当前位置:   article > 正文

CentOS7搭建OpenVPN

CentOS7搭建OpenVPN

CentOS7搭建OpenVPN

参考文档

  • https://cloud.tencent.com/developer/article/2315269
  • https://blog.csdn.net/m0_49027804/article/details/130991215

1、证书

1.1、安装easy-rsa

# 安装easy-rsa
yum -y install easy-rsa
# 创建并进入证书目录
mkdir /opt/easy-rsa && cd /opt/easy-rsa
# 拷贝easy-rsa目录下所有文件
cp -a /usr/share/easy-rsa/3.0.8/* .
# 配置文件vars
tee ./vars <<-'EOF'
if [ -z "$EASYRSA_CALLER" ]; then
        echo "You appear to be sourcing an Easy-RSA 
'vars' file." >&2
        echo "This is no longer necessary and is 
disallowed. See the section called" >&2
        echo "'How to use this file' near the top 
comments for more details." >&2
       return 1
fi
set_var EASYRSA_DN "cn_only"
set_var EASYRSA_REQ_COUNTRY "CN"
set_var EASYRSA_REQ_PROVINCE "Shanghai"
set_var EASYRSA_REQ_CITY "Shanghai"
set_var EASYRSA_REQ_ORG "xumeng03"
set_var EASYRSA_REQ_EMAIL "xumeng03@qq.comm"
set_var EASYRSA_NS_SUPPORT "yes"
EOF
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25

1.2、生成证书

# 初始化,创建PKI目录存储证书
./easyrsa init-pki
# 创建根证书,需设置密码,用于对服务端和客户端证书签名
./easyrsa build-ca
# 生成服务端证书和私钥
./easyrsa gen-req server nopass
# 给服务端端证书签名(需确认并输入根证书密码)
./easyrsa sign server server
# 生成客户端证书和私钥
./easyrsa gen-req client nopass
# 给客户端端证书签名(需确认并输入根证书密码)
./easyrsa sign client client
# 生成Diffie-Hellman文件,用于安全交换密钥
./easyrsa gen-dh
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14

2、服务端

2.1、安装openvpn

yum -y install openvpn
  • 1

2.2、生成TLS认证密钥

openvpn --genkey --secret /etc/openvpn/ta.key
  • 1

2.3、配置文件

tee /etc/openvpn/server.conf <<-'EOF'
# 端口
port 1194
# 协议
proto udp
# 采用路由隧道模式
dev tun
# ca证书的位置
ca ca.crt
# 服务端公钥的位置
cert server.crt
# 服务端私钥的位置
key server.key
# 证书校验算法
dh dh.pem
# 给客户端分配的地址池
server 10.8.0.0 255.255.255.0
# 允许客户端访问的内网网段(我这里服务器内网ip是10.0.16.17)
push "route 10.0.0.0 255.255.255.0"
# 地址池记录文件位置,让openvpn客户端固定ip地址使用的
ifconfig-pool-persist ipp.txt
# 存活时间,10秒ping一次,120秒如果未收到响应则视为断线
keepalive 10 120
# 最多允许10个客户端连接
max-clients 10
# openvpn-status日志位置
status openvpn-status.log
# openvpn日志记录位置
log /var/log/openvpn.log
# 日志级别
verb 3
# 允许客户端与客户端之间通信
client-to-client
# 通过keepalive检测超时后,重新启动VPN,不重新读取
persist-key
# 检测超时后,重新启动VPN
persist-tun
# 开启TLS-auth,使用ta.key防御攻击.服务器端的第二个参数值为0,客户端的为1
tls-auth ta.key 0
# 客户端密钥(证书和私钥)是否可以重复
duplicate-cn
# 允许使用自定义脚本
script-security 3
# 认证脚本路径
auth-user-pass-verify check.sh via-env
# 用户密码登陆方式验证
username-as-common-name
EOF
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  • 32
  • 33
  • 34
  • 35
  • 36
  • 37
  • 38
  • 39
  • 40
  • 41
  • 42
  • 43
  • 44
  • 45
  • 46
  • 47
  • 48

2.4、认证脚本

tee /etc/openvpn/check.sh <<-'EOF'
#!/bin/bash
# 用户列表
PASSFILE="/etc/openvpn/openvpnfile"
# 用户登录情况的日志
LOG_FILE="/var/log/openvpn-password.log"
TIME_STAMP=`date "+%Y-%m-%d %T"`
if [ ! -r "${PASSFILE}" ]; then
    echo "${TIME_STAMP}: Could not open password file \"${PASSFILE}\" for reading." >> ${LOG_FILE}
    exit 1
fi
CORRECT_PASSWORD=`awk '!/^;/&&!/^#/&&$1=="'${username}'"{print $2;exit}'    ${PASSFILE}`
if [ "${CORRECT_PASSWORD}" = "" ]; then
    echo "${TIME_STAMP}: User does not exist: username=\"${username}\",password=\"${password}\"." >> ${LOG_FILE}
    exit 1
fi
if [ "${password}" = "${CORRECT_PASSWORD}" ]; then
    echo "${TIME_STAMP}: Successful authentication: username=\"${username}\"." >> ${LOG_FILE}
    exit 0
fi
echo "${TIME_STAMP}: Incorrect password: username=\"${username}\", password=\"${password}\"." >> ${LOG_FILE}
exit 1
EOF

# 给脚本添加执行权限
chmod +x /etc/openvpn/check.sh
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26

2.5、用户列表

tee /etc/openvpn/openvpnfile <<-'EOF'
username password
EOF
  • 1
  • 2
  • 3

2.6、拷贝证书

cp /opt/easy-rsa/pki/ca.crt /etc/openvpn
cp /opt/easy-rsa/pki/issued/server.crt /etc/openvpn
cp /opt/easy-rsa/pki/private/server.key /etc/openvpn
cp /opt/easy-rsa/pki/dh.pem /etc/openvpn
  • 1
  • 2
  • 3
  • 4

2.7、启动

systemctl start openvpn@server
systemctl status openvpn@server
  • 1
  • 2

3、客户端

3.1、Windows

1、下载安装

https://openvpn.net/community-downloads/

2、证书

需要下载下列证书

  • /opt/easy-rsa/pki/ca.crt
  • /opt/easy-rsa/pki/issued/client.crt
  • /opt/easy-rsa/pki/private/client.key
  • /etc/openvpn/ta.key
3、配置文件

新建client.ovpn文件放置在C:\user\xumeng03\OpenVPN\config或者C:\Program Files\OpenVPN\config下(注意与证书文件放置在一起,如不放置在一起需自行修改配置文件中的路径)

# 指定为客户端
client
# 协议
proto udp
# 采用路由隧道模式
dev tun
# openvpn服务器IP、端口号
remote 150.158.105.127 1194
# 断线自动重新连接
resolv-retry infinite
# 不绑定本地特定的端口号
nobind
# 指定CA证书的文件路径(需在/opt/easy-rsa处下载)
ca ca.crt
# 指定当前客户端的证书文件路径(需在/opt/easy-rsa处下载)
cert client.crt
# 指定当前客户端的私钥文件路径(需在/opt/easy-rsa处下载)
key client.key
# 日志级别
verb 3
# 通过keepalive检测超时后,重新启动VPN
persist-key
# 开启TLS-auth,使用ta.key防御攻击.服务器端的第二个参数值为0,客户端的为1
tls-auth ta.key 1
# 账号密码认证
auth-user-pass
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
4、使用

点击连接后输入/etc/openvpn/openvpnfile中的用户名密码即可

3.2、Mac

1、下载安装
brew install openvpn
  • 1
2、证书

需要下载下列证书

  • /opt/easy-rsa/pki/ca.crt
  • /opt/easy-rsa/pki/issued/client.crt
  • /opt/easy-rsa/pki/private/client.key
  • /etc/openvpn/ta.key
3、配置文件
# 指定为客户端
client
# 协议
proto udp
# 采用路由隧道模式
dev tun
# openvpn服务器IP、端口号
remote 150.158.105.127 1194
# 断线自动重新连接
resolv-retry infinite
# 不绑定本地特定的端口号
nobind
# 指定CA证书的文件路径(需在/opt/easy-rsa处下载)
ca ca.crt
# 指定当前客户端的证书文件路径(需在/opt/easy-rsa处下载)
cert client.crt
# 指定当前客户端的私钥文件路径(需在/opt/easy-rsa处下载)
key client.key
# 日志级别
verb 3
# 通过keepalive检测超时后,重新启动VPN
persist-key
# 开启TLS-auth,使用ta.key防御攻击.服务器端的第二个参数值为0,客户端的为1
tls-auth ta.key 1
# 账号密码认证
auth-user-pass
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
4、使用
sudo /usr/local/opt/openvpn/sbin/openvpn --config /usr/local/etc/openvpn/client.opvn
  • 1

4、配置内网转发

4.1、开启内核转发

# 开启内核转发/IP包转发
echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
# 重载配置/etc/sysctl.conf配置
sysctl -p
  • 1
  • 2
  • 3
  • 4

4.2、防火墙配置

# 启动防火墙
systemctl start firewalld
# 添加masquerade规则到防火墙配置(常用于NAT网络地址转换)
firewall-cmd --add-masquerade --permanent
# 允许openvpn服务通过防火墙
firewall-cmd --add-service=openvpn --permanent
# 允许TCP协议的数据通过1194端口(我这里使用了mysql:3306、kubernetes:6443)
firewall-cmd --add-port=1194/tcp --permanent
# 重新加载防火墙配置
firewall-cmd --reload
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/IT小白/article/detail/205554
推荐阅读
相关标签
  

闽ICP备14008679号