赞
踩
参考文档
- https://cloud.tencent.com/developer/article/2315269
- https://blog.csdn.net/m0_49027804/article/details/130991215
# 安装easy-rsa yum -y install easy-rsa # 创建并进入证书目录 mkdir /opt/easy-rsa && cd /opt/easy-rsa # 拷贝easy-rsa目录下所有文件 cp -a /usr/share/easy-rsa/3.0.8/* . # 配置文件vars tee ./vars <<-'EOF' if [ -z "$EASYRSA_CALLER" ]; then echo "You appear to be sourcing an Easy-RSA 'vars' file." >&2 echo "This is no longer necessary and is disallowed. See the section called" >&2 echo "'How to use this file' near the top comments for more details." >&2 return 1 fi set_var EASYRSA_DN "cn_only" set_var EASYRSA_REQ_COUNTRY "CN" set_var EASYRSA_REQ_PROVINCE "Shanghai" set_var EASYRSA_REQ_CITY "Shanghai" set_var EASYRSA_REQ_ORG "xumeng03" set_var EASYRSA_REQ_EMAIL "xumeng03@qq.comm" set_var EASYRSA_NS_SUPPORT "yes" EOF
# 初始化,创建PKI目录存储证书
./easyrsa init-pki
# 创建根证书,需设置密码,用于对服务端和客户端证书签名
./easyrsa build-ca
# 生成服务端证书和私钥
./easyrsa gen-req server nopass
# 给服务端端证书签名(需确认并输入根证书密码)
./easyrsa sign server server
# 生成客户端证书和私钥
./easyrsa gen-req client nopass
# 给客户端端证书签名(需确认并输入根证书密码)
./easyrsa sign client client
# 生成Diffie-Hellman文件,用于安全交换密钥
./easyrsa gen-dh
yum -y install openvpn
openvpn --genkey --secret /etc/openvpn/ta.key
tee /etc/openvpn/server.conf <<-'EOF' # 端口 port 1194 # 协议 proto udp # 采用路由隧道模式 dev tun # ca证书的位置 ca ca.crt # 服务端公钥的位置 cert server.crt # 服务端私钥的位置 key server.key # 证书校验算法 dh dh.pem # 给客户端分配的地址池 server 10.8.0.0 255.255.255.0 # 允许客户端访问的内网网段(我这里服务器内网ip是10.0.16.17) push "route 10.0.0.0 255.255.255.0" # 地址池记录文件位置,让openvpn客户端固定ip地址使用的 ifconfig-pool-persist ipp.txt # 存活时间,10秒ping一次,120秒如果未收到响应则视为断线 keepalive 10 120 # 最多允许10个客户端连接 max-clients 10 # openvpn-status日志位置 status openvpn-status.log # openvpn日志记录位置 log /var/log/openvpn.log # 日志级别 verb 3 # 允许客户端与客户端之间通信 client-to-client # 通过keepalive检测超时后,重新启动VPN,不重新读取 persist-key # 检测超时后,重新启动VPN persist-tun # 开启TLS-auth,使用ta.key防御攻击.服务器端的第二个参数值为0,客户端的为1 tls-auth ta.key 0 # 客户端密钥(证书和私钥)是否可以重复 duplicate-cn # 允许使用自定义脚本 script-security 3 # 认证脚本路径 auth-user-pass-verify check.sh via-env # 用户密码登陆方式验证 username-as-common-name EOF
tee /etc/openvpn/check.sh <<-'EOF' #!/bin/bash # 用户列表 PASSFILE="/etc/openvpn/openvpnfile" # 用户登录情况的日志 LOG_FILE="/var/log/openvpn-password.log" TIME_STAMP=`date "+%Y-%m-%d %T"` if [ ! -r "${PASSFILE}" ]; then echo "${TIME_STAMP}: Could not open password file \"${PASSFILE}\" for reading." >> ${LOG_FILE} exit 1 fi CORRECT_PASSWORD=`awk '!/^;/&&!/^#/&&$1=="'${username}'"{print $2;exit}' ${PASSFILE}` if [ "${CORRECT_PASSWORD}" = "" ]; then echo "${TIME_STAMP}: User does not exist: username=\"${username}\",password=\"${password}\"." >> ${LOG_FILE} exit 1 fi if [ "${password}" = "${CORRECT_PASSWORD}" ]; then echo "${TIME_STAMP}: Successful authentication: username=\"${username}\"." >> ${LOG_FILE} exit 0 fi echo "${TIME_STAMP}: Incorrect password: username=\"${username}\", password=\"${password}\"." >> ${LOG_FILE} exit 1 EOF # 给脚本添加执行权限 chmod +x /etc/openvpn/check.sh
tee /etc/openvpn/openvpnfile <<-'EOF'
username password
EOF
cp /opt/easy-rsa/pki/ca.crt /etc/openvpn
cp /opt/easy-rsa/pki/issued/server.crt /etc/openvpn
cp /opt/easy-rsa/pki/private/server.key /etc/openvpn
cp /opt/easy-rsa/pki/dh.pem /etc/openvpn
systemctl start openvpn@server
systemctl status openvpn@server
https://openvpn.net/community-downloads/
需要下载下列证书
/opt/easy-rsa/pki/ca.crt
/opt/easy-rsa/pki/issued/client.crt
/opt/easy-rsa/pki/private/client.key
/etc/openvpn/ta.key
新建client.ovpn
文件放置在C:\user\xumeng03\OpenVPN\config
或者C:\Program Files\OpenVPN\config
下(注意与证书文件放置在一起,如不放置在一起需自行修改配置文件中的路径)
# 指定为客户端 client # 协议 proto udp # 采用路由隧道模式 dev tun # openvpn服务器IP、端口号 remote 150.158.105.127 1194 # 断线自动重新连接 resolv-retry infinite # 不绑定本地特定的端口号 nobind # 指定CA证书的文件路径(需在/opt/easy-rsa处下载) ca ca.crt # 指定当前客户端的证书文件路径(需在/opt/easy-rsa处下载) cert client.crt # 指定当前客户端的私钥文件路径(需在/opt/easy-rsa处下载) key client.key # 日志级别 verb 3 # 通过keepalive检测超时后,重新启动VPN persist-key # 开启TLS-auth,使用ta.key防御攻击.服务器端的第二个参数值为0,客户端的为1 tls-auth ta.key 1 # 账号密码认证 auth-user-pass
点击连接后输入/etc/openvpn/openvpnfile
中的用户名密码即可
brew install openvpn
需要下载下列证书
/opt/easy-rsa/pki/ca.crt
/opt/easy-rsa/pki/issued/client.crt
/opt/easy-rsa/pki/private/client.key
/etc/openvpn/ta.key
# 指定为客户端 client # 协议 proto udp # 采用路由隧道模式 dev tun # openvpn服务器IP、端口号 remote 150.158.105.127 1194 # 断线自动重新连接 resolv-retry infinite # 不绑定本地特定的端口号 nobind # 指定CA证书的文件路径(需在/opt/easy-rsa处下载) ca ca.crt # 指定当前客户端的证书文件路径(需在/opt/easy-rsa处下载) cert client.crt # 指定当前客户端的私钥文件路径(需在/opt/easy-rsa处下载) key client.key # 日志级别 verb 3 # 通过keepalive检测超时后,重新启动VPN persist-key # 开启TLS-auth,使用ta.key防御攻击.服务器端的第二个参数值为0,客户端的为1 tls-auth ta.key 1 # 账号密码认证 auth-user-pass
sudo /usr/local/opt/openvpn/sbin/openvpn --config /usr/local/etc/openvpn/client.opvn
# 开启内核转发/IP包转发
echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
# 重载配置/etc/sysctl.conf配置
sysctl -p
# 启动防火墙
systemctl start firewalld
# 添加masquerade规则到防火墙配置(常用于NAT网络地址转换)
firewall-cmd --add-masquerade --permanent
# 允许openvpn服务通过防火墙
firewall-cmd --add-service=openvpn --permanent
# 允许TCP协议的数据通过1194端口(我这里使用了mysql:3306、kubernetes:6443)
firewall-cmd --add-port=1194/tcp --permanent
# 重新加载防火墙配置
firewall-cmd --reload
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。