openvpn server 端配置

apn_gcp 2017-11-15 11:39:42 5613

OpenVPN 服务器搭建:
系统:Ubuntu 14.04
、 安装openvpn,easy-rsa
sudo apt-get -y install openvpn libssl-dev openssl
sudo apt-get -y install easy-rsa
、 制作相关证书
openvpn的证书分为三部分:CA证书、Server端证书、Client端证书

2.1制作CA证书:
openvpn与easy-rsa安装完毕后,我们需要在/etc/openvpn/目录下创建easy-rsa文件夹,如下:
sudo mkdir /etc/openvpn/easy-rsa/

然后把/usr/share/easy-rsa/目录下的所有文件全部复制到/etc/openvpn/easy-rsa/下,如下:
sudo cp -r /usr/share/easy-rsa/* /etc/openvpn/easy-rsa/

在开始制作CA证书之前,我们还需要编辑vars文件,修改如下相关选项内容即可。如下:
sudo vi /etc/openvpn/easy-rsa/vars

export KEY_COUNTRY="CN"
export KEY_PROVINCE="JS"
export KEY_CITY="NanJing"
export KEY_ORG="wisdom-iot"
export KEY_EMAIL="gcp@wisdom-iot.com"
export KEY_OU="wisdom-iot"

export KEY_NAME="WisdomVPNServer"

vars文件主要用于设置证书的相关组织信息,红色部分的内容可以根据自己的实际情况自行修改。
其中export KEY_NAME=" VPNServer "这个要记住下,我们下面在制作Server端证书时,会使用到。
进入root权限
然后使用source vars命令使其生效,如下:
root@iZ284zmibbzZ:/etc/openvpn/easy-rsa# source vars
root@iZ284zmibbzZ:/etc/openvpn/easy-rsa# ./clean-all
注意:执行clean-all命令会删除,当前目录下的keys文件夹。

现在开始正式制作CA证书,使用如下命令:
root@iZ284zmibbzZ:/etc/openvpn/easy-rsa# ./build-ca
一路按回车键即可。
现在把该CA证书的ca.crt文件复制到openvpn的启动目录/etc/openvpn下,如下:
cp keys/ca.crt /etc/openvpn/

2.2 制作Server端证书
CA证书制作完成后,我们现在开始制作Server端证书。如下:
root@iZ284zmibbzZ:/etc/openvpn/easy-rsa# ./build-key-server WisdomVPNServer

注意:上述命令中WisdomVPNServer,就是我们前面vars文件中设置的KEY_NAME,碰到[y/n]: 输入y。

现在再为服务器生成加密交换时的Diffie-Hellman文件,如下:
root@iZ284zmibbzZ:/etc/openvpn/easy-rsa# ./build-dh

以上操作完毕后,把VPNServer.crt、VPNServer.key、dh2048.pem复制到/etc/openvpn/目录下。
cp keys/WisdomVPNServer.crt keys/WisdomVPNServer.key keys/dh2048.pem /etc/openvpn/
Server端证书就制作完毕。

2.3 制作client端证书
Server端证书制作完成后,我们现在开始制作Client端证书,如下:
root@iZ284zmibbzZ:/etc/openvpn/easy-rsa# ./build-key WisdomVPNClient

注意:上述命令中的client,是客户端的名称。这个是可以进行自定义的。碰到[y/n]: 输入y。
root@iZ284zmibbzZ:/etc/openvpn/easy-rsa# ll keys/
其中client.crt 和client.key 两个文件是我们需要的。到此client端证书制作完毕。
root@iZ284zmibbzZ:/etc/openvpn/easy-rsa# ./build-key client1
以此类推,生成多个client端证书。

三:配置Server端
所有证书制作完毕后,我们现在开始配置Server端。Server端的配置文件,我们可以从openvpn自带的模版中进行复制。如下:
root@iZ284zmibbzZ:/etc/openvpn/easy-rsa#
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/
cd /etc/openvpn/
解压server.conf.gz 文件,使用如下命令
gzip -d server.conf.gz
现在我们来修改server.conf文件,如下:
port 1194
proto tcp
cert WisdomVPNServer.crt
key WisdomVPNServer.key
dh dh2048.pem

comp-lzo

client-to-client
注意:上述server.conf文件中WisdomVPNServer.crt、WisdomVPNServer.key、dh2048.pem要与/etc/openvpn/目录下的相关文件一一对应。注释掉comp-lzo。
并且服务器端的port,tcp协议要和客户端对应。
配置文件修改完毕后,我们现在来启动openvpn,使用如下命令:
/etc/init.d/openvpn start

通过上图,我们可以很明显的看出openvpn已经在此启动,而且也确实使用的TCP协议的1194端口。

四:配置client 端
先把这几个文件复制到/home/ vpn_client_conf /目录下,然后再把openvpn客户端的配置文件模版也复制到/home/ vpn_client_conf /目录下。如下:
root@iZ284zmibbzZ:/etc/openvpn/easy-rsa/keys#
cp WisdomVPNClient.crt WisdomVPNClient.key ca.crt /home/vpn_client_conf/
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /home/vpn_client_conf/

把client.conf文件重命名为client.ovpn,然后进行编辑,如下:
proto tcp
remote **** 1194
ca ca.crt
cert WisdomVPNClient.crt
key WisdomVPNClient.key

comp-lzo

Client配置文件client.ovpn,修改了几个地方:
第一、使用的协议,由原来的UDP修改为TCP,这个一定要和Server端保持一致。否则Client无法连接。
第二、remote地址,这个地址要修改为Server端的地址。
第三、Client证书名称,这个要和我们现在使用的Client证书名称保持一直。
以上修改完毕后,我们要把这个几个文件放在同一个文件夹中(client.ovpn, ca.crt, client.crt, client.key),并且一定要保持client.ovpn这个文件名称是唯一的。否则在openvpn客户端连接时,会报错。
注意:建议客户端版本号要与服务器端openvpn的版本一直,否则可能会出现无法连接服务器的现象。

4.1 Windows客户端
把vpn_client_conf这个文件夹复制到openvpn客户端安装的config文件夹。如下:

点击connect,会出现如下的弹窗:

4.2 Linux OS

在Windows OS上测试完毕后,我们现在在切换到linux系统。在此我们以ubuntu14.04为例。
要在ubuntu上连接openvpnServer端,我们需要先安装openvpn软件,如下:
sudo apt-get -y install openvpn
注意:将服务器端的vpn_client_conf文件夹拷贝到本地Linux系统上。
不同的客户端使用不同的client.crt 、client.key、 client.ovpn。在连接Server端之前,一定要切换到root用户下。因为在连接Server端时,openvpn会在本机创建一个虚拟网卡,如果使用普通用户的话,是没有权限创建虚拟网卡的。
robin@Ubuntu:~/OpenVPN/vpn_ubuntu_client1_conf$ openvpn --config client1.ovpn

声明:本文内容由易百纳平台入驻作者撰写,文章观点仅代表作者本人,不代表易百纳立场。如有内容侵权或者其他问题,请联系本站进行删除。
apn_gcp
红包 点赞 收藏 评论 打赏
评论
0个
内容存在敏感词
手气红包
    易百纳技术社区暂无数据
相关专栏
关于作者
apn_gcp

apn_gcp

暂无个性签名~

原创4
阅读1.3w
收藏0
点赞0
评论0
打赏用户 0
我要创作
分享技术经验,可获取创作收益
分类专栏
置顶时间设置
结束时间
删除原因
  • 广告/SPAM
  • 恶意灌水
  • 违规内容
  • 文不对题
  • 重复发帖
打赏作者
易百纳技术社区
apn_gcp
您的支持将鼓励我继续创作!
打赏金额:
¥1易百纳技术社区
¥5易百纳技术社区
¥10易百纳技术社区
¥50易百纳技术社区
¥100易百纳技术社区
支付方式:
微信支付
支付宝支付
易百纳技术社区微信支付
易百纳技术社区
打赏成功!

感谢您的打赏,如若您也想被打赏,可前往 发表专栏 哦~

举报反馈

举报类型

  • 内容涉黄/赌/毒
  • 内容侵权/抄袭
  • 政治相关
  • 涉嫌广告
  • 侮辱谩骂
  • 其他

详细说明

审核成功

发布时间设置
发布时间:
是否关联周任务-专栏模块

审核失败

失败原因
备注
拼手气红包 红包规则
祝福语
恭喜发财,大吉大利!
红包金额
红包最小金额不能低于5元
红包数量
红包数量范围10~50个
余额支付
当前余额:
可前往问答、专栏板块获取收益 去获取
取 消 确 定

小包子的红包

恭喜发财,大吉大利

已领取20/40,共1.6元 红包规则

    易百纳技术社区