上接 open*** 证书秘钥结合用户密码双重认证(1)服务器端设置
五、配置客户端-上海站点
1.安装软件
YUM可以使用互联网上的;建议使用一些邮件或者网盘的形式共享,还记得之前
VP服务器上缓存的软件包吗,当然也许两台机器环境不一样,依赖包可能不同,这根据自
己的情况定吧。
$yum -y install open***
2.用你认为合适且安全的途径,把上海站点需要的CA证书、自己的证书和私钥等文件,
从×××服务器那里搞过来,确保在以及目录里有这些文件。
$sudo ls /etc/open***/
ca.crt sh-client.crt sh-client-key ta.key
3.配置客户端文件
$cd /usr/share/doc/open***-2.3.11/sample/sample-config-files
$sudo cp client.conf /etc/open***/clent.conf
$sudo vim /etc/open***/clent.conf
client
dev tun
proto tcp
remote 1.1.1.1 1194 //×××服务器的监听地址和端口
no-bind
user nobody
group nobody
persist-key
persist-tun
ca ca.crt
cert sh-client.crt
key sh-client.key
ns-cert-type server
tls-auth ta.key 1
comp-lzo
verb 3
mute 20
#添加这个参数,表示会用用户名密码认证
auth-user-pass
4.在这台客户端上开启内核路由转发
$sudo sed -i '/^net.ipv4_forward = .*/cnet.ipv4.ip_forward = 1' /etc/sysctl.conf
$sudo sysctl -p
注意:这里我没有启动日志信息,也许你会需要它,请参考×××服务器配置文件的说明
六、配置客户端-郑州站点
郑州站点的配置和上海的基本一样,区别就是使用到自己的证书和私钥,这里就不再赘述。
七、出差人员客户端(win7)的配置
1.安装软件
可以去网上下载
可以从我的百度网盘下:
http://pan.baidu.com/s/1qYQVoV6
2.安装软件
这里值得注意的只有一点
就是安装时,会安装为签名的虚拟网卡,选择信任安装就好了。如下图:
3.配置客户端文件
先找到软件安装目录,在Open×××的桌面图标上右击选择属性,出现下图:
接下来,找到Open×××的安装主目录
在 sample-config 文件夹下有实例配置文档:client或者似乎clien.o***,把它复制到上级目录 config中
之后修改这个文件成为以下内容:
client
dev tun
proto tcp
remote 1.1.1.1 1194
resolv-retry infinite
nobind
user nobody
group nobody
persist-key
persist-tun
ca ca.crt
cert xiguatian-client.crt
key xituatian-client.key
remote-cert-tls server
tls-auth ta.key 1
cipher BF-CBC //这个注意,在windows客户端情况下,还是用明确指出的好
comp-lzo
verb 3
mute 20
auth-user-pass //定义询问用户名和密码进行验证
############################## The end ################################
值此,open***,基于证书和私钥以及用户名密码的双重验证配置完毕,并服务端和客户端以及各个站点互相之间都可以访问了。
转载于:https://blog.51cto.com/sharkyun/1788169