openvpn server 端配置

OpenVPN 服务器搭建：
系统：Ubuntu 14.04
、 安装openvpn，easy-rsa
sudo apt-get -y install openvpn libssl-dev openssl
sudo apt-get -y install easy-rsa
、 制作相关证书
openvpn的证书分为三部分：CA证书、Server端证书、Client端证书

2.1制作CA证书：
openvpn与easy-rsa安装完毕后，我们需要在/etc/openvpn/目录下创建easy-rsa文件夹，如下：
sudo mkdir /etc/openvpn/easy-rsa/

然后把/usr/share/easy-rsa/目录下的所有文件全部复制到/etc/openvpn/easy-rsa/下，如下：
sudo cp -r /usr/share/easy-rsa/* /etc/openvpn/easy-rsa/

在开始制作CA证书之前，我们还需要编辑vars文件，修改如下相关选项内容即可。如下：
sudo vi /etc/openvpn/easy-rsa/vars

export KEY_COUNTRY="CN"
export KEY_PROVINCE="JS"
export KEY_CITY="NanJing"
export KEY_ORG="wisdom-iot"
export KEY_EMAIL="gcp@wisdom-iot.com"
export KEY_OU="wisdom-iot"

export KEY_NAME="WisdomVPNServer"

vars文件主要用于设置证书的相关组织信息，红色部分的内容可以根据自己的实际情况自行修改。
其中export KEY_NAME=" VPNServer "这个要记住下，我们下面在制作Server端证书时，会使用到。
进入root权限
然后使用source vars命令使其生效，如下：
root@iZ284zmibbzZ:/etc/openvpn/easy-rsa# source vars
root@iZ284zmibbzZ:/etc/openvpn/easy-rsa# ./clean-all
注意：执行clean-all命令会删除，当前目录下的keys文件夹。

现在开始正式制作CA证书，使用如下命令：
root@iZ284zmibbzZ:/etc/openvpn/easy-rsa# ./build-ca
一路按回车键即可。
现在把该CA证书的ca.crt文件复制到openvpn的启动目录/etc/openvpn下，如下：
cp keys/ca.crt /etc/openvpn/

2.2 制作Server端证书
CA证书制作完成后，我们现在开始制作Server端证书。如下：
root@iZ284zmibbzZ:/etc/openvpn/easy-rsa# ./build-key-server WisdomVPNServer

注意：上述命令中WisdomVPNServer，就是我们前面vars文件中设置的KEY_NAME，碰到[y/n]: 输入y。

现在再为服务器生成加密交换时的Diffie-Hellman文件，如下：
root@iZ284zmibbzZ:/etc/openvpn/easy-rsa# ./build-dh

以上操作完毕后，把VPNServer.crt、VPNServer.key、dh2048.pem复制到/etc/openvpn/目录下。
cp keys/WisdomVPNServer.crt keys/WisdomVPNServer.key keys/dh2048.pem /etc/openvpn/
Server端证书就制作完毕。

2.3 制作client端证书
Server端证书制作完成后，我们现在开始制作Client端证书，如下：
root@iZ284zmibbzZ:/etc/openvpn/easy-rsa# ./build-key WisdomVPNClient

注意：上述命令中的client，是客户端的名称。这个是可以进行自定义的。碰到[y/n]: 输入y。
root@iZ284zmibbzZ:/etc/openvpn/easy-rsa# ll keys/
其中client.crt 和client.key 两个文件是我们需要的。到此client端证书制作完毕。
root@iZ284zmibbzZ:/etc/openvpn/easy-rsa# ./build-key client1
以此类推，生成多个client端证书。

三：配置Server端
所有证书制作完毕后，我们现在开始配置Server端。Server端的配置文件，我们可以从openvpn自带的模版中进行复制。如下：
root@iZ284zmibbzZ:/etc/openvpn/easy-rsa#
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/
cd /etc/openvpn/
解压server.conf.gz 文件，使用如下命令
gzip -d server.conf.gz
现在我们来修改server.conf文件，如下：
port 1194
proto tcp
cert WisdomVPNServer.crt
key WisdomVPNServer.key
dh dh2048.pem

comp-lzo

client-to-client
注意：上述server.conf文件中WisdomVPNServer.crt、WisdomVPNServer.key、dh2048.pem要与/etc/openvpn/目录下的相关文件一一对应。注释掉comp-lzo。
并且服务器端的port，tcp协议要和客户端对应。
配置文件修改完毕后，我们现在来启动openvpn，使用如下命令：
/etc/init.d/openvpn start

通过上图，我们可以很明显的看出openvpn已经在此启动，而且也确实使用的TCP协议的1194端口。

四：配置client 端
先把这几个文件复制到/home/ vpn_client_conf /目录下，然后再把openvpn客户端的配置文件模版也复制到/home/ vpn_client_conf /目录下。如下：
root@iZ284zmibbzZ:/etc/openvpn/easy-rsa/keys#
cp WisdomVPNClient.crt WisdomVPNClient.key ca.crt /home/vpn_client_conf/
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /home/vpn_client_conf/

把client.conf文件重命名为client.ovpn，然后进行编辑，如下：
proto tcp
remote **** 1194
ca ca.crt
cert WisdomVPNClient.crt
key WisdomVPNClient.key

comp-lzo

Client配置文件client.ovpn，修改了几个地方：
第一、使用的协议，由原来的UDP修改为TCP，这个一定要和Server端保持一致。否则Client无法连接。
第二、remote地址，这个地址要修改为Server端的地址。
第三、Client证书名称，这个要和我们现在使用的Client证书名称保持一直。
以上修改完毕后，我们要把这个几个文件放在同一个文件夹中（client.ovpn, ca.crt, client.crt, client.key），并且一定要保持client.ovpn这个文件名称是唯一的。否则在openvpn客户端连接时，会报错。
注意：建议客户端版本号要与服务器端openvpn的版本一直，否则可能会出现无法连接服务器的现象。

4.1 Windows客户端
把vpn_client_conf这个文件夹复制到openvpn客户端安装的config文件夹。如下：

点击connect，会出现如下的弹窗：

4.2 Linux OS

在Windows OS上测试完毕后，我们现在在切换到linux系统。在此我们以ubuntu14.04为例。
要在ubuntu上连接openvpnServer端，我们需要先安装openvpn软件，如下：
sudo apt-get -y install openvpn
注意：将服务器端的vpn_client_conf文件夹拷贝到本地Linux系统上。
不同的客户端使用不同的client.crt 、client.key、 client.ovpn。在连接Server端之前，一定要切换到root用户下。因为在连接Server端时，openvpn会在本机创建一个虚拟网卡，如果使用普通用户的话，是没有权限创建虚拟网卡的。
robin@Ubuntu:~/OpenVPN/vpn_ubuntu_client1_conf$ openvpn --config client1.ovpn