OpenVPN环境搭建使用指南.docx
- 文档编号:8983633
- 上传时间:2023-05-16
- 格式:DOCX
- 页数:17
- 大小:394.91KB
OpenVPN环境搭建使用指南.docx
《OpenVPN环境搭建使用指南.docx》由会员分享,可在线阅读,更多相关《OpenVPN环境搭建使用指南.docx(17页珍藏版)》请在冰点文库上搜索。
OpenVPN环境搭建使用指南
OpenVPNDeployment
OpenVPN 环境搭建使用指南
文件编号
UG00
项目
模块
功能
OpenVPN环境搭建使用指南
客户方
服务方
CrossoftTech.Co.,Ltd.
撰写人
DuceXu
校对人
LumenWang
创建日期
2012-03-21
修改日期
2012-03-26
版本更新记录
日期
修改人
更改摘要
2012-03-21
DuceXu
創建文件
2012-03-26
DuceXu
修改文件
1導論Introduction
1.1文件目的Purpose
该文件讲述了在Linux和Windows环境下搭建配置OpenVPN基本的步骤、OpenVPN基本的用途和搭建过程中的注意事项,以供工作人员参考。
1.2文件對象Objectives
適用所有系統及网络開發人員。
2OpenVPN運行硬件環境
架設OpenVPN軟件運行環境需要以下硬件環境:
⏹一台开发Server。
⏹一台客户机。
3OpenVPN運行軟件環境
软件名称
版本
备注
WindowsXP
版本可选
WindowsServer
版本可选
Linux
版本可选
4Linux环境搭建配置OpenVPNServer
4.1安装OpenVPN服务端
a)安装openssl
在linux终端输入以下命令
b)安装lzo
在终端输入以下命令:
c)安装OpenVPN
在终端输入以下命令,安装OpenVPN-2.1_rc15:
4.2制作证书
a)初始化PKI
设置环境变量,输入命令:
vi/root/.bash_profile 对文件.bash_profile进行编辑,添加如下内容:
输入以下命令:
cd/etc/openvpn/easy-rsa/2.0
source./vars
b)制作证书颁发机构
输入命令:
cd/etc/openvpn/easy-rsa/2.0
./clean-all
build-ca
根据提示输入证书颁发机构信息。
c)创建服务器证书
输入命令:
build-key-serverserver回车,根据提示输入服务器证书信息。
依次输入y
在提示输入密码处,输入密码。
d)创建客户端证书
输入命令:
./build-keyclient01
依次输入y
在提示输入密码处输入密码。
e)创建DiffieHellman参数
输入命令:
./build-dh
创建用于增强安全性的DiffieHellman参数。
f)生成ta.key
输入以下命令生成tar.key并拷贝到相应目录:
4.3配置OpenVPNServer
a)创建服务端配置文件server.conf
输入命令:
b)输入命令viserver.conf对配置文件进行编辑,配置样例如下:
c)建立Client端的ccd配置文件
输入命令:
mkdir-p/etc/openvpn/ccd/Client01创建文件。
对该文件进行编辑,输入命令:
vim/etc/openvpn/ccd/Client01
配置样例如下:
5Windows环境搭建配置OpenVPNServer
以下安装过程以openvpn-2.2.2-install.exe版本为例。
5.1安装OpenVPNServer
1)双击下载完的openvpn-2.2.2-install.exe,开始安装
选择Next,进入下一步,选择OpenVPN特性:
继续默认选择下一步到选择路径步骤:
根据实际情况选择安装路径,开始并完成安装:
5.2制作证书
1)生成根证书
输入命令build-ca回车,填入根证书的以下信息:
2)创建服务器证书
输入命令build-dh回车,build-key-serverserver回车依次输入以下证书信息:
回车
输入y
3)创建客户端证书
输入命令build-keyRay回车,输入以下信息
回车,继续如1)和2)步骤输入信息,创建客户端名称为Ray,CommonName为Ray的证书。
5.3配置OpenVPNServer
1)对OpenVPN服务器进行初始化
打开C:
\ProgramFiles\OpenVPN\easy-rsa目录里的vars.bat.sample文件,修改如下内容:
把以上内容修改为:
选择“开始”à“运行”à“cmd”进入命令提示符窗口:
输入如下命令cdC:
\ProgramFiles\OpenVPN\easy-rsa进入该目录
输入命令:
init-config回车
vars回车
clean-all回车
进行初始化。
2)修改配置文件
打开“OpenVPN根目录/connfig”目录,在该目录下创建文件server.ovpn,用记事本打开,进行修改,配置样例如下:
6搭建配置OpenVPNClient
仿照OpenVPNServer的安装,在客户机上安装OpenVPN客户端,在客户端安装完成之后,需要把服务器端生成的客户端证书文件拷贝到客户端“OpenVPN安装目录\key”目录里,在“OpenVPN安装目录\config”目录下创建client.ovpn,用记事本打开,进行修改,Client配置样例如下:
7OpenVPN管控
7.1开启服务
1)开启linux服务端
在linux终端输入以下命令:
2)开启windows服务端
双击图标,然后右键点击电脑任务栏中的小图标,在弹出的菜单中,单击connect。
7.2权限管控
1)为特定用户定制IP
在服务端的目录/etc/openvpn/ccd/中,修改配置文件为用户定制IP。
如:
添加命令ifconfig-push10.8.0.5255.255.255.0,则为客户端定制IP为:
10.8.0.5
2)吊销客户端证书
输入以下命令,在目录openvpn/easy-rsa/2.0中生成吊销证书列表:
在上述命令执行完成后会在openvpn/easy-rsa/2.0/keys目录下生成一个crl.pem文件,该文件中包含了吊销证书的名单。
将crl.pem复制到/etc/openvpn,并在server.conf中加入如下内容,并重启openvpn服务。
crl-verify/etc/openvpn/crl.pem
3)利用防火墙对客户端进行控制
1.在服务端的配置文件server.conf中增加如下内容:
配置说明:
10.8.0.0是给所有VPN客户端的IP段;10.8.1.0是给管理员分配的IP段;10.8.2.0是给特定用户组分配的IP段;下面是定义服务器读取特殊客户端配置文件的目录为ccd;
2.在ccd文件夹中利用客户端证书的commonname分别新建各种权限的用户端配置文件,在配置文件中为用户指定IP地址。
如:
commonname为client1的客户端,需在新建的client1文件中添加如下内容:
Ifconfig-push10.8.0.2255.255.255.0
3.用iptables防火墙做限制,在终端输入如下命令:
命令说明:
-s10.8.0.0/24–d10.66.4.4即防火墙允许ip地址为10.8.0.0/24网段内的用户访问10.66.4.4服务器主机。
7.3安全管控
1)创建tls-auth
输入命令:
openvpn--genkey--secretta.key
创建证书tar.key。
在服务端配置文件server.conf中加入以下内容:
tls-authta.key0
在客户端配置文件client.conf中加入以下内容:
tls-authta.key1
2)使用UDP协议
UDP协议能够防止端口被扫描,防止DOS攻击。
在配置文件server.conf中,把prototcp改为protoudp。
3)使用Largesymmetrickeys
在配置文件中加入:
cipherAES-256-CBC
4)把ca.key单独存放
在服务器和客户端均不需要使用ca.key,但是ca.key却很重要,可以把ca.key另外存放在安全的地方。
7.4OpenVPN使用
1)通过OpenVPN虚拟网络实现两地内网互访
在OpenVPNServer的配置文件中加入push命令,把Client端到Server端内网的路由推送给Client端,并且在服务器添加从Server端到Client端的路由。
如:
Client端网段10.1.1.0,连接内网网段为10.1.0.0的服务端:
push"route10.1.0.0255.255.255.0"
route"10.1.1.0255.255.255.0"
2)OpenVPNClient端互访
在OpenVPNServer的配置文件conf.opvn中添加client-to-client。
3)通过使用OpenVPNClient访问服务器内网
在OpenVPNServer的配置文件中加入push命令,把Client端到Server端内网的路由推送给Client端。
如:
连接内网网段为10.1.1.0的服务端,需要添加如下命令
push"route10.1.1.0255.255.255.0"
8OpenVPN配置文件说明
OpenVPN服务端配置样例如下:
Local192.168.0.101
//指定监听的IP地址,若服务器有多个网卡,则需要进行指定
port1194
//指定端口号。
protoudp
;prototcp
//指定文件的传输协议,可选择tcp协议。
devtun
;devtap
//指定传输设备,tun设备工作在三层Tcp/Ip协议层,为虚拟“点对点IP”传输;tap工作在二层链路传输层,为虚拟“网桥”传输。
须和Client端匹配
ca/etc/openvpn/2.0/keys/ca.crt
cert/etc/openvpn/2.0/keys/ovpnser.crt
key/etc/openvpn/2.0/keys/ovpnser.key
dh/etc/openvpn/2.0/keys/dh1024.pem
//指定证书、密钥文件
server10.8.0.0255.255.255.0
//指定为Server端,并且为客户端分配10.8.0.0网段的ip
ifconfig-pool-persistipp.txt
//用于记录某个client获得的ip地址
route"192.168.0.101255.255.255.0"
//为服务端添加一条静态路由
push"192.168.0.123255.255.255.0"
//向客户端推送路由
push"redirect-gateway"
//向客户端推送默认网关,使客户端所有的Traffic都经过服务端
push"dhcp-optionDNS10.8.0.1"
push"dhcp-optionDNS202.103.44.150"
//向客户端推送DNS
client-to-client
//定义客户端可以互访
keepalive10120
//表示每10秒通过VPN的Control通道ping对方,如果连续120秒无法ping通,
//认为连接丢失,并重新启动VPN,重新连接 。
comp-lzo
//压缩进行传输;须和客户端匹配
usernobody
groupnobody
//保护服务器主机,使用nobody账户开启OpenVPN
persist-key
//通过keepalive检测超时后,重新启动VPN,不重新读取keys,保留第一次使用的keys。
persist-tun
//通过keepalive检测超时后,重新启动VPN,一直保持tun或者tap设备是linkup的。
statusopenvpn-status.log
//定期把openvpn的一些状态信息写到文件中
log /var/log/openvpn.log
//记录日志,每次重新启动openvpn后删除原有的log信息
max-clients100
//定义最大连接数
;log-append openvpn.log
//和log一致,每次重新启动openvpn后保留原有的log信息,新信息追加到文件最后
verb4
//相当于debuglevel
9注意事项
1)在多次进行证书制作工作时,只需要进入openvpn\easy-rsa目录,运行vars就可以了,不需要进行第一次制作证书的那些步骤 。
2)若OpenVPN服务器不是服务器端内网的网关,则需要在服务端内网网关上添加由OpenVPNServer到Client端的路由。
3)在linux上搭建OpenVPN环境的时候,注意代码的书写,以免造成不必要的错误。
4)注意在进入CommonName(eg,yournameoryourserver'shostname)[]:
的输入时,每个Client证书输入的CommonName必须不同;在接下来的步骤中,输入的Email也必须不同。
5)在创建配置Client端的ccd文件时,对应的是client端的CommonName,所以该文件应以CommonName命名。
6)在linux系统下安装OpenVPNServer时,需要输入命令modinfotun验证该系统是否安装了tun设备。
若系统中没有安装,则需要下载并进行安装。
7)在OpenVPNServer和Client配置文件需进行匹配,如均使用tcp协议、tap设备、loz压缩传输。
8)OpenVPNServer配置和Client端要匹配。
9)在安装客户端的过程中,如果改变了默认的安装目录,选择了其他的安装目录,则在运行时,需要把客户端的配置文件和证书拷贝到C:
/ProgramFiles/Openvpn/conf目录下一份,不然会造成客户端菜单中没有connect选项。
10)如果无法访问内网,检查以下设置:
VPN服务器与公司网的网关不是同一台机器,解决办法是在公司网网关上设置到虚拟网段的路由;内网机器没有设置默认网关,解决办法是设置默认网关为VPN服务器;有防火墙屏蔽。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- OpenVPN 环境 搭建 使用指南