在Linux平台上部署open***

部署open***

open***虚拟专用通道

认证方式：证书认证

实验环境：

open***_server 2块网卡     redhat6.5           内网：192.168.1.10

                                               外网：172.16.16.172

局域网内主机               redhat6.5            ip：192.168.1.100

open***_client             win7              ip:172.16.16.173 gateway:172.16.16.172

确保安装openssl-devel pam-devel(redhat6.5光盘中有) 

        lzo(准备软件包并安装)

lzo:致力于解压速度的加密  ，用于实现连接***

  

  

 

    

         

     

准备open***包（open***-2.3.5.tar.gz）：open***_server

easyrsa（easy-rsa-2.2.0_master.tar.gz）:提供ca证书，服务端证书和客户端证书

winscp（winscp416setup.exe）:用于实现linux和win7系统之间下载文件

***客户端（open***-install-2.3.5-I601-x86_64.exe）:open***_client

1.编译安装open***

    

2.解压easyrsa,移动到open***目录下

  

  

3.vi vars

  

  根据实际情况修改，这里只改了邮箱。

4.创建根证书

  

   

  Common Name 填写***_server的FQDN名

  

  生成dh文件

  

  

5.创建服务器证书

  

 

6.创建客户端证书

  

  

  Common Name填写客户端名，必须唯一。  

  

7.打包ca证书和客户端证书

  

  

 

8.利用样例文件生成主配置文件，并修改主配置文件

  

  修改主配置文件

  

  

 dev tun:使用tun借口建立隧道，Open××× 可以使用 TUN 或者 TAP 接口建立隧道，TUN 接口创建的是三层路由隧道，建立方便，TAP 是二层网卡桥接隧道，即创建一个以太网桥接，相对复杂。

  server:是分发给***_client的IP地址

  push "route 192.168.1.0 255.255.255.0":给***_client到内网的路由

9.在***_server上关闭iptables和selinux

 

   

  vim /etc/sysconfig/selinux

  

10.启动路由功能

   

11.启动***并查看

   

   

   

   ctrl+c终止

   后台运行

  

  查看监听状态

  

12.下载并安装***客户端：open***-install-2.3.5-I601-x86_64.exe

13.把打包的ca证书和客户端证书移动到win7上

   在客户端上安装winscp

   

  

14. 把keys.tar.gz解压到安装目录下的config里

15. 把sample-config里的client.o***复制到config里

   

    

    

16. 修改client.o***

     

     

      

     

    保存并退出

17.双击open***GUI连接，右击图标connect，连接成功

18.测试内网主机，注意内网防火墙。

   

19.吊销客户端证书

   当我们需要取消某个***客户端权限时，我们只需要吊销客户端证书

   

    查看keys,生成一个 crl.pem 文件，这个文件中包含了吊销证书的名单

   

   

   查看keys/index.txt可以看到吊销的证书 

   

   在/etc/server.conf中加入如下一行，使证书失效。

    

    重启open***，客户端不能连接。

转载于:https://blog.51cto.com/yangwang/1743790