca.crt client.key  client.crt
ls /etc/openvpn/client/


#编写配置文件
vim /etc/openvpn/client/client.conf 
client
dev tun
proto udp  ##和服务端的协议需要一致
remote 公网ip地址 1194   #公网的ip以及端口
resolv-retry infinite
nobind
ca ca.crt
cert client.crt
key client.key
verb 3
persist-key
comp-lzo   ##服务端客户端都要加



#生成service文件设置开机自启或手动启动步骤

cd /etc/openvpn/client
openvpn client.conf


systemctl -f enable openvpn@client.service

systemctl start openvpn@client

测试是否成功

        可以在客户端直接查看是否在服务打开后查看ip a s看看是否新增了一个tun0

        可以查看route -n看看是否有新增一条路由指向服务端的内部路由信息

        也可直接ssh连接服务端所指向的内网某个主机,看看是否可以连接

参考文档

openVN安装搭建步骤,实现内网穿透_openvpn搭建-CSDN博客

OpenVPN搭建(1) - 知乎

【运维知识进阶篇】手把手教你搭建OpenVPN(保姆级教程)_openvpn客户端-CSDN博客

CentOS搭建OpenVPN - 知乎



Xing Liu
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CentOS7搭建OpenVPN
gyfghh的博客
01-15 2373
参考文档。
centos7系统 OpenVpn部署
海浪—华的博客
03-20 1009
centos系统中部署OpenVpn工具
openVPNCentos7 部署openVPN多客户端 已连通
m0_49027804的博客
06-01 1万+
openvpn 是一款安全的vpn服务,可以实现多人稳定的远程办公环境
Centos7搭建OPEN
xiaohuai0444167的博客
05-08 2056
一,安装服务 1,安装openVPN [root@ c7-41 ~] yum -y install epel-re* [root@ c7-41 ~] yum -y install openvpn [root@ c7-41 ~] rpm -qa |grep openvpn openvpn-2.4.8-1.el7.x86_64 2,安装open-rsa [root@ c7-41 ~] wget ht...
如何在Cent OS 7上设置和配置OpenVPN服务器
zq13646205435的博客
08-01 4852
如果该文件丢失,您就不能再信任来自该证书颁发机构的任何证书,如果任何人能够访问该文件,他们就可以签署新的证书并在您不知情的情况下访问您的VPN。为了避免每次需要生成证书时都要重新配置,您可以修改Easy RSA的配置,以定义它将用于证书字段的默认值,包括您的国家、城市和首选电子邮件地址。一台CentOS 7服务器,一个sudo非root用户,一个用firewalld设置的防火墙,您可以通过我们的CentOS 7服务器初始设置指南和新CentOS 7服务器的其他建议步骤来实现。将这些文件复制到您的客户机上。
Centos7搭建sftp服务流程
09-15
本篇文章给大家详细分析了Centos7搭建sftp服务的全过程以及相关命令分享,一起需要下。
虚拟机Centos7搭建MQTT服务
11-07
在本文中,我们将详细介绍如何在虚拟机CentOS7搭建MQTT服务。MQTT(Message Queuing Telemetry Transport)是一种轻量级的发布/订阅消息协议,常用于物联网(IoT)设备之间的通信。CentOS7是一个稳定的Linux发行版,...
CentOS 7 搭建HAproxy服务器
04-10
CentOS 7 搭建 HAproxy 服务器 HAproxy 是一个开源的、快速、可靠的解决方案,用于实现高可用性的负载均衡和反向代理。在 CentOS 7 中搭建 HAproxy 服务器可以实现高效的服务器集群管理和负载均衡。 一、实验环境...
CentOS7搭建Zookeeper集群.docx
10-26
CentOS7 搭建 Zookeeper 集群 CentOS7 搭建 Zookeeper 集群是指在 CentOS7 操作系统上搭建 Zookeeper 分布式集群环境的过程。Zookeeper 是一个开源的分布式集群管理器,主要用于管理大型分布式系统的配置、命名、...
Centos7搭建主从DNS服务器的教程
09-14
在本教程中,我们将深入探讨如何在CentOS 7系统上搭建主从DNS服务器,以实现网络中的域名解析。DNS(Domain Name System)是互联网的关键组成部分,它将人类可读的域名转换为IP地址,使得网络通信能够顺利进行。下面...
CentOS 7 安装 OpenVP*
一直被模仿,从未被超越
10-03 5063
链接:https://pan.baidu.com/s/19TzFko54Et5OQA6fsA3uKQ。1、安装 openvpn 和 easy-rsa(该包用来制作 ca 证书)4、创建Diffie-Hellman,确保key穿越不安全网络的命令。2、在安装目录 config下 创建 client.ovpn 文件。2、配置 /etc/openvpn/easy-rsa 目录。3、拷贝服务器客户端上的相关文件。5、生成 ta 密钥文件。3、创建 服务器端 证书。1、下载,安装在 D盘。1、创建一个模版文件。
VPN的搭建与使用--CentOS7.9(OpenVpn环境配置)
热门推荐
songjiawang
04-24 2万+
vpn测试环境搭建,可用于IT工作者学习使用
Enter passphrase for key(输入密码短语)
前端劝退工程师
08-10 1万+
解决办法:删除passphrase 键入 ssh-keygen -p 会要求输入一遍私钥路径,照着后面的括号敲一遍就好 然后Enter old passphrase: 输入 Enter new passphrase:输入新的时候直接回车即可删除passphrase
CentOS 搭建 OpenVPN 服务
u010230019的博客
10-11 4587
VPN就是虚拟专用通道,是提供给企业之间或者公司个人与公司之间安全数据传输的隧道,OpenVPN是Linux下开源VPN的先锋,提供了良好的性能和友好的用户GUI(图形用户界面)。本篇文章包含OpenVPN应用场景,OpenVPN服务端搭建OpenVPN客户端搭建(windows+linux),OpenVPN密码认证!Server / Client 服务器端程序Easyrsa 证书生成程序Server端配置文件Client 端配置文件。
CentOS7部署网络跳转工具
不羁的风
06-08 663
1.安装依赖包 [root@les-net01 ~]# yum -y install epel-release [root@les-net01 ~]# yum -y install openvpn unzip wget lrzsz 2.下载openvpn并解压 [root@les-net01 ~]# mkdir -p /home/download/openvpn [root@les-net01 ~]# cd /home/download/openvpn/ [root@les-net01 openvpn
Centos7.4 搭建 openvpn
wang11876的博客
06-15 2759
其实这三个文件就够了,之前全下载下来是因为方便,然而这次懒得弄了,哈哈,编写服务端配置文件。顺便提一下再添加用户在./easyrsa gen-req这里开始就行了,像是吊销用户证书的命令都自己用./easyrsa --help去看吧,GitHub项目地址。② 将得到的tokok_vpnc1.req导入然后签约证书。到这里服务端的证书就创建完了,然后创建客户端的证书。如果要生成多套证书,重复生成客户端①②③步骤即可。现在所有的证书都已经生成完了,下面来整理一下。① 创建客户端key及生成证书。
Centos7搭建openvpn服务
weixin_41564596的博客
03-13 1405
centos7搭建openvpn服务
【linux】centos7下部署openvpn专用隧道
zerotoall的博客
04-08 474
【linux】centos7下部署openvpn专用隧道 remote xxx 1777 #openvpn服务器IP地址端口号 resolv-retry infinite #断线自动重新连接,在网络不稳定的情况下非常有用 nobind #不绑定本地特定的端口号 ca /Users/apple/Downloads/$1/ca.crt #指定CA证书的文件路径 cert /Users/apple/Downloads/$1/$1.crt #指定当前客户端的证书文件路径 key /Users/a
centos 7安装openvpn服务端,以及用到的一些问题。
最新发布
wei042的博客
04-12 1328
安装centos 7系统,配置好局域网静态ip,然后在公司路由器配置端口映射,访问代理服务器,记录的ip地址是代理服务器的ip。
centos7 openvpn搭建
06-07
好的,我可以为您提供一些关于 CentOS 7 上搭建 OpenVPN 的简单步骤: 1. 安装 OpenVPN 使用以下命令安装 OpenVPN: ``` yum install -y openvpn ``` 2. 配置 OpenVPN 创建一个新目录以存储配置文件: ``` mkdir /etc/openvpn/easy-rsa/ ``` 将 OpenVPN 的默认配置文件复制到新目录中: ``` cp -r /usr/share/easy-rsa/ /etc/openvpn/ ``` 进入 Easy-RSA 目录: ``` cd /etc/openvpn/easy-rsa/ ``` 编辑 vars 文件: ``` vi vars ``` 修改以下变量: ``` export KEY_COUNTRY="CN" export KEY_PROVINCE="BJ" export KEY_CITY="Beijing" export KEY_ORG="My Organization" export KEY_EMAIL="vpn@example.com" ``` 保存并关闭 vars 文件。 执行以下命令以设置 Easy-RSA: ``` source ./vars ./clean-all ./build-ca ./build-dh ./build-key-server server ``` 3. 配置 OpenVPN 服务器 创建一个 server.conf 文件: ``` vi /etc/openvpn/server.conf ``` 将以下内容添加到文件中: ``` port 1194 proto udp dev tun ca /etc/openvpn/easy-rsa/keys/ca.crt cert /etc/openvpn/easy-rsa/keys/server.crt key /etc/openvpn/easy-rsa/keys/server.key dh /etc/openvpn/easy-rsa/keys/dh2048.pem server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 8.8.8.8" push "dhcp-option DNS 8.8.4.4" keepalive 10 120 comp-lzo user nobody group nobody persist-key persist-tun status openvpn-status.log verb 3 ``` 保存并关闭 server.conf 文件。 4. 启动 OpenVPN 服务器 使用以下命令启动 OpenVPN 服务器: ``` systemctl start openvpn@server ``` 确保 OpenVPN 服务器随系统启动自动启动: ``` systemctl enable openvpn@server ``` 至此,您已经成功地在 CentOS 7 上搭建OpenVPN 服务器。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值