devbox
weixin_40725706
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

【运维知识进阶篇】手把手教你搭建OpenVPN(保姆级教程)

作者:weixin_40725706 | 2024-02-27 11:23:33

【运维知识进阶篇】手把手教你搭建OpenVPN(保姆级教程)

VPN就是虚拟专用通道,是提供给企业之间或者公司个人与公司之间安全数据传输的隧道,OpenVPN是Linux下开源VPN的先锋,提供了良好的性能和友好的用户GUI(图形用户界面)。本篇文章包含OpenVPN应用场景,OpenVPN服务端搭建,OpenVPN客户端搭建(windows+linux),OpenVPN密码认证,手把手教大家搭建OpenVPN!

大家在操作的时候一定要小心谨慎,稍有不慎,尤其是windows客户端配置密码认证,稍有不慎就会出很多问题,大家耐心的修改配置文件,再重新尝试即可,希望大家都能做出来。 

目录

OpenVPN应用场景

OpenVPN主机准备

OpenVPN服务端搭建部署

一、安装配置证书软件

二、创建证书

三、安装openvpn并写入服务端配置文件

四、启动并检查端口

OpenVPN客户端配置(linux端)

一、配置openvpn

二、测试连接

OpenVPN客户端搭建部署(windows端)

一、安装OpenVPN软件

二、配置OpenVPN 

三、连接测试

四、直连其他内网服务器

Openvpn密码认证

一、服务端配置

二、linux客户端配置

三、windows客户端配置

OpenVPN应用场景

1、个人出差需要访问公司只有内网的服务器

2、公司不同地区之间建立服务通信(IDC与IDC之间)

OpenVPN主机准备

主机名称公网IP内网IP
Web0110.0.0.7172.16.1.7
Web0210.0.0.8172.16.1.8

OpenVPN服务端搭建部署

一、安装配置证书软件

  1. [root@Web01 ~]# yum -y install easy-rsa
  2. [root@Web01 ~]# mkdir /opt/easy-rsa
  3. [root@Web01 easy-rsa]# rpm -ql easy-rsa    #查看已安装的RPM包中名为 easy-rsa 的文件列表
  4. [root@Web01 easy-rsa]# cp -a /usr/share/easy-rsa/3.0.8/* .
  5. [root@Web01 easy-rsa]# cp -a /usr/share/doc/easy-rsa-3.0.8/vars.example ./vars
  6. [root@Web01 easy-rsa]# > vars 
  7. [root@Web01 easy-rsa]# cat vars
  8. if [ -z "$EASYRSA_CALLER" ]; then
  9.         echo "You appear to be sourcing an Easy-RSA 
  10. 'vars' file." >&2
  11.         echo "This is no longer necessary and is 
  12. disallowed. See the section called" >&2
  13.         echo "'How to use this file' near the top 
  14. comments for more details." >&2
  15.        return 1
  16. fi
  17. set_var EASYRSA_DN "cn_only"
  18. set_var EASYRSA_REQ_COUNTRY "CN"
  19. set_var EASYRSA_REQ_PROVINCE "Beijing"
  20. set_var EASYRSA_REQ_CITY "Shanghai"
  21. set_var EASYRSA_REQ_ORG "koten"
  22. set_var EASYRSA_REQ_EMAIL "888888@qq.comm"
  23. set_var EASYRSA_NS_SUPPORT "yes"

二、创建证书

  1. [root@Web01 easy-rsa]# ./easyrsa init-pki    #1、初始化,在当前目录创建PKI目录,用于存储整数
  2. [root@Web01 easy-rsa]# ./easyrsa build-ca    #2、创建根证书,会提示设置密码,用于ca对之后生成的server和client证书签名时使用,其他提示内容直接回车即可
  3. Enter New CA Key Passphrase:         #注意密码不能太短,我这边设置的是123456
  4. Re-Enter New CA Key Passphrase: 
  5. [root@Web01 easy-rsa]# ./easyrsa gen-req server nopass    #3、创建server端证书和私钥文件,nopass表示不加密私钥文件,提示内容直接回车即可
  6. [root@Web01 easy-rsa]# ./easyrsa sign server server    #4、给server端证书签名,提示内容需要输入yes和创建ca根证书时候的密码
  7. [root@Web01 easy-rsa]# ./easyrsa gen-dh    #5、创建Diffie-Hellman文件,密钥交换时的Diffie-Hellman算法
  8. [root@Web01 easy-rsa]# ./easyrsa gen-req client nopass    #6、创建client端的证书和私钥文件,nopass表示不加密私钥文件,提示内容直接回车即可
  9. [root@Web01 easy-rsa]# ./easyrsa sign client client    #7、给client端证书前面,提示内容输入yes和创建ca根证书时候的密码
  10. [root@Web01 easy-rsa]# tree    #检查是否有ca根证书、客户端服务端证书、客户端服务端私钥
  11. .
  12. ├── easyrsa                    #管理命令
  13. ├── openssl-easyrsa.cnf
  14. ├── pki
  15. │   ├── ca.crt                #ca根证书,服务端与客户端都需要用
  16. │   ├── certs_by_serial
  17. │   │   ├── 633C217979C7B5F1D0A9ECA971006F96.pem
  18. │   │   └── 857F9B2E3F6C3D35934672212343B42D.pem
  19. │   ├── dh.pem                #认证算法 服务端
  20. │   ├── index.txt
  21. │   ├── index.txt.attr
  22. │   ├── index.txt.attr.old
  23. │   ├── index.txt.old
  24. │   ├── issued
  25. │   │   ├── client.crt        #客户端证书
  26. │   │   └── server.crt        #服务端证书
  27. │   ├── openssl-easyrsa.cnf
  28. │   ├── private
  29. │   │   ├── ca.key
  30. │   │   ├── client.key        #客户端私钥
  31. │   │   └── server.key        #服务端私钥
  32. ......

三、安装openvpn并写入服务端配置文件

  1. [root@Web01 easy-rsa]# yum -y install openvpn
  2. [root@Web01 easy-rsa]# cat /etc/openvpn/server.conf
  3. port 1194                                    #端口
  4. proto udp                                    #协议
  5. dev tun                                      #采用路由隧道模式
  6. ca /opt/easy-rsa/pki/ca.crt                  #ca证书的位置
  7. cert /opt/easy-rsa/pki/issued/server.crt     #服务端公钥的位置
  8. key /opt/easy-rsa/pki/private/server.key     #服务端私钥的位置
  9. dh /opt/easy-rsa/pki/dh.pem                  #证书校验算法  
  10. server 10.8.0.0 255.255.255.0                #给客户端分配的地址池
  11. push "route 172.16.1.0 255.255.255.0"        #允许客户端访问的内网网段
  12. ifconfig-pool-persist ipp.txt                #地址池记录文件位置,未来让openvpn客户端固定ip地址使用的
  13. keepalive 10 120                             #存活时间,10秒ping一次,120秒如果未收到响应则视为短线
  14. max-clients 100                              #最多允许100个客户端连接
  15. status openvpn-status.log                    #日志位置,记录openvpn状态
  16. log /var/log/openvpn.log                     #openvpn日志记录位置
  17. verb 3                                       #openvpn版本
  18. client-to-client                             #允许客户端与客户端之间通信
  19. persist-key                                  #通过keepalive检测超时后,重新启动VPN,不重新读取
  20. persist-tun                                  #检测超时后,重新启动VPN,一直保持tun是linkup的,否则网络会先linkdown然后再linkup
  21. duplicate-cn                                 #客户端密钥(证书和私钥)是否可以重复
  22. comp-lzo                                     #启动lzo数据压缩格式

四、启动并检查端口

  1. [root@Web01 easy-rsa]# systemctl start openvpn@server
  2. [root@Web01 easy-rsa]# systemctl enable openvpn@server
  3. Created symlink from /etc/systemd/system/multi-user.target.wants/openvpn@server.service to /usr/lib/systemd/system/openvpn@.service.
  4. [root@Web01 easy-rsa]# ip a s tun0    #查看网段
  5. 4: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
  6.     link/none 
  7.     inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0
  8.        valid_lft forever preferred_lft forever
  9.     inet6 fe80::b1:7ea6:1178:8a1a/64 scope link flags 800 
  10.        valid_lft forever preferred_lft forever
  11. [root@Web01 easy-rsa]# ss -lntup|grep 1194    #检查端口
  12. udp    UNCONN     0      0         *:1194                  *:*                   users:(("openvpn",pid=47104,fd=6))
  13. [root@Web01 easy-rsa]# ps -ef|grep openvpn    #检查pid
  14. root      47104      1  0 10:59 ?        00:00:00 /usr/sbin/openvpn --cd /etc/openvpn/ --config server.conf
  15. root      47202  40565  0 11:01 pts/0    00:00:00 grep --color=auto openvpn

OpenVPN客户端配置(linux端)

一、配置openvpn

  1. [root@Web02 ~]# yum -y install openvpn
  2. [root@Web02 ~]# cat /etc/openvpn/client.conf
  3. client
  4. dev tun
  5. proto udp
  6. remote 10.0.0.7 1194
  7. resolv-retry infinite
  8. nobind
  9. ca ca.crt
  10. cert client.crt
  11. key client.key
  12. verb 3
  13. persist-key
  14. comp-lzo
  15.  
  16. [root@Web01 pki]# scp private/client.key 172.16.1.8:/etc/openvpn/
  17. [root@Web01 pki]# scp issued/client.crt  172.16.1.8:/etc/openvpn/
  18. [root@Web01 pki]# scp ca.crt 172.16.1.8:/etc/openvpn/
  19.  
  20. [root@Web02 ~]# systemctl start openvpn@client
  21. [root@Web02 ~]# systemctl enable openvpn@client
  22. Created symlink from /etc/systemd/system/multi-user.target.wants/openvpn@client.service to /usr/lib/systemd/system/openvpn@.service.

二、测试连接

  1. [root@Web02 ~]# ifdown eth1    #关闭内网IP
  2. [root@Web02 ~]# ip a
  3. 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
  4.     link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
  5.     inet 127.0.0.1/8 scope host lo
  6.        valid_lft forever preferred_lft forever
  7.     inet6 ::1/128 scope host 
  8.        valid_lft forever preferred_lft forever
  9. 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
  10.     link/ether 00:0c:29:36:19:29 brd ff:ff:ff:ff:ff:ff
  11.     inet 10.0.0.8/24 brd 10.0.0.255 scope global eth0
  12.        valid_lft forever preferred_lft forever
  13.     inet6 fe80::20c:29ff:fe36:1929/64 scope link 
  14.        valid_lft forever preferred_lft forever
  15. 3: eth1: <BROADCAST,MULTICAST> mtu 1500 qdisc pfifo_fast state DOWN group default qlen 1000
  16.     link/ether 00:0c:29:36:19:33 brd ff:ff:ff:ff:ff:ff
  17. 4: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
  18.     link/none 
  19.     inet 10.8.0.6 peer 10.8.0.5/32 scope global tun0
  20.        valid_lft forever preferred_lft forever
  21.     inet6 fe80::b198:27bb:5967:356b/64 scope link flags 800 
  22.        valid_lft forever preferred_lft forever
  23. [root@Web02 ~]# ping 172.16.1.7    #成功通过openvpn ping通
  24. PING 172.16.1.7 (172.16.1.7) 56(84) bytes of data.
  25. 64 bytes from 172.16.1.7: icmp_seq=1 ttl=64 time=0.686 ms
  26. 64 bytes from 172.16.1.7: icmp_seq=2 ttl=64 time=1.13 ms
  27. ^C
  28. --- 172.16.1.7 ping statistics ---
  29. 2 packets transmitted, 2 received, 0% packet loss, time 1001ms
  30. rtt min/avg/max/mdev = 0.686/0.908/1.130/0.222 ms

OpenVPN客户端搭建部署(windows端)

一、安装OpenVPN软件

这个东西没法放到网盘里,需要可以私信联系

二、配置OpenVPN 

bc25f0630f3f4a648d8b2dc6fec5fad6.png

将ca根证书、client.key、client.crt放入config目录

  1. [root@Web01 easy-rsa]# sz pki/ca.crt 
  2. [root@Web01 easy-rsa]# sz pki/private/client.key 
  3. [root@Web01 easy-rsa]# sz pki/issued/client.crt

再创建client.ovpn,写入如下内容

  1. client
  2. dev tun
  3. proto udp
  4. remote 10.0.0.7 1194        #注意此处更改为openvpn服务端代码
  5. resolv-retry infinite
  6. nobind
  7. ca ca.crt
  8. cert client.crt
  9. key client.key
  10. verb 3
  11. persist-key
  12. comp-lzo

 9078f4d0ffa6472baf8b59adb28115a2.png

目录最终状态
caca452aa75f43468157d978c79b344c.png

三、连接测试

双击打开OpenVPN(桌面快捷方式)右下角出现图标,右键连接

a10f448523fc46768773a1730421dce7.png

 826fc1670e3d41e7a49729940eff59d2.png

等待进度走完会自动连接

5a3272d23a874909a3f40bdd1d1053ab.png

e082a192d50340d9bdfab9d25fbe2359.png

查看网络连接,发现多了以太网3 

4b139fbe34624aa8be83dd556d4b920c.png

右键,状态,详细信息,可以看到ipv4地址是10.8.0.6是我们配置的那个段的地址

 58e4b19193ce42d39e25d36422f67811.png

 Xshell新开个本地会话,发现可以ping通openvpn服务端的内网,也可以进行ssh连接,当出差在外时,可以先连通openvpn内网再连接要工作的服务器的内网。

  1. [c:\~]$ ping 172.16.1.7
  2.  
  3. 正在 Ping 172.16.1.7 具有 32 字节的数据:
  4. 来自 172.16.1.7 的回复: 字节=32 时间=1ms TTL=64
  5. 来自 172.16.1.7 的回复: 字节=32 时间<1ms TTL=64
  6. 来自 172.16.1.7 的回复: 字节=32 时间<1ms TTL=64
  7.  
  8. 172.16.1.7 的 Ping 统计信息:
  9.     数据包: 已发送 = 3,已接收 = 3,丢失 = 0 (0% 丢失),
  10. 往返行程的估计时间(以毫秒为单位):
  11.     最短 = 0ms,最长 = 1ms,平均 = 0ms
  12. ^C
  13. [c:\~]$ ssh 172.16.1.7
  14.  
  15.  
  16. Connecting to 172.16.1.7:22...
  17. Connection established.
  18. To escape to local shell, press Ctrl+Alt+].
  19.  
  20. Last login: Sat May 20 09:07:58 2023 from 10.0.0.1
  21. [root@Web01 ~]#

四、直连其他内网服务器

首先确保我们的openvpn服务端开启了内核转发

  1. [root@Web01 ~]# echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf    #确保openvpn开启了ip转发
  2. [root@Web01~]# sysctl -p
  3. net.ipv4.ip_forward = 1

尝试ping其他内网服务器,会显示请求超时,需要在其他内网服务器添加网关后,才可以ping通,才可以直连。

  1. [c:\~]$ ping 172.16.1.8            #1、无法ping通其他内网服务器,也就是无法直连
  2.  
  3. 正在 Ping 172.16.1.8 具有 32 字节的数据:
  4. 请求超时。
  5. ......
  6.  
  7. [root@Web02 ~]# yum -y install tcpdump          #2、安装tcpdump尝试监控流量
  8. [root@Web02 ~]# tcpdump -i eth1 -nn not icmp    #3、windows端再次ping,虽然ping显示请求超时,但是tcp监控有流量进入,说明只能接收,不能返回
  9. 12:47:58.759367 IP 10.8.0.10 > 172.16.1.8: ICMP echo request, id 1, seq 514, length 40
  10. 12:48:03.290454 IP 10.8.0.10 > 172.16.1.8: ICMP echo request, id 1, seq 515, length 40
  11. ......
  12. [root@Web02 ~]# route add -net 10.8.0.0 netmask 255.255.255.0 gw 172.16.1.7    #4、添加路由,临时生效,可以加入/etc/rc.local实现永久生效
  13.  
  14. [c:\~]$ ping 172.16.1.8            #5、本地成功ping通
  15.  
  16. 正在 Ping 172.16.1.8 具有 32 字节的数据:
  17. 来自 172.16.1.8 的回复: 字节=32 时间=1ms TTL=63
  18. 来自 172.16.1.8 的回复: 字节=32 时间=2ms TTL=63
  19. ......
  20. [c:\~]$ ssh 172.16.1.8        #6、直连也没有问题
  21.  
  22. Connecting to 172.16.1.8:22...
  23. Connection established.
  24. To escape to local shell, press Ctrl+Alt+].
  25.  
  26. Last login: Sun May 21 12:47:51 2023 from 10.0.0.1
  27. [root@Web02 ~]#

Openvpn密码认证

一、服务端配置

1、修改服务端配置文件为支持密码认证

  1. [root@Web01 ~]# cat /etc/openvpn/server.conf        #添加配置文件
  2. ......
  3. script-security 3                                   #允许使用自定义脚本
  4. auth-user-pass-verify /etc/openvpn/check.sh via-env #指定认证脚本
  5. username-as-common-name                             #用户密码登陆方式验证

2、编写脚本文件

  1. [root@Web01 ~]# cat /etc/openvpn/check.sh           #
  2. #!/bin/bash
  3. PASSFILE="/etc/openvpn/openvpnfile"   #密码文件 用户名 密码明文
  4. LOG_FILE="/var/log/openvpn-password.log"  #用户登录情况的日志
  5. TIME_STAMP=`date "+%Y-%m-%d %T"`
  6. if [ ! -r "${PASSFILE}" ]; then
  7.     echo "${TIME_STAMP}: Could not open password file \"${PASSFILE}\" for reading." >> ${LOG_FILE}
  8.     exit 1
  9. fi
  10. CORRECT_PASSWORD=`awk '!/^;/&&!/^#/&&$1=="'${username}'"{print $2;exit}'    ${PASSFILE}`
  11. if [ "${CORRECT_PASSWORD}" = "" ]; then
  12.     echo "${TIME_STAMP}: User does not exist: username=\"${username}\",password=\"${password}\"." >> ${LOG_FILE}
  13.     exit 1
  14. fi
  15. if [ "${password}" = "${CORRECT_PASSWORD}" ]; then
  16.     echo "${TIME_STAMP}: Successful authentication: username=\"${username}\"." >> ${LOG_FILE}
  17.     exit 0
  18. fi
  19. echo "${TIME_STAMP}: Incorrect password: username=\"${username}\", password=\"${password}\"." >> ${LOG_FILE}
  20. exit 1

3、给脚本执行权限

[root@Web01 ~]# chmod +x /etc/openvpn/check.sh

4、创建用户密码,空格为分割符

  1. [root@Web01 ~]# cat /etc/openvpn/openvpnfile
  2. koten 1

5、重启服务端

[root@Web01 ~]# systemctl restart openvpn@server

二、linux客户端配置

在/etc/openvpn/client.conf最下面加上auth-user-pass

  1. [root@Web02 ~]# cat /etc/openvpn/client.conf
  2. client
  3. dev tun
  4. proto udp
  5. remote 10.0.0.7 1194
  6. resolv-retry infinite
  7. nobind
  8. ca ca.crt
  9. cert client.crt
  10. key client.key
  11. verb 3
  12. persist-key
  13. comp-lzo
  14. auth-user-pass

重启测试连接,重启服务的时候需要输入密码

  1. [root@Web02 ~]# systemctl restart openvpn@client    #重启时候输入密码
  2. Enter Auth Username: koten
  3. Enter Auth Password: *
  4. [root@Web02 ~]# ping 172.16.1.7    #密码正确可以ping通
  5. PING 172.16.1.7 (172.16.1.7) 56(84) bytes of data.
  6. 64 bytes from 172.16.1.7: icmp_seq=1 ttl=64 time=0.590 ms
  7. 64 bytes from 172.16.1.7: icmp_seq=2 ttl=64 time=1.11 ms
  8. ^C
  9. --- 172.16.1.7 ping statistics ---
  10. 2 packets transmitted, 2 received, 0% packet loss, time 1000ms
  11. rtt min/avg/max/mdev = 0.590/0.850/1.110/0.260 ms
  12. [root@Web02 ~]# systemctl restart openvpn@client    
  13. Enter Auth Username: 1
  14. Enter Auth Password: *
  15. [root@Web02 ~]# ping 172.16.1.7    #密码错误不能ping通
  16. PING 172.16.1.7 (172.16.1.7) 56(84) bytes of data.
  17. ^C
  18. --- 172.16.1.7 ping statistics ---
  19. 4 packets transmitted, 0 received, 100% packet loss, time 3001ms

三、windows客户端配置

先Disconnect断开连接,注意要先断开,否则容易报错,再修改配置文件

0d0e480137904d71b1a8d08891ba9237.png

 最底行添加auth-user-pass,注意该配置文件不要有多余空格,否则可能会报错

  1. client
  2. dev tun
  3. proto udp
  4. remote 10.0.0.7 1194
  5. resolv-retry infinite
  6. nobind
  7. ca ca.crt
  8. cert client.crt
  9. key client.key
  10. verb 3
  11. persist-key
  12. comp-lzo
  13. auth-user-pass

d2eb7cffd8714ad797a3bc2c9fcebf51.png

再次连接,发现需要输入账号密码

14b53cee8c7c49528ee7ba76dfccaf8a.png

再次输入密码成功连接 

 3c10dcde42f945d58114b95e591800d4.png

 4fe45ab60959463c9a39c6b980f22bd3.png

再次尝试ping,成功ping通

  1. [c:\~]$ ping 172.16.1.7
  2.  
  3. 正在 Ping 172.16.1.7 具有 32 字节的数据:
  4. 来自 172.16.1.7 的回复: 字节=32 时间=1ms TTL=64
  5. 来自 172.16.1.7 的回复: 字节=32 时间<1ms TTL=64
  6. ......

我是koten,10年运维经验,持续分享运维干货,感谢大家的阅读和关注!

声明:本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:【wpsshop博客】
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号