1、需求vps 下搭建open***,并推送相关路由,此种***与商业化的SSL ***几乎等同无异。稳定性不相         上下,但没有ssl 搭建维护方便

wKioL1mv-XGDKn9cAAA51QraZ2w957.png-wh_50

2、*** 安装在/usr/local/open*** 目录下、并做配置


tar xvzf open***-2.0.9.tar.gz

mkdir /usr/local/open***

cd open***

./configure --prefix=/usr/local/open***

make && make install

mkdir /etc/open***


[root@open***-2.0.9]# cp -R easy-rsa/ /etc/open***/

[root@open***-2.0.9]# cp sample-config-files/server.conf /etc/open***/


#进入配置目录


[root@open***-2.0.9]# cd /etc/open***/easy-rsa/2.0/


#编缉vars 

export KEY_COUNTRY="CN"

export KEY_PROVINCE="BJ"

export KEY_CITY="Beijing"

export KEY_ORG="Open××× ORG"

export KEY_EMAIL="自己邮箱"


#查看在/keys/目录下生成文件:

[root@]# ls keys/

ca.crt  ca.key  index.txt  serial


#生成服务器端证书

 ./build-key-server server   选项空格带过即可

[root@]# ls keys/

01.pem  ca.key     index.txt.attr  serial      server.crt  server.key

ca.crt  index.txt  index.txt.old   serial.old  server.csr

#生成客户端CA证书及密钥

[root@xx]# ./build-key client  选项空格带过即可

#./build-dh 直接回车即可

[root@]# ./build-dh


#启动open***

/usr/sbin/open*** --config /etc/open***/config/ client.conf >/dev/null 2>&1 & 


#iptables规则

vim /etc/sysconfig/iptables

-A POSTROUTING -s 10.8.0.0/16 -o eth0 -j MASQUERADE


三、生成 server、client 端配置,已做精简


[root@ ~]# cat /etc/open***/server.conf


#server端ip

local 你的ip


#端口

port 1194   


#选择tcp

proto tcp


#tunnel选项

dev tun


#证书目录

cert /etc/open***/server.crt

key /etc/open***/server.key  

dh /etc/open***/dh1024.pem


#IP

server 10.8.0.0 255.255.255.0


#路由推送,可以多条

push "route x.x.0.0  255.255.0.0"


#超时时间默认即可

keepalive 10 120


persist-key

persist-tun


#*** log

status open***-status.log

log         open***.log

verb 3


#client端配置

Windows Client 端的配置


client

dev tun

proto tcp

remote open***-server-ip地址

resolv-retry infinite

nobind

persist-key

persist-tun

ca ca.crt

cert client.crt

key client.key

ns-cert-type server

verb 3


#除此之外还有ldap认证方式,搭建环境太费时,此处不展示