如何在Ubuntu 系统中搭建 OpenVPN 服务

最新推荐文章于 2024-09-20 22:57:49 发布
最新推荐文章于 2024-09-20 22:57:49 发布
阅读量7.4k 收藏 56
点赞数 28
文章标签: ubuntu linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45206551/article/details/132428222
版权

首先说明一下,本机环境具体如下:

操作系统:Ubuntu-18.04-LTS
内网 IP : 192.168.1.110
外网 IP : 14.153.76.90
OpenVPN 版本:2.4.4

文章目录


一、安装 OpenVPN
二、创建证书和秘钥

  1. 修改并初始化环境变量
  2. 创建秘钥
    三、创建服务器端配置文件(server.conf)
    四、配置内核和防火墙,启动服务端
    五、创建客户端配置文件 client.ovpn (用于客户端软件使用)
    六、在路由器上创建虚拟服务器
    七、启动客户端

一、安装 OpenVPN

首先安装一些依赖,安装openssl和lzo,lzo用于压缩通讯数据加快传输速度

sudo apt-get install openssl libssl-dev
sudo apt-get install lzop

安装 OpenVPN 和 easy-rsa

sudo apt-get install openvpn
sudo apt-get install easy-rsa

二、创建证书和秘钥

安装完 easy-rsa 之后我们就可以开始创建 OpenVPN 服务所需要的秘钥了。

  1. 修改并初始化环境变量
sudo su
cd /usr/share/easy-rsa/
vim vars

# 修改注册信息,比如公司地址、公司名称、部门名称等。
export KEY_COUNTRY="CN"
export KEY_PROVINCE="GuangDong"
export KEY_CITY="ShenZhen"
export KEY_ORG="XJXH"
export KEY_EMAIL="rock@xjxh.io"
export KEY_OU="FuckItWhatever"
export KEY_NAME="EasyRSA"

# 使环境变量生效
source ./vars

# 添加 openssl 配置文档
cp openssl-1.0.0.cnf openssl.cnf

2. 创建秘钥

# 清除keys目录下所有与证书相关的文件
# 下面步骤生成的证书和密钥都在/usr/share/easy-rsa/keys目录里
./clean-all

# 生成根证书ca.crt和根密钥ca.key(一路按回车即可)
./build-ca

# 为服务端生成证书和私钥, --batch 表示保持默认设置,无须回车确认
./build-key-server --batch server

# 为客户端生成证书和私钥
./build-key --batch client

# 创建迪菲·赫尔曼密钥,会生成dh2048.pem文件(生成过程比较慢,在此期间不要去中断它)
./build-dh

# 生成ta.key文件(防DDos攻击、UDP淹没等恶意攻击)
openvpn --genkey --secret keys/ta.key

三、创建服务器端配置文件(server.conf)

首先在 openvpn 的配置目录下新建一个 keys 目录

sudo mkdir -p /etc/openvpn/keys

然后,将需要用到的 openvpn 证书和密钥复制一份到刚创建好的 keys 目录中

cp /usr/share/easy-rsa/keys/{ca.crt,server.{crt,key},dh2048.pem,ta.key} /etc/openvpn/keys/

复制一份服务器端配置文件模板 server.conf 到 /etc/openvpn/

gzip -d /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf /etc/openvpn/

编辑 server.conf

# 服务端口
port 1194

# 使用的传输协议
proto tcp
# 路由模式,桥接模式用dev tap
dev tun

# 证书路径
ca keys/ca.crt
cert keys/server.crt
key keys/server.key

dh keys/dh2048.pem

# 默认虚拟局域网网段,不要和实际的局域网冲突即可
server 10.8.0.0 255.255.255.0

ifconfig-pool-persist /var/log/openvpn/ipp.txt

# 192.168.1.0 是我的 OpenVPN 服务器所在在局域网的网段
# 如果你的局域网不是这个,那这里需要修改成你的网段
push "route 192.168.1.0 255.255.255.0"
# 如果客户端都使用相同的证书和密钥连接VPN,一定要打开这个选项,否则每个证书只允许一个人连接VPN
duplicate-cn

# 这里如果设置了 tls-auth 则客户端也要设置,而且要跟服务器端对应,服务端为0,客户端则为 1
# 我这里注释掉了,因为我客户端没有使用 tls-auth
;tls-auth keys/ta.key 0 # This file is secret
;key-direction 0

# clients we want to allow.
max-clients 100

persist-key
persist-tun

status /var/log/openvpn/openvpn-status.log
log         /var/log/openvpn/openvpn.log
log-append  /var/log/openvpn/openvpn.log

verb 3

# 如果上面配置了传输方式为 TCP, 则此处应该注释掉,否则会产生冲突
;explicit-exit-notify 1

# 这里配置使用用户名和密码登录的支持,可以取代使用秘钥和证书登录
auth-user-pass-verify /etc/openvpn/checkpsw.sh via-env
# 这里非常重要,如果你启用了该选项,你就只需要通过用户名和密码登录了
# 但是如果你注释了该选项,那你必须使用 用户名 + 密码 + 证书 才能登录成功,缺一不可。
;verify-client-cert none
username-as-common-name
script-security 3

如果你配置了使用用户名和密码登录,那么你需要创建登录验证脚本 vim /etc/openvpn/checkpsw.sh

#!/bin/sh
###########################################################
# checkpsw.sh (C) 2004 Mathias Sundman <mathias@openvpn.se>
#
# This script will authenticate OpenVPN users against
# a plain text file. The passfile should simply contain
# one row per user with the username first followed by
# one or more space(s) or tab(s) and then the password.
PASSFILE="/etc/openvpn/psw-file"
LOG_FILE="/etc/openvpn/openvpn-password.log"
TIME_STAMP=`date "+%Y-%m-%d %T"`
###########################################################
if [ ! -r "${PASSFILE}" ]; then
  echo "${TIME_STAMP}: Could not open password file "${PASSFILE}" for reading." >> ${LOG_FILE}
  exit 1
fi
CORRECT_PASSWORD=`awk '!/^;/&&!/^#/&&$1=="'${username}'"{print $2;exit}' ${PASSFILE}`
if [ "${CORRECT_PASSWORD}" = "" ]; then
  echo "${TIME_STAMP}: User does not exist: username="${username}", password="${password}"." >> ${LOG_FILE}
  exit 1
fi
if [ "${password}" = "${CORRECT_PASSWORD}" ]; then
  echo "${TIME_STAMP}: Successful authentication: username="${username}"." >> ${LOG_FILE}
  exit 0
fi
echo "${TIME_STAMP}: Incorrect password: username="${username}", password="${password}"." >> ${LOG_FILE}
exit 1

然后你还需要创建一个密码本文件 vim /etc/openvpn/psw-file,每一行一个用户,用户名和密码之间用空格隔开:

user1 pass1
user2 pass2
user3 pass3

至此服务端配置完成。

四、配置内核和防火墙,启动服务端
第一步,开启路由转发功能

sed -i '/net.ipv4.ip_forward/s/0/1/' /etc/sysctl.conf
sed -i '/net.ipv4.ip_forward/s/#//' /etc/sysctl.conf
sysctl -p

第二步,配置 iptables

iptables -I INPUT -p tcp --dport 1194 -m comment --comment "openvpn" -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j MASQUERADE

然后我们保存 iptables 设置,并在开机自动加载配置,初始化。这里可以通过 iptables-persistent 来快速实现

sudo apt-get install iptables-persistent

保存规则

sudo service netfilter-persistent save
下次开机启动的时候就可以看到 iptables 规则已经自动加载

$ sudo iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:openvpn /* openvpn */

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

关闭 ufw 防火墙

ufw disable

第三步,启动 OpenVPN 服务

/etc/init.d/openvpn start
# 设置开机启动
systemctl enable openvpn@server

五、创建客户端配置文件 client.ovpn (用于客户端软件使用)

首先复制一份 client.conf 模板命名为 client.ovpn

mkdir ~/openvpn-client
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf ~/openvpn-client/client.ovpn

然后修改 client.ovpn, vim /etc/openvpn/client.ovpn

client
# 这里设置跟服务端一样
dev tun
proto tcp

# OpenVPN 服务端 IP 和端口
remote 14.153.76.90 1194

resolv-retry infinite

nobind

persist-key
persist-tun

# 这里设置证书和秘钥
ca ca.crt
cert client.crt
key client.key

remote-cert-tls server

# 如果服务端使用 tls-auth, 则这里也要启用
;tls-auth ta.key 1

comp-lzo

verb 3

# 用来存放用户名和密码的文件路径,这样在连接的时候就不需要手动输入用户名密码了
auth-user-pass pass.txt

修改好客户端配置文档之后,接下来需要把证书文件也一起拷贝到 ~/openvpn-client 文件夹中:

cp /ect/openvpn/keys/ca.crt ~/openvpn-client
cp /usr/share/easy-rsa/keys/client.crt ~/openvpn-client
cp /usr/share/easy-rsa/keys/client.key ~/openvpn-client

然后还需要在 openvpn-client 目录中新建 pass.txt 文件,第一行写用户名,第二行写密码:

user1
pass1

七、启动客户端
启动客户端很简单,只需要把上一步我们创建的 openvpn-client 文件夹拷贝到客户端机器,然后执行下面的命令:

cd openvpn-client
sudo openvpn --config client.ovpn

如果你看到输出类似下面的日志,则说明你已经成功连接上了 VPN, 你可以直接访问 VPN 服务器所在的网络了。

Sat Apr 20 14:30:34 2019 /sbin/ip link set dev tun0 up mtu 1500
Sat Apr 20 14:30:34 2019 /sbin/ip addr add dev tun0 local 10.8.0.6 peer 10.8.0.5
Sat Apr 20 14:30:34 2019 /sbin/ip route add 192.168.0.0/24 via 10.8.0.5
Sat Apr 20 14:30:34 2019 /sbin/ip route add 10.8.0.1/32 via 10.8.0.5
Sat Apr 20 14:30:34 2019 Initialization Sequence Completed
独壹@无贰
关注
基于openvpn的web管理系统,前后端分离设计。
09-21
基于openvpn的web管理系统,前后端分离设计。
ubuntu24.04系统安装和配置OpenVPN服务
shuaijie506的专栏
09-26 743
本文记录了在 ubuntu24.04 系统安装 OpenVPN 服务端软件并进行配置的过程,同时也记录了在windows和linux系统安装配置 OpenVPN 客户端软件的过程
配置OpenVPN会让自己的网速变慢吗?
yypzy27997的博客
09-20 1175
配置OpenVPNOpen Virtual Private Network)是一种常见的网络安全解决方案,它通过加密的隧道连接用户设备与远程服务器,以保护数据隐私、提供匿名性并绕过地理限制。,但具体影响取决于多个因素。以下是OpenVPN可能影响网速的几个主要原因,以及如何减轻这些影响。
Ubuntu一键部署Open VN
fz362193453的博客
04-05 4360
1、下载安装 1.1 登录root账户 su root 1.2 下载一键部署脚本 git clone https://github.com/guoew/openvpn-install.git 1.3 运行脚本 cd openvpn-install && bash openvpn-install.sh 2、添加账号 在openvpn目录下的userfile.sh添加用户名和口令,以空格隔开 服务端配置完成。 3、客户端部署使用 将客户端配置文件 /root/client.ovpn,导入客户端。 客户端配置
Ubuntu一键导入openVPN配置文件
衡水铁头哥的博客
07-24 2361
正文共:888 字 9 图,预估阅读时间:1 分钟上篇文章Ubuntu配置openVPN服务端和客户端),我们在Ubuntu系统配置了openVPN服务端和客户端。再配置添加客户端的VPN时,我们看到除了openVPN和PPTP这两种VPN之外,还有一个导入配置文件。PPTP我还不知道有没有配置文件,但是openVPN是有的,之前Windows等系统就是通过配置文件导入的(openVPN客户...
Ubuntu 搭建OpenVPN服务器
热门推荐
m0_56015193的博客
11-24 2万+
VPN直译译就是虚拟专用通道,是提供给企业之间或者个人与公司之间安全传输的隧道,OpenVPN无疑是Linux下开源VPN的先锋,提供了良好的性能和友好的用户GUI。它大量使用了OpenSSL加密库的SSLv3/TLSv1协议函数库。OpenVPN通过使用公开密钥(非对称密钥,加密解密使用不同的Key,一个称为Publice Key,另外一个是Private Key)对数据进行加密的。这种方式称为TLS加密。
ubuntu 22.04搭建OpenVPN服务器
wfjdemmye的博客
07-01 1万+
ubuntu 22.04搭建OpenVPN服务器
Ubuntu OpenVPN
a1058926697的博客
08-28 3919
为了使用OpenVPN客户端,需要下载OpenVPN配置文件。您可以直接从VPN服务提供商的网站上下载这个配置文件,或者联系VPN服务提供商获取它。通常,OpenVPN配置文件扩展名为`.ovpn`。本文将向您介绍如何在Ubuntu系统下安装和使用OpenVPN客户端。现在,OpenVPN客户端将尝试使用您的VPN凭据来连接VPN服务器。您需要将命令的`/path/to/config.ovpn`替换为您下载OpenVPN配置文件的路径。使用OpenVPN客户端将帮助您在互联网上保护您的隐私。
(一)在ubuntu20.04安装VPN服务
07-14 1万+
主要应用场景:外网调试升级工厂现场设备
Ubuntu搭建openVpn服务
程序员进阶之路
07-18 3107
openvpn 是要安装的主要软件包,下面是在ubuntu上面的搭建步骤
阿里云 ubuntu16.04搭建IPSec服务
01-20
IPSec协议的设计目标:是在IPV4和IPV6环境为网络层流量提供灵活的安全服务。 IPSec VPN:是基于IPSec协议族构建的在IP层实现的安全虚拟专用网。通过在数据包插入一个预定义头部的方式,来保障OSI上层协议数据的...
在Windows Server 2003安装和配置VPN服务器.doc
06-29
服务器
openvpn的几种组网方式
最新发布
10-16
openvpn的几种组网方式
ubuntu搭建vpn步骤
AveryThing的博客
04-26 1万+
sudo iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 你的公网ip。Sudo apt-get install iptables (若机器已安装请忽略,可以使用iptables -L 查看是否安装)ps -ef |grep pptpd 查看进程是否启动。格式:用户名 服务类型 密码 分配的ip地址。确保文件的内容有如下选项的配置。确保文件的内容有如下选项的配置。确保文件的内容有如下选项的配置。
openvpn easy-rsa
cyuyan的专栏
08-14 921
有的VPS比较奇怪,我们需要再加点料iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT –to-source 114.138.164.131 –to-source后面跟你VPS的IP。映射内部web: iptables -t nat -A PREROUTING -d (外网地址) -p tcp --dport 80 -j DNAT --to 10.1.120.251。您的公共接口是在此命令的输出找到的跟在单词“dev”之后的字符串。
Ubuntu搭建openvpn服务器
九儿九只的博客
11-16 3607
openvpn ubuntu
Ubuntu22.04安装OpenVPN服务端和win10客户端
貔貔的小叶
03-01 3324
亲测基于下面的命令安装两次都成功安装,只要将下面的代码依次复制到命令行回车运行就行,目前按照的仅供学习交流使用,生产环境请谨慎使用,做好数据加密处理,话不多说直接安排上执行命令。将user1.ovpn文件放入到C:\Users\\OpenVPN\config。以Windows11系统为例,下载开源版的OpenVPN客户端,打开OpenVPN GUI,左下角托盘,右键连接,成功。user1.ovpn文件内容。
Linux搭建OpenVPN服务器
04-22
好的,很高兴收到您的问题。在Linux服务器搭建OpenVPN服务器需要以下几个步骤: 1. 安装OpenVPN软件包 在Ubuntu系统上,可以使用以下命令安装OpenVPN软件包: ``` sudo apt-get update sudo apt-get install openvpn ``` 2. 创建证书和密钥 在OpenVPN服务器上,您需要为每个客户端创建一个证书和密钥对。可以使用EasyRSA或OpenSSL工具的脚本或手动创建它们。 3. 配置OpenVPN服务器 您需要编辑OpenVPN服务器的配置文件并进行以下配置: - 指定使用UDP或TCP协议。 - 指定使用的OpenVPN协议版本。 - 指定使用的加密算法。 - 指定DH密钥交换大小。 - 指定本地虚拟IP地址池。 - 指定客户端连接所使用的端口号和IP地址。 4. 配置IP转发和iptables防火墙规则 在OpenVPN服务器上,需要开启IP转发并添加iptables防火墙规则以允许OpenVPN流量通过。可以使用以下命令开启IP转发: ``` sudo sysctl -w net.ipv4.ip_forward=1 ``` 并使用以下规则添加iptables规则: ``` sudo iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT sudo iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT ``` 5. 启动OpenVPN服务器 最后,您需要使用以下命令启动OpenVPN服务器: ``` sudo openvpn --config /path/to/server.conf ``` 希望这些步骤能够帮助您成功地在Linux服务器搭建OpenVPN服务器
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值