概述
pptp 互联网上服务商给拦截。不稳定。
opevpn
1.为了保证OpenVPN的安装,需要使用easy-rsa秘钥生成工具生成证书
[root@m01 ~]# yum install easy-rsa -y2.生成秘钥证书前,需要准备vars文件
[root@m01 ~]# mkdir /opt/easy-rsa
[root@m01 ~]# cd /opt/easy-rsa/
[root@m01 easy-rsa]# /usr/bin/cp -a /usr/share/easy-rsa/3.0.3/* ./
[root@m01 easy-rsa]# /usr/bin/cp -a /usr/share/doc/easy-rsa-3.0.3/vars.example ./vars
[root@m01 easy-rsa]# cat vars
if [ -z "$EASYRSA_CALLER" ]; then
echo "You appear to be sourcing an Easy-RSA 'vars' file." >&2
echo "This is no longer necessary and is disallowed. See the section called" >&2
echo "'How to use this file' near the top comments for more details." >&2
return 1
fi
set_var EASYRSA_DN
"cn_only"
set_var EASYRSA_REQ_COUNTRY "CN"
#所在的国家
set_var EASYRSA_REQ_PROVINCE "Shanghai"
#所在的省份
set_var EASYRSA_REQ_CITY "Shanghai"
#所在的城市
set_var EASYRSA_REQ_ORG "Oldboy"
#所在的组织
set_var EASYRSA_REQ_EMAIL "xuliangwei@foxmail.com"
#邮箱的地址
set_var EASYRSA_NS_SUPPORT "yes"3.初始化生成证书
#1.初始化,在当前目录创建PKI目录,用于存储证书
[root@m01 easy-rsa]# ./easyrsa init-pki#2.创建根证书,会提示设置密码,用于ca对之后生成的server和client证书签名时使用,其他可默认
[root@m01 easy-rsa]# ./easyrsa build-ca#3.创建server端证书和私钥文件,nopass表示不加密私钥文件,其他可默认
[root@m01 easy-rsa]# ./easyrsa gen-req server nopass#4.给server端证书签名,首先是对一些信息的确认,可以输入yes,然后创建ca根证书时设置的密码
[root@m01 easy-rsa]# ./easyrsa sign server server#5.创建Diffie-Hellman文件,秘钥交换时的Diffie-Hellman算法
[root@m01 easy-rsa]# ./easyrsa gen-dh#6.创建client端证书和私钥文件,nopass表示不加密私钥文件,其他可默认
[root@m01 easy-rsa]# ./easyrsa gen-req client nopass#7.给client端证书签名,首先是对一些信息的确认,可以输入yes,然后创建ca根证书时设置的密码
[root@m01 easy-rsa]# ./easyrsa sign client client1.安装openvpn
[root@openvpn easy-rsa]# yum install openvpn -y2.配置openvpn
[root@openvpn easy-rsa]# cd /etc/openvpn/
[root@web01 openvpn]# cat server.conf
port 1194
#端口
proto udp
#协议
dev tun
#采用路由隧道模式tun
ca ca.crt
#ca证书文件位置
cert server.crt
#服务端公钥名称
key server.key
#服务端私钥名称
dh dh.pem
#交换证书
server 10.8.0.0 255.255.255.0
#给客户端分配地址池,注意:不能和VPN服务器内网网段有相同
push "route 172.16.1.0 255.255.255.0"
#允许客户端访问内网172.16.1.0网段
ifconfig-pool-persist ipp.txt
#地址池记录文件位置
keepalive 10 120
#存活时间,10秒ping一次,120 如未收到响应则视为断线
max-clients 100
#最多允许100个客户端连接
status openvpn-status.log
#日志记录位置
verb 3
#openvpn版本
client-to-client
#客户端与客户端之间支持通信
log /var/log/openvpn.log
#openvpn日志记录位置
persist-key
#通过keepalive检测超时后,重新启动VPN,不重新读取keys,保留第一次使用的keys。
persist-tun
#检测超时后,重新启动VPN,一直保持tun是linkup的。否则网络会先linkdown然后再linkup
duplicate-cn3.根据配置需要文件中定义,需要拷贝openvpnServer端用到的证书至/etc/openvpn目录中
[root@m01 ~]# cd /etc/openvpn/
[root@m01 openvpn]# cp /opt/easy-rsa/pki/ca.crt ./
[root@m01 openvpn]# cp /opt/easy-rsa/pki/issued/server.crt ./
[root@m01 openvpn]# cp /opt/easy-rsa/pki/private/server.key ./
[root@m01 openvpn]# cp /opt/easy-rsa/pki/dh.pem ./4.配置openvpn,首先需要开启内核转发功能
[root@m01 ~]# echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
[root@m01 ~]# systemctl restart network5.启动openvpn服务并加入开机自启
[root@m01 ~]# systemctl -f enable openvpn@server.service
#设置启动文件
[root@m01 ~]# systemctl start openvpn@server.service
#启动openvpn服务客户端连接
Windows1.下载windows的openvpn软件2.下载服务端生成的客户端密钥文件和ca文件至windows指定C:Program FilesOpenVPNconfig 目录中
[root@openvpn-client ~]# cd /etc/openvpn/
[root@openvpn-client openvpn]# sz /opt/easy-rsa/pki/ca.crt
[root@openvpn-client openvpn]# sz /opt/easy-rsa/pki/issued/client.crt
[root@openvpn-client openvpn]# sz /opt/easy-rsa/pki/private/client.key
3.在C:Program FilesOpenVPNconfig
创建一个客户端配置文件,名称叫client.ovpn
内容如下
client
#指定当前VPN是客户端
dev tun
#使用tun隧道传输协议
proto udp
#使用udp协议传输数据
remote 10.0.0.102 1194
#openvpn服务器IP地址端口号
resolv-retry infinite
#断线自动重新连接,在网络不稳定的情况下非常有用
nobind
#不绑定本地特定的端口号
ca ca.crt
#指定CA证书的文件路径
cert client.crt
#指定当前客户端的证书文件路径
key client.key
#指定当前客户端的私钥文件路径
verb 3
#指定日志文件的记录详细级别,可选0-9,等级越高日志内容越详细
persist-key
#通过keepalive检测超时后,重新启动VPN,不重新读取keys,保留第一次使用的keys
persist-tun
#检测超时后,重新启动VPN,一直保持tun是linkup的。否则网络会先linkdown然后再linkup
4.最终windows的目录中配置文件如下
5.双击运行openvpn,然后连接即可。Linux
1.安装openvpn
[root@openvpn-client ~]# yum install openvpn -y2.下载证书文件
[root@openvpn-client ~]# cd /etc/openvpn/
[root@openvpn-client openvpn]# scp root@172.16.1.102:/opt/easy-rsa/pki/ca.crt ./
[root@openvpn-client openvpn]# scp root@172.16.1.102:/opt/easy-rsa/pki/issued/client.crt ./
[root@openvpn-client openvpn]# scp root@172.16.1.102:/opt/easy-rsa/pki/private/client.key ./3.配置客户端
[root@zabbix-agent-sh-103 openvpn]# cat client.ovpn
client
#指定当前VPN是客户端
dev tun
#使用tun隧道传输协议
proto udp
#使用udp协议传输数据
remote 10.0.0.102 1194
#openvpn服务器IP地址端口号
resolv-retry infinite
#断线自动重新连接,在网络不稳定的情况下非常有用
nobind
#不绑定本地特定的端口号
ca ca.crt
#指定CA证书的文件路径
cert client.crt
#指定当前客户端的证书文件路径
key client.key
#指定当前客户端的私钥文件路径
verb 3
#指定日志文件的记录详细级别,可选0-9,等级越高日志内容越详细
persist-key
#通过keepalive检测超时后,重新启动VPN,不重新读取keys,保留第一次使用的keys
persist-tun
#检测超时后,重新启动VPN,一直保持tun是linkup的。否则网络会先linkdown然后再linkup4.启动Linux客户端的openvpn
[root@openvpn-client ~]# openvpn --daemon --cd /etc/openvpn --config client.ovpn --log-append /var/log/openvpn.log--daemon:openvpn以daemon方式启动。
--cd dir:配置文件的目录,openvpn初始化前,先切换到此目录。
--config file:客户端配置文件的路径。
--log-append file:日志文件路径,如果文件不存在会自动创建。mac安装openvpn
https://www.jianshu.com/p/a5fd8dc95ad4
https://www.cnblogs.com/airoot/p/7252987.htmlOpenVPN访问内网网段
[root@zabbix-agent-sh-103 ~]# route add
-net 10.8.0.0/24 gw 172.16.1.102
抓包发现数据包已经是一来一回
17:51:36.053959 IP zabbix-agent-sh-103 > 10.8.0.10: ICMP echo reply, id 1, seq 420, length 40
17:51:37.057545 IP 10.8.0.10 > zabbix-agent-sh-103: ICMP echo request, id 1, seq 421, length 40#解决方式二,在vpn服务器上配置防火墙转发规则
[root@m01 ~]# systemctl start firewalld
[root@m01 ~]# firewall-cmd --add-service=openvpn --permanent
[root@m01 ~]# firewall-cmd --add-masquerade --permanent
[root@m01 ~]# firewall-cmd --reload双重认证
1.修改Server端配置文件,添加以下三行代码
[root@web01 ~]# vim /etc/openvpn/server.conf
script-security 3
#允许使用自定义脚本
auth-user-pass-verify /etc/openvpn/check.sh via-env
username-as-common-name #用户密码登陆方式验证
#注:如果加上client-cert-not-required则代表只使用用户名密码方式验证登录,如果不加,则代表需要证书和用户名密码双重验证登录![root@openvpn ~]# cat /etc/openvpn/check.sh
#!/bin/sh
###########################################################
PASSFILE="/etc/openvpn/openvpnfile"
LOG_FILE="/var/log/openvpn-password.log"
TIME_STAMP=`date "+%Y-%m-%d %T"`
if [ ! -r "${PASSFILE}" ]; then
echo "${TIME_STAMP}: Could not open password file "${PASSFILE}" for reading." >> ${LOG_FILE}
exit 1
fi
CORRECT_PASSWORD=`awk '!/^;/&&!/^#/&&$1=="'${username}'"{print $2;exit}' ${PASSFILE}`
if [ "${CORRECT_PASSWORD}" = "" ]; then
echo "${TIME_STAMP}: User does not exist: username="${username}", password="${password}"." >> ${LOG_FILE}
exit 1
fi
if [ "${password}" = "${CORRECT_PASSWORD}" ]; then
echo "${TIME_STAMP}: Successful authentication: username="${username}"." >> ${LOG_FILE}
exit 0
fi
echo "${TIME_STAMP}: Incorrect password: username="${username}", password="${password}"." >> ${LOG_FILE}
exit 1#记得添加执行权限,否则会无法重启openvpn服务
[root@openvpn ~]# chmod +x /etc/openvpn/check.sh准备用户名密码文件
[root@openvpn ~]# cat /etc/openvpn/openvpnfile
oldboy 123456重载openvpn服务
[root@openvpn ~]# systemctl restart openvpn@server
[root@openvpn openvpn]# tail -f /var/log/openvpn-password.log
2019-01-19 18:24:30: Successful authentication: username="oldboy".
2019-01-19 18:26:14: Successful authentication: username="xiaowang".
2019-01-19 18:26:58: User does not exist: username="oldboy", password="123456".
#尝试使用不存在的用户的连接最后
以上就是矮小黑猫为你收集整理的open*** 搭建的全部内容,希望文章能够帮你解决open*** 搭建所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
发表评论 取消回复