OpenVPN的点对点简单实现

最新推荐文章于 2024-08-14 01:22:53 发布
最新推荐文章于 2024-08-14 01:22:53 发布
阅读量481 收藏 10
点赞数 4
文章标签: VPN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ecloud_developer/article/details/137599308
版权

准备条件

server端为本地的一台虚拟机搭建的centos系统;

client端为本地Windows系统

服务端部署

1.准备源下载软件包

wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo
wget http://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
rpm -ivh epel-release-latest-7.noarch.rpm
yum clean all
yum makecache

# 安装依赖软件包
yum install -y lzo lzo-devel openssl openssl-devel pam pam-devel
yum install -y pkcs11-helper pkcs11-helper-devel rpm-build

# 安装OpenVPN
yum install openvpn -y

2.下载并配置EasyRSA

#下载EasyRSA 3.0.7
cd /opt/
wget https://github.com/OpenVPN/easy-rsa/releases/download/v3.0.7/EasyRSA-3.0.7.tgz
tar xf EasyRSA-3.0.7.tgz
mv EasyRSA-3.0.7 easyRSA-3.0.7
cp -r easyRSA-3.0.7/ /etc/openvpn/easy-rsa3
cp /etc/openvpn/easy-rsa3/vars.example /etc/openvpn/easy-rsa3/vars

3.创建相关证书和密钥

cd /etc/openvpn/easy-rsa3/
#初始化目录
./easyrsa init-pki

#创建根证书
#nopass 参数表示不加密;也可以不加此参数,那就需要输入密码短语
./easyrsa build-ca nopass

#创建服务端秘钥
./easyrsa gen-req server nopass

#给服务端证书签名,这里要输入yes才能完成
./easyrsa sign-req server server

##创建客户端秘钥
./easyrsa gen-req client nopass

#给客户端证书签名,这里要输入yes才能完成
./easyrsa sign-req client client

#创建Diffie-Hellman
./easyrsa gen-dh

#创建TLS认证密钥
openvpn --genkey --secret /etc/openvpn/ta.key

4.拷贝证书到目录

#目录自定义,配置文件中要用到
cd /etc/openvpn/easy-rsa3/pki/
cp ca.crt dh.pem /etc/openvpn/
cp private/server.key issued/server.crt /etc/openvpn/server/
cp private/client.key issued/client.crt /etc/openvpn/client/

5.编辑配置文件

cd /etc/openvpn/
cp /usr/share/doc/openvpn-2.4.12/sample/sample-config-files/server.conf ./
vim server.conf
#监听本机ip地址 (这里填本机地址)(可选)
local 192.168.233.140

#监控本机端口号
port 1194

#指定采用的传输协议,可以选择tcp或udp
proto tcp

#指定创建的通信隧道类型,可选tun或tap
dev tun

#指定CA证书的文件路径
ca /etc/openvpn/ca.crt

#指定服务器端的证书文件路径
cert /etc/openvpn/server/server.crt

#指定服务器端的私钥文件路径
key /etc/openvpn/server/server.key

#指定dh参数的文件路径
dh /etc/openvpn/dh.pem

#指定虚拟局域网占用的IP地址段和子网掩码,此处配置的服务器自身占用.1的ip地址
server 10.8.0.0 255.255.255.0

#服务器自动给客户端分配IP后,客户端下次连接时,仍然采用上次的IP地址(第一次分配的IP保存在ipp.txt中,下一次分配其中保存的IP)。
ifconfig-pool-persist ipp.txt

#自动推送客户端上的网关及DHCP
push "redirect-gateway def1 bypass-dhcp"

#OpenVPN的DHCP功能为客户端提供指定的 DNS、WINS 等
push "dhcp-option DNS 114.114.114.114"

#允许客户端与客户端相连接,默认情况下客户端只能与服务器相连接
client-to-client

#每10秒ping一次,连接超时时间设为120秒
keepalive 10 120

#开启TLS-auth,使用ta.key防御攻击。服务器端的第二个参数值为0,客户端的为1。
tls-auth /etc/openvpn/ta.key 0

#加密认证算法
cipher AES-256-CBC

#使用lzo压缩的通讯,服务端和客户端都必须配置
comp-lzo

#最大连接用户
max-clients 100 

#定义运行的用户和组
user openvpn
group openvpn

#重启时仍保留一些状态
persist-key
persist-tun

#输出短日志,每分钟刷新一次,以显示当前的客户端
status /var/log/openvpn-status.log

#日志保存路径
log         /var/log/openvpn.log
log-append  /var/log/openvpn.log

#指定日志文件的记录详细级别,可选0-9,等级越高日志内容越详细
verb 4

#相同信息的数量,如果连续出现 20 条相同的信息,将不记录到日志中
mute 20

#此选项开启只能使用udp协议,否则后续会报错
;explicit-exit-notify 1

6.修改系统转发和开放端口

#修改文件目录权限
chown root.openvpn /etc/openvpn/* -R

#/etc/sysctl.conf 配置文件中添加
net.ipv4.ip_forward=1

#生效
sysctl -p 

#iptables
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o ens33 -j MASQUERADE
iptables -I INPUT -p tcp --dport 1194 -j ACCEPT

#保存规则并重启
service iptables save
systemctl restart iptables

7.启动OpenVPN服务

#启动 OpenVPN 服务
systemctl start openvpn@server

#确认服务进程是否存在
netstat -lntp|grep openvpn
ps -aux|grep openvpn


 


 

客户端连接

官网下载安装OpenVPN客户端

把服务端的ca.crt、client.crt、client.key、ta.key四个文件拷贝到客户端的统一目录下(默认安装目录为C:\Program Files\OpenVPN\config\),并在该目录下新建client.ovpn配置文件,配置内容为

#客户端配置文件
client
dev tun
proto tcp
remote 你的服务器ip/域名 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
ns-cert-type server
tls-auth ta.key 1
cipher AES-256-CBC
auth-nocache
verb 4
comp-lzo adaptive


 

用户名密码登录形式

上面是证书登录形式,若用账号密码登录形式需要进行小改动

改动一:修改服务端server.conf配置文件

#配置账号密码的认证方式

#用户和密码验证脚本
auth-user-pass-verify /etc/openvpn/server/user/checkpsw.sh via-env

#脚本安全级别
script-security 3

verify-client-cert none

#使用用户名密码登录认证
username-as-common-name

client-to-client

duplicate-cn

改动二:创建用户密码文件

mkdir /etc/openvpn/server/user

# admin为账户名,xxxxxx为密码
echo 'admin xxxxxx' >> /etc/openvpn/server/user/psw-file

chmod 600 /etc/openvpn/server/user/psw-file
chown openvpn:openvpn /etc/openvpn/server/user/psw-file

改动三:创建密码检查脚本,目录在/etc/openvpn/server/user/checkpsw.sh

#!/bin/sh

PASSFILE="/etc/openvpn/server/user/psw-file"
LOG_FILE="/var/log/openvpn/password.log"
TIME_STAMP=`date "+%Y-%m-%d %T"`

if [ ! -r "${PASSFILE}" ]; then
  echo "${TIME_STAMP}: Could not open password file \"${PASSFILE}\" for reading." >>  ${LOG_FILE}
  exit 1
fi
CORRECT_PASSWORD=`awk '!/^;/&&!/^#/&&$1=="'${username}'"{print $2;exit}' ${PASSFILE}`
if [ "${CORRECT_PASSWORD}" = "" ]; then
  echo "${TIME_STAMP}: User does not exist: username=\"${username}\", password=
\"${password}\"." >> ${LOG_FILE}
  exit 1
fi
if [ "${password}" = "${CORRECT_PASSWORD}" ]; then
  echo "${TIME_STAMP}: Successful authentication: username=\"${username}\"." >> ${LOG_FILE}
  exit 0
fi
echo "${TIME_STAMP}: Incorrect password: username=\"${username}\", password=
\"${password}\"." >> ${LOG_FILE}
exit 1

给脚本赋予可执行权限

chmod 700 /etc/openvpn/server/user/checkpsw.sh
chown openvpn:openvpn /etc/openvpn/server/user/checkpsw.sh

改动四:客户端删掉client.crt和client.key两个证书文件,并对配置文件进行修改

#注释掉
;cert client.crt
;key client.key

#添加
auth-user-pass

重启服务,输入账号和密码登录

云开发者联盟
关注
Unity 之如何实现基于OpenAI的ChatGPT的聊天机器人
TxNet
09-11 259
在当前的技术环境中,人工智能聊天机器人越来越普遍。OpenAI的ChatGPT是一个强大的语言模型,能够生成丰富的人类语言文本。在这篇博客中,我们将探讨如何使用Unity来实现一个基于OpenAI的ChatGPT聊天机器人。
不同平台和操作系统如何夸网段异地组网和进行数据传输?如何搭建虚拟专有网络访问公司内网?如何使用openvpn连通多个异地机房内网?如何使用OpenVPN实现于异地访问公司内网资源?
代码讲故事
02-28 349
不同平台和操作系统如何夸网段异地组网和进行数据传输?如何搭建虚拟专有网络访问公司内网?如何使用openvpn连通多个异地机房内网?如何使用OpenVPN实现于异地访问公司内网资源? 目前OpenVPN能在Solaris、Linux、OpenBSD、FreeBSD、NetBSD、Mac OS X与Microsoft Windows以及Android、iOS、MacOS(2020年官方推出Mac客户端)上运行,并包含了许多安全性的功能。它并不是一个基于Web的VPN软件,也不与IPsec及其他VPN软。
open集成openldap认证
完颜振江
01-30 1645
一、安装插件 yum -y install openvpn-auth-ldap 二、配置openvpn的server.conf local 0.0.0.0 port 1194 proto tcp dev tun ca /etc/openvpn/ca.crt cert /etc/openvpn/server.crt key /etc/openvpn/server.key dh /etc/openvpn/dh.pem server 10.222.2.0 255.255.255.0 ifconfig-p
VPN的介绍及自建点对点OpenVPN和使用方法:保姆级详细教程,(windou客户端版)后附脚本
m0_58833554的博客
02-23 1万+
VPN的基本知识介绍及自建VPN使用方法
史上最详细保姆级教程部署OpenVPN
最新发布
XLB
08-14 9353
提供给公司与子公司或者公司个人与公司之间建立安全的数据传输
OpenVPN点对点虚拟专网通讯简述
bigwood99的博客
05-27 1759
OpenVPN对该包进行封装、加密,向内核写入,此时IP包地址信息为:源地址为d.e.f.y,目的地址为a.b.c.z。内核将信息交给OpenVPN,经过解封装、解密,获得内容,目标地址是tun0(10.10.0.1)最后物理网卡经过封装成帧通过物理链路发送给地址为a.b.c.z的服务器。然后将key'文件复制到d.e.f.y上,如scp、ssh,都可以。--secret,包含静态密码文件,就是上面生成的那个key文件。假设有两台主机,IP为:a.b.c.z和d.e.f.y。此时已经建立了虚拟隧道。
基于HTTP的点对点广播
Netfilter
02-09 4839
本文是我一年前做一个p2p解决方案的时候写的,现在翻出来有些基本概念已经忘记了,才知道以前竟然还做过这个,惊讶中啊: 简介: 此方案由开放源代码项目P2P-Radio修改而成,(P2P-Radio是一个点对点音频和视频广播系统,功能有freeloader检测,流式传输,SHOUTcast 支持,一个易于使用的GUI,以及一个单独的监视应用程序来显示当前P2P网络的结构。-----------摘
虚拟专用网络(VPN):远程访问与点对点连接及其在Linux中的IPSec实现与日志管理
一起coding,一起嗨。
01-18 1017
虚拟专用网络(VPN):远程访问与点对点连接及其在Linux中的IPSec实现与日志管理
零入门kubernetes网络实战-23->基于tun虚拟网络设备来构建点对点VPN案例(golang版本、helloworld级别)
码二哥的技术池
03-13 1713
本篇文章主要是练习: - 通过tun设备来实现跨主机通信 - 测试在宿主机-1上使用curl命令可以访问宿主机-2上的web服务; - 请求有去,有回 - 测试在宿主机-1上使用ping命令 可以ping通 宿主机-2上的tun类型的虚拟网卡设备, - 如ping通flannel99 - 请求有去,有回
CC00024.NavigationLog——|Open网络2.4.9服务端/客户端部署/本地client配置/连接成功测试|
yanqi_vip
03-31 814
一、VPN概述 vpn虚拟专用网络,是依靠isp和其他NSP,在公共网络中建立专用的数据通信网络的技术,可以为企业之间或者个人与企业之间提供安全的数据传输隧道服务。在VPN中任意两点之间的连接并没有传统专网所需的端到端的物理链路,而是利用公共网络资源动态组成的,可以理解为通过私有的隧道技术在公共数据网络上模拟出来的和专网有同样功能的点到点的专线技术,所谓虚拟是指不需要去使用实际的长途物理线路,而是借用Internet公共网络实现OpenVPN是一个用于创建虚拟专用网络加密通道的软件包,最早由Jame
如何通过VPN实现远程文件共享?
通过VPN,用户可以实现远程访问私人网络的功能,实现安全、加密的数据传输。 ## 1.2 远程文件共享的重要性和应用场景 远程文件共享是一种可以让用户在不同地点之间共享和访问文件的技术。具有以下重要应用场景: -...
CISSP考试背点记录(第9版)
墨痕诉清风的博客
11-20 720
ST包含客户端的身份信息和加密的会话密钥。EAL7:形式化验证的设计和测试 - 评估主要关注产品的形式化验证和设计,包括对产品的形式化验证和证明,并且有高度的信任和保证。EAL4:设计和测试的详细度 - 评估主要关注产品的设计、实现和测试的详细程度,包括设计文档、代码审查、测试计划和结果的记录。EAL3:方法和程序测试 - 评估主要关注产品的设计和实现,包括设计文档的详细程度、代码审查和测试的质量。EAL5:半形式化设计和测试 - 评估主要关注产品的形式化设计和半形式化验证,包括形式化规范、验证和测试。
防火墙ipsec vpn点对多点
weixin_44732231的博客
05-31 938
华为防火墙部署ipsec vpn 点对多点,华为路由器部署isis
openvpn组网技术原理及配置过程(centos服务器/安卓客户端/linux客户端)
hacker_lpy的博客
02-24 9343
最近研究了一段时间的openvpn组网技术,也试着搭建了一个openvpn环境,大概理解了其中使用的一些技术原理,还是记录一下。本篇文章对专业搞网络的人也许用处不大,但是对于初次接触这些技术(比如vpn,代理技术,加密隧道,防火墙,路由,局域网组网)的人还是有一定价值的,便于理清整个vpn组网技术的脉络,也可以在遇到问题的时候自己排查。openvpn是众多vpn种类的一种,是一个开源的产品,也是应用最广泛的一种vpn。支持的平台很多,我们常用的系统平台linux,window,安卓都支持。
pfSense book之 Open***站点到站点连接示例(SSL/TLS)
weixin_34358365的博客
12-06 235
站点到站点连接示例(SSL/TLS)Open×××站点到站点连接示例(SSL/TLS)使用SSL / TLS配置站点到站点连接的过程比共享密钥更复杂。但是,这种方法通常更方便地管理大量以中心站点方式连接到中心站点的远程站点。它可用于两个节点之间的站点到站点,但由于配置复杂性增加,大多数人更喜欢使用共享密钥而不是SSL / TLS。当使用SSL / TLS配置站点到站点Open...
关于VPN的一些总结和理解
热门推荐
BLSpan的博客
06-18 5万+
同样的机缘巧合,最近看了一些关于vpn的内容,总结一下,正好作为这个月的技术博客记录吧
如何在 Ubuntu 16.04 上使用 WireGuard 创建点对点 VPN
rubys007的博客
05-04 1394
WireGuard 是一种现代、高性能的 VPN,旨在提供易于使用的同时又具有强大的安全性。WireGuard 专注于在网络接口上使用公钥认证加密来提供安全连接。这意味着,与大多数 VPN 不同,它不强制执行拓扑结构,因此可以通过操纵周围的网络配置来实现不同的配置。这种模型提供了极大的力量和灵活性,可以根据个人需求进行应用。WireGuard 可以使用的最简单的拓扑结构之一是点对点连接。这在两台机器之间建立了一个安全链接,无需通过中央服务器进行中介。
OpenVPN服务器,2024年最新2024网易网络安全高级面试题及答案
2301_82242296的博客
04-13 963
外链图片转存中…(img-6UP5Cqqt-1712974423114)][外链图片转存中…(img-nrWk0Lhu-1712974423114)]
OpenVpn搭建
邢宇宇的博客
05-10 4550
2.1 DNAT(Destination Network Address Translation)和 SNAT(Source Network Address Translation) SNAT(源网络地址转换)DNAT(目标网络地址转换)总结: 2.3 安装openvpn和easy-rsa 3.证书管理 3.1 准备配置文件环境 3.2 准备证书相关文件 3.2.1 创建CA机构 3.2.1 为openvpn服务器颁发证书 3.2.2 为客户端颁发证书 4. 准备 OpenVPN 服务器配置文件
openvpn 实现对访问的域名的拦截
06-10
OpenVPN本身并不支持对访问域名的拦截,但您可以借助其他工具来实现这个功能。以下是一些可能有用的方法: 1. 使用防火墙规则 - 您可以使用防火墙软件(如iptables或Windows防火墙)来设置规则,阻止OpenVPN客户端访问特定的域名或IP地址。这种方法需要您了解防火墙规则的设置方法,并能够正确地配置规则。 2. 使用DNS服务器 - 您可以在OpenVPN服务器上设置一个DNS服务器,并将其配置为仅返回您想要阻止的域名的IP地址。这样,当OpenVPN客户端尝试访问这些域名时,它们将被重定向到一个无害的IP地址或错误页面。 3. 使用代理服务器 - 您可以在OpenVPN服务器上设置一个代理服务器,并将其配置为仅允许访问您想要允许的域名。这样,当OpenVPN客户端尝试访问被禁止的域名时,它们将无法连接到代理服务器并无法访问该域名。 请注意,这些方法都需要您在OpenVPN服务器上进行配置,并且需要一定的技术知识和经验。您需要评估您的技术能力和需求,以确定最适合您的方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值