2. 安装
2.1安装前准备
系统:centos5.4
i686 i686 i386 GNU/Linux
把系统的Forward打开,可以通过如下命令实现
echo 1 > /proc/sys/net/ipv4/ip_forward
或者使用
sysctl -w net.ipv4.ip_forward=1
或者修改/etc/sysctl.conf文件,增加
net.ipv4.ip_forward = 1
首先检查系统是否安装lzo实时压缩工具
$rpm -qa | grep lzo
如果没有安装可以在http://www.oberhumer.com/opensource/lzo/找到并安装,安装方法详见压缩包中的 INSTALL文件,当然也可以用rpm包安装,记住一定要安装lzo-devel开头的那个包,因为OpenVPN需要使用lzo的头文件。
2.2获取软件
Wget http://down1.chinaunix.net/distfiles/openvpn-2.0.7.tar.gz
Wget http://www.oberhumer.com/opensource/lzo/download/lzo-2.03.tar.gz
2.3安装
tar -xzvf lzo-2.03tar.gz
cd lzo-2.03
./configure
make
make install
安装openvpn
$tar -zxvf openvpn-2.07tar.gz
$cd openvpn-2.07
#./configure --with-lzo-lib=/usr/local/lib --with-lzo-headers=/usr/local/include
3.
配置
3.1创建证书配置文件
拷贝源码文件到/etc下(当然也可以生成完密钥后将kes拷过来也可)
Cd / openvpn-2.07
cp -ar easy-rsa/etc/openvpn
编辑vars文件
找到如下内容
# 定义你所在的国家,2个字符
export KEY_COUNTRY=CN
# 你所在的省份
export KEY_PROVINCE=bj
# 你所在的城市
export KEY_CITY=bj
# 你所在的组织
export KEY_ORG="OpenVPN ORG"
# 你的单位
export KEY_OU="OpenVPN"
# 你的邮件地址
export KEY_EMAIL="[email protected]"
-------------CUT Here-----------------
修改后保存,下面我们开始什成keys,以下为shell命令 "#" 为提示符
然后执行
. ./vars (注意. .之间有空格)
NOTE:when you run ./clean-all, I will be doing a rm -rf on/etc/openvpn/easy-rsa/keys(此为正确输出信息)
#./clean-all#初始化keys目录,创建所需要的文件和目录
#./build-ca#生成root CA证书。用于签发server和client证书
密匙跟openssl紧密结合.
如果没有修改的地方一路回车即可
# ls keys
ca.crt ca.key index.txt serial
我们可以看到ca.crt ca.key文件已经什成了。
下面我们为服务器生成 Diffie-Hellman 文件
# ./build-dh #TLS server 需要使用的一个文件
Generating DH parameters, 1024 bit long safe prime, generator 2
This is going to take a long time
..+..............................................................+....................................................................+....+........+.........+....................................................+.+..................................................................................................................................................................+.......................................+.................................+.............+.................................................................................+.......................................................+.............................++*++*++*
创建并签发VPN Server使用的CA
3.2建立服务器的认证书和密匙
# ./build-key-server server # server
为创建后的文件名,分别为server.crtserver.key
Generating a 1024 bit RSA private key
输出我就不写了,其中有两个选择的地方,都选择y即可,如果报错comaname的错误时是你的输入的名字错误,或是重名了。修改文件名即可。
3.3建立客户端证书
如果以后要为其他Client颁发证书,直接使用build-key命令签发新证书。
# ./build-key client1
Generating a 1024 bit RSA private key
........++++++
....................++++++
writing new private key to ‘elm.key‘
-----
。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。(略)
Name(eg, your name or your server‘s hostname) []:client1#注意Common Name最好不要相同,如果相同[server要加duplicate-cn选项,那么Email地址也不能相同
Email Address [[email protected]]:
……………….
…………………(略,回车即可)
hecertificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
说明创建成功
为防止恶意攻击(如DOS、UDP port flooding),我们生成一个"HMAC firewall"
#openvpn --genkey --secret keys/ta.key (keys/ta.key是创建的目录和文件名)
生成证书吊销链文件,防止日后有人丢失证书,被非法用户接入VPN
#./make-crl vpncrl.pem
Using configuration from /etc/openvpn/easy-rsa/openssl.cnf
到现在为止,一切准备就绪,下面开始写配置文件,为了缩小篇幅,把原有注释都去掉了。
3.4置服务端:
创建server.conf
可以直接将源码下的server.conf拷贝过来修改即可
如:
cp/opt/openvpn/openvpn-2.0.7/sample-config-files/server.conf
/etc/openvpn/
编辑server.conf文件
;locala.b.c.d ##申明本机使用的IP地址,也可以不说明
port1194 ##申明使用的端口,默认1194
;prototcp ##申明使用的协议,默认使用UDP,如果使用HTTP proxy,必须使用TCP协议
protoudp
devtap ##申明使用的设备可选tap和tun,tap是二层设备,支持链路层协议。#tun是ip层的点对点协议,限制稍微多一些,本人习惯使用TAP设备
;devtun
;dev-nodeMyTap
##OpenVPN使用的ROOT CA,使用build-ca生成的,用于验证客户是证书是否合法
ca
/etc/openvpn/easy-rsa/keys/ca.crt
#Server使用的证书文件
cert/etc/openvpneasy-rsa/keys/server.crt
#Server使用的证书对应的key,注意文件的权限,防止被盗
key/etc/openvpn/ easy-rsa/keys/server.key
#This file should be kept secret
#CRL文件的申明,被吊销的证书链,这些证书将无法登录
crl-verify vpncrl.pem
#上面提到的生成的Diffie-Hellman文件
dh/etc/openvpn /easy-rsa/keys/dh1024.pem
#用于记录某个Client获得的IP地址,类似于dhcpd.lease文件,
;server10.8.0.0 255.255.255.0
server192.168.98.0 255.255.255.0
#防止openvpn重新启动后“忘记”Client曾经使用过的IP地址
ifconfig-pool-persistipp.txt
#Bridge状态下类似DHCPD的配置,为客户分配地址,由于这里工作在路由模式,所以不使用
;server-bridge10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
#通过VPN Server往Client push路由,client通过pull指令获得Server push的所有选项并应用(这一点很重要,这样其他服务器添加一下路由就可以登陆了,否则无效,这个最好和你的内网断一至,否则也不生效)
;push"route 192.168.10.0 255.255.255.0"
;push"route 192.168.20.0 255.255.255.0"
push"route 192.168.99.0 255.255.255.0"
;client-config-dirccd
;route192.168.40.128 255.255.255.248
route192.168.99.0 255.255.255.0
;client-config-dirccd
;route10.9.0.0 255.255.255.252
;learn-address./script
;push"redirect-gateway"
#如果可以让VPN Client之间相互访问直接通过openvpn程序转发,
;push"dhcp-option DNS 10.8.0.1"
;push"dhcp-option WINS 10.8.0.1"
#不用发送到tun或者tap设备后重新转发,优化Client to Client的访问效率
client-to-client
;duplicate-cn
#NAT后面使用VPN,如果VPN长时间不通信,NAT Session可能会失效,
#导致VPN连接丢失,为防止之类事情的发生,keepalive提供一个类似于ping的机制,
#下面表示每10秒通过VPN的Control通道ping对方,如果连续120秒无法ping通,
#认为连接丢失,并重新启动VPN,重新连接
#(对于mode server模式下的openvpn不会重新连接)。
keepalive10 120
#没有HMAC signature的控制信息不予处理,注意server端后面的数字肯定使用0,client使用1
;tls-authta.key 0 # This file is secret
#对数据进行压缩,注意Server和Client一致
comp-lzo
#定义最大连接数
max-clients100
#定义运行openvpn的用户
usernobody
groupnobody
#通过keepalive检测超时后,重新启动VPN,不重新读取keys,保留第一次使用的keys
persist-key
#通过keepalive检测超时后,重新启动VPN,一直保持tun或者tap设备是linkup的,
#否则网络连接会先linkdown然后linkup
persist-tun
#定期把openvpn的一些状态信息写到文件中,以便自己写程序计费或者进行其他操作
statusopenvpn-status.log
#记录日志,每次重新启动openvpn后删除原有的log信息
log
openvpn.log
;log-append
openvpn.log
#相当于debug level,具体查看manual
verb3
;mute20
创建OpenVPN启动脚本,可以在源代码目录中找到,在sample-scripts目录下的openvpn.init文件,将其复制到/etc/init.d/目录中,改名为openvpn
然后运行:
#chkconfig --add openvpn
#chkconfig openvpn on
立即启动openenvpn
#/etc/init.d/openvpn start
(如果没有openvpn启动程序的话,将源码的拷过来,如:cp/opt/openvpn/openvpn-2.0.7/sample-scripts/openvpn.init /etc/init.d/openvpn)
3.5置client端
client
#dev tun
dev tap
proto udp
#proto tcp
remote ip(你的vpn的公网ip,就是用来连接服务端的ip) 1194 (服务端是什么端口这里就是什么端口)
remote-random
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
#tls-auth ta.key 1
comp-lzo
verb 3
# Silence repeating messages
;mute 20
keepalive 5 10
3.6启动服务
/etc/init.d/openvpn start
cd /etc/openvpn/easy-rsa/
openvpn--daemon --config
server.conf #有没有错误输出
openvpn --daemon --config
server.conf &#没有的话后端运行(这项是必须的否则客户端将报告连不上服务器的错误)
netstat-antlp | grep 1194 #(查看端口,如果有的话说明openvpn启动,如果没有继续查配置文件)
4.
其他服务器设置
4.1添加路由
在其他服务器上添加路由,这一项很重要,否则openvpn不能直接访问。
route add -net192.168.98.0 gw
192.168.99.209 netmask255.255.255.0 dev eth1(gw 后面的ip为你自己内网eth1设置的ip)
5.
安装windows客户端
5.1获取软件
软件下载地址:
http://swupdate.openvpn.net/community/releases/openvpn-2.2-beta3-install.exe
至于安装过程那就简单了不在叙述
5.2获取服务器生成的证书
将服务器端生成client crt 和key 还有ca。crt 下载到本地
放到openvpn的安装目录的config文件
如我安装的路径为C:\Program Files\OpenVPN\config (就把这些东西放到里边即可)
5.3 修改客户端配置文件
这里边在我配置客户端文件时已经列出了客户端的配置文件,不在描述
6
验收
6.1打开防火墙
关闭linux 服务器上的防火墙或在防火墙上打开1194端口
如:
Iptables - A INPUT -p tcp –dport 1194 -j ACCEPT
6.2 链接测试
当你的客户端安装完成后,会产生两个两个电脑的图标,一个是网卡和一个是连接终端。如图:
右键点击红色的connect 连接,如果没问题的话就可以连接了,成功后会是绿色的图标。
补充:至于linux下的客户端的配置和window下基本一样,但想连接服务器时直接运行
openvpn --daemon --config client.conf & 即可。(这个也需要安装openvpn)
7常见问题解答
1.
BIO read tls_read_plaintext error: error:14090086:SSLroutines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
认证问题key的钥匙是否正确
2.
Nov04 16:10:05 2010 C:\WINDOWS\system32\route.exe DELETE 192.168.99.0 MASK255.255.255.0 192.168.98.1
ThuNov 04 16:10:05 2010 Warning: route gateway is not reachable on any activenetwork adapters: 192.168.98.1
ThuNov 04 16:10:05 2010 Route deletion via IPAPI failed [adaptive]
ThuNov 04 16:10:05 2010 Route deletion fallback to route.exe
Theroute specified was not found.
ThuNov 04 16:10:05 2010 Closing TUN/TAP interface
ThuNov 04 16:10:05 2010 SIGTERM[soft,tun-stop] received, process exiting
这是windos 没有tap的网卡 需要安装客户端工具自己生成一个网卡