UOS桌面操作系统搭建open vxn服务

已于 2023-02-20 16:49:20 修改
阅读量1.7k 收藏 1
点赞数
分类专栏: 统信操作系统 Linux 文章标签: 服务器 linux 网络
于 2023-02-20 15:39:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013317172/article/details/129123366
版权

UOS系统搭建openVPN

一、环境说明

IP地址说明
10.200.152.67服务端
10.200.152.68客户端

测试环境保证时间的同步,不然会存在客户端拨号报错情况

二、服务端配置

1、软件安装

sudo apt install openvpn easy-rsa -y

说明:easy-rsa主要用来给OpenVPN Server启动要用到的相关证书的生成

2、创建目录用来存放生成证书中要用到的各种文件

mkdir /etc/openvpn/easy-rsa

3、准备证书生成相关文件

cp -ra /usr/share/easy-rsa/* /etc/openvpn/easy-rsa/

4 、准备生成证书用的CSR相关配置

创建/etc/openvpn/easy-rsa/vars配置文件

cat <<EOF > /etc/openvpn/easy-rsa/vars
set_var EASYRSA_REQ_COUNTRY "CN"
set_vEASYRSA_REQ_PROVINCE "BeiJing"
set_var EASYRSA_REQ_CITY "Bei Jing"
set_var EASYRSA_REQ_ORG "TEST Co"
set_var EASYRSA_REQ_EMAIL "it@test.com"
set_var EASYRSA_REQ_OU "Test Organizational Unit"
#证书有效期
set_var EASYRSA_CA_EXPIRE 3650
set_var EASYRSA_CERT_EXPIRE 3650
EOF

5、生成CA证书

cd /etc/openvpn/easy-rsa/
./easyrsa init-pki

Note: using Easy-RSA configuration from: /etc/openvpn/easy-rsa/vars
init-pki complete; you may now create a CA or requests.
Your newly created PKI dir is: /etc/openvpn/easy-rsa/pki

./easyrsa build-ca

Note: using Easy-RSA configuration from: /etc/openvpn/easy-rsa/vars
Using SSL: openssl OpenSSL 1.0.2k-fips 26 Jan 2017
Enter New CA Key Passphrase: 需要设置一个密码,我这里设为"123456"
Re-Enter New CA Key Passphrase:
Generating RSA private key, 2048 bit long modulus
……………………………+++
……………………………….+++
e is 65537 (0x10001)
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
- - - - -
Common Name (eg: your user, host, or server name) [Easy-RSA CA]: 输入"CN"后直接回车
CA creation complete and you may now import and sign cert requests.
Your new CA certificate file for publishing is at:
/etc/openvpn/easy-rsa/pki/ca.crt

6、生成服务端证书

./easyrsa gen-req server nopass

Note: using Easy-RSA configuration from: /etc/openvpn/easy-rsa/vars
Using SSL: openssl OpenSSL 1.0.2k-fips 26 Jan 2017
Generating a 2048 bit RSA private key
.……………………………………………………….+++
.+++
writing new private key to '/etc/openvpn/easy-rsa/pki/easy-rsa-982.cJcd0X/tmp.RiZw8A'
-——
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-——
Common Name (eg: your user, host, or server name) [server]: 输入"CN",直接回车
Keypair and certificate request completed. Your files are:
req: /etc/openvpn/easy-rsa/pki/reqs/server.req
key: /etc/openvpn/easy-rsa/pki/private/server.key

7、使用CA给服务端证书签名

./easyrsa sign server server


Note: using Easy-RSA configuration from: /etc/openvpn/easy-rsa/vars
Using SSL: openssl OpenSSL 1.0.2k-fips 26 Jan 2017
You are about to sign the following certificate.
Please check over the details shown below for accuracy. Note that this request
has not been cryptographically verified. Please be sure it came from a trusted
source or that you have verified the request checksum with the sender.
Request subject, to be signed as a server certificate for 3650 days:
subject=
commonName = CN
Type the word 'yes' to continue, or any other input to abort.
Confirm request details: yes,这里输入yes
Using configuration from /etc/openvpn/easy-rsa/pki/easy-rsa-1033.vfaQKy/tmp.CHstGn
Enter pass phrase for /etc/openvpn/easy-rsa/pki/private/ca.key: 这里输入步骤4中设置的密码"123456"
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
commonName :ASN.1 12:'CN'
Certificate is to be certified until Aug 17 08:36:18 2031 GMT (3650 days)
Write out database with 1 new entries
Data Base Updated
Certificate created at: /etc/openvpn/easy-rsa/pki/issued/server.crt

8、生成DH证书

./easyrsa gen-dh

Note: using Easy-RSA configuration from: /etc/openvpn/easy-rsa/vars
Using SSL: openssl OpenSSL 1.0.2k-fips 26 Jan 2017
Generating DH parameters, 2048 bit long safe prime, generator 2
This is going to take a long time
…………………………………………………………………………………………….++++
DH parameters of size 2048 created at /etc/openvpn/easy-rsa/pki/dh.pem

9、生成ta密钥

openvpn --genkey --secret /etc/openvpn/ta.key  #输入配置的密码

10、生成客户端证书,然后将它们复制到客户机上。为client1创建证书和密钥

./easyrsa build-client-full client1

11、将server端证书和密钥都统一放到/etc/openvpn/目录下,方便管理和配

cp /etc/openvpn/easy-rsa/pki/ca.crt /etc/openvpn/
cp /etc/openvpn/easy-rsa/pki/private/server.key /etc/openvpn/
cp /etc/openvpn/easy-rsa/pki/issued/server.crt /etc/openvpn/
cp /etc/openvpn/easy-rsa/pki/dh.pem /etc/openvpn/

12、主配文件:/etc/openvpn/server.conf

cd /etc/openvpn/
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz ./
gunzip server.conf.gz
vim server.conf

打开如下注释:
topology subnet
push “redirect-gateway def1 bypass-dhcp”
push “dhcp-option DNS 208.67.222.222”
push “dhcp-option DNS 208.67.220.220”
tls-auth ta.key 0
user nobody
group nogroup
client-to-client
修改如下信息:
修改前:
dh dh2048.pem
cipher AES-256-CBC
修改后:
dh dh.pem
cipher BF-CBC
注释如下信息:
;tls-auth ta.key 0
备注:server 10.8.0.0 255.255.255.0可根据需求填写,这里使用默认

13、启动openvpn服务器

    systemctl start openvpn@server.service
    systemctl enable openvpn@server.service
    或者
    cd /etc/openvpn
    sudo openvpn --config server.conf

在这里插入图片描述

14、检查服务与查看虚拟接口

    netstat -lntup |grep openvpn
    udp        0      0 0.0.0.0:1194         0.0.0.0:*      24443/openvpn  
    ifconfig
    可以看到一个tun0网络接口,IP地址是10.8.0.1

在这里插入图片描述

三、客户端配置

1、安装openvpn

apt install openvpn -y

2、服务器端证书与秘钥拷贝到本机

    客户端操作:
    scp 10.200.152.67:/etc/openvpn/easy-rsa/pki/ca.crt  /etc/openvpn
    scp 10.200.152.67:/etc/openvpn/easy-rsa/pki/private/client1.key  /etc/openvpn
    scp 10.200.152.67:/etc/openvpn/easy-rsa/pki/issued/client1.crt  /etc/openvpn

3、在设置里创建vpn连接,根据实际情况更改网关(服务器ip),证书位置以及私钥密码

在这里插入图片描述

4、第二种方法

1)创建配置文件client.conf
vi /etc/openvpn/client.conf

client
dev tun
proto udp
remote 10.200.152.67 1194 #根据实际情况改为服务器的ip地址
ca ca.crt
cert client1.crt
key client1.key
user nobody
group nogroup
verb 3

 ##终端运行测试
   cd /etc/openvpn
   openvpn --config client.conf

备注:执行该命令的窗口不能关闭,可以在后台执行(至少openvpn进程不能结束)
输出“Initialization Sequence Completed”字样,说明OpenVPN成功连接

 ##后台运行测试
  echo 123456 |tee  /etc/openvpn/passwd
  openvpn --config /etc/openvpn/client.conf --cd /etc/openvpn --daemon --askpass /etc/openvpn/passwd

在这里插入图片描述
拨号成功服务端日志参考
在这里插入图片描述

2)执行查看
# ifconfig
##可以看到一个tun0网络接口,IP地址是10.8.0.x, ping 10.8.0.1 ping通ssh可以连接,测试openvpn连接成功

在这里插入图片描述

四、报错以及解决方案

1、openvpn客户端连接失败,服务端服务报错

journalctl -fu openvpn@server.service


WARNING: ‘link-mtu’ is used inconsistently, local='link-mtu 1557, remote='link-mtu 1541
WARNING: ‘tun-mtu’ is used inconsistently, local=‘tun-mtu 1400’, remote=‘tun-mtu 1500’
在这里插入图片描述
解决方案
查看服务端server.conf配置文件

添加如下信息:
link-mtu 1541
tun-mtu 1500
keysize 128
cipher BF-CBC

2、openvpn@server.service启动报错

TLS Eerror cannot locate HMAC in incoming packet  from [AF_INET]10.200.152.230:56765

在这里插入图片描述
解决方案
修改/etc/openvpnserver.conf

#注释如下信息:
;tls-auth ta.key 0

3、客户端连接断开,连接VPN失败,原因未知

分析:查看日志未发现报错,使用命令行启动后报错如下:
Mon Sep  5 15:46:49 2022 ERROR: Cannot open TUN/TAP dev /dev/net/tun: No such file or directory (errno=2)
Mon Sep  5 15:46:49 2022 Exiting due to fatal error

解决方案
内核选项缺失

zcat /proc/config.gz  |grep -i CONFIG_TUN
# CONFIG_TUN is not set
# CONFIG_TUN_VNET_CROSS_LE is not set
#内核开启TUN模块选项即可

4、客户端使用图形化连接无反应,或者如下连接失败报错

在这里插入图片描述
解决方案
查看客户端与服务端时间是否同步

睡前来杯海飞丝
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
OPEN.V.x.N 一键部署+问题解决
Jeration的博客
03-31 9469
OPEN.V.x.N.一键部署+问题解决
UOS服务器操作系统kubernetes部署手册
11-17
UOS服务器操作系统kubernetes部署手册 适用操作系统:UOS服务器操作系统1xxxA和1xxxE 统信服务器操作系统
OpenVXN服务端和客户端 安装和使用
键盘的起始页
09-01 266
一、服务端安装 OpenVPN 服务端用于提供VPN (转发桥接)服务。一行命令即可: wget https://git.io/vpn -O openvpn-install.sh && bash openvpn-install.sh (来自:https://github.com/Nyr/openvpn-install) 服务端安装好后 会产生一个.ovpn文件,sz 下来,后面客户端连接会使用上。 二、客户端 连接VPN 1、windows 下载OpenVPN,安装后按照软件
通过openVPN,实现安全内网穿透
最新发布
wangluoanquan111的博客
05-10 1253
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
openVPN客户端安装
liufangaliya的专栏
06-01 1万+
客户端证书路径:/etc/openvpn/easy-rsa/pki/issued/client.crt客户端私钥路径:/etc/openvpn/easy-rsa/pki/private/client.key将生成的客户端证书(client.crt)、私钥(client.key),服务端根证书(ca.crt)、ta.key打包发送到客户端的`/etc/openvpn/client`,可以用sz命令通过XSHEEL发送到Windows端,然后用rz命令从Windows端发送给客户端。
OpenVxN最详尽部署配置手法奉上,零信任VxN还会远吗-尚文网络xUP楠哥
weixin_42081313的博客
10-27 1210
这一次,我们通过了解通过一步一步将OpenVxN通过详尽步骤进行搭建
openvxn工作原理与数据包流向
woshi889521的博客
09-19 458
openvxn区别与传统vxn,它工作在IP层,OpenVxN是一款基于SSL的开源VxN软件,它实现了利用SSL来保证网络通讯安全性的目的,同时避免了传统SSL VxN仅提供简单的Web应用的不足,它具有支持各种应用协议,支持Windows,Linux,BSD,MAC OS等多平台的特点。 环境说明 A为客户端192.168.1.2 B为服务端10.0.0.2 已经在配置文件中加入了push “...
统信Uos系统安装IPFS
萌新求带
05-25 463
统信Uos系统安装IPFS 访问IPFS官网(需VPN或其它):https://dist.ipfs.io/#go-ipfs;下载Linux版本安装包 注: 之前我看一些教程是使用wget xxx 方式下载源码安装,这种方式可以安装IPFS,但是它的UI页面一直无法加载。 下载得一名为:go-ipfs_v0.12.2_linux-amd64.tar.gz 的文件;放在任意位置(下图以桌面为例)—解压缩 tar xvfz go-ipfs_v0.12.2_linux-amd64.tar.gz
统信UOS桌面操作系统使用手册
05-13
统信UOS桌面操作系统使用手册
UOS桌面操作系统安装手册
11-02
统信桌面操作系统UOS是基于Linux内核的国产操作系统,主要面向企业和个人用户提供稳定、安全、高效的计算平台。本安装手册将详细介绍如何安装统信桌面操作系统V20专业版。 1. **概述** - **安装流程**:安装UOS...
统信UOS桌面操作系统-系统管理操作手册.pdf
10-23
本文档是统信UOS桌面操作系统的系统管理操作手册,旨在帮助用户快速掌握统信UOS桌面操作系统的系统管理操作。 系统管理 系统管理是统信UOS桌面操作系统的核心组件之一,负责管理整个系统的资源和配置。系统管理...
UOS统一操作系统桌面版V20--产品白皮书.pdf
09-22
UOS统一操作系统桌面版V20产品白皮书》由统信软件技术有限公司于2020年发布,详细介绍了这款专为中国市场设计的、具有自主知识产权的桌面操作系统UOS旨在提供一个稳定、安全、高效的工作环境,同时兼顾易用性和...
CentOS6内网连接: 服务端,客户端
eyeofeagle的博客
08-19 1555
文章目录1, 配置服务端收集客户端:密钥文件,并发送到客户端2, 配置客户端 角色 服务器说明 vpn服务端 vpn1: 192.168.56.160 vpn客户端 vpn2: 192.168.100.160 1, 配置服务端 [root@vpn1 easy-rsa]# wget https://mirrors.aliyun.com/repo/epel-6.repo -O /etc/yum.repos.d/epel.repo [root@vpn1 easy-rsa]# yum i
信创操作系统--统信UOS桌面版(控制中心:账户、自定义、个性化、声音、日期、电源管理、网络、蓝牙、输入法、系统更新等设置)
正月十六工作室
10-30 1万+
登录与激活统信UOS操作系统 目录前言1 账户类设置1.1 账户设置1.1.1创建新账户 前言 1 账户类设置 1.1 账户设置 在安装系统时会创建一个账户,在控制中心的账户设置模块可以修改账户设置或创建一个新账户,如图1-1所示。 1.1.1创建新账户 (1)单击“创建账户”按钮,如图1-2所示。 图1-2 (2)输入用户名、密码和重复密码后,点击“创建”,如图1-3所示。 图1-3 (3)在授权对话框输入当前帐户的密码,新帐户就会添加到帐户列表中,如图1-4所示。 图1-4 1.1.2 自动登录与无.
OpenV$P$N配置后启动服务发生错误排错
热门推荐
SunMy的博客
05-11 3万+
脚本写完测试时发现客户端无法连接OpenVPPPN服务器 查看发现服务没有启动 启动服务时报错 [root@C8-194 ~]# cat > /usr/lib/systemd/system/openvpn@.service << SUN > [Unit] > Description=OpenVPN Robust And Highly Flexible Tunneling Application On %I > After=network.target > [Se.
openVPN服务搭建
liufangaliya的专栏
06-01 7607
openVPN服务搭建和客户端指定固定IP
Failed to restart **: Unit **.service not found错误,
z917185537的专栏
09-15 7083
执行命令提示, 知道systemctl这个命令是启动服务, 现在提示没有找到此服务,看启动的服务名像自己定义的,然后就大致了解了一下如何使用systemd注册服务, 需要到指定目录下配置注册服务文件。
也没有--mtu-fix这个参数
05-30
如果您使用的 tcprewrite 版本太旧,可能会没有 --fixlen 和 --mtu-fix 这两个选项。在这种情况下,您可以考虑升级 tcprewrite 到最新版本。 如果您无法升级 tcprewrite,您可以考虑使用其他工具来修改 pcap 报文的 payload 长度。Wireshark 是一款功能强大的网络协议分析工具,它提供了一个名为 Editcap 的命令行工具,可以用于修改 pcap 文件。以下是使用 Editcap 修改 pcap 报文 payload 长度的命令: ``` editcap -s 100 input.pcap output.pcap ``` 这个命令将会把 input.pcap 文件中的所有数据包的 payload 长度修改为 100 字节。如果原始报文的 payload 长度小于 100 字节,则 Editcap 会自动在报文末尾填充一些随机数据,以满足指定的长度。 请注意,使用 Editcap 修改 pcap 数据报文时,也需要小心谨慎,确保您的操作不会影响 pcap 文件的其他部分。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

睡前来杯海飞丝

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值