OPEN VPN-服务端

虚拟专用网络

• 设置OpenVPN，采用EasyRsa3进行部署。
• VPN隧道通道使用三层点到点模式，使用TCP 2023进行连接。
• 对于VPN服务器端使用固定地址192.168.1.1/24。
• 对于VPN客户端，请使用范围192.168.1.200-192.168.1.220/24。
• 互联网区域客户端通过OpenVPN访问chinaskills域网络。

注：RouterSrv为服务、OutsideCli为客户。24年题目具体记不清楚，可能也就换个ip和udp+端口号改tcp+端口号

一、安装OPEN VPN 及查看位置

1.安装的时候要选择Customize，勾选openvpn service和EasyRSA3 安装，用于服务端配置和证书生成使用。

2.安装完成后软件默认位置C:\Program Files\OpenVPN目录

二、生证书

1.进入EasyRSA shell 环境dos窗口

进入C:\Program Files\OpenVPN\easy-rsa目录，双击EasyRSA-Start.bat 进入EasyRSA shell 环境dos窗口中；

2.初始化证书生成程序

弹出的dos窗口中输入./easyrsa init-pki 初始化证书生成程序，初始化成功后会在C:\Program Files\OpenVPN\easy-rsa目录下新建文件夹kpi，如下图示：

3.生成ca证书

在dos窗口中输入./easyrsa build-ca nopass生成无密码CA证书，生成过程中会要求输入证书名称，随意输入即可，本次使用Open_CA作为名称，生成结束后会打印出证书所在目录easy-rsa\pki\ca.crt；

4.生成服务端证书

输入./easyrsa build-server-full server nopass 生成无密码服务端证书,生成后证书文件在C:\Program Files\OpenVPN\easy-rsa\pki\issued文件夹

5.生成客户端证书

输入./easyrsa build-client-full client nopass生成无密码客户端证书,生成后证书在C:\Program Files\OpenVPN\easy-rsa\pki\issued文件夹

6.生成DH密钥交换协议

输入./easyrsa gen-dh生成DH密钥交换协议文件,生成文件在C:\Program Files\OpenVPN\easy-rsa\pki目录下

7.目录C:\Program Files\OpenVPN\easy-rsa\pki\private下为证书key

三、移动证书位置及修改

1.修改服务端配置文件(根据题目需求，下方修改仅供参考)

复制server.ovpn文件至C:\Program Files\OpenVPN\config目录，修改如下选项：

1)端口：（公网需要对应开通此端口）port udp 1194
2)协议文件名：dh dh2048.pem修改为dh dh.pem
3)运行多用户使用同一客户端证书：;duplicate-cn取消注释（前面;号删除）修改为duplicate-cn
4)注释掉此行(前面加#号): tls-auth ta.key 0修改为#tls-auth ta.key 0

2.证书复制配置

将服务证书，服务key，ca证书，dh文件复制到文件夹C:\Program Files\OpenVPN\config下

3.连接

右键点击任务栏带锁小电脑图标，点击连接，连接成功后会变绿，系统提示分配ip

注：  因为VPN需要通过公网访问，需要在路由器中将udp 1194端口转发到内网服务器所在ip