ocserv开源vpn部署-已实测可行

最新推荐文章于 2024-03-19 09:55:56 发布
最新推荐文章于 2024-03-19 09:55:56 发布
阅读量703 收藏
点赞数
文章标签: 开源 linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liudongliang125/article/details/134531680
版权

1、安装ocserv

ocserv 已经在 epel 仓库中提供了,所以可以直接通过 yum 安装

[root@linux-node4 ~]# yum -y install epel-release

[root@linux-node4 ~]# yum -y install ocserv

2、证书制作

2.1、创建 CA

[root@linux-node4 ~]# cd /etc/ocserv

[root@linux-node4 ocserv]# mkdir CA

[root@linux-node4 ocserv]# cd CA

[root@linux-node4 CA]# cat > ca.tmpl <<EOF

cn = "zhouping"

organization = "jq"

serial = 1

expiration_days = 36500

ca

signing_key

cert_signing_key

crl_signing_key

EOF

[root@linux-node4 CA]# ll

total 4

-rw-r--r-- 1 root root 127 Nov 25 10:42 ca.tmpl

2.2、生成CA 密钥

[root@linux-node4 CA]# certtool --generate-privkey --outfile ca-key.pem

[root@linux-node4 CA]# ll

total 12

-rw------- 1 root root 5816 Nov 25 10:42 ca-key.pem

-rw-r--r-- 1 root root  127 Nov 25 10:42 ca.tmpl

2.3、生成CA证书

[root@linux-node4 CA]# certtool --generate-self-signed --load-privkey ca-key.pem --template ca.tmpl --outfile ca-cert.pem

[root@linux-node4 CA]# ll

total 16

-rw-r--r-- 1 root root 1107 Nov 25 10:45 ca-cert.pem

-rw------- 1 root root 5816 Nov 25 10:42 ca-key.pem

-rw-r--r-- 1 root root  127 Nov 25 10:42 ca.tmpl

2.4、构建一个CA认证中心

[root@linux-node4 CA]# ip a1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN qlen 1

link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

inet 127.0.0.1/8 scope host lo

valid_lft forever preferred_lft forever

inet6 ::1/128 scope host

valid_lft forever preferred_lft forever2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000

link/ether 00:0c:29:5c:0e:b1 brd ff:ff:ff:ff:ff:ff

inet 192.168.56.24/24 brd 192.168.56.255 scope global eth0

valid_lft forever preferred_lft forever

inet6 fe80::20c:29ff:fe5c:eb1/64 scope link

valid_lft forever preferred_lft forever

[root@linux-node4 CA]# cat >  server.tmpl <<EOF

#cn 为服务器ip或者执行该服务器的域名

cn = "192.168.56.24"

organization = "jq"

expiration_days = 36500

signing_key

encryption_key

tls_www_server

EOF

[root@linux-node4 CA]# ll

total 20

-rw-r--r-- 1 root root 1107 Nov 25 10:45 ca-cert.pem

-rw------- 1 root root 5816 Nov 25 10:42 ca-key.pem

-rw-r--r-- 1 root root 127 Nov 25 10:42 ca.tmpl

-rw-r--r-- 1 root root 163 Nov 25 10:55 server.tmpl

2.5、创建Server 密钥

[root@linux-node4 CA]# certtool --generate-privkey --outfile server-key.pem

[root@linux-node4 CA]# ll

total 28

-rw-r--r-- 1 root root 1107 Nov 25 10:45 ca-cert.pem

-rw------- 1 root root 5816 Nov 25 10:42 ca-key.pem

-rw-r--r-- 1 root root  127 Nov 25 10:42 ca.tmpl

-rw------- 1 root root 5823 Nov 25 10:58 server-key.pem

-rw-r--r-- 1 root root  163 Nov 25 10:55 server.tmpl

[root@linux-node4 CA]# certtool --generate-certificate --load-privkey server-key.pem --load-ca-certificate ca-cert.pem --load-ca-privkey ca-key.pem --template server.tmpl --outfile server-cert.pem

[root@linux-node4 CA]# ll

total 32

-rw-r--r-- 1 root root 1107 Nov 25 10:45 ca-cert.pem

-rw------- 1 root root 5816 Nov 25 10:42 ca-key.pem

-rw-r--r-- 1 root root  127 Nov 25 10:42 ca.tmpl

-rw-r--r-- 1 root root 1192 Nov 25 11:00 server-cert.pem

-rw------- 1 root root 5823 Nov 25 10:58 server-key.pem

-rw-r--r-- 1 root root  163 Nov 25 10:55 server.tmpl

3、创建路由分组管理目录

[root@linux-node4 ~]# mkdir -p /etc/ocserv/group

[root@linux-node4 ~]# ll /etc/ocserv/group

total 16

-rw-r--r-- 1 root root 144 Nov 25 10:11 dev

-rw-r--r-- 1 root root 145 Nov 22 15:45 front

-rw-r--r-- 1 root root 171 Nov 22 17:06 ops

-rw-r--r-- 1 root root 0 Nov 22 10:37 pre

-rw-r--r-- 1 root root 0 Nov 22 10:37 pro

-rw-r--r-- 1 root root 145 Nov 22 15:45 test

[root@linux-node4 ~]# cat /etc/ocserv/group/ops

route = 192.168.5.0/255.255.255.0

route = 172.17.134.0/255.255.255.0

route = 172.17.2.0/255.255.255.0

route = 172.17.29.0/255.255.255.0

route = 172.17.172.0/255.255.255.0

  • 注释:填写上路由的才会走vpn,如果一个都没有填写默认会认为全部都走vpn,会导致上不去网。

4、修改配置文件

备份修改配置文件

[root@linux-node4 ~]# cp /etc/ocserv/ocserv.conf{,_bak}

[root@linux-node4 ~]# egrep -v "^$|#" /etc/ocserv/ocserv.conf

#密码认证,选择这个就可以通过后面的创建用户命令直接创建用户来登录

auth = "plain[/etc/ocserv/ocpasswd]"

#tcp端口

tcp-port = 443

#运行用户                                    

run-as-user = ocserv

#运行组                                

run-as-group = ocserv

# 分组文件存储目录,文件内容为不同的route链路访问控制default-group-config = /etc/ocserv/group/Default    

# 新增,用于用户分组.default-select-group = Default                      

# 新增,用于用户分组.                               

config-per-group = /etc/ocserv/group/

# 新增,用于用户分组.

auto-select-group = false

socket-file = ocserv.sock

chroot-dir = /var/lib/ocserv

isolate-workers = true

# 最大用户数量

max-clients = 1024  

# 同一个用户最多同时登陆数                                 

max-same-clients = 10

# 3小时以内保持连接(3小时后无操作时,断开ocserv连接)                               

keepalive = 10800

dpd = 90

mobile-dpd = 1800switch-to-tcp-timeout = 25

# 证书路径

server-cert = /etc/ocserv/CA/server-cert.pem

# 证书路径        

server-key = /etc/ocserv/CA/server-key.pem

# ca路径          

ca-cert = /etc/ocserv/CA/ca-cert.pem

tls-priorities = "NORMAL:%SERVER_PRECEDENCE:%COMPAT:-VERS-SSL3.0"

# 在进行身份验证之前,允许客户端保持连接的时间(秒)

auth-timeout = 240

# 身份验证尝试失败后不允许客户端重新连接的时间(秒)。                                  

min-reauth-time = 300

max-ban-score = 0

ban-reset-time = 300

cookie-timeout = 300

deny-roaming = false

# ocserv将要求客户机在经过这段时间后定期刷新密钥。设置为零以禁用(请注意,如果禁用重新设置密钥,则某些客户端将失败)【此设置并非要求更改客户端秘钥】

rekey-time = 172800                                 

rekey-method = ssl

use-occtl = true

pid-file = /var/run/ocserv.pid

device = vpns

predictable-ips = truedefault-domain = meitian-op-dev-alpha

# 分配给VPN客户端的IP段

ipv4-network = 192.168.50.0/24

# DNS

dns = 192.168.5.1

# 默认走vpn的域名

# split-dns = elk.test.com

# split-dns = zabbix.test.com

# split-dns = jenkins.test.com

# split-dns = *.test.com

ping-leases = false

cisco-client-compat = true

dtls-legacy = true

user-profile = profile.xml

5、重启ocserv

【拨通vpn后会出现网卡vpns0信息】

[root@linux-node4 ~]# ip a1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN qlen 1

link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

inet 127.0.0.1/8 scope host lo

valid_lft forever preferred_lft forever

inet6 ::1/128 scope host

valid_lft forever preferred_lft forever2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000

link/ether 00:0c:29:5c:0e:b1 brd ff:ff:ff:ff:ff:ff

inet 192.168.56.24/24 brd 192.168.56.255 scope global eth0

valid_lft forever preferred_lft forever

inet6 fe80::20c:29ff:fe5c:eb1/64 scope link

valid_lft forever preferred_lft forever

[root@linux-node4 ~]# systemctl restart ocserv

#拨通vpn后会出现网卡vpns0信息

[root@linux-node4 ~]# ifconfig

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500

inet 192.168.56.24  netmask 255.255.255.0  broadcast 192.168.56.255

inet6 fe80::20c:29ff:fe5c:eb1  prefixlen 64  scopeid 0x20<link>

ether 00:0c:29:5c:0e:b1  txqueuelen 1000  (Ethernet)

RX packets 45601  bytes 31267946 (29.8 MiB)

RX errors 0  dropped 0  overruns 0  frame 0

TX packets 11299  bytes 1249859 (1.1 MiB)

TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536

inet 127.0.0.1  netmask 255.0.0.0

inet6 ::1  prefixlen 128  scopeid 0x10<host>

loop  txqueuelen 1  (Local Loopback)

RX packets 0  bytes 0 (0.0 B)

RX errors 0  dropped 0  overruns 0  frame 0

TX packets 0  bytes 0 (0.0 B)

TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

vpns0: flags=81<UP,POINTOPOINT,RUNNING>  mtu 1472

inet 192.168.5.1  netmask 255.255.255.255  destination 192.168.5.90

inet6 fe80::698d:d063:ff73:4260  prefixlen 64  scopeid 0x20<link>

unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  txqueuelen 500  (UNSPEC)

6、用户管理

创建一个登陆用的用户名与密码

[root@linux-node4 ~]# ocpasswd -c /etc/ocserv/ocpasswd geyiheng

Enter password: 123456

Re-enter password: 123456

[root@linux-node4 ~]# cat /etc/ocserv/ocpasswd

geyiheng:*:$5$TtT/7WUcqH6vV/IA$SSs5yKVjVPS4qO96dvNRtkvcnX9dAPfLNfpjCUYOTg8

7、配置防火墙

network 192.169.5.0/24 (这个来自于)/etc/ocserv/ocserv.conf 中的 ipv4-network = 192.168.5.0/24
ocserv WAN interface is eth0

8.ocserv管理

一、添加用户
ocpasswd -c /etc/ocserv/ocpasswd 【用户名】

二、添加用户至某个分组
ocpasswd -c /etc/ocserv/ocpasswd -g 【分组名称】 【用户名】

三、锁定用户
ocpasswd -c /etc/ocserv/ocpasswd -l 【用户名】

四、解锁用户
ocpasswd -c /etc/ocserv/ocpasswd -u 【用户名】

五、删除用户
ocpasswd -c /etc/ocserv/ocpasswd -d 【用户名】

六、查看当前服务运行状态:
occtl -n show status

七、查看当前在线用户详情:
occtl -n show users

八、踢掉当前在线用户:通过用户名:
occtl disconnect user 【用户名】

九、踢掉当前在线用户:通过id:
occtl disconnect id 【id号】

liudongliang125
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
WordPress酱茄开源小程序-免费小蓝主题2.6.4最新版 微信小程序(已实测
12-09
一、更新日期:2021.4.30 【修复】修复热榜顶部无图滑动显示透明问题 【修复】修复热榜无内容提示内容位置显示过高异常问题 【恢复】恢复文章页内容头部圆角显示效果 【新增】按酱茄官方要求,添加搜索页热门搜索词后台自定义设置 【优化】优化我的中心(立即登录)navigator登录为button,去除了点击显示黑块问题 【优化】优化login登录页navigator《用户协议和条款》点击显示黑块问题 【新增】首页顶部导航右边tab图标支持后台自定义(判断未设置默认本地图片) 【优化】优化首页弹窗广告显示位置top-19%屏幕 【美化】美化顶部导航分类查看状态特显效果,更凸出 【美化】美化文章页底部评论栏增加个性化ico图标效果并调节对宽比
开源wiki的部署-附件资源
03-05
开源wiki的部署-附件资源
推荐开源项目:OpenVPN-Install - 简化版OpenVPN部署工具
最新发布
gitblog_00032的博客
03-19 410
推荐开源项目:OpenVPN-Install - 简化版OpenVPN部署工具 项目地址:https://gitcode.com/angristan/openvpn-install 项目简介 OpenVPN-Install 是由开发者 Angristan 创建的一个脚本工具,用于简化在Linux服务器上安装和配置OpenVPN的过程。这个项目的目标是让即使是没有深度技术背景的用户也能轻松设置自己的...
CentOS 7搭建ocserv.docx
12-31
Centos7搭建ocserv
openvpn-linux-client-scripts-开源
05-06
这些是相同的简单脚本...一个用于启动/停止/切换特定隧道即服务(初始化脚本)。 第二个是建立或断开隧道时调用的脚本(上/下脚本)。 还提供了pyQt GUI界面。
Centos7搭建ocserv
root_1314的博客
11-05 2622
打开出口路由器, 进行端口映射将centos7 ip映射到公网, 端口就是设置的端口,默认443,建议修改.2.然后搭建了L2TP后,发现居然不能用.应该是ISP那边封端口了,有时候也封协议,看运营商;2.要求: a 要有公网IP, b 要有固定IP地址,如果无可以上DDNS,具体教程不说了。注意: 输入IP或者域名时,后面要加端口号, 不通时,可以telnet看看端口是否可达.3.时间问题,没有安全性考虑,能用就行,所以准备搭建基于账号密码认证的ocserv。三.安装教程(方法一)四,安装教程(方法二)
OpenVPN部署
wstc2689784536的博客
11-30 305
通过部署OpenVPN服务使外网机器访问内网机器
使用开源VPN搭建个人虚拟专用网络
qq_56819189的博客
02-09 1万+
想必大多数人都遇见过这个问题:在下载某些项目依赖,或者某些编程相关的工具时网速极慢,只有可怜的几十k的网速,甚至有时候只有几k,当时真有一种把电脑砸了的冲动。而造成这个问题的主要原因就是这些站点的服务器在国外,我们访问时自然要受到限制,那有没有解决办法呢?当然有,今天我就教你使用开源应用实现虚拟专用网络,突破访问限制,以后妈妈再也不用担心我网络限速了。
VPN部署场景——IPSec VPN—点到点VPN(1)
君逍遥o
09-21 870
如图所示,通过VPN将2个局域网连接起来,实现192.168.0.0/24与192.168.1.0/24两个网段的通信
VPN部署场景——IPSec VPN—点到点VPN(3)
君逍遥o
09-21 745
如图所示,某公司总部内部有一台OA服务器,其余分3个支机构都需要通过vpn拨入总部内网对OA服务器进行访问,为了方便配置,总部不想有太多的配置,总部只建立一条vpn隧道,实现所有分支机构和总部的通讯。但各个分支与总部的私网地址重叠,需要使用VIP和NAT将两段的网段硬设备不同的IP地址。
企业开源办公虚拟专用网工具
热门推荐
分享不一样的技术,与你一起共同成长!
10-17 4万+
这个不用担心, 这些IPsec VPN就是一种隧道加密速度,把【原始TCP的数据包】通过物理UDP协议来进行传输, 在这个层面你可以理解UDP是底层基础网络设施跟网线的作用差不多,我们只管真实TCP即可. 如果UDP丢包,那么TCP协议本身就是会重传,所以这些问题不用担心.还有一个不想用pptp的原因就是,我macos的电脑不支持pptp协议,找了一些替代品的软件也不行,最终抛弃这个pptp的解决方案。正好找到了一个开源办公VPN项目,支持Docker容器化部署,正合我意,给大家分享一下.
ocserv-users-management:具有配置和Web面板的Ocserv安装脚本,用于在Ubuntu发行版中管理用户和Ocserv服务。 已测试Ubuntu 18.04和20.04
05-12
OcservOcserv用户管理面板 An automatic script for : ""install ocserv in linux servers (ubuntu server tested)"" ""deploy web app with complete installation (nginx, systemctl services and uwsgi)"" run only install.sh in your server to install ocserv and ocserv user managemnet pannel dont forgot this command : chmod 755 install.sh 登录用户面板参数: # username : admin # password : admin 将面板中的ocpasswd文件与db同步: #
Centos7安装ocserv服务器
识途老码
11-16 4925
Centos7安装ocserv服务器
CentOS 7搭建基于账户的ocserv
平庸
02-08 8316
CentOS 7搭建基于账户文件的ocserv
ocserv 配置方法
aifeie2259的博客
04-10 6161
1.安装ocservocserv 已经在 epel 仓库中提供了,所以可以直接通过 yum 安装   $ yum install epel-release   $ yum install ocserv 2.创建 CA cd /etc/ocserv mkdir CA cd CA vim ca.tmpl cn = "liuyuanzhe...
在CentOS 7 上搭建ocserv
Zzz's Blog
09-09 1684
ocserv 是一个 OpenConnect SSL VPN 协议服务端,0.3.0 版后兼容使用 AnyConnect SSL VPN 协议的终端。官方主页。ocserv 已经在 epel 仓库中提供了,所以可以直接通过 yum 安装安装 ocserv
制作ocserv-docker
aifeie2259的博客
04-10 704
docker 教程:http://www.runoob.com/docker/docker-hello-world.html 1.安装docker yum install docker 2.使用Dockerfile 来创建镜像 FROM centos:6.7 MAINTAINER liuyuanzhen "[email protected]" RU...
锐捷防火墙(WEB)——VPN部署场景—VPN技术介绍
君逍遥o
09-21 1926
总公司和分公司各自的内网要能够互相共享资料,且共享资料的流量需要经过各自的出口设备后在Internet上传输,为了保证流量在Internet传输过程中的安全性,希望资料在网络传输中不易被黑客截获破解窃取,保证资料的安全保密,此时您可以在总公司和分公司的网络设备上建立IPSec VPN,它即能实现总公司和分公司之间能够互相访问共享资料,也能对数据传输进行加密,保证了数据的安全性 。
OpenVPN服务器
想做职场小白吗? 我来教您.......
08-28 1万+
openvpn是一个开源vpn服务搭建软件。可以使企业出差的员工远程访问到公司局域网中的共享资料。同时VPN服务器和vpn客户端建立连接之前会通过数字证书互相进行身份验证,并对传输的数据进行加密处理。vpn服务器和远程客户端通过使用虚拟网卡tun设备来维持vpn隧道的连接,客户端和服务端的数据都需先经过虚拟网卡tun设备的SSL的加密处理之后,在从tcp或udp的连接上将数据包从物理网卡发送出去。首先远程客户端请求与vpn服务器建立连接、协商建立会话ID。
开源实时以太网-powerlink详解 pdf
05-13
PDF文件《开源实时以太网-Powerlink详解》是一份关于开源的实时以太网技术的详细介绍,它包括了Powerlink协议的基础和应用,以及Powerlink工程的实现方法等方面的内容。 Powerlink协议是一种实时的以太网协议,它基于Ethernet/IP,采用了自主控制机制,并支持周期性数据传输,保证了各种任务繁重的自动化应用的实时性和可靠性。 在开源方面,本文介绍到了Powerlink开源实现以及Powerlink组态工具开源实现,这也提高了Powerlink的开发和应用的灵活性,使其成为工业自动化领域的重要组成部分。 此外,本文还讲述了Powerlink的应用例子,包括工业机器人、自动化物流和生产线控制等。这些应用展示了Powerlink协议的实时性和可靠性,证实了Powerlink在工业自动化领域的应用前景。 综上所述,PDF文件《开源实时以太网-Powerlink详解》是一份详细而全面的Powerlink协议介绍,向读者详细介绍了其基本原理和应用领域,以及其在工业自动化领域中的广泛应用。对于工业自动化领域的研究人员和工程师,本文提供了重要的指导和参考。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

liudongliang125

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值