访问公司内网

一、环境规划

主机名           外网ip       内网ip
openvpn       10.1.0.88   192.168.33.88

二、安装openvpn服务
2.1、安装依赖环境安装包

yum -y install openssl openssl-devel lzo openvpn easy-rsa

2.2、生成证书文件

cp -rp /usr/share/easy-rsa/3.0/* /etc/openvpn/
vim vars
export KEY_COUNTRY="CN"
export KEY_PROVINCE="CH"
export KEY_CITY="SICHUAN"
export KEY_ORG="JISHUBU"
export KEY_EMAIL="xxxx@qq.com"
export KEY_OU="yunweibu"

export KEY_NAME="EasyRSA"

2.3、初始化
[root@openvpn openvpn]# ./easyrsa init-pki

2.4、创建根证书
根证书用于ca对之后生成的server和client证书签名时使用
[root@openvpn openvpn]# ./easyrsa build-ca

2.5、创建server端证书和私钥文件
nopass表示不加密私钥文件，生成过程中直接回车默认
[root@openvpn openvpn]# ./easyrsa gen-req server nopass

2.6、给server证书签名
[root@openvpn openvpn]# ./easyrsa sign server server

2.7、创建Diffie-Hellman文件，秘钥交换时的Diffie-Hellman算法
[root@openvpn openvpn]# ./easyrsa gen-dh

2.8、创建server端证书和私钥文件
nopass表示不加密私钥文件，生成过程中直接回车默认
[root@openvpn openvpn]# ./easyrsa gen-req client nopass

2.9、给client端证书签名
[root@openvpn openvpn]# ./easyrsa sign client client

三、OpenVPN服务端部署
3.1、修改配置文件
自行创建配置文件/etc/openvpn/server.conf，并加入如下配置

port 1194 #端口
proto udp #协议
dev tun #采用路由隧道模式tun
ca ca.crt #ca证书文件位置
cert server.crt #服务端公钥名称
key server.key #服务端私钥名称
dh dh.pem #交换证书
server 10.8.0.0 255.255.255.0 #给客户端分配地址池，注意：不能和VPN服务器内网网段有相同
push "route 192.168.122.0 255.255.255.0" #允许客户端访问内网192.168.122.0网段
ifconfig-pool-persist ipp.txt #地址池记录文件位置
keepalive 10 120 #存活时间，10秒ping一次,120 如未收到响应则视为断线
max-clients 100 #最多允许100个客户端连接
status openvpn-status.log #日志记录位置
verb 3 #openvpn版本
client-to-client #客户端与客户端之间支持通信
log /var/log/openvpn.log #openvpn日志记录位置
persist-key #通过keepalive检测超时后，重新启动VPN，不重新读取keys，保留第一次使用的keys。
persist-tun #检测超时后，重新启动VPN，一直保持tun是linkup的。否则网络会先linkdown然后再linkup
duplicate-cn

3.2、拷贝证书到openvpn主配置文件目录下

cp /etc/openvpn/pki/ca.crt /etc/openvpn/
cp /etc/openvpn/pki/issued/server.crt  /etc/openvpn/
cp /etc/openvpn/pki/private/server.key /etc/openvpn/
cp /etc/openvpn/pki/dh.pem  /etc/openvpn/

添加check文件

[root@openvpn openvpn]# cat /etc/openvpn/check.sh
#!/bin/sh
###########################################################
PASSFILE="/etc/openvpn/openvpnfile"
LOG_FILE="/var/log/openvpn-password.log"
TIME_STAMP=`date "+%Y-%m-%d %T"`

if [ ! -r "${PASSFILE}" ]; then
    echo "${TIME_STAMP}: Could not open password file \"${PASSFILE}\" for reading." >> ${LOG_FILE}
    exit 1
fi

CORRECT_PASSWORD=`awk '!/^;/&&!/^#/&&$1=="'${username}'"{print $2;exit}' ${PASSFILE}`

if [ "${CORRECT_PASSWORD}" = "" ]; then
    echo "${TIME_STAMP}: User does not exist: username=\"${username}\", password=\"${password}\"." >> ${LOG_FILE}
    exit 1
fi
if [ "${password}" = "${CORRECT_PASSWORD}" ]; then
    echo "${TIME_STAMP}: Successful authentication: username=\"${username}\"." >> ${LOG_FILE}
    exit 0
fi

echo "${TIME_STAMP}: Incorrect password: username=\"${username}\", password=\"${password}\"." >> ${LOG_FILE}
exit 1

3.3、启动openvpn

systemctl start openvpn@server.service
systemctl enable openvpn@server.service

四、OpenVPN客户端部署
4.1、安装OpenVPN客户端软件
这里是在windows环境下部署OpenVPN的客户端的，首先需要下载安装OpenVPN客户端软件

https://file.download.io/windows/security-privacy/VPN/openvpn-gui/2.4.8-I601/openvpn-install-2.4.8-I601-Win10.exe

4.2、配置客户端
拷贝服务端生成的证书到OpenVPN安装目录的config目录下
分别拷贝以下几个文件

/etc/openvpn/pki/ca.crt
/etc/openvpn/pki/issued/client.crt
/etc/openvpn/pki/private/client.key

4.3、编写客户端配置文件
在OpenVPN安装目录的config目录下，新建一个client.ovpn文件，在文件中添加如下配置

client #指定当前VPN是客户端
dev tun #使用tun隧道传输协议
proto udp #使用udp协议传输数据
remote 10.1.0.88 1194 #openvpn服务器IP地址端口号
resolv-retry infinite #断线自动重新连接，在网络不稳定的情况下非常有用
nobind #不绑定本地特定的端口号
ca ca.crt #指定CA证书的文件路径
cert client.crt #指定当前客户端的证书文件路径
key client.key #指定当前客户端的私钥文件路径
verb 3 #指定日志文件的记录详细级别，可选0-9，等级越高日志内容越详细
persist-key #通过keepalive检测超时后，重新启动VPN，不重新读取keys，保留第一次使用的keys
persist-tun #检测超时后，重新启动VPN，一直保持tun是linkup的。否则网络会先linkdown然后再linkup

4.4、启动OpenVPN客户端软件
双击安装好的OpenVPN软件，然后右键点击连接。

连接成功后，在托任务栏位置的OpenVPN图标会变绿色，则说明OpenVPN已经连接成功。

OpenVPN会分配一个IP地址给客户端，客户端会使用该虚拟网络IP地址与服务端进行通信。
五、OpenVPN客户端访问内网
5.1、在OpenVPN服务端开启内核转发
无论用哪种方式访问内部网络，都必须开启内核转发。

[root@openvpn openvpn]# echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
[root@openvpn openvpn]# sysctl -p

5.2、修改防火墙配置

[root@openvpn openvpn]# iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o ens192 -j MASQUERADE

六、双重验证登录
6.1、修改server端配置
6.2、修改配置文件
6.2.1、在配置文件/etc/openvpn/server.conf中添加以下配置

script-security 3              #允许使用自定义脚本
auth-user-pass-verify /etc/openvpn/check.sh via-env
username-as-common-name         #用户密码登陆方式验证

PS：如果加上client-cert-not-required则代表只使用用户名密码方式验证登录，如果不加，则代表需要证书和用户名密码双重验证登录！
6.3、添加脚本

[root@openvpn openvpn]# vim /etc/openvpn/check.sh
#!/bin/sh
###########################################################
PASSFILE="/etc/openvpn/openvpnfile"
LOG_FILE="/var/log/openvpn-password.log"
TIME_STAMP=`date "+%Y-%m-%d %T"`

if [ ! -r "${PASSFILE}" ]; then
    echo "${TIME_STAMP}: Could not open password file \"${PASSFILE}\" for reading." >> ${LOG_FILE}
    exit 1
fi

CORRECT_PASSWORD=`awk '!/^;/&&!/^#/&&$1=="'${username}'"{print $2;exit}' ${PASSFILE}`

if [ "${CORRECT_PASSWORD}" = "" ]; then
    echo "${TIME_STAMP}: User does not exist: username=\"${username}\", password=\"${password}\"." >> ${LOG_FILE}
    exit 1
fi
if [ "${password}" = "${CORRECT_PASSWORD}" ]; then
    echo "${TIME_STAMP}: Successful authentication: username=\"${username}\"." >> ${LOG_FILE}
    exit 0
fi

echo "${TIME_STAMP}: Incorrect password: username=\"${username}\", password=\"${password}\"." >> ${LOG_FILE}
exit 1

6.4、给脚本添加执行权限

[root@openvpn openvpn]# chmod +x /etc/openvpn/check.sh 

6.5、编写用户密码文件

 [root@openvpn openvpn]# cat /etc/openvpn/openvpnfile
 ljx 123456

6.6、重启openvpn服务（可以不用重启服务端）

systemctl restart openvpn@server.service

6.7、修改客户端配置
6.7.1、在安装目录下config目录下的client.ovpn文件中添加如下配置

auth-user-pass

然后重启OpenVPN客户端软件。
再次使用就会跳出用户登录窗口了

输入用户名和密码后登录成功！！！