修改2处(有效文件再此目录/usr/share/easy-rsa/2.0/;/etc/openvpn/checkpsw.sh 需要加X权限)
openvpn是一个vpn工具,用于创建虚拟专用网络(Virtual Private Network)加密通道的免费开源软件,提供证书验证功能,也支持用户名密码认证登录方式,当然也支持两者合一,为服务器登录和连接提供更加安全的方式,可以在不同网络访问场所之间搭建类似于局域网的专用网络通道,配合特定的代理服务器,可用于访问特定受限网站(你懂得)或者突破内部网络限制.
安装
模拟运行环境:centos6系列系统
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 |
# 关闭selinux setenforce 0 sed -i ‘/^SELINUX=/c\SELINUX=disabled‘ /etc/selinux/config #把官方源备份整理,然后摒弃 cd /etc/yum.repos.d/ mkdir yum.bak mv CentOS-* yum.bak/ # 安装epel源,因为资源比较全 #这是6系列系统的源 rpm -Uvh http://mirrors.kernel.org/fedora-epel/6/i386/epel-release-6-8.noarch.rpm #这是7系列系统的源 #rpm -Uvh http://mirrors.kernel.org/fedora-epel/7Server/x86_64/e/epel-release-7-8.noarch.rpm #安装163源,和epel互补,速度也较快 #这是6系列系统的源 wget http://mirrors.163.com/.help/CentOS6-Base-163.repo #这是7系列系统的源 #wget http://mirrors.163.com/.help/CentOS7-Base-163.repo yum makecache # 安装openssl和lzo,lzo用于压缩通讯数据加快传输速度 yum -y install openssl openssl-devel lzo # 安装openvpn和easy-rsa yum -y install openvpn easy-rsa |
其实也可以源码编译,不过费时费力,倒是效果一样,而且版本不同并不影响太多功能,内部系统要求也不至于那么高,所以直接yum安装也是够用的了.
配置
一般来说,openvpn需要配置证书来使用,假如你只使用用户名密码来认证登录,也不是不可以,只是安全性稍微打了一些折扣,下面来看看配证书.
先找到制作证书的工具easy-rsa存放的位置,一般yum安装的软件大多数都是这个路径/usr/share
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 |
#先确认位置 find / -name easy-rsa /usr/share/easy-rsa /usr/share/doc/easy-rsa #修改vars文件 cd /usr/share/easy-rsa/2.0/ vim vars #修改注册信息,比如公司地址、公司名称、部门名称等。 export KEY_COUNTRY="CN" export KEY_PROVINCE="GD" export KEY_CITY="canton" export KEY_ORG="XXX.com" export KEY_EMAIL="[email protected]" export KEY_OU="XXX.com" #保存退出,然后加载一下,注意当前文件夹路径,后续操作暂时不能更换文件夹路径,不然会报错 source vars # 清除keys目录下所有与证书相关的文件 # 下面步骤生成的证书和密钥都在/usr/share/easy-rsa/keys目录里 ./clean-all # 生成根证书ca.crt和根密钥ca.key(一路按回车即可) ./build-ca # 为服务端生成证书和私钥(一路按回车,直到提示需要输入y/n时,输入y再按回车,一共两次) ./build-key-server server # 每一个登陆的VPN客户端需要有一个证书,每个证书在同一时刻只能供一个客户端连接,下面建立2份 # 为客户端生成证书和私钥(一路按回车,直到提示需要输入y/n时,输入y再按回车,一共两次) ./build-key test1 ./build-key test2 # 创建迪菲·赫尔曼密钥,会生成dh2048.pem文件(生成过程比较慢,在此期间不要去中断它) ./build-dh # 生成ta.key文件(防DDos攻击、UDP淹没等恶意攻击) openvpn --genkey --secret keys/ta.key |
证书已经生成完毕了,来看看证书存放的目录keys,就在当前文件夹目录里面(所以叫你别换文件夹路径),
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 |
ll keys/ total 96 -rw-r--r-- 1 root root 5551 Oct 25 17:18 01.pem -rw-r--r-- 1 root root 5444 Oct 25 17:19 02.pem -rw-r--r-- 1 root root 1708 Oct 25 17:17 ca.crt -rw------- 1 root root 1704 Oct 25 17:17 ca.key -rw-r--r-- 1 root root 424 Oct 25 17:20 dh2048.pem -rw-r--r-- 1 root root 5444 Oct 25 17:19 test1.crt -rw-r--r-- 1 root root 1074 Oct 25 17:18 test1.csr -rw------- 1 root root 1704 Oct 25 17:18 test1.key -rw-r--r-- 1 root root 5444 Oct 25 17:19 test2.crt -rw-r--r-- 1 root root 1074 Oct 25 17:18 test2.csr -rw------- 1 root root 1704 Oct 25 17:18 test2.key -rw-r--r-- 1 root root 259 Oct 25 17:19 index.txt -rw-r--r-- 1 root root 21 Oct 25 17:19 index.txt.attr -rw-r--r-- 1 root root 21 Oct 25 17:18 index.txt.attr.old -rw-r--r-- 1 root root 128 Oct 25 17:18 index.txt.old -rw-r--r-- 1 root root 3 Oct 25 17:19 serial -rw-r--r-- 1 root root 3 Oct 25 17:18 serial.old -rw-r--r-- 1 root root 5551 Oct 25 17:18 server.crt -rw-r--r-- 1 root root 1070 Oct 25 17:18 server.csr -rw------- 1 root root 1704 Oct 25 17:18 server.key -rw------- 1 root root 636 Oct 25 17:23 ta.key |
好了,证书准备完毕,就开始正式配置服务端了,要定义配置文件
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 |
#在openvpn的配置目录下新建一个keys目录 mkdir /etc/openvpn/keys # 将需要用到的openvpn证书和密钥复制一份到刚创建好的keys目录中 cp /usr/share/easy-rsa/keys/* /etc/openvpn/keys/ #编辑server.conf,有些版本有模板,有些版本没有,只能自建 vim /etc/openvpn/server.conf #定义端口号,默认是1194,不想被"特殊照顾",那就改一下吧 port 11194 # 改成tcp,默认使用udp,如果使用HTTP Proxy,必须使用tcp协议 proto tcp #路由模式,桥接模式用dev tap dev tun # 路径前面加keys,全路径为/etc/openvpn/keys/ca.crt ca keys/ca.crt cert keys/server.crt key keys/server.key # This file should be kept secret dh keys/dh2048.pem # 默认虚拟局域网网段,不要和实际的局域网冲突即可,路由模式,桥接模式用server-bridge server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt # 10.0.0.0/8是我这台VPN服务器所在的内网的网段,读者应该根据自身实际情况进行修改 push "route 10.0.0.0 255.0.0.0" # 可以让客户端之间相互访问直接通过openvpn程序转发,根据需要设置 client-to-client # 如果客户端都使用相同的证书和密钥连接VPN,一定要打开这个选项,否则每个证书只允许一个人连接VPN duplicate-cn keepalive 10 120 tls-auth keys/ta.key 0 # This file is secret comp-lzo persist-key persist-tun # OpenVPN的状态日志,默认为/etc/openvpn/openvpn-status.log status openvpn-status.log # OpenVPN的运行日志,默认为/etc/openvpn/openvpn.log log-append openvpn.log #日志等级,看你需求,5就看多一些调试信息,3就简单些 verb 3 ###--加入脚本处理,如用密码验证 script-security 3 ###指定只用的认证脚本 auth-user-pass-verify /etc/openvpn/checkpsw.sh via-env ###不请求客户的CA证书,使用User/Pass验证,如果同时启用证书和密码认证,注释掉该行 #client-cert-not-required ### 使用客户提供的UserName作为Common Name username-as-common-name #保存退出,其他配置请看最后列出的配置说明 |
然后就是密码认证的脚本了,需要自己创建,放在openvpn的控制目录,和keys文件夹同一个文件夹(不是放keys里面)就可以了,server.conf配置文件里可以体现.
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 |
#先看看脚本 cat /etc/openvpn/checkpsw.sh #!/bin/sh ########################################################### # checkpsw.sh (C) 2004 Mathias Sundman <[email protected]> # # This script will authenticate OpenVPN users against # a plain text file. The passfile should simply contain # one row per user with the username first followed by # one or more space(s) or tab(s) and then the password. PASSFILE="/etc/openvpn/psw-file" LOG_FILE="/var/log/openvpn-password.log" TIME_STAMP=`date "+%Y-%m-%d %T"` ########################################################### if [ ! -r "${PASSFILE}" ]; then echo "${TIME_STAMP}: Could not open password file \"${PASSFILE}\" for reading." >> ${LOG_FILE} exit 1 fi CORRECT_PASSWORD=`awk ‘!/^;/&&!/^#/&&$1=="‘${username}‘"{print $2;exit}‘ ${PASSFILE}` if [ "${CORRECT_PASSWORD}" = "" ]; then echo "${TIME_STAMP}: User does not exist: username=\"${username}\", password=\"${password}\"." >> ${LOG_FILE} exit 1 fi if [ "${password}" = "${CORRECT_PASSWORD}" ]; then echo "${TIME_STAMP}: Successful authentication: username=\"${username}\"." >> ${LOG_FILE} exit 0 fi echo "${TIME_STAMP}: Incorrect password: username=\"${username}\", password=\"${password}\"." >> ${LOG_FILE} exit 1 #当然了,还要建议个记录用户名和密码的文件,脚本标记的文件是psw-file,前面是用户名.空格后是密码 cat /etc/openvpn/psw-file admin admin1234 |
配置写完了,最后来看看系统还要做一些东西
|
1 2 3 4 5 6 7 8 9 10 11 12 13 |
#开启路由转发功能,在/etc/sysctl.conf里添加更改 sed -i ‘/net\.ipv4\.ip\_forward/c\net\.ipv4\.ip\_forward\=1‘ /etc/sysctl.conf #有些可能没有这个设置,那就在这个文件最后加入 echo "net\.ipv4\.ip\_forward\=1" >> /etc/sysctl.conf #重载一下这个文件的参数 sysctl -p # 配置防火墙,别忘记保存 iptables -I INPUT -p tcp --dport 11194 -m comment --comment "openvpn" -j ACCEPT iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j MASQUERADE service iptables save #启动openvpn并设置为开机启动 service openvpn start chkconfig openvpn on |
不要以为完成了,还有客户端的配置文件要搞一下,这个配置文件是要放到客户端上面去的.
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 |
# 编辑client.ovpn,也是有些版本有模板,有些版本没有,只能自建 vim client.ovpn client # 路由模式 dev tun # 改为tcp proto tcp # OpenVPN服务器的外网IP和端口 remote 121.95.16.xxx 11194 resolv-retry infinite nobind persist-key persist-tun ca ca.crt # test1的证书 cert test1.crt # test1的密钥 key test1.key ns-cert-type server tls-auth ta.key 1 comp-lzo verb 3 #密码认证相关 auth-user-pass |
最后,准备客户端的配置文件,
|
1 2 3 4 5 6 7 8 |
#先创建一个config文件夹, mkdir config #将刚刚编辑好的client.ovpn和keys文件夹里面的ca.crt、test1.crt、test1.key、ta.key拷贝进去. cp -ar client.ovpn config/ cd keys cp -ar ca.crt test1.crt test1.key ta.key config/ #压缩 tar zcf config.tar.gz config |
最后把config.tar.gz拷贝出来备用,最后在客户端里面使用
使用客户端
上面的都是服务端的操作,下面是客户端的操作,一般而言,windows和linux都可以,当然了,大部分人办公还是windows为主,我们也是以这个来说
首先,当然是要下载了,各位可以自行下载openvpn客户端,因为是开源,所以是免费的,不用注册,不用给钱,直接下载就可以了,不过官网在墙外,比较悲剧,下面是我上传的地址,可以去这里下载,版本是2.3.12.
http://down.51cto.com/data/2254112
windows的客户端怎么安装我就不多说了,直接点exe下一步就行,不用注册也不用你搞什么破解什么的事,直到安装完就是,期间唯一比较特别的也就是提示你安装个虚拟网卡,允许就ok了.
然后还记得最后下载的config.tar.gz么?请先找到客户端的安装目录,
对的,把config.tar.gz的文件全部解压,放到客户端安装目录的config文件夹里面
这个时候,你就可以双击桌面上的openvpn图标进行测试了,双击后再通知栏会有这个灰色的东西
然后鼠标右键点击conect开始连接
弹出登录框,输入你的用户名密码
正确通过认证后,看到小框变绿色就完成了
最后我们来测试下,能ping通,那就是完成了
配置文件详解
Server使用的配置文件server.conf
—————————–
#申明本机使用的IP地址,也可以不说明
;local a.b.c.d
#申明使用的端口,默认1194
port 1194
#申明使用的协议,默认使用UDP,如果使用HTTP proxy,必须使用TCP协议
;proto tcp
proto udp
#申明使用的设备可选tap和tun,tap是二层设备,支持链路层协议。
#tun是ip层的点对点协议,限制稍微多一些,本人习惯使用TAP设备
dev tap
;dev tun
#OpenVPN使用的ROOT CA,使用build-ca生成的,用于验证客户是证书是否合法
ca ca.crt
#Server使用的证书文件
cert server.crt
#Server使用的证书对应的key,注意文件的权限,防止被盗
key server.key # This file should be kept secret
#CRL文件的申明,被吊销的证书链,这些证书将无法登录
crl-verify vpncrl.pem
#上面提到的生成的Diffie-Hellman文件
dh dh1024.pem
#这是一条命令的合集,如果你是OpenVPN的老用户,就知道这条命令的来由
#这条命令等效于:
# mode server #OpenVPN工作在Server模式,可以支持多client同时动态接入
# tls-server #使用TLS加密传输,本端为Server,Client端为tls-client
#
# if dev tun: #如果使用tun设备,等效于以下配置
# ifconfig 10.8.0.1 10.8.0.2 #设置本地tun设备的地址
# ifconfig-pool 10.8.0.4 10.8.0.251 #说明OpenVPN使用的地址池(用于分配给客户),分别是起始地址、结束地址
# route 10.8.0.0 255.255.255.0 #增加一条静态路由,省略下一跳地址,下一跳为对端地址,这里是: 10.8.0.2
# if client-to-client: #如果使用client-to-client这个选项
# push “route 10.8.0.0 255.255.255.0″ #把这条路由发送给客户端,客户连接成功后自动加入路由表,省略了下一跳地址: 10.8.0.1
# else
# push “route 10.8.0.1″ #否则发送本条路由,这是一个主机路由,省略了子网掩码和下一跳地址,分别为: 255.255.255.255 10.8.0.1
#
# if dev tap: #如果使用tap设备,则等效于以下命令
# ifconfig 10.8.0.1 255.255.255.0 #配置tap设备的地址
# ifconfig-pool 10.8.0.2 10.8.0.254 255.255.255.0 #客户端使用的地址池,分别是起始地址、结束地址、子网掩码
# push “route-gateway 10.8.0.1″ #把环境变量route-gateway传递给客户机
#
server 10.8.0.0 255.255.255.0 #等效于以上命令
#用于记录某个Client获得的IP地址,类似于dhcpd.lease文件,
#防止openvpn重新启动后“忘记”Client曾经使用过的IP地址
ifconfig-pool-persist ipp.txt
#Bridge状态下类似DHCPD的配置,为客户分配地址,由于这里工作在路由模式,所以不使用
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
#通过VPN Server往Client push路由,client通过pull指令获得Server push的所有选项并应用
;push “route 192.168.10.0 255.255.255.0″
;push “route 192.168.20.0 255.255.255.0″
#VPN启动后,在VPN Server上增加的路由,VPN停止后自动删除
;route 10.9.0.0 255.255.255.252
#Run script or shell command cmd to validate client
#virtual addresses or routes. 具体查看manual
;learn-address ./script
#其他的一些需要PUSH给Client的选项
#
#使Client的默认网关指向VPN,让Client的所有Traffic都通过VPN走
;push “redirect-gateway”
#DHCP的一些选项,具体查看Manual
;push “dhcp-option DNS 10.8.0.1″
;push “dhcp-option WINS 10.8.0.1″
#如果可以让VPN Client之间相互访问直接通过openvpn程序转发,
#不用发送到tun或者tap设备后重新转发,优化Client to Client的访问效率
client-to-client
#如果Client使用的CA的Common Name有重复了,或者说客户都使用相同的CA
#和keys连接VPN,一定要打开这个选项,否则只允许一个人连接VPN
;duplicate-cn
#NAT后面使用VPN,如果VPN长时间不通信,NAT Session可能会失效,
#导致VPN连接丢失,为防止之类事情的发生,keepalive提供一个类似于ping的机制,
#下面表示每10秒通过VPN的Control通道ping对方,如果连续120秒无法ping通,
#认为连接丢失,并重新启动VPN,重新连接
#(对于mode server模式下的openvpn不会重新连接)。
keepalive 10 120
#上面提到的HMAC防火墙,防止DOS攻击,对于所有的控制信息,都使用HMAC signature,
#没有HMAC signature的控制信息不予处理,注意server端后面的数字肯定使用0,client使用1
tls-auth ta.key 0 # This file is secret
#对数据进行压缩,注意Server和Client一致
comp-lzo
#定义最大连接数
;max-clients 100
#定义运行openvpn的用户
user nobody
group nobody
#通过keepalive检测超时后,重新启动VPN,不重新读取keys,保留第一次使用的keys
persist-key
#通过keepalive检测超时后,重新启动VPN,一直保持tun或者tap设备是linkup的,
#否则网络连接会先linkdown然后linkup
persist-tun
#定期把openvpn的一些状态信息写到文件中,以便自己写程序计费或者进行其他操作
status openvpn-status.log
#记录日志,每次重新启动openvpn后删除原有的log信息
log /var/log/openvpn.log
#和log一致,每次重新启动openvpn后保留原有的log信息,新信息追加到文件最后
;log-append openvpn.log
#相当于debug level,具体查看manual
verb 3
#########################################################################
接下来配置客户端的配置文件client.conf:
Linux或Unix下使用扩展名为.conf Windows下使用的是.ovpn,并把需要使用的keys复制到配置文件所在目录ca.crt elm.crt elm.key ta.key
———————————-
# 申明我们是一个client,配置从server端pull过来,如IP地址,路由信息之类“Server使用push指令push过来的”
client
#指定接口的类型,严格和Server端一致
dev tap
;dev tun
# Windows needs the TAP-Win32 adapter name
# from the Network Connections panel
# if you have more than one. On XP SP2,
# you may need to disable the firewall
# for the TAP adapter.
;dev-node MyTap
# 使用的协议,与Server严格一致
;proto tcp
proto udp
#设置Server的IP地址和端口,如果有多台机器做负载均衡,可以多次出现remote关键字
remote 61.1.1.2 1194
;remote my-server-2 1194
# 随机选择一个Server连接,否则按照顺序从上到下依次连接
;remote-random
# 始终重新解析Server的IP地址(如果remote后面跟的是域名),
# 保证Server IP地址是动态的使用DDNS动态更新DNS后,Client在自动重新连接时重新解析Server的IP地址
# 这样无需人为重新启动,即可重新接入VPN
resolv-retry infinite
# 在本机不邦定任何端口监听incoming数据,Client无需此操作,除非一对一的VPN有必要
nobind
# 运行openvpn用户的身份,旧版本在win下需要把这两行注释掉,新版本无需此操作
user nobody
group nobody
#在Client端增加路由,使得所有访问内网的流量都经过VPN出去
#当然也可以在Server的配置文件里头设置,Server配置里头使用的命令是
# push “route 192.168.0.0 255.255.255.0″
route 192.168.0.0 255.255.0.0
# 和Server配置上的功能一样如果使用了chroot或者su功能,最好打开下面2个选项,防止重新启动后找不到keys文件,或者nobody用户没有权限启动tun设备
persist-key
persist-tun
# 如果你使用HTTP代理连接VPN Server,把Proxy的IP地址和端口写到下面
# 如果代理需要验证,使用http-proxy server port [authfile] [auth-method]
# 其中authfile是一个2行的文本文件,用户名和密码各占一行,auth-method可以省略,详细信息查看Manual
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
# 对于无线设备使用VPN的配置,看看就明白了
# Wireless networks often produce a lot
# of duplicate packets. Set this flag
# to silence duplicate packet warnings.
;mute-replay-warnings
# Root CA 文件的文件名,用于验证Server CA证书合法性,通过easy-rsa/build-ca生成的ca.crt,和Server配置里的ca.crt是同一个文件
ca ca.crt
# easy-rsa/build-key生成的key pair文件,上面生成key部分中有提到,不同客户使用不同的keys修改以下两行配置并使用他们的keys即可。
cert elm.crt
key elm.key
# Server使用build-key-server脚本什成的,在x509 v3扩展中加入了ns-cert-type选项
# 防止VPN client使用他们的keys + DNS hack欺骗vpn client连接他们假冒的VPN Server
# 因为他们的CA里没有这个扩展
ns-cert-type server
# 和Server配置里一致,ta.key也一致,注意最后参数使用的是1
tls-auth ta.key 1
# 压缩选项,和Server严格一致
comp-lzo
# Set log file verbosity.
verb 4