centos 7安装openvpn服务端,以及用到的一些问题。

最新推荐文章于 2024-07-08 10:44:51 发布
最新推荐文章于 2024-07-08 10:44:51 发布
阅读量1.6k 收藏 14
点赞数 8
文章标签: centos linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wei042/article/details/137683740
版权

目的:在公司找一台闲置主机,安装centos 7系统,配置好局域网静态ip,然后在公司路由器配置端口映射,使外网访问某些网站的时候,记录的ip地址是公司的ip。

1.centos7 安装 openvpn:

步骤 1:更新yum库

sudo yum update

步骤 2:安装EPEL仓库

sudo yum install epel-release

步骤 3:安装OpenVPN

sudo yum install openvpn easy-rsa -y

步骤 4:配置Easy-RSA 3

sudo mkdir /etc/openvpn/easy-rsa/
sudo cp -ai /usr/share/easy-rsa/3/ /etc/openvpn/easy-rsa/*

cd /etc/openvpn/easy-rsa/
sudo ./easyrsa init-pki

步骤 5:创建CA和生成服务器证书,(需要设置密码,记录好)

sudo ./easyrsa build-ca
sudo ./easyrsa build-server-full server nopass

如果在/etc/openvpn/easy-rsa/pki/目录下找不到dh.pem文件,可能是因为你还没有生成Diffie-Hellman密钥交换参数。这是设置OpenVPN服务器所需的一个步骤,用于确保安全的密钥交换过程。你可以按照以下步骤生成这个文件:
生成Diffie-Hellman密钥交换参数
首先,确保你处于Easy-RSA的根目录下。如果你按照常规指南安装和配置Easy-RSA,它通常位于/etc/openvpn/easy-rsa/。
运行以下命令生成Diffie-Hellman参数:

sudo ./easyrsa gen-dh

生成完成后,dh.pem文件将被放置在/etc/openvpn/easy-rsa/pki/目录中。

server.conf文件中–tls-auth选项用于提供额外的安全层,防止未经授权的连接尝试,但它需要指向一个存在的密钥文件。

如果还没有ta.key文件,您需要生成它。在Easy-RSA目录下使用以下命令生成ta.key:

openvpn --genkey --secret ta.key

步骤 6:生成客户端证书,对于每个客户端,重复此步骤并为每个证书指定唯一的名称:

sudo ./easyrsa build-client-full client1 nopass

sudo ./easyrsa build-client-full {英文字母客户端证书名称} nopass=不使用密码

步骤 7:配置OpenVPN服务器,复制配置文件,修改编辑/etc/openvpn/server.conf文件,确保证书和密钥的路径正确指向之前生成的文件。

sudo cp /usr/share/doc/openvpn-*/sample/sample-config-files/server.conf /etc/openvpn/
以下是配置文件中的一些路径

ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key 
dh /etc/openvpn/easy-rsa/pki/dh.pem
crl-verify /etc/openvpn/easy-rsa/pki/crl.pem   #这个是为了删除证书的时候,立马失效
tls-auth /etc/openvpn/ta.key 0     #0是服务端配置
log         openvpn.log  #这个是日志文件,记得给权限 chmod 0755 openvpn.log
duplicate-cn        #这个是允许一个证书多个设备使用

步骤 8:启动OpenVPN服务并设置开机启动:

sudo systemctl start openvpn@server 《启动》
sudo systemctl enable openvpn@server 《开机启动》
sudo systemctl restart openvpn@server 《重启》
sudo systemctl status openvpn@server.service 《查看状态》

步骤9:配置防火墙,放行端口1194
sudo firewall-cmd --zone=public --add-port=1194/udp --permanent
sudo firewall-cmd --zone=public --add-port=1194/tcp --permanent
sudo firewall-cmd --reload
sudo firewall-cmd --zone=public --list-ports
可以让从 VPN 客户端来的流量在经过服务器转发到互联网时,使用服务器的 IP 地址
sudo firewall-cmd --zone=public --add-masquerade --permanent
如果 VPN 客户端的 IP 地址范围是 10.8.0.0/24,你还需要为这个网络添加专门的源地址转换规则:
sudo firewall-cmd --zone=public --add-rich-rule=‘rule family=“ipv4” source address=“10.8.0.0/24” masquerade’ --permanent
sudo firewall-cmd --reload

在服务器上,IP 转发需要被启用,以允许网络流量通过服务器转发。你可以通过编辑 /etc/sysctl.conf 文件并确保以下行是开启的:
net.ipv4.ip_forward = 1
sudo sysctl -p
修改后,运行 sudo sysctl -p 来应用更改。

关闭SELinux
临时关闭SELinux:你可以通过运行setenforce 0命令将SELinux设置为宽容模式。在这种模式下,SELinux仍然会记录违规行为,但不会阻止程序的运行。要恢复SELinux的强制模式,可以运行setenforce 1命令。
永久关闭SELinux:要永久关闭SELinux,你需要编辑SELinux的配置文件。使用文本编辑器(如vi或nano)打开/etc/selinux/config文件,找到SELINUX=这一行,并将其值改为disabled。保存文件并重启系统,SELinux就会被永久关闭。

最后
重载防火墙:firewall-cmd --reload
重新启动vpn:sudo systemctl restart openvpn@server

步骤10:手动配置客户端.ovpn文件,用来连接openvpn

#指定当前VPN是客户端
client
#使用tun隧道传输协议
dev tun
#使用udp协议传输数据
proto udp
#openvpn服务器IP地址端口号,转发的填写公网IP 加对应转发端口,填写公司ip,进行路由器映射
remote 8.8.1.8 1194
#断线自动重新连接,在网络不稳定的情况下非常有用
resolv-retry infinite
#流量转发,就是使用服务器ip
redirect-gateway def1
#不绑定本地特定的端口号
nobind
#指定CA证书的文件路径 手动下载到本地:/etc/openvpn/easy-rsa/pki/ca.crt
ca ca.crt
#指定当前客户端的证书文件路径 手动下载到本地:/etc/openvpn/easy-rsa/pki/issued/client1.crt
cert client1.crt
#指定当前客户端的私钥文件路径 手动下载到本地: /etc/openvpn/easy-rsa/pki/private/client1.key
key client1.key
#指定日志文件的记录详细级别,可选0-9,等级越高日志内容越详细
verb 3
#通过keepalive检测超时后,重新启动VPN,不重新读取keys,保留第一次使用的keys
persist-key
#检测超时后,重新启动VPN,一直保持tun是linkup的。否则网络会先linkdown然后再linkup
persist-tun
#使用ta.key防御攻击。服务器端的第二个参数值为0,客户端的为1 手动下载到本地:/etc/openvpn/ta.key
tls-auth ta.key 1
#如果要把所有的加密信息集成在一个文件中,tls-auth 需要以下申明
#key-direction 1

以下是把所有信息集成到一个文件中

client
dev tun
proto udp
remote 8.8.1.8 1194
resolv-retry infinite
nobind
redirect-gateway def1
key-direction 1
<ca>
的点点滴滴
</ca>
<cert>
的点点滴滴
</cert>
<key>
的点点滴滴
</key>
<tls-auth>
的点点滴滴
</tls-auth>
verb 3
persist-key
persist-tun

步骤11:自动创建客户端证书脚本和删除客户端证书脚本
证书目录:/etc/openvpn/client/keys

bash /etc/openvpn/client/add_vpnuser.sh client2
bash /etc/openvpn/client/del_vpnuser.sh client2

#!/bin/bash
 
set -e
 
keys_dir=/etc/openvpn/client/keys
easyras_dir=/etc/openvpn/easy-rsa
pki_dir=$easyras_dir/pki
 
for user in "$@"
 
do
    if [ -d "$keys_dir/$user" ]; then
        rm -rf $keys_dir/$user
        rm -rf $pki_dir/reqs/$user.req
        sed -i '/'"$user"'/d' $pki_dir/index.txt
    fi
    
    cd $easyras_dir
 
    ./easyrsa build-client-full $user nopass
 
    mkdir -p $keys_dir/$user
 
    cp $pki_dir/ca.crt $keys_dir/$user/
    cp $pki_dir/issued/$user.crt $keys_dir/$user/
    cp $pki_dir/private/$user.key $keys_dir/$user/
    cp /etc/openvpn/client/sample.ovpn $keys_dir/$user/$user.ovpn
    sed -i 's/admin/'"$user"'/g' $keys_dir/$user/$user.ovpn
    cp $easyras_dir/ta.key $keys_dir/$user/ta.key
 
    cd $keys_dir
    zip -r $user.zip $user
 
done
 
exit 0


# ! /bin/bash

set -e

keys_dir=/etc/openvpn/client/keys

easyras_dir=/etc/openvpn/easy-rsa/

for user in "$@"

	do
		cd $easyras_dir

        echo -e 'yes\n' | ./easyrsa revoke $user

        ./easyrsa gen-crl

        if [ -d "$keys_dir/$user" ]; then
			rm -rf $keys_dir/${user}*
		fi

		systemctl restart openvpn@server

	done

exit 0
10年php菜鸟
关注
  • 8
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Centos7 搭建openVPN
三人行,必有我师焉。
03-23 1131
CentOS 搭建openVPN时需要一台有公网IP的服务器。openVPN 是一个基于SSL/TLS的虚拟专用网络(VPN),它允许你创建一个安全的连接,通过它你可以将你的网络流量封装并加密,从而在公网上进行传输。
Centos7搭建openvpn服务
weixin_41564596的博客
03-13 1475
centos7搭建openvpn服务
centos7上搭建OpenVpn服务实现通信
最新发布
czpp666666的博客
07-08 507
如何知道是选择53还是67,大部分的校园网只是因为没认证把你的流量重定向了,DNS解析服务并没有失效,在cmd中使用域名解析,如果成功解析说明53端口可用。想要通过哪一个端口进行vpn连接,这个看应用场景,如果是需要越过校园网认证上网就需要选择53或者67这类端口就行,这里模拟校园网认证,客户端安装openvpn,把aa.open文件复制到openvpn的config文件夹中。将其拷贝到需要使用vpn连接的客户端使用ssh客户端的sz命令即可。由于使用的是私网地址所以问咱们要公网,直接回车就行。
CentOS7搭建OpenVPN
gyfghh的博客
01-15 2785
参考文档。
centos7系统 OpenVpn部署
海浪—华的博客
03-20 1050
centos系统中部署OpenVpn工具
虚拟机(centos7)安装openvpn
weixin_42680326的博客
07-07 3967
1.centos启用epel-repository ​ 1)命令安装 ```shell yum -y install epel-release ``` ​ 2)手动安装 rpm -vih https://dl.fedoraproject.org/pub/epel/7/x86_64/Packages/e/epel-release-7-13.noarch.rpm #或者自行下载包,然后使用命令安装 yum -y install xxx.rpm 2.安装openvpn ```
CentOS 7 安装 OpenVP*
一直被模仿,从未被超越
10-03 5186
链接:https://pan.baidu.com/s/19TzFko54Et5OQA6fsA3uKQ。1、安装 openvpn 和 easy-rsa(该包用来制作 ca 证书)4、创建Diffie-Hellman,确保key穿越不安全网络的命令。2、在安装目录 config下 创建 client.ovpn 文件。2、配置 /etc/openvpn/easy-rsa 目录。3、拷贝服务器客户端上的相关文件。5、生成 ta 密钥文件。3、创建 服务器端 证书。1、下载,安装在 D盘。1、创建一个模版文件。
Centos7安装openvp-超详细
热门推荐
m0_69013817的博客
05-05 2万+
Centos7 安装openvp,超详细。
openVPNCentos7 部署openVPN多客户端 已连通
m0_49027804的博客
06-01 1万+
openvpn 是一款安全的vpn服务,可以实现多人稳定的远程办公环境
Centos7.4 搭建 openvpn
wang11876的博客
06-15 2789
其实这三个文件就够了,之前全下载下来是因为方便,然而这次懒得弄了,哈哈,编写服务端配置文件。顺便提一下再添加用户在./easyrsa gen-req这里开始就行了,像是吊销用户证书的命令都自己用./easyrsa --help去看吧,GitHub项目地址。② 将得到的tokok_vpnc1.req导入然后签约证书。到这里服务端的证书就创建完了,然后创建客户端的证书。如果要生成多套证书,重复生成客户端①②③步骤即可。现在所有的证书都已经生成完了,下面来整理一下。① 创建客户端key及生成证书。
如何在Cent OS 7上设置和配置OpenVPN服务器
zq13646205435的博客
08-01 5027
如果该文件丢失,您就不能再信任来自该证书颁发机构的任何证书,如果任何人能够访问该文件,他们就可以签署新的证书并在您不知情的情况下访问您的VPN。为了避免每次需要生成证书时都要重新配置,您可以修改Easy RSA的配置,以定义它将用于证书字段的默认值,包括您的国家、城市和首选电子邮件地址。一台CentOS 7服务器,一个sudo非root用户,一个用firewalld设置的防火墙,您可以通过我们的CentOS 7服务器初始设置指南和新CentOS 7服务器的其他建议步骤来实现。将这些文件复制到您的客户机上。
Centos7下安装MongoDB
08-24
Centos7下安装MongoDB Centos7下安装MongoDB是指在Centos7操作系统中安装和配置MongoDB数据库的过程。MongoDB是一个基于分布式文件存储的NoSQL数据库,由C++语言编写,运行稳定,性能高旨在为 WEB 应用提供可扩展的...
CentOS 7下安装gcc 9.3.0
01-20
目录CentOS 7下安装gcc 9.3.0安装gcc安装bzip2下载gcc-9.3.0.tar.gz解压gcc-9.3.0.tar.gz安装gcc-9.3.0查看gcc版本注意事项 CentOS 7下安装gcc 9.3.0 本文主要介绍怎么在CentOS 7环境下安装GCC 9.3.0,适用于部分...
CentOS7安装指南
08-06
"CentOS7安装指南" 本指南将指导您完成 CentOS 7 的安装过程,涵盖从虚拟机设置到安装完成后的基本配置。 虚拟机设置 在开始安装 CentOS 7 之前,需要设置虚拟机的网络适配器模式为“桥接模式”。这将允许虚拟机...
lammps安装 centos7成功安装
10-27
### LAMMPS在CentOS 7上的安装指南 #### 概述 LAMMPS (Large-scale Atomic/Molecular Massively Parallel Simulator) 是一款开源的分子动力学模拟软件,广泛应用于材料科学、物理学、化学等领域。为了能在CentOS 7...
VMware安装CentOS7教程
12-09
VMware安装CentOS7教程是一个详尽的指南,旨在帮助初次使用者或需要在VMware上设置CentOS7虚拟机的用户。本教程覆盖了从下载必要的软件到成功安装和配置系统的全过程。 首先,你需要从官方或镜像站点下载CentOS7的...
公司内部docker搭建openvpn实现远程VPN访问(实测)
rendongxingzhe的博客
06-21 745
客户端系统环境:Windows。3.启动openvpn服务。二.openVPN环境安装。1.获取openvpn镜像。3.初始化服务器端证书。根据下面的脚本进行创建。
2、OpenVPN搭建
weixin_46371752的博客
05-26 4747
搭建OpenVPNcentos7搭建VPN,centos7部署OpenVPNlinux如何搭建VPN服务,cetnos7如何部署OpenVPNcentos7如何部署VPN服务
Centos7 搭建Openv*n
weixin_42500169的博客
03-07 296
Centos7 安装Openv*n
centos7中openvpn配置实例
04-13
对于您的问题,我可以提供以下配置实例: 1. 安装openvpn软件包:`yum install openvpn` 2. 创建一个名为`server.ovpn`的文件,并添加以下内容: ``` port 1194 proto udp dev tun server 10.8.0.0 255.255.255.0 push "redirect-gateway def1" push "dhcp-option DNS 8.8.8.8" push "dhcp-option DNS 8.8.4.4" ca /etc/openvpn/easy-rsa/keys/ca.crt cert /etc/openvpn/easy-rsa/keys/server.crt key /etc/openvpn/easy-rsa/keys/server.key dh /etc/openvpn/easy-rsa/keys/dh2048.pem tls-auth /etc/openvpn/easy-rsa/keys/ta.key 0 cipher AES-128-CBC auth SHA256 keepalive 10 120 ``` 3. 创建一个名为`client.ovpn`的文件,并添加以下内容: ``` client dev tun proto udp remote SERVER_IP_ADDRESS 1194 resolv-retry infinite nobind persist-key persist-tun ca /etc/openvpn/easy-rsa/keys/ca.crt cert /etc/openvpn/easy-rsa/keys/client1.crt key /etc/openvpn/easy-rsa/keys/client1.key tls-auth /etc/openvpn/easy-rsa/keys/ta.key 1 cipher AES-128-CBC auth SHA256 ``` 4. 生成证书和密钥: ``` cd /etc/openvpn/easy-rsa ./easyrsa init-pki ./easyrsa build-ca ./easyrsa build-server-full server ./easyrsa gen-dh ./easyrsa build-client-full client1 openvpn --genkey --secret ta.key ``` 5. 启动openvpn服务:`systemctl start openvpn@server` 以上是一个简单的openvpn配置实例,希望能对您有所帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值