CentOS7搭建OpenVPN

已于 2024-01-26 19:25:37 修改
阅读量715 收藏 9
点赞数 11
文章标签: openvpn
于 2024-01-15 14:34:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gyfghh/article/details/135600825
版权

CentOS7搭建OpenVPN

参考文档

  • https://cloud.tencent.com/developer/article/2315269
  • https://blog.csdn.net/m0_49027804/article/details/130991215

1、证书

1.1、安装easy-rsa

# 安装easy-rsa
yum -y install easy-rsa
# 创建并进入证书目录
mkdir /opt/easy-rsa && cd /opt/easy-rsa
# 拷贝easy-rsa目录下所有文件
cp -a /usr/share/easy-rsa/3.0.8/* .
# 配置文件vars
tee ./vars <<-'EOF'
if [ -z "$EASYRSA_CALLER" ]; then
        echo "You appear to be sourcing an Easy-RSA 
'vars' file." >&2
        echo "This is no longer necessary and is 
disallowed. See the section called" >&2
        echo "'How to use this file' near the top 
comments for more details." >&2
       return 1
fi
set_var EASYRSA_DN "cn_only"
set_var EASYRSA_REQ_COUNTRY "CN"
set_var EASYRSA_REQ_PROVINCE "Shanghai"
set_var EASYRSA_REQ_CITY "Shanghai"
set_var EASYRSA_REQ_ORG "xumeng03"
set_var EASYRSA_REQ_EMAIL "xumeng03@qq.comm"
set_var EASYRSA_NS_SUPPORT "yes"
EOF

1.2、生成证书

# 初始化,创建PKI目录存储证书
./easyrsa init-pki
# 创建根证书,需设置密码,用于对服务端和客户端证书签名
./easyrsa build-ca
# 生成服务端证书和私钥
./easyrsa gen-req server nopass
# 给服务端端证书签名(需确认并输入根证书密码)
./easyrsa sign server server
# 生成客户端证书和私钥
./easyrsa gen-req client nopass
# 给客户端端证书签名(需确认并输入根证书密码)
./easyrsa sign client client
# 生成Diffie-Hellman文件,用于安全交换密钥
./easyrsa gen-dh

2、服务端

2.1、安装openvpn

yum -y install openvpn

2.2、生成TLS认证密钥

openvpn --genkey --secret /etc/openvpn/ta.key

2.3、配置文件

tee /etc/openvpn/server.conf <<-'EOF'
# 端口
port 1194
# 协议
proto udp
# 采用路由隧道模式
dev tun
# ca证书的位置
ca ca.crt
# 服务端公钥的位置
cert server.crt
# 服务端私钥的位置
key server.key
# 证书校验算法
dh dh.pem
# 给客户端分配的地址池
server 10.8.0.0 255.255.255.0
# 允许客户端访问的内网网段(我这里服务器内网ip是10.0.16.17)
push "route 10.0.0.0 255.255.255.0"
# 地址池记录文件位置,让openvpn客户端固定ip地址使用的
ifconfig-pool-persist ipp.txt
# 存活时间,10秒ping一次,120秒如果未收到响应则视为断线
keepalive 10 120
# 最多允许10个客户端连接
max-clients 10
# openvpn-status日志位置
status openvpn-status.log
# openvpn日志记录位置
log /var/log/openvpn.log
# 日志级别
verb 3
# 允许客户端与客户端之间通信
client-to-client
# 通过keepalive检测超时后,重新启动VPN,不重新读取
persist-key
# 检测超时后,重新启动VPN
persist-tun
# 开启TLS-auth,使用ta.key防御攻击.服务器端的第二个参数值为0,客户端的为1
tls-auth ta.key 0
# 客户端密钥(证书和私钥)是否可以重复
duplicate-cn
# 允许使用自定义脚本
script-security 3
# 认证脚本路径
auth-user-pass-verify check.sh via-env
# 用户密码登陆方式验证
username-as-common-name
EOF

2.4、认证脚本

tee /etc/openvpn/check.sh <<-'EOF'
#!/bin/bash
# 用户列表
PASSFILE="/etc/openvpn/openvpnfile"
# 用户登录情况的日志
LOG_FILE="/var/log/openvpn-password.log"
TIME_STAMP=`date "+%Y-%m-%d %T"`
if [ ! -r "${PASSFILE}" ]; then
    echo "${TIME_STAMP}: Could not open password file \"${PASSFILE}\" for reading." >> ${LOG_FILE}
    exit 1
fi
CORRECT_PASSWORD=`awk '!/^;/&&!/^#/&&$1=="'${username}'"{print $2;exit}'    ${PASSFILE}`
if [ "${CORRECT_PASSWORD}" = "" ]; then
    echo "${TIME_STAMP}: User does not exist: username=\"${username}\",password=\"${password}\"." >> ${LOG_FILE}
    exit 1
fi
if [ "${password}" = "${CORRECT_PASSWORD}" ]; then
    echo "${TIME_STAMP}: Successful authentication: username=\"${username}\"." >> ${LOG_FILE}
    exit 0
fi
echo "${TIME_STAMP}: Incorrect password: username=\"${username}\", password=\"${password}\"." >> ${LOG_FILE}
exit 1
EOF

# 给脚本添加执行权限
chmod +x /etc/openvpn/check.sh

2.5、用户列表

tee /etc/openvpn/openvpnfile <<-'EOF'
username password
EOF

2.6、拷贝证书

cp /opt/easy-rsa/pki/ca.crt /etc/openvpn
cp /opt/easy-rsa/pki/issued/server.crt /etc/openvpn
cp /opt/easy-rsa/pki/private/server.key /etc/openvpn
cp /opt/easy-rsa/pki/dh.pem /etc/openvpn

2.7、启动

systemctl start openvpn@server
systemctl status openvpn@server

3、客户端

3.1、Windows

1、下载安装

https://openvpn.net/community-downloads/

2、证书

需要下载下列证书

  • /opt/easy-rsa/pki/ca.crt
  • /opt/easy-rsa/pki/issued/client.crt
  • /opt/easy-rsa/pki/private/client.key
  • /etc/openvpn/ta.key
3、配置文件

新建client.ovpn文件放置在C:\user\xumeng03\OpenVPN\config或者C:\Program Files\OpenVPN\config下(注意与证书文件放置在一起,如不放置在一起需自行修改配置文件中的路径)

# 指定为客户端
client
# 协议
proto udp
# 采用路由隧道模式
dev tun
# openvpn服务器IP、端口号
remote 150.158.105.127 1194
# 断线自动重新连接
resolv-retry infinite
# 不绑定本地特定的端口号
nobind
# 指定CA证书的文件路径(需在/opt/easy-rsa处下载)
ca ca.crt
# 指定当前客户端的证书文件路径(需在/opt/easy-rsa处下载)
cert client.crt
# 指定当前客户端的私钥文件路径(需在/opt/easy-rsa处下载)
key client.key
# 日志级别
verb 3
# 通过keepalive检测超时后,重新启动VPN
persist-key
# 开启TLS-auth,使用ta.key防御攻击.服务器端的第二个参数值为0,客户端的为1
tls-auth ta.key 1
# 账号密码认证
auth-user-pass
4、使用

点击连接后输入/etc/openvpn/openvpnfile中的用户名密码即可

3.2、Mac

1、下载安装
brew install openvpn
2、证书

需要下载下列证书

  • /opt/easy-rsa/pki/ca.crt
  • /opt/easy-rsa/pki/issued/client.crt
  • /opt/easy-rsa/pki/private/client.key
  • /etc/openvpn/ta.key
3、配置文件
# 指定为客户端
client
# 协议
proto udp
# 采用路由隧道模式
dev tun
# openvpn服务器IP、端口号
remote 150.158.105.127 1194
# 断线自动重新连接
resolv-retry infinite
# 不绑定本地特定的端口号
nobind
# 指定CA证书的文件路径(需在/opt/easy-rsa处下载)
ca ca.crt
# 指定当前客户端的证书文件路径(需在/opt/easy-rsa处下载)
cert client.crt
# 指定当前客户端的私钥文件路径(需在/opt/easy-rsa处下载)
key client.key
# 日志级别
verb 3
# 通过keepalive检测超时后,重新启动VPN
persist-key
# 开启TLS-auth,使用ta.key防御攻击.服务器端的第二个参数值为0,客户端的为1
tls-auth ta.key 1
# 账号密码认证
auth-user-pass
4、使用
sudo /usr/local/opt/openvpn/sbin/openvpn --config /usr/local/etc/openvpn/client.opvn

4、配置内网转发

4.1、开启内核转发

# 开启内核转发/IP包转发
echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
# 重载配置/etc/sysctl.conf配置
sysctl -p

4.2、防火墙配置

# 启动防火墙
systemctl start firewalld
# 添加masquerade规则到防火墙配置(常用于NAT网络地址转换)
firewall-cmd --add-masquerade --permanent
# 允许openvpn服务通过防火墙
firewall-cmd --add-service=openvpn --permanent
# 允许TCP协议的数据通过1194端口(我这里使用了mysql:3306、kubernetes:6443)
firewall-cmd --add-port=1194/tcp --permanent
# 重新加载防火墙配置
firewall-cmd --reload
眼眸流转
关注
  • 11
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
centos7搭建mysql集群
05-15
centos7搭建mysql集群,包含整个搭建步骤,部分错误解决方案
Centos7使用docke搭建openV
on the way . . .
01-13 3531
Background       公司目前没有VPN,有时在家办公只能通过向日葵或者TeamView来远程公司的电脑工作。最近自己搭了个openVPN服务器(使用的docker方式,方便快捷,另一种方式配置太麻烦了),具体搭建过程记录下。 OpenVPN的工作原理       在Linux2.4版本以上,操作系统支持一个名为tun的设备,tun设备的驱动程序中包含两个部分,一部分是字符设备驱动,一部分是网卡驱动。网.
Centos7 搭建openVPN
三人行,必有我师焉。
03-23 569
CentOS 搭建openVPN时需要一台有公网IP的服务器。openVPN 是一个基于SSL/TLS的虚拟专用网络(VPN),它允许你创建一个安全的连接,通过它你可以将你的网络流量封装并加密,从而在公网上进行传输。
虚拟机(centos7)安装openvpn
weixin_42680326的博客
07-07 3824
1.centos启用epel-repository ​ 1)命令安装 ```shell yum -y install epel-release ``` ​ 2)手动安装 rpm -vih https://dl.fedoraproject.org/pub/epel/7/x86_64/Packages/e/epel-release-7-13.noarch.rpm #或者自行下载包,然后使用命令安装 yum -y install xxx.rpm 2.安装openvpn ```
CentOS 7 搭建 LAMP 环境与配置
01-09
CentOS 7 搭建 LAMP 环境与配置介绍LAMP 架构介绍安装与配置安装 Apache安装阶段配置阶段安装 MySQL安装阶段安装 PHP安装阶段MySQL 导入数据库文件导入数据库方法一:MySQL 命令方法二:source 命令 介绍 该博文将介绍 LAMP 架构和在 CentOS 7 下搭建 LAMP 环境的过程。 LAMP 架构介绍 LAMP 就是 Linux + Apache + MySQL + PHP 的缩写。 1、Linux 就是我们已经安装的 CentOS 7 Linux 操作系统。 2、Apache 就是一个 HTTP 服务器,负责提供 httpd 服务。 3、My
CentOS 7 搭建HAproxy服务器
04-10
CentOS 7 搭建HAproxy服务器
centos7搭建openvpn服务端
SeeYouGoodBye的专栏
12-09 233
个人电脑和公司办公网络互通不同部门,分公司的网络互通。
Centos7搭建OPEN
xiaohuai0444167的博客
05-08 1982
一,安装服务 1,安装openVPN [root@ c7-41 ~] yum -y install epel-re* [root@ c7-41 ~] yum -y install openvpn [root@ c7-41 ~] rpm -qa |grep openvpn openvpn-2.4.8-1.el7.x86_64 2,安装open-rsa [root@ c7-41 ~] wget ht...
如何在Cent OS 7上设置和配置OpenVPN服务器
zq13646205435的博客
08-01 3929
如果该文件丢失,您就不能再信任来自该证书颁发机构的任何证书,如果任何人能够访问该文件,他们就可以签署新的证书并在您不知情的情况下访问您的VPN。为了避免每次需要生成证书时都要重新配置,您可以修改Easy RSA的配置,以定义它将用于证书字段的默认值,包括您的国家、城市和首选电子邮件地址。一台CentOS 7服务器,一个sudo非root用户,一个用firewalld设置的防火墙,您可以通过我们的CentOS 7服务器初始设置指南和新CentOS 7服务器的其他建议步骤来实现。将这些文件复制到您的客户机上。
虚拟机Centos7搭建MQTT服务
11-07
【初学者福利】虚拟机Centos7搭建MQTT服务。【注:虚拟机可连接互联网;以下指令依次进行即可】第二章附带JAVA代码。
Centos7搭建sftp服务流程
09-15
本篇文章给大家详细分析了Centos7搭建sftp服务的全过程以及相关命令分享,一起需要下。
Centos7建立隧道
qq_42869878的博客
01-22 3316
在CentOS 7环境下搭建OpenVPN服务,Windows客户端、Linux客户端通过OpenVPN服务访问后端机器。 主机规划与架构 服务器名称(hostname) 操作系统版本 内网IP 外网IP(模拟) 角色 web01 CentOS7.7 172.16.10.191 无 被访问机器 web02 CentOS7.7...
openVPNCentos7 部署openVPN多客户端 已连通
m0_49027804的博客
06-01 8809
openvpn 是一款安全的vpn服务,可以实现多人稳定的远程办公环境
基于Linux V4L2视频库、ASLA高级声音框架的远程视频及语音聊天.zip
04-29
基于Linux V4L2视频库、ASLA高级声音框架的远程视频及语音聊天
node-v8.7.0-x86.msi
最新发布
04-29
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
node-v7.7.3-linux-armv6l.tar.gz
04-29
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
香色闺阁 2.56.1.ipa
04-29
香色闺阁 2.56.1.ipa
基于python智能监考系统人脸信息采集识别签到+微机电脑录屏+前置摄像头录屏+违法外设检测+源代码+注释说明+演示视频.zip
04-29
基于python实现的智能监考系统,人脸信息采集识别签到+微机电脑录屏+前置摄像头录屏+违法外设检测+源代码+注释说明+演示视频 该资源内项目源码是个人的毕设,代码都测试ok,都是运行成功后才上传资源,答辩评审平均分达到96分,放心下载使用! 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。 3、如果基础还行,也可在此代码基础上进行修改,以实现其他功能,也可用于毕设、课设、作业等。
CGnetsw.exe
04-29
CGnetsw.exe
debian 11 搭建openVPN
05-14
以下是在Debian 11上安装和配置OpenVPN的步骤: 1. 更新软件包列表: ``` sudo apt update ``` 2. 安装OpenVPN软件包和EasyRSA工具: ``` sudo apt install openvpn easy-rsa ``` 3. 创建OpenVPN的配置目录: ``` sudo mkdir /etc/openvpn/server ``` 4. 复制OpenVPN的示例配置文件: ``` sudo cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/server/ ``` 5. 解压缩配置文件: ``` sudo gzip -d /etc/openvpn/server/server.conf.gz ``` 6. 生成证书和密钥: ``` cd /usr/share/easy-rsa/ sudo ./easyrsa init-pki sudo ./easyrsa build-ca sudo ./easyrsa build-server-full server nopass ``` 7. 复制证书和密钥到OpenVPN的配置目录: ``` sudo cp /usr/share/easy-rsa/pki/ca.crt /etc/openvpn/server/ sudo cp /usr/share/easy-rsa/pki/issued/server.crt /etc/openvpn/server/ sudo cp /usr/share/easy-rsa/pki/private/server.key /etc/openvpn/server/ ``` 8. 生成Diffie-Hellman参数: ``` sudo openssl dhparam -out /etc/openvpn/server/dh.pem 2048 ``` 9. 配置OpenVPN服务器: 编辑OpenVPN配置文件: ``` sudo nano /etc/openvpn/server/server.conf ``` 确保以下配置项与下面的示例配置文件相同: ``` port 1194 proto udp dev tun ca /etc/openvpn/server/ca.crt cert /etc/openvpn/server/server.crt key /etc/openvpn/server/server.key dh /etc/openvpn/server/dh.pem server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 8.8.8.8" push "dhcp-option DNS 8.8.4.4" keepalive 10 120 cipher AES-256-CBC user nobody group nogroup persist-key persist-tun status openvpn-status.log verb 3 ``` 10. 启动OpenVPN服务: ``` sudo systemctl start openvpn-server@server ``` 11. 确认服务已经启动: ``` sudo systemctl status openvpn-server@server ``` 12. 配置防火墙: 如果您的服务器上有防火墙,请允许OpenVPN的UDP端口(默认为1194)通过防火墙。 完成以上步骤后,您的OpenVPN服务器就已经搭建完成了。您可以使用OpenVPN客户端连接到该服务器,以便安全地访问您的服务器或局域网中的资源。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

眼眸流转

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值