Gausst松鼠会

这个屌丝很懒，什么也没留下！

热门标签

CentOS 7 安装 OpenVP*

作者：Gausst松鼠会 | 2024-03-07 12:06:51

踩

CentOS 7 安装 OpenVP*

前言

1、数字证书

数字证书就是互联网通讯中标志通讯各方身份信息的一串数字，提供了一种在互联网上验证通信实体身份的方式。数字证书不是数字身份证，而是身份认证机构盖在数字身份证上的一个章或印（或者说加在数字身份证上的一个签名）。其作用类似于现实生活中司机的驾驶执照或日常生活中的身份证。

2、CA

上面提到的数字证书就是CA发行的。CA是Certificate Authority的缩写，也叫“证书授权中心”。它是负责管理和签发证书的第三方机构，作用是检查证书持有者身份的合法性，并签发证书，以防证书被伪造或篡改。所以，CA实际上是一个机构，负责“证件”印制核发。就像负责颁发身份证的公安局、负责发放行驶证、驾驶证的车管所。

3、CA证书

顾名思义，CA 证书就是CA颁发的证书。 CA证书也就我们常说的数字证书，包含证书拥有者的身份信息，CA机构的签名，公钥和私钥。身份信息用于证明证书持有者的身份；CA签名用于保证身份的真实性；公钥和私钥用于通信过程中加解密，从而保证通讯信息的安全性。

4、PKI

PKI是Public key infrastructure的简称，中文称之为“公开密钥基础设施”、“公钥基础设施”、“公开密钥基础架构”或“公钥基础架构”，是一组由硬件、软件、参与者、管理政策与流程组成的基础架构，其目的在于创造、管理、分配、使用、存储以及撤销数字证书。

5、Easy-RSA

Easy RSA是Open VPN组织对PKI的实现，它是一个命令行工具，可以创建并管理Root Certificate Authority(CA)，包括签发、吊销数字证书、创建公钥私钥对等。

一、安装

1、安装 openvpn 和 easy-rsa（该包用来制作 ca 证书）


# 安装 epel 源
yum install epel-release -y
 
# 安装
yum install openvpn easy-rsa

2、配置 /etc/openvpn/easy-rsa 目录


mkdir -p /etc/openvpn/easy-rsa
 
# 因为安装时没有指定版本号，这里的 "3.0.7" 需要改成你安装时对应的版本号
cp -r /usr/share/easy-rsa/3.0.7/* /etc/openvpn/easy-rsa/
 
# 拷贝 证书配置文件
cp /usr/share/doc/easy-rsa-3.0.7/vars.example /etc/openvpn/easy-rsa/vars
 
# 拷贝 openvpn 模版配置文件
cp /usr/share/doc/openvpn-2.4.8/sample/sample-config-files/server.conf /etc/openvpn/

3、编辑 vars


vim /etc/openvpn/easy-rsa/vars
 
# 修改内容
set_var EASYRSA_REQ_COUNTRY     "CN"
set_var EASYRSA_REQ_PROVINCE    "JiangSu"
set_var EASYRSA_REQ_CITY        "XUYI"
set_var EASYRSA_REQ_ORG         "MSH"
set_var EASYRSA_REQ_EMAIL       "mshxuyi@163.com"
set_var EASYRSA_REQ_OU          "IT"

二、创建根、服务器端证书和 key

1、初始化


cd /etc/openvpn/easy-rsa/
 
# 初始化，成功后出现 pki 目录
./easyrsa init-pki

2、创建根证书


./easyrsa build-ca
 
# 输入密码，这里输入 123456
Enter New CA Key Passphrase:
 
………
 
# 输入名称，这里输入 vpn-ca
Common Name (eg: your user, host, or server name) [Easy-RSA CA]:vpn-ca
 
 
# 成功后显示
CA creation complete and you may now import and sign cert requests.
Your new CA certificate file for publishing is at:
/etc/openvpn/easy-rsa/pki/ca.crt
 
 
# ca.crt 证书文件
# private 目录里面放的是所有密钥文件，ca.key 后面的 server.key 也会在这里

3、创建服务器端证书


./easyrsa build-server-full server nopass
 
 
# 输入前面定义的 ca 密码 123456
Enter pass phrase for /etc/openvpn/easy-rsa/pki/private/ca.key:123456
 
....
Signature ok
The Subject's Distinguished Name is as follows
commonName            :ASN.1 12:'server'
Certificate is to be certified until Jan 15 03:05:13 2025 GMT (825 days)
Write out database with 1 new entries
Data Base Updated

4、创建Diffie-Hellman，确保key穿越不安全网络的命令

./easyrsa gen-dh

5、生成 ta 密钥文件

openvpn --genkey --secret ta.key

三、创建客户端证书和 key

1、生成证书


# 生成 tomma 对应姓名的客户端证书
./easyrsa build-client-full tomma
 
...................
 
# 输入客户端的密码 654321 ，后面登陆会用到
Enter PEM pass phrase:
 
# 输入 ca 证书密码 123456
Enter pass phrase for /etc/openvpn/easy-rsa/pki/private/ca.key:123456
 
# 成功后显示
Signature ok
The Subject's Distinguished Name is as follows
commonName            :ASN.1 12:'tomma'
Certificate is to be certified until Jul 24 08:38:44 2022 GMT (825 days)

2、查看证书


find / -name tomma*
 
# 查看生成的客户端证书，这里要用到是 tomma.key，tomma.crt
/etc/openvpn/easy-rsa/pki/private/tomma.key
/etc/openvpn/easy-rsa/pki/reqs/tomma.req
/etc/openvpn/easy-rsa/pki/issued/tomma.crt

四、管理证书文件及配置

1、拷贝文件


# 拷贝根与服务器端的相关证书
cp pki/ca.crt /etc/openvpn/server
cp pki/private/server.key /etc/openvpn/server
cp pki/issued/server.crt /etc/openvpn/server
cp pki/dh.pem /etc/openvpn/server
cp /etc/openvpn/easy-rsa/ta.key /etc/openvpn/server
 
 
 
# 拷贝客户端相关证书
mkdir -p /etc/openvpn/client/tomma
 
cp pki/ca.crt /etc/openvpn/client/tomma
cp pki/issued/tomma.crt /etc/openvpn/client/tomma
cp pki/private/tomma.key /etc/openvpn/client/tomma
cp /etc/openvpn/easy-rsa/ta.key /etc/openvpn/client/tomma

2、修改 server.conf 配置文件


vim /etc/openvpn/server.conf
 
# 修改内容
local 0.0.0.0
port 1194
proto tcp
dev tun
ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/server.crt
key /etc/openvpn/server/server.key
dh /etc/openvpn/server/dh.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
;push "redirect-gateway def1 bypass-dhcp"
push "route 192.168.0.0 255.255.255.0"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
tls-auth /etc/openvpn/server/ta.key 0
cipher AES-256-GCM
compress lz4-v2
push "compress lz4-v2"
max-clients 100
persist-key
persist-tun
status     /var/log/openvpn/openvpn-status.log
log        /var/log/openvpn/openvpn.log
verb 3

3、说明


# 监听地址
local 0.0.0.0  
 
# 监听端口
port 1194  
 
# 监听协议
proto tcp  
 
# 采用路由隧道模式
dev tun  
 
# ca证书路径
ca /etc/openvpn/ca.crt  
 
# 服务器证书
cert /etc/openvpn/server.crt  
 
# This file should be kept secret 服务器秘钥
key /etc/openvpn/server.key  
 
# 密钥交换协议文件
dh /etc/openvpn/dh.pem  
 
# VPN服务端为自己和客户端分配IP的地址池，服务端自己获取网段的第一个地址（这里为10.8.0.1），后为客户端分配其他的可用地址。以后客户端就可以和10.8.0.1进行通信。注意：该网段地址池不要和已有网段冲突或重复
server 10.8.0.0 255.255.255.0  
 
# 使用一个文件记录已分配虚拟IP的客户端和虚拟IP的对应关系，以后openvpn重启时，将可以按照此文件继续为对应的客户端分配此前相同的IP。也就是自动续借IP的意思
ifconfig-pool-persist ipp.txt 
 
# 客户端所有流量都通过 openvpn 转发，类似于代理（本机的IP会显示远端的IP）
push "redirect-gateway def1 bypass-dhcp"
 
# 当上面全局流量开启后, 但部分同事不想走全局，只需求192.168.0.0网段走vpn隧道，访问其他还是走本地网络
# 可通过下面两条进行配置（客户端配置）
route-nopull
route 192.168.0.0 255.255.255.0 vpn_gateway
 
# 将服务器端的内网地址推给客户端，添加到客户端的路由表中，可以添加多条
push "route 192.168.0.0 255.255.255.0" 
 
# 服务端推送客户端dhcp分配dns
push "dhcp-option DNS 8.8.8.8"  
 
# 客户端之间互相通信
client-to-client
 
# 存活时间，10秒ping一次,120 如未收到响应则视为断线
keepalive 10 120 
 
# openvpn 2.4版本的vpn才能设置此选项。表示服务端启用lz4的压缩功能，传输数据给客户端时会压缩数据包。Push后在客户端也配置启用lz4的压缩功能，向服务端发数据时也会压缩。如果是2.4版本以下的老版本，则使用用comp-lzo指令
compress lz4-v2
push "compress lz4-v2"
 
# 启用lzo数据压缩格式。此指令用于低于2.4版本的老版本。且如果服务端配置了该指令，客户端也必须要配置
comp-lzo
 
# 最多允许 100 客户端连接
max-clients 100  
 
# 用户
user openvpn  
 
# 用户组  
group openvpn  
 
# 参数 0 可以省略，如果不省略，那么客户端配置相应的参数该配成 1；如果省略，那么客户端不需要 tls-auth 配置
tls-auth /etc/openvpn/server/ta.key 0

4、创建日志目录

mkdir -p /var/log/openvpn/

五、设置路由


# 如果不设置，连上 VPN 后将无法正常上网
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j MASQUERADE
 
service iptables save
 
vim /etc/sysctl.conf
net.ipv4.ip_forward = 1
 
# 生效
sysctl -p

六、启动


systemctl start openvpn@server.service
 
# 查看
netstat -lntp | grep 1194
tcp        0      0 0.0.0.0:1194       0.0.0.0:*     LISTEN      1470/openvpn

七、客户端连接

1、下载，安装在 D盘

链接：https://pan.baidu.com/s/19TzFko54Et5OQA6fsA3uKQ
提取码：hhct

2、在安装目录 config下创建 client.ovpn 文件


client
dev tun
proto tcp
remote 192.168.1.71 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert tomma.crt
key tomma.key
remote-cert-tls server
tls-auth ta.key 1
cipher AES-256-GCM
compress lz4-v2
verb 3
auth-nocache

3、拷贝服务器客户端上的相关文件


[root@vm71 easy-rsa]# ll /etc/openvpn/client/tomma
 
 
-rw------- 1 root root 1151 Apr 20 17:12 ca.crt
-rw------- 1 root root  636 Apr 20 17:12 ta.key
-rw------- 1 root root 4405 Apr 20 17:12 tomma.crt
-rw------- 1 root root 1834 Apr 20 17:12 tomma.key
 
 
# 需要拷贝的文件有 4个 ca.crt  ta.key  tomma.crt  tomma.key

4、win10 下面显示如下

5、输入密码连接

6、成功

7、为客户端分配静态IP


vim /etc/openvpn/server.conf
 
# 添加
client-config-dir /etc/openvpn/ccd
 
 
# 这里的tomma为客户端登陆名
vim /etc/openvpn/ccd/tomma
 
# 添加指定IP
ifconfig-push 10.8.0.6 255.255.255.0

8、优化客户端文件，由于每个用户都需要发4个证书文件太麻烦，我们可以把证书文件跟配置文件放一起，这样只需要发一个文件就可以了

<ca>ca.crt</ca>

<cert>tomma.crt</cert>

<key>tomma.key</key>

<tls-auth>ta.key</tls-auth>


client
dev tun
proto tcp
remote 192.168.1.71 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert tomma.crt
key tomma.key
remote-cert-tls server
tls-auth ta.key 1
cipher AES-256-GCM
compress lz4-v2
verb 3
auth-nocache
<ca>
-----BEGIN CERTIFICATE-----
MIIDJDCCAgygAwIBAgIJALmtytAc1+9UMA0GCSqGSIb3DQEBCwUAMBExDzANBgNV
BAMMBnZwbi1jYTAeFw0yNDAxMDMwMzI3MTZaFw0zMzEyMzEwMzI3MTZaMBExDzAN
5L7+WYsqocyEl0jQahDfiI36U2mOG0j5nUt/VppkjUxvmEYDK/v8VAliUtUVB68Y
uqi/+zCeMvKChZ3bqn3lB3MpjiDTchYvfxw7/5SF0ZWIO30g5yQZVA==
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
MIIDPjCCAiagAwIBAgIQVs+8f90qvnUVZ5sztsS1ujANBgkqhkiG9w0BAQsFADAR
MQ8wDQYDVQQDDAZ2cG4tY2EwHhcNMjQwMTAzMDMyOTIwWhcNMjYwNDA3MDMyOTIw
WWy4yoQ7vUFuzFoWFUBlyet7Y3RWRYS7mM3V0pUtd+JRYWJlYF7jemd9TmhcMO1P
szZRGo7ysmkLJLnqXUWtj4ot
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN ENCRYPTED PRIVATE KEY-----
MIIFDjBABgkqhkiG9w0BBQ0wMzAbBgkqhkiG9w0BBQwwDgQI3YR2FInKfhQCAggA
MBQGCCqGSIb3DQMHBAj0vLeuypRVVgSCBMii8JwY7bATRn0xTpJCIjHohI68CQ8x
665FWnItadWsik0b1CzgMzy1pm7+EOVMcOc1GEBY4rADe4s7TAefpgzf3EFEVoGO
FcQ=
-----END ENCRYPTED PRIVATE KEY-----
</key>
<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
7ab5512b85f4c30ed11aa809170f4c33
77ecb01fdee68bed9cfc61352036d294
63aad78cf8187aeeb1debcd526bb273c
-----END OpenVPN Static key V1-----
</tls-auth>

八，脚本管理

1、创建一个模版文件


vim /etc/openvpn/client/sample.ovpn
 
# 内容
client
dev tun
proto tcp
remote 192.168.1.71 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert admin.crt
key admin.key
remote-cert-tls server
tls-auth ta.key 1
cipher AES-256-GCM
compress lz4-v2
verb 3

2、创建脚本


vim add_vpnuser.sh
 
# 内容
#!/bin/bash
 
set -e
 
keys_dir=/etc/openvpn/client/keys
easyras_dir=/etc/openvpn/easy-rsa
pki_dir=$easyras_dir/pki
 
for user in "$@"
 
do
    if [ -d "$keys_dir/$user" ]; then
        rm -rf $keys_dir/$user
        rm -rf $pki_dir/reqs/$user.req
        sed -i '/'"$user"'/d' $pki_dir/index.txt
    fi
    
    cd $easyras_dir
 
    ./easyrsa build-client-full $user nopass
 
    mkdir -p $keys_dir/$user
 
    cp $pki_dir/ca.crt $keys_dir/$user/
    cp $pki_dir/issued/$user.crt $keys_dir/$user/
    cp $pki_dir/private/$user.key $keys_dir/$user/
    cp /etc/openvpn/client/sample.ovpn $keys_dir/$user/$user.ovpn
    sed -i 's/admin/'"$user"'/g' $keys_dir/$user/$user.ovpn
    cp $easyras_dir/ta.key $keys_dir/$user/ta.key
 
    cd $keys_dir
    zip -r $user.zip $user
 
done
 
exit 0

3、执行脚本创建


bash /etc/openvpn/easy-rsa/add_vpnuser.sh tomma
 
# 输入 ca 密码
Enter pass phrase for /etc/openvpn/easy-rsa/pki/private/ca.key:
 
.................
 
Data Base Updated
 
  adding: tomma/ (stored 0%)
  adding: tomma/ca.crt (deflated 25%)
  adding: tomma/tomma.crt (deflated 45%)
  adding: tomma/tomma.key (deflated 23%)
  adding: tomma/tomma.ovpn (deflated 27%)
  adding: tomma/ta.key (deflated 40%)

4、查看证书


ll /etc/openvpn/client/keys/tomma
 
# 成功创建
-rw------- 1 root root 1151 Apr 23 09:10 ca.crt
-rw------- 1 root root  636 Apr 23 09:10 ta.key
-rw------- 1 root root 4405 Apr 23 09:10 tomma.crt
-rw------- 1 root root 1704 Apr 23 09:10 tomma.key
-rw-r--r-- 1 root root  218 Apr 23 09:10 tomma.ovpn

九、清理客户端账号

1、手动清理


./easyrsa revoke tomma
 
./easyrsa gen-crl
 
vim /etc/openvpn/server.conf
 
# 加入
crl-verify /etc/openvpn/easy-rsa/pki/crl.pem
 
# 查看 tomma 状态 为 R 
cat pki/index.txt
V	220727022607Z		9CC82E18AE4C7D1C26E29B4ED858A535	unknown	/CN=server
R	220727023807Z	200423075824Z	557C6DCC5A4363F10960C1D1102A14E4	unknown	/CN=tomma
 
# 重启后，客户端就连不上了
systemctl restart openvpn@server

2、创建脚本


vim del_vpnuser.sh
 
# 内容
# ! /bin/bash
 
set -e
 
keys_dir=/etc/openvpn/client/keys
 
easyras_dir=/etc/openvpn/easy-rsa/
 
for user in "$@"
 
	do
		cd $easyras_dir
		
        echo -e 'yes\n' | ./easyrsa revoke $user
		
        ./easyrsa gen-crl
		
        if [ -d "$keys_dir/$user" ]; then
			rm -rf $keys_dir/${user}*
		fi
	
		systemctl restart openvpn@server
 
	done
 
exit 0

本文内容由网友自发贡献，转载请注明出处：【wpsshop博客】

CentOS 7 安装 OpenVP*

前言

一、安装

二、创建 根、服务器端 证书 和 key

三、创建 客户端 证书 和 key

四、管理证书文件及配置

五、设置 路由

六、启动

七、客户端连接

八，脚本管理

二、创建根、服务器端证书和 key

三、创建客户端证书和 key

五、设置路由