openV批恩搭建
1.安装openvpn
配置阿里的yum源
cd /etc/yum.repos.d
curl -o epel.repo http://mirrors.aliyun.com/repo/epel-7.repo
yum install openvpn
2.安装easyRSA2
这个是用于生成证书和秘钥文件,直接git上下载就行
3.生成证书和秘钥文件
我的easyRSA2放在/opt下
cd /opt/easyRSA2
3.1 编辑vars文件:
vim vars
export KEY_COUNTRY="CN"
export KEY_PROVINCE="jiangsu"
export KEY_CITY="suzhou"
export KEY_ORG="YNKJ"
export KEY_EMAIL="ynkj@foxmail.com"
export KEY_OU="ynkj"
export KEY_NAME="ynkj"
保存环境变量并清空目录下的其他key文件
source vars
./clean-all
3.2 生成证书文件
mkdir keys
一些命令过程中需要回车和键入y确认
生成根证书和秘钥
./build-ca
keys目录下会生成:ca.crt 和 ca.key
生成服务端证书和秘钥
./build-key-server server
keys目录下会生成:server.crt 和 server.key
生成客户端证书和秘钥
./build-key client
keys目录下会生成:client.crt 和 client.key
生成秘钥交换文件
./build-dh
keys目录下会生成:dh2048.pem
生成tls认证秘钥
cd keys
openvpn --genkey --secret ta.key
4 配置openvpn服务端
拷贝前面生成的证书和秘钥文件
mkdir /etc/openvpn/keys
cd /opt/easyRSA2/keys
服务端需要四个文件:
cp ca.crt server.crt server.key dh2048.pem ta.key /etc/openvpn/keys
cd /etc/openvpn/
编辑server.conf文件,可靠谱默认配置的server.conf到该目录下
cp /usr/share/doc/openvpn-2.4.12/sample/sample-config-files/server.conf ./
vim server.conf
修改端口号,默认是1194
注释;explicit-exit-notify 1 (udp需要开启这个,tcp需要关闭,否则服务起不来)
修改为tcp协议,默认是udp
修改ca.crt server.crt server.key dh2048.pem ta.key路径为keys/
如果ip冲突需要修改server 10.8.0.0 255.255.255.0,该ip为openvpn连接后自动分配的ip段
修改推送的路由:
确保OpenVPN服务器配置中允许从10.8.0.0/24子网访问192.168.4.0/24子网
push "route 10.8.0.0 255.255.255.0"
push "route 192.168.4.0 255.255.255.0"
注释:;keepalive 10 120
修改加密类型:AES-256-CBC为AES-256-GCM
设置log目录:
log openvpn.log
log-append openvpn.log
开启转发:
echo net.ipv4.ip_forward=1 >> /etc/sysctl.conf
sysctl -p
配置防火墙:
systemctl start firewalld
firewall-cmd --add-masquerade --permanent
sudo firewall-cmd --zone=public --add-port=8989/tcp --permanent
sudo firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="10.8.0.0/24" destination address="192.168.4.0/24" accept' --permanent
firewall-cmd --reload
以上为openvpn服务端的配置,配置完后启动openvpn
如果你的server.conf路径自定义的话需要修改一些启动的路径,如果是在/etc/openvpn下则直接启动即可。
vim /lib/systemd/system/openvpn@.service
ExecStart=/usr/sbin/openvpn --cd /etc/openvpn/ --config %i.conf
设置开机自启
systemctl enable openvpn@server
systemctl start openvpn@server
5 配置openvpn客户端
修改openvpn客户端配置文件
cp /usr/share/doc/openvpn-2.4.12/sample/sample-config-files/client.conf /etc/openvpn/
vim client.conf
修改proto udp为proto tcp
修改AES-256-CBC为AES-256-GCM
修改remote my-server-1 1194地址设置为openvpn服务器的地址:remote xx.xx.xx.xx 8989
保存后退出
下载客户端安装包后先安装好OpenVPN GUI
https://openvpn.net/community-downloads/
打包证书秘钥文件(前面的keys目录)到安装OpenVPN GUI的config目录下(默认路径:C:\Program Files\OpenVPN\config)
客户端需要的证书秘钥文件有五个:
ca.crt ;client.crt ;client.key ;client.conf(后缀名需要修改为.ovpn) ;ta.key
启动OpenVPN GUI点击连接,成功的话会分配一个上面配置的openvpn IP段的IP给本机。
后缀名需要修改为.ovpn) ;ta.key
启动OpenVPN GUI点击连接,成功的话会分配一个上面配置的openvpn IP段的IP给本机。
[外链图片转存中…(img-LAm5LgsL-1700121658479)]
[外链图片转存中…(img-x4aAyRa2-1700121658480)]