完整的openvpn 服务端搭建,小白也能搭建!!网上最全的openvpn 服务端搭建文档之一,附带客户端创建管理的脚本

最新推荐文章于 2024-03-15 16:49:34 发布
最新推荐文章于 2024-03-15 16:49:34 发布
阅读量3.4k 收藏 16
点赞数
文章标签: 网络 运维 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42474071/article/details/134492965
版权

openvpn 服务端部署

背景: 因为最近想尝试通过openvpn连接连接家里的nas和手机进行照片传输分享。加上之前从网上找教程,搞了很久才搞出服务端,但是但是当时不太了解,导致部署的openvpn server可以使用,但是感觉摇摇欲坠,像是一堆bug的软件,自己都不知道为啥可以用了。这次趁着有时间,也有需求就重新搭建了。由于网上各种教程参差不齐,所以自己写一个完成过程的笔记。以方便自己日后使用,也方便其他人参考。

ps:不知道为啥群晖上导入客户端证书会提示无效证书,已经找群晖技术支持,目前还没反馈。有大佬知道要怎么搞可以说一下吗。刚开始还会提示错误的秘钥,我把客户端秘钥转换成rsa格式之后就没了这个报错。目前证书问题依旧未解决–2023年11月19日晚

ssh-keygen -p -f [证书名] -P [证书密码] 通过这个命令转换的
先把firewalld和selinux关闭
这个很简单,小白可以百度看下怎么关闭,当然也可以针对端口进行开放。因为我的设备是在阿里云,所我直接卸载了firewalld
其他各种工具,不如lrzsz,zip,net-tools,vim等工具自己按习惯进行安装
可以使用yum安装。比如:yum -y install lrzsz

一、安装软件
yum install easy-rsa
yum list installed easy-rsa
yum install openvpn
yum list installed openvpn
二、配置EASY-RSA 3.0
mkdir /etc/openvpn/easy-rsa
cp -r /usr/share/easy-rsa/3/* /etc/openvpn/easy-rsa/
cp -r /usr/share/doc/easy-rsa/vars.example /etc/openvpn/easy-rsa/vars

cp -r /usr/share/doc/easy-rsa/vars.example /etc/openvpn/easy-rsa/vars可能会执行不成功,有些版本的easy-rsa不是easy-rsa这个文件夹,需要改成对应的名字

三、创建OpenVPN相关的密钥
cd /etc/openvpn/easy-rsa/   #切换目录
./easyrsa init-pki     #初始化PKI目录

生成ca证书前可以改一下配置,也可以使用默认

[root@aliyun-relay easy-rsa]# vim vars 
export KEY_COUNTRY="CN"
export KEY_PROVINCE="ShangHai"
export KEY_CITY="shenzhen"
export KEY_ORG="home-nas"
export KEY_EMAIL="example@domain.com"
set_var EASYRSA_CA_EXPIRE       3650
set_var EASYRSA_CERT_EXPIRE     3650
set_var EASYRSA_CRL_DAYS        3650

**注:**设置的时间最好是按照默认,3650天,即10年。时间太短到时候过期要重新签发才能使用。

生成证书密码:123456

写好文件开始生成CA证书,默认是有密码,也可以选择nopass参书,不要密码加密

./easyrsa build-ca   #创建ca证书。默认是要密码。不要密码可以自己在后面加上 nopass,如需要密码请记住密码。注意看生成后会有证书文件路径,可以整理一下,记录好。到时候要收集这些文件的。这里就不放出来了

创建生成一个包含证书请求的文件,用于生成服务端证书

./easyrsa gen-req server1 nopass

创建服务端证书,好像ca证书有密码这里也会需要输入ca证书的密码

./easyrsa sign-req server server1

创建生成一个包含证书请求的文件,用于生成客端证书

./easyrsa gen-req client1 nopass

创建客户端证书

./easyrsa sign-req client client1

根据之前创建的vars配置文件生成2048位的密钥

./easyrsa gen-dh

创建TLS认证密钥

openvpn --genkey --secret /etc/openvpn/easy-rsa/ta.key

CRL(证书撤销列表)密钥用于撤销客户端密钥。如果服务器上有多个客户端证书,希望删除某个密钥,那么只需使用./easyrsa revoke NAME这个命令撤销即可。
生成CRL密钥(这个有没有都是可以使用的,详细要自己看官方文档)

./easyrsa gen-crl

收集整理文件。当前执行命令的位置是/etc/openvpn/easy-rsa/,可以自己改命令。客户端和服务端的证书和密钥分开放,方便以后管理

cp -p pki/ca.crt /etc/openvpn/server
cp -p pki/issued/server1.crt /etc/openvpn/server
cp -p pki/private/server1.key /etc/openvpn/server
cp -p ta.key /etc/openvpn/server
cp -p pki/ca.crt /etc/openvpn/client/
cp -p pki/issued/client1.crt /etc/openvpn/client/
cp -p pki/private/client1.key /etc/openvpn/client/
cp -p ta.key /etc/openvpn/client/
cp pki/dh.pem /etc/openvpn/server
cp pki/crl.pem /etc/openvpn/server
四、编辑配置文件

去到openvpn的目录,编辑server.conf文件

cd /etc/openvpn
vim sever.conf

这是我的配置

port 1194
proto udp
dev tun
ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/server1.crt
key /etc/openvpn/server/server1.key
dh /etc/openvpn/server/dh.pem
crl-verify /etc/openvpn/server/crl.pem
tls-auth /etc/openvpn/server/ta.key 0
server 192.168.254.0 255.255.255.0
push "172.23.201.0 255.255.255.0"
ifconfig-pool-persist /etc/openvpn/server/ipp.txt
#auth-user-pass /etc/openvpn/server/auth.txt
keepalive 10 120
cipher AES-256-CBC
client-to-client
max-clients 1000
persist-key
persist-tun
log /var/log/openvpn/server.log
log-append /var/log/server.log
status /var/log/openvpn-status.log
verb 3
explicit-exit-notify 1

创建相关文件

echo 1 > /var/log/openvpn-status.log
echo 1 > /var/log/server.log
echo 1 > /var/log/openvpn/server.log
echo 1 > /etc/openvpn/server/ipp.txt
五、启动服务

检查一下。没什么就可以启动服务端了

尝试使用systemctl enbale openvpn-server@servie.service启动失败
转用命令启动,
openvpn --cd /etc/openvpn/ --daemon --config server.conf
启动完成检查下,比如使用ip ad查看有没有新的tun0网卡出现,netstat -lunp | grep 1194 查看1194端口是不是被监听了。一切正常,下一步

开始iptables转发功能。如果服务端只是用来中转,其实可以不开启的。

echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf
sysctl -p

服务端配置到此结束。
注意在云上的设备还要在管理台对1194端口进行开放,否则会被云防火墙拦截

客户端创建

这是一个创建和管理客户端的脚本。需自行修改一点才能使用

#!/bin/bash
# Date: 2018-3-26
# Create By Mr.Chen
#Date:2023-11-18
#Modify:Little Peng
# Describe: Create Openven User

USER=$2
PASS=$(echo "${USER}@phj.plus $(date)"|md5sum |cut -b 1-12)
CA_PASS="这里写你的证书密码"
OVDIR="/etc/openvpn"
SER_ERSA="${OVDIR}/easy-rsa/"
CLI_ERSA="${OVDIR}/easy-rsa/"
KEYS_DIR="${OVDIR}/client"
DB_FILE="${SER_ERSA}/pki/index.txt"

if [ ! -f /bin/expect ];then
  echo "expect is not installed, start the installation..."
  yum -y install expect
  if [ $? != 0 ];then
     echo "Installation failed, please install manually"
     exit 1
  fi
fi



function GenerateAkey(){
  rlist=$(find /etc/openvpn/ -name "${USER}*")
  if [ -n "$rlist" ];then
    echo "用户: ${USER} 已存在"
    exit 1
  fi
  cd ${CLI_ERSA}/
/bin/expect <<EOF
  spawn ./easyrsa gen-req $USER
  expect "Enter PEM pass phrase:"
  send "${PASS}\r"
  expect "Verifying - Enter PEM pass phrase"
  send "${PASS}\r"
  expect "Common Name"
  send "\r"
  expect eof
EOF
}

function GenerateAconf(){
cat > ${KEYS_DIR}/${USER}/${USER}.ovpn <<EOF
client
dev tun
proto udp
remote 这里写你的服务端公网IP 1194(1194是你映射在公网的端口,)
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert ${USER}.crt
key ${USER}.key
remote-cert-tls server
tls-auth ta.key 1
auth-user-pass
cipher AES-256-CBC
verb 3
EOF
}

function ImportAkey(){
  cd ${SER_ERSA}/
  ./easyrsa import-req ${CLI_ERSA}/pki/reqs/${USER}.req ${USER}
/bin/expect <<EOF
  spawn ./easyrsa sign client $USER
  expect "Confirm request details:"
  send "yes\r"
  expect "Enter pass phrase for"
  send "${CA_PASS}\r"
  expect eof
EOF
}
function CreateUserPass(){
	echo -e "$user:$pass" >> $OVDIR/server/auth.txt
}
function CreateUser(){
  GenerateAkey
  ImportAkey
  #CreateUserPass
  mkdir ${KEYS_DIR}/${USER}
  cp ${SER_ERSA}/pki/issued/${USER}.crt ${KEYS_DIR}/${USER}/
  cp ${CLI_ERSA}/pki/private/${USER}.key ${KEYS_DIR}/${USER}/
  cp ${OVDIR}/server/{ca.crt,ta.key} ${KEYS_DIR}/${USER}/
  echo "${PASS}" > ${KEYS_DIR}/${USER}/${USER}.pass
  cd ${KEYS_DIR}/
  GenerateAconf
  zip -r ${USER}.zip ${USER}/
  if [ -d ${USER} ];then
    rm -rf ${USER}
  fi
  echo -e "\033[32mPlease Download ${KEYS_DIR}/${USER}.zip\033[0m"
  echo -e ""
  if [ -f ${SER_ERSA}/pki/issued/${USER}.crt ];then
	echo -e "${USER} create success!!!"  
  else
    echo -e "\033[31mUser creation failed\033[0m"
  fi
}

function RemoveUser(){
  rlist=$(find /etc/openvpn/ -name "${USER}*")
  if [ ! -n "$rlist" ];then
    echo "用户: ${USER} 不存在"
    exit 1
  fi
  echo -e "\033[31m${rlist}\033[0m"
  read -p "上述文件将被移除,请确认(yes/no): " yn
  if [ "$yn" = "yes" ];then
    for f in $rlist;do
      rm -rf $f
      if [ $? = 0 ];then
        echo -e "\033[31m$f\033[0m       \033[32m[del]\033[0m"
      else
        echo -e "\033[31m$f\033[0m       \033[31m[fail]\033[0m"
      fi
    done
    sed -i "/=${USER}$/d" ${DB_FILE}
    if [ $? = 0 ];then
      cd ${SER_ERSA}/
/bin/expect <<EOF
  spawn ./easyrsa update-db
  expect "Enter pass phrase for"
  send "${CA_PASS}\r"
  expect eof
EOF
      echo -e "\033[31m${DB_FILE}\033[0m       \033[32m[update]\033[0m"
    else
      echo -e "\033[31m${DB_FILE}\033[0m       \033[32m[fail]\033[0m"
    fi   
  else
    exit 0
  fi
}

function RevokeUser(){
  rlist=$(find /etc/openvpn/ -name "${USER}*")
  if [ ! -n "$rlist" ];then
    echo "用户: ${USER} 不存在"
    exit 1
  fi
  cd ${SER_ERSA}/
/bin/expect <<EOF
  spawn ./easyrsa revoke ${USER}
  expect "Continue with revocation"
  send "yes\r"
  expect "Enter pass phrase for"
  send "${CA_PASS}\r"
  expect eof
EOF
}

function Gencrl(){
  cd ${SER_ERSA}/
/bin/expect <<EOF
  spawn ./easyrsa gen-crl
  expect "Enter pass phrase for"
  send "${CA_PASS}\r"
  expect eof
EOF
}

case "$1" in
    start)
        /usr/sbin/openvpn --daemon --config /etc/openvpn/server.conf --log-append /var/log/openvpn.log
    ;;
    restart)
        /usr/bin/pkill --signal SIGHUP --exact openvpn
    ;;
    add)
        if [ -n "$2" ];then
          CreateUser
        else
          echo $"Usage: $0 add username"
        fi
    ;;
    remove)
        if [ -n "$2" ];then
          RevokeUser
          Gencrl
          RemoveUser
        else
          echo $"Usage: $0 remove username"
        fi
    ;;
    *)
        echo $"Usage: $0 {start|restart|add|remove} username"
        exit 1
esac

给脚本添加执行权限

chmod +x vpnctl.sh
./ vpnctl.sh add aikuai

部分日志

Signature ok
The Subject's Distinguished Name is as follows
commonName            :ASN.1 12:'aikuai'
Certificate is to be certified until Nov 16 03:13:25 2033 GMT (3650 days)

Write out database with 1 new entries
Data Base Updated

Certificate created at: /etc/openvpn/easy-rsa/pki/issued/aikuai.crt


  adding: aikuai/ (stored 0%)
  adding: aikuai/aikuai.key (deflated 24%)
  adding: aikuai/ta.key (deflated 40%)
  adding: aikuai/aikuai.crt (deflated 45%)
  adding: aikuai/ca.crt (deflated 25%)
  adding: aikuai/aikuai.ovpn (deflated 29%)
  adding: aikuai/aikuai.pass (stored 0%)
Please Download /etc/openvpn/client/aikuai.zip

aikuai create success!!!

使用工具lrzsz下载/etc/openvpn/client/aikuai.zip的文件,使用即可!
到此完成!
Windows上连接正常在这里插入图片描述

两个半月实习生
关注
  • 0
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
PHP服务端环境搭建的图文教程(分享)
12-19
一、PHP服务端环境搭建 1.php 服务端环境 安装套件 xampp(apach+mysql+php解释器) F:\MyDoc文件(重要)\DL_学习\download重要资源\apache服务器组件 安装 此时进入xmapp面板显示成功运行 测试本地Apache服务器是否开启:浏览器中输入127.0.0.1 回车即可进入xmapp官网 4.修改浏览器中默认出现的dashboard文件夹 打开xmapp下htdocs文件夹下 index.php文件 配置文件中默认跳转到本文件夹 解决办法:将htdocs下所有文件删除,将不会自动跳转 至此,服务端环境配置完成,但是希望能够将项目文件保存
Windows 下的 OpenVPN 安装
pcplayer的博客
01-28 7863
Windows 底下的 OpenVPN 安装配置。
运维知识进阶篇】手把手教你搭建OpenVPN(保姆级教程)
热门推荐
吾日三省吾身,想出类拔萃,要把知识学牢,学全,学深,学广。
06-16 7万+
VPN就是虚拟专用通道,是提供给企业之间或者公司个人与公司之间安全数据传输的隧道,OpenVPN是Linux下开源VPN的先锋,提供了良好的性能和友好的用户GUI(图形用户界面)。本篇文章包含OpenVPN应用场景,OpenVPN服务端搭建OpenVPN客户端搭建(windows+linux),OpenVPN密码认证,手把手教大家搭建OpenVPN
OPENVPN-Linux服务端部署文档
最新发布
qq_41867674的博客
03-15 1125
openvpn 服务端部署
云环境 Open代理 server 快速搭建指南
Jerry
02-23 1209
企业级的Open代理搭建教程
Centos 部署OpenVP* 证书+密码认证
友人A的博客
12-21 6374
一、实验环境 主机 内网IP 外网IP 系统 备注 OpenVPN 10.5.10.202 NAT映射外网访问 Centos7 OpenVPN服务端 PC1 10.5.10.122 Windows7 x64 客户端 PC2 10.5.10.123 Windows10
openvpen最新安卓中文版_天翼云盘 for Mac v1.0.0.0中文版
weixin_42360762的博客
12-29 950
天翼云盘 for Mac中文版是mac上一款十分出色的云存储软件,天翼云盘基于云计算技术的个人/家庭云数据中心,是一个提供安全、稳定、可靠的文件同步、备份及分享等服务的网络云存储平台,支持自动备份,拥有文件操作,回收站,传输管理,打开同步盘等功能,非常好用!1 天翼云盘是什么?答:天翼云盘是基于云计算技术的个人/家庭云数据中心,是一个提供安全、稳定、可靠的文件同步、备份及分享等服务的网络云存储平台...
记一次openvpn server部署
WilliamEvano的博客
06-30 3044
openvpn server搭建记录
openVPN服务端搭建
liufangaliya的专栏
06-01 7124
openVPN服务端搭建客户端指定固定IP
openvpn搭建与简单配置
YFHCSDN的博客
10-08 8258
openvpn详解
OpenWrt -- OpenVPN配置Server&Client(TUN模式)
Amosstan的博客
08-16 3万+
目标是两台设备能通过OpenVPN TUN模式建立连接。
如何搭建VPN?
m0_70446426的博客
07-05 1万+
需要注意的是,搭建VPN涉及一些技术细节和网络知识,建议在进行搭建之前,确保你有足够的了解或者寻求专业人士的帮助,以确保安全和稳定性。此外,确保你遵守当地法律和规定,并仅在合法的目的下使用VPN。这些选项可能包括协议类型(如OpenVPN、IKEv2等)、加密方式、DNS设置等。2. 打开VPN客户端,根据提供商的要求填写服务器的信息。你可以租用云服务器、自行搭建服务器或者使用第三方VPN服务提供商。4. 保存设置并连接VPN服务器。搭建VPN的方法可以分为两个主要步骤:设置服务器和配置客户端
svn-linux环境搭建服务端-windows环境下客户端使用
07-23
资源名称:svn-linux环境搭建服务端-windows环境下客户端使用   资源截图: 资源太大,传百度网盘了,链接在附件中,有需要的同学自取。
SVN版本服务器搭建服务端客户端资料全.doc
09-26
SVN版本服务器搭建服务端客户端资料全.doc
webservice客户端服务端搭建教程
04-29
WebService是一种跨编程语言和跨操作系统平台的远程调用技术。 所谓跨编程语言和跨操作平台,就是说服务端程序采用java编写,客户端程序则可以采用其他编程语言编写,反之亦然!跨操作系统平台则是指服务端程序和客户端程序可以在不同的操作系统上运行。
已验证-Zabbix 服务端搭建.doc
09-30
已验证-Zabbix 服务端搭建
使用Netty搭建服务端客户端过程详解
08-25
主要介绍了使用Netty搭建服务端客户端过程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Android socket实现原理详解 服务端客户端如何搭建
01-04
网络上具有唯一标识的IP地址和端口号组合在一起才能构成唯一能识别的标识符套接字。 socket实现的原理机制: 1、通信的两端都有Socket 2、网络通信其实就是Socket间的通信 3、数据在两个Socket间通过IO传输 建立...
使用thinkphp 搭建 gatewayWork TCP客户端服务端搭建
05-09
GatewayWorker 是一款基于PHP语言开发的高性能的TCP长连接框架,可以通过它来实现高并发的网络应用。而ThinkPHP是一款流行的PHP开发框架,提供了丰富的功能,包括MVC架构、ORM、模板引擎等等。 下面介绍如何使用ThinkPHP搭建GatewayWorker TCP客户端服务端。 ### 环境准备 - PHP 5.3以上版本(推荐PHP7) - GatewayWorker 3.0以上版本 - ThinkPHP 5.0以上版本 ### 客户端实现 在ThinkPHP的控制器中,我们可以使用GatewayClient类来实现对GatewayWorker服务端的连接和通信。以下是一个简单的示例: ```php use GatewayClient\Gateway; class IndexController extends \think\Controller { public function index() { Gateway::$registerAddress = '127.0.0.1:1238'; $client_id = Gateway::getClientIdByUid(1); Gateway::sendToClient($client_id, 'hello world'); } } ``` 在上面的代码中,我们首先设置了GatewayWorker服务端的注册地址,然后通过getClientIdByUid方法来获取客户端的连接ID,最后通过sendToClient方法向客户端发送消息。 ### 服务端实现 在ThinkPHP的控制器中,我们可以使用GatewayWorker的Gateway类来实现TCP服务端搭建和消息处理。以下是一个简单的示例: ```php use GatewayWorker\Gateway; class Test extends \think\Controller { public function index() { $gateway = new Gateway("websocket://0.0.0.0:7272"); $gateway->name = 'MyWebsocketGateway'; $gateway->count = 4; $gateway->onConnect = function($connection){ echo "new client connected\n"; }; $gateway->onMessage = function($connection, $data){ $connection->send('hello ' . $data); }; $gateway->onClose = function($connection){ echo "client closed\n"; }; $gateway->start(); } } ``` 在上面的代码中,我们首先创建了一个Gateway实例,并设置了监听地址和端口、名称、进程数等参数。然后我们定义了三个回调函数:onConnect、onMessage和onClose,分别处理客户端连接、消息接收和连接关闭的事件。最后我们调用start方法启动服务端。 ### 总结 本文介绍了如何使用ThinkPHP搭建GatewayWorker TCP客户端服务端。通过这种方式,我们可以很方便地实现高并发的网络应用。当然,GatewayWorker还提供了很多其他的功能,例如支持WebSocket协议、支持分布式部署等等。如果您想深入了解GatewayWorker的使用,可以参考官方文档

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值