赞
踩
一、OpenVPN服务器系统配置
OS版本:银河麒麟服务器操作系统V10SP2(x86_64)
OpenVPN版本:2.4.8
Easy-RSA版本:3.1.1
网卡①:192.168.42.171,与外网连通;
网卡②:100.200.1.2,内部网络;
二、测试机系统环境配置
OpenVPN客户端:Win11系统,网卡IP地址192.168.42.1
内网测试机:银河麒麟桌面系统V10SP1,网卡IP地址100.200.1.3
[root@localhost ~]# yum install -y openvpn
[root@localhost ~]# wget https://github.com/OpenVPN/easy-rsa/releases/download/v3.1.1/EasyRSA-3.1.1.tgz
[root@localhost ~]# tar -zxvf EasyRSA-3.1.1.tgz
[root@localhost ~]# mkdir /etc/openvpn/easy-rsa
[root@localhost ~]# cp -ar EasyRSA-3.1.1/* /etc/openvpn/easy-rsa/
[root@localhost ~]# cd /etc/openvpn/easy-rsa/
[root@localhost easy-rsa]# cp vars.example vars
[root@localhost easy-rsa]# vim vars
2. 清理原有证书和私钥并初始化;
[root@localhost easy-rsa]# ./easyrsa clean-all
3. 生成CA根证书;
[root@localhost easy-rsa]# ./easyrsa build-ca
4. 为OpenVPN服务端生成server证书和私钥;
备注:这里使用nopass参数设置不需要密码,那么在启动OpenVPN服务的时候就不提示输入密码。
[root@localhost easy-rsa]# ./easyrsa build-server-full server nopass
5. 生成Diffie-Hellman算法需要的密钥文件;
[root@localhost easy-rsa]# ./easyrsa gen-dh
6. 生成tls-auth Key用于防止DDOS和TLS攻击;
[root@localhost easy-rsa]# openvpn --genkey --secret ta.key
[root@localhost easy-rsa]# ./easyrsa build-client-full kylin nopass
[root@localhost ~]# cd /etc/openvpn/server/
[root@localhost server]# vim server.conf
[root@localhost server]# cp /etc/openvpn/easy-rsa/pki/ca.crt .
[root@localhost server]# cp /etc/openvpn/easy-rsa/pki/private/ca.key .
[root@localhost server]# cp /etc/openvpn/easy-rsa/pki/issued/server.crt .
[root@localhost server]# cp /etc/openvpn/easy-rsa/pki/private/server.key .
[root@localhost server]# cp /etc/openvpn/easy-rsa/pki/dh.pem .
[root@localhost server]# cp /etc/openvpn/easy-rsa/ta.key .
3. 关闭系统firewalld防火墙,并用iptables添加NAT转发规则;
[root@localhost ~]# systemctl disable --now firewalld
[root@localhost ~]# iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j MASQUERADE
[root@localhost ~]# iptables -L -n -t nat
[root@localhost ~]#service iptables save
[root@localhost ~]# systemctl enable --now iptables
4. 创建systemd服务文件用于管理OpenVPN Server服务自动开启;
[root@localhost ~]# cp /usr/lib/systemd/system/openvpn-server@.service /etc/systemd/system/openvpn-server@server.service
5. 设置OpenVPN Server服务开机自启并立即启动;
[root@localhost ~]# systemctl enable --now openvpn-server@server.service
/etc/openvpn/easy-rsa/pki/ca.crt
/etc/openvpn/easy-rsa/ta.key
/etc/openvpn/easy-rsa/pki/private/kylin.key
/etc/openvpn/easy-rsa/pki/issued/kylin.crt
[root@localhost client]# cp -rf client.conf kylin.ovpn
[root@localhost client]# vim kylin.ovpn
4. 同样将上一步中的kylin.ovpn文件拷贝到Windows客户端系统中的OpenVPN安装目录的config文件夹中,最后我们在config文件夹中将会看到以下内容;
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。