概述
1、部署前准备
1.1、配置时间同步
[root@openvpn tqxd]# yum -y install ntp
[root@openvpn tqxd]# /sbin/ntpdate -u pool.ntp.org
[root@openvpn tqxd]# crontab -l
*/10 * * * * /sbin/ntpdate -u pool.ntp.org > /dev/null 2>&1
1.2、更新yum源及安装相关依赖
[root@openvpn ~]# yum update
[root@openvpn ~]# yum upgrade
[root@openvpn ~]# yum -y install lrzsz vim net-tools epel-release
1.3、安装easy-rsa openvpn
yum -y install easy-rsa openvpn
1.4、创建秘钥证书创建目录
[root@openvpn ~]# mkdir -p /opt/easy-rsa
[root@openvpn ~]# cp -a /usr/share/easy-rsa/3.0.8/* /opt/easy-rsa/
[root@openvpn ~]# cp -a /usr/share/doc/easy-rsa-3.0.8/vars.example /opt/easy-rsa/vars
1.5、生成秘钥前,准备vars文件
修改文件/opt/easy-rsa/vars中的如下配置(要取消注释)
set_var EASYRSA_DN "cn_only"
set_var EASYRSA_REQ_COUNTRY "CN"
set_var EASYRSA_REQ_PROVINCE "Guangdong"
set_var EASYRSA_REQ_CITY "Shenzhen"
set_var EASYRSA_REQ_ORG "tqxd"
set_var EASYRSA_REQ_EMAIL "public@tqxd.net"
set_var EASYRSA_NS_SUPPORT "no"
2、初始化
2.1、在当前目录下创建pki目录,用于存储证书
[root@openvpn ~]# vim /opt/easy-rsa/vars
[root@openvpn ~]# cd /opt/easy-rsa/
[root@openvpn easy-rsa]# /opt/easy-rsa/easyrsa init-pki
2.2、创建根证书
根证书用于ca对之后生成的server和client证书签名时使用。
[root@openvpn easy-rsa]# /opt/easy-rsa/easyrsa build-ca
2.3、创建server端证书和私钥文件
nopass表示不加密私钥文件,生成过程中直接回车默认
[root@openvpn easy-rsa]# /opt/easy-rsa/easyrsa gen-req server nopass
2.4、给server证书签名
[root@openvpn easy-rsa]# /opt/easy-rsa/easyrsa sign server server
2.5、创建Diffie-Hellman文件,秘钥交换时的Diffie-Hellman算法(时间有点长)
[root@openvpn easy-rsa]# /opt/easy-rsa/easyrsa gen-dh
2.5、创建客户端端证书和私钥文件
nopass表示不加密私钥文件,生成过程中直接回车默认
[root@openvpn easy-rsa]# /opt/easy-rsa/easyrsa gen-req tqxd nopass
2.6、给tqxd客户端证书签名
[root@openvpn easy-rsa]# /opt/easy-rsa/easyrsa sign client tqxd
2.7、修改配置文件
自行创建配置文件/etc/openvpn/server.conf,并加入如下配置
#端口
port 1194
#协议
proto udp
#采用路由隧道模式tun
dev tun
#ca证书文件位置
ca ca.crt
#服务端公钥名称
cert server.crt
#服务端私钥名称
key server.key
#交换证书
dh dh.pem
#给客户端分配地址池,注意:不能和VPN服务器内网网段有相同
server 10.8.0.0 255.255.255.0
#允许客户端访问内网以下网段
push "route 192.168.0.0 255.255.0.0"
push "route 192.168.1.0 255.255.255.0"
push "route 192.168.2.0 255.255.255.0"
push "route 192.168.3.0 255.255.255.0"
push "route 192.168.8.0 255.255.255.0"
#地址池记录文件位置
ifconfig-pool-persist ipp.txt
#配置DNS服务
push "dhcp-option DNS 192.168.1.36"
push "dhcp-option DNS 172.63.251.171"
push "dhcp-option DNS 202.96.134.133"
#存活时间,10秒ping一次,120 如未收到响应则视为断线
keepalive 10 120
#最多允许100个客户端连接
max-clients 100
#日志记录位置
status openvpn-status.log
#openvpn版本
verb 3
#客户端与客户端之间支持通信
client-to-client
#openvpn日志记录位置
log /var/log/openvpn.log
#通过keepalive检测超时后,重新启动VPN,不重新读取keys,保留第一次使用的keys。
persist-key
#检测超时后,重新启动VPN,一直保持tun是linkup的。否则网络会先linkdown然后再linkup
persist-tun
duplicate-cn
#允许使用自定义脚本
script-security 3
auth-user-pass-verify /etc/openvpn/check.sh via-env
#用户密码登陆方式验证
username-as-common-name
2.8、拷贝证书到openvpn主配置文件目录下
[root@openvpn easy-rsa]# cp -a /opt/easy-rsa/pki/ca.crt /etc/openvpn/
[root@openvpn easy-rsa]# cp -a /opt/easy-rsa/pki/issued/server.crt /etc/openvpn/
[root@openvpn easy-rsa]# cp -a /opt/easy-rsa/pki/private/server.key /etc/openvpn/
[root@openvpn easy-rsa]# cp -a /opt/easy-rsa/pki/dh.pem /etc/openvpn/
2.8、启动openvpn
systemctl -f enable openvpn@server.service
Created symlink from /etc/systemd/system/multi-user.target.wants/openvpn@server.service to /usr/lib/systemd/system/openvpn@.service.
[root@openvpn easy-rsa]# systemctl start openvpn@server.service
[root@openvpn easy-rsa]# systemctl status openvpn@server.service
3.OpenVPN客户端部署
3.1 安装OpenVPN客户端软件
这里是在windows环境下部署OpenVPN的客户端的,首先需要下载安装OpenVPN客户端软件
3.2 配置客户端
拷贝服务端生成的证书到OpenVPN安装目录的config目录下
分别拷贝以下几个文件
[root@openvpn easy-rsa]# mkdir /opt/tqxd
[root@openvpn easy-rsa]# cd /opt/tqxd/
[root@openvpn tqxd]# cp -rf /opt/easy-rsa/pki/ca.crt .
[root@openvpn tqxd]# cp -rf /opt/easy-rsa/pki/issued/tqxd.crt .
[root@openvpn tqxd]# cp -rf /opt/easy-rsa/pki/private/tqxd.key .
3.3、编写客户端配置文件
在OpenVPN安装目录的config目录下,新建一个tqxd.ovpn文件,在文件中添加如下配置:
#指定当前VPN是客户端
client
#使用tun隧道传输协议
dev tun
#使用udp协议传输数据
proto udp
#openvpn服务器IP地址端口号
remote 192.168.2.68 1194
#断线自动重新连接,在网络不稳定的情况下非常有用
resolv-retry infinite
#不绑定本地特定的端口号
nobind
#指定CA证书的文件路径
ca ca.crt
#指定当前客户端的证书文件路径
cert client.crt
#指定当前客户端的私钥文件路径
key client.key
#指定日志文件的记录详细级别,可选0-9,等级越高日志内容越详细
verb 3
#通过keepalive检测超时后,重新启动VPN,不重新读取keys,保留第一次使用的keys
persist-key
#检测超时后,重新启动VPN,一直保持tun是linkup的。否则网络会先linkdown然后再linkup
persist-tun
remote-cert-tls server
4、启动OpenVPN客户端软件
双击安装好后的OpenVPN软件,然后右键点击连接。
下载地址
连接成功后,在托任务栏位置的OpenVPN图标会变绿色,则说明OpenVPN已经连接成功。
5.OpenVPN客户端访问内网
5.1 在OpenVPN服务端开启内核转发
无论用哪种方式访问内部网络,都必须开启内核转发。
[root@openvpn ~]# echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
5.2 添加路由规则方式访问内部网络
在内网主机web01上添加一条路由规则,让web01有回到OpenVPN客户端的路由。如果不添加,那web01只能接受到来自客户端的包,但是没法把响应的包传回去。
弊端:如果有成白上千台主机时,每一台主机都要添加路由规则,这样任务量是比较大的。
[root@web01 ~]# route add -net 10.8.0.0/24 gw 172.16.1.61
5.3 添加防火墙方式访问内部网络
在服务端开启防火墙,放行openvpn服务,并且开启masquerade。
优点:只需在OpenVPN服务端配置防火墙规则,内部网络主机无需配置。
systemctl start firewalld
firewall-cmd --add-masquerade --permanent
firewall-cmd --add-service=openvpn --permanent
firewall-cmd --permanent --zone=public --add-port=1194/tcp
firewall-cmd --reload
科普firewalld的相关命令
查看开启的服务
# firewall-cmd --permanent --zone=public --list-services
dhcpv6-client openvpn ssh
查看开放的端口
# firewall-cmd --permanent --zone=public --list-ports
firewall-cmd --zone=public --query-port=1194/tcp
yes
# firewall-cmd --zone=public --query-port=80/tcp
no
6.双重验证登录
6.1 修改server端配置
修改配置文件
在配置文件/etc/openvpn/server.conf中添加以下配置
script-security 3 #允许使用自定义脚本
auth-user-pass-verify /etc/openvpn/check.sh via-env
username-as-common-name #用户密码登陆方式验证
注意:如果加上client-cert-not-required则代表只使用用户名密码方式验证登录,如果不加,则代表需要证书和用户名密码双重验证登录!
6.2 添加脚本
[root@openvpn ~]# vim /etc/openvpn/check.sh
#!/bin/sh
###########################################################
PASSFILE="/etc/openvpn/openvpnfile"
LOG_FILE="/var/log/openvpn-password.log"
TIME_STAMP=`date "+%Y-%m-%d %T"`
if [ ! -r "${PASSFILE}" ]; then
echo "${TIME_STAMP}: Could not open password file "${PASSFILE}" for reading." >> ${LOG_FILE}
exit 1
fi
CORRECT_PASSWORD=`awk '!/^;/&&!/^#/&&$1=="'${username}'"{print $2;exit}' ${PASSFILE}`
if [ "${CORRECT_PASSWORD}" = "" ]; then
echo "${TIME_STAMP}: User does not exist: username="${username}", password="${password}"." >> ${LOG_FILE}
exit 1
fi
if [ "${password}" = "${CORRECT_PASSWORD}" ]; then
echo "${TIME_STAMP}: Successful authentication: username="${username}"." >> ${LOG_FILE}
exit 0
fi
echo "${TIME_STAMP}: Incorrect password: username="${username}", password="${password}"." >> ${LOG_FILE}
exit 1
给脚本添加执行权限
chmod +x /etc/openvpn/check.sh
6.3 编写用户密码文件
[root@openvpn ~]# cat /etc/openvpn/openvpnfile
liuys 123456
6.4 重启openvpn服务
systemctl restart openvpn@server.service
6.5 修改客户端配置
在安装目录下config目录下的client.ovpn文件中添加如下配置
auth-user-pass
然后重启OpenVPN客户端软件。
再次使用就会跳出用户登录窗口了
输入用户名和密码后登录成功。
最后
以上就是自由冬天为你收集整理的open 跨域安装部署的全部内容,希望文章能够帮你解决open 跨域安装部署所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
发表评论 取消回复