1、需求vps 下搭建open***,并推送相关路由,此种***与商业化的SSL ***几乎等同无异。稳定性不相 上下,但没有ssl 搭建维护方便
2、*** 安装在/usr/local/open*** 目录下、并做配置
tar xvzf open***-2.0.9.tar.gz
mkdir /usr/local/open***
cd open***
./configure --prefix=/usr/local/open***
make && make install
mkdir /etc/open***
[root@open***-2.0.9]# cp -R easy-rsa/ /etc/open***/
[root@open***-2.0.9]# cp sample-config-files/server.conf /etc/open***/
#进入配置目录
[root@open***-2.0.9]# cd /etc/open***/easy-rsa/2.0/
#编缉vars
export KEY_COUNTRY="CN"
export KEY_PROVINCE="BJ"
export KEY_CITY="Beijing"
export KEY_ORG="Open××× ORG"
export KEY_EMAIL="自己邮箱"
#查看在/keys/目录下生成文件:
[root@]# ls keys/
ca.crt ca.key index.txt serial
#生成服务器端证书
./build-key-server server 选项空格带过即可
[root@]# ls keys/
01.pem ca.key index.txt.attr serial server.crt server.key
ca.crt index.txt index.txt.old serial.old server.csr
#生成客户端CA证书及密钥
[root@xx]# ./build-key client 选项空格带过即可
#./build-dh 直接回车即可
[root@]# ./build-dh
#启动open***
/usr/sbin/open*** --config /etc/open***/config/ client.conf >/dev/null 2>&1 &
#iptables规则
vim /etc/sysconfig/iptables
-A POSTROUTING -s 10.8.0.0/16 -o eth0 -j MASQUERADE
三、生成 server、client 端配置,已做精简
[root@ ~]# cat /etc/open***/server.conf
#server端ip
local 你的ip
#端口
port 1194
#选择tcp
proto tcp
#tunnel选项
dev tun
#证书目录
cert /etc/open***/server.crt
key /etc/open***/server.key
dh /etc/open***/dh1024.pem
#IP
server 10.8.0.0 255.255.255.0
#路由推送,可以多条
push "route x.x.0.0 255.255.0.0"
#超时时间默认即可
keepalive 10 120
persist-key
persist-tun
#*** log
status open***-status.log
log open***.log
verb 3
#client端配置
Windows Client 端的配置
client
dev tun
proto tcp
remote open***-server-ip地址
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
ns-cert-type server
verb 3
#除此之外还有ldap认证方式,搭建环境太费时,此处不展示
转载于:https://blog.51cto.com/keep11/1963281