环境准备
yum -y install epel-release #安装EPEL源
yum install easy-rsa openssh-server lzo openssl openssl-devel open*** NetworkManager-open*** open***-auth-ldap #安装Open×××和组件配置Open×××
cp /usr/share/doc/open***-*/sample/sample-config-files/server.conf /etc/open*** #复制open***配置文件到主目录
#默认配置文件修改内容太多,修改配置麻烦,我们先备份一下默认配置文件,然后新建一个配置文件
cd /etc/open***
mv server.conf server.conf.bak
vim server.conf配置文件参考及解释、
port 1194 #Open*** 服务器监听端口
proto tcp #设置用TCP还是UDP协议。使用udp一般不会有DoS×××,而且能能防止端口被扫描,能保证更安全。
dev tun #推荐tun
#定义open***运行时使用哪一种模式,open***有两种运行模式一种是tap模式,一种是tun模式。
#tap模式也就是桥接模式,通过软件在系统中模拟出一个tap设备,该设备是一个二层设备,同时支持链路层协议。
#tun模式也就是路由模式,通过软件在系统中模拟出一个tun路由,tun是ip层的点对点协议。
#具体使用哪一种模式,需要根据自己的业务进行定义。
ca ca.crt #定义open***使用的CA证书文件,该文件通过build-ca命令生成,CA证书主要用于验证客户证书的合法性。
cert server.crt #定义open***服务器端使用的证书文件。
key server.key #定义open***服务器端使用的秘钥文件,该文件必须严格控制其安全性。
dh dh2048.pem #指定 Diffie hellman parameters(密钥交换算法协议)
server 10.8.0.0 255.255.255.0 #配置 ××× 使用的网段,Open××× 会自动提供基于该网段的 DHCP 服务,但不能和任何一方的局域网段重复,保证唯一 。server 端 ip 默认会设为10.8.0.1的地址。
ifconfig-pool-persist ipp.txt #维持一个客户端和 virtual IP 的对应表,以方便客户端重新连接可以获得同样的 IP
push "redirect-gateway def1 bypass-dhcp" #重定向客户端的网关到open***服务器
push "route 192.168.0.0 255.255.255.0" #向客户端推送的路由信息,假如客户端的IP地址为10.8.0.2,要访问192.168.1.0网段的话,使用这条命令就可以了。可以添加多条路由
push "dhcp-option DNS 192.168.0.7" #向客户端推送的DNS信息
push "dhcp-option DNS 192.168.0.8" #向客户端推送的DNS信息
cipher AES-256-CBC #选择一种连接加密算法,Server端和Client端必须一样
user nobody
group nobody
#定义open***运行时使用的用户及用户组,建议加上这两条配置更安全
client-to-client #这条命令可以使客户端之间能相互访问,默认设置下客户端间是不能相互访问的
duplicate-cn #定义open***一个证书在同一时刻是否允许多个客户端接入,默认没有启用。
keepalive 10 120 #设置服务端检测的间隔和超时时间 每 10 秒 ping 一次,如果 120 秒没有回应则认为对方已经 down
comp-lzo #启用允许数据压缩,客户端配置文件也需要有这项
persist-key #通过keepalive检测超时后,重新启动×××,不重新读取keys,保留第一次使用的keys。
persist-tun #通过keepalive检测超时后,重新启动×××,一直保持tun或者tap设备是linkup的。否则网络连接,会先linkdown然后再linkup。
status open***-status.log #把open***的一些状态信息写到文件中,比如客户端获得的IP地址。
log-append open***.log #记录日志,每次重新启动open***后追加原有的log信息。
verb 3 #设置日志要记录的级别。
#0 只记录错误信息。
#4 能记录普通的信息。
#5 和 6 在连接出现问题时能帮助调试
#9 是极端的,所有信息都会显示,甚至连包头等信息都显示(像tcpdump)
mute 20 #相同信息的数量,如果连续出现 20 条相同的信息,将不记录到日志中。使用easy-rsa生成证书及密钥
cp -R /usr/share/easy-rsa/ /etc/open***
vim /etc/open***/easy-rsa/2.0/vars #自定义内容,可以不更改直接使用
export KEY_COUNTRY="CN" #所属国家
export KEY_PROVINCE="SC" #所属省份
export KEY_CITY="CD" #所属城市
export KEY_ORG="aierpf.cn" #所属组织
export KEY_EMAIL="wusc@wscon.cn" #管理员邮箱地址
export KEY_OU="Aierpf" #所属机构
cd /etc/open***/easy-rsa/2.0 #进入证书目录
source ./vars #使vars文件生效
./clean-all #清除之前生成的所有证书。注:如果执行./clean-all 就会清空/etc/open***/easy-rsa/2.0/keys/下所有文件服务端证书
cd /etc/open***/easy-rsa/2.0 #进入证书目录
./build-ca #生成服务端ca证书
#生成过程中部分需要手动输入:(如果有要求输入而下面没有的话可以直接回车)
#Organizational Unit Name (eg, section) [changeme]:master
#Common Name (eg, your name or your server's hostname) [changeme]:server //生成证书的名字,
./build-key-server server #生成服务器端秘钥key,后面的server是服务器名,自定义
#注:缺省配置一路回车,最后面两个选项一定要选择“y”,否则生成的是空证书客户端证书
./build-key client #生成客户端key ,后面的client是客户端名,可自定义
#这里和生成服务端key时的操作相似,只是有一点不同, #Common Name (eg, your name or your server's hostname) [client]:client 这里生成的客户端证书,不同的client必须有不同的证书,即名字不同生成Differ Hellman参数 ,DH验证文件
./build-dh
#注:生成diffie hellman参数用于增强open***安全性生成需要漫长等待,可以去休息一会儿
cp /etc/open***/easy-rsa/2.0/keys/dh2048.pem ca.crt server.crt server.key /etc/open***/ #复制证书文件到open***根目录,也可以在server.conf里面指定相关文件的绝对路径防火墙配置和开启路由转发功能
firewall-cmd --permanent --add-port=1194/tcp #添加open***端口
firewall-cmd --permanent --add-masquerade #开启转发
firewall-cmd --reload #动态重启防火墙
echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf #添加net.ipv4.ip_forward = 1到/etc/sysctl.conf文件最后一行,如果已存在,修改或者无视
sysctl -p #使修改立即生效启动并设置开启自动启动open***服务
systemctl start open***@server
systemctl enable open***@serverWindows客户顿设置
- 将服务端生成的部分证书放在客户端***安装路径下的config文件夹中,可以用过winscp这个软件进行拷贝,需要拷贝的证书:ca.crt、client.crt、client.key ,文件位于服务器的/etc/open***/easy-rsa/2.0/keys中
- 在客户端***安装路径下找到sample-config文件夹,在文件夹中找到client.o***文件,将其复制到上层目录中的config文件夹中
- 修改config文件夹中的client.o***文件,以记事本的方式打开
client #定义这是一个client,配置从server端pull拉取过来,如IP地址,路由信息之类,Server使用push指令推送过来。 dev tun #定义open***运行的模式,这个地方需要严格和Server端保持一致。 proto tcp #定义open***使用的协议,这个地方需要严格和Server端保持一致。 remote X.X.X.X 1194 #设置Server的IP地址和端口,这个地方需要严格和Server端保持一致。 resolv-retry infinite #始终重新解析Server的IP地址(如果remote后面跟的是域名),保证Server IP地址是动态的使用DDNS动态更新DNS后 #Client在自动重新连接时重新解析Server的IP地址。这样无需人为重新启动,即可重新接入×××。 cipher AES-256-CBC #选择一种连接加密算法,Server端和Client端必须一样 nobind #定义在本机不邦定任何端口监听incoming数据。 persist-key persist-tun ca ca.crt #定义CA证书的文件名,用于验证Server CA证书合法性,该文件一定要与服务器端ca.crt是同一个文件。 cert client.crt #定义客户端的证书文件 key client.key #定义客户端的密钥文件。 comp-lzo #启用允许数据压缩,这个地方需要严格和Server端保持一致 verb 3 #设置日志要记录的级别。启动客户端
- 在开始中找到open***文件夹,点击open*** gui,这是右下角会有一个锁的图形
- 右击右下角锁的图形,选择connet,过一会我们会发现连上open***了,服务端给我们非配了一个之前设置的局域网的ip
- 此时在网络连接中我们发现多出了一个本地连接TAP-Windows Adapter V9,此时是出于连接状态,右下角的那个锁状图形颜色会变成绿色
PS:目前open***服务器已经搭建完成了,但是有个问题,只要有上述三个证书文件和服务器IP信息,任何人都可以连接服务器,为了安全考虑,我们可以采取用户认证的方式管理,详情见:Open×××使用用户密码认证登录
PS:把证书整合到客户端配置文件并加密
vim client.o*** 删除或者注释掉以下几行内容: 在这里我把它们注释掉: ca ca.crt 改为:#ca ca.crt cert client.crt 改为:#cert client.crt key client.key 改为:#key client.key tls-auth ta.key 1 改为:#tls-auth ta.key 1 在最后面添加以下内容: <ca> ca.crt文件内容 </ca> <cert> client.crt文件内容 </cert> <key> client.key文件内容 </key> key-direction 1 <tls-auth> ta.key文件内容 </tls-auth>
转载于:https://blog.51cto.com/terry520/2176780
186
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
