OpenVPNDeployment
OpenVPN 环境搭建使用指南
文件编号 | UG00 |
项目 | |
模块 | |
功能 | OpenVPN环境搭建使用指南 |
客户方 | |
服务方 | Crossoft Tech. Co., Ltd. |
撰写人 | DuceXu |
校对人 | Lumen Wang |
创建日期 | 2012-03-21 |
修改日期 | 2012-03-26 |
版本更新记录
日期 | 修改人 | 更改摘要 |
2012-03-21 | DuceXu | 創建文件 |
2012-03-26 | DuceXu | 修改文件 |
1導論 Introduction
1.1文件目的 Purpose
该文件讲述了在Linux和Windows环境下搭建配置OpenVPN基本的步骤、OpenVPN基本的用途和搭建过程中的注意事项,以供工作人员参考。
1.2文件對象Objectives
適用所有系統及网络開發人員。
2OpenVPN運行硬件環境
架設OpenVPN軟件運行環境需要以下硬件環境:
⏹一台开发Server。
⏹一台客户机。
3OpenVPN運行軟件環境
软件名称 | 版本 | 备注 |
Windows XP | 版本可选 | |
Windows Server | 版本可选 | |
Linux | vim最全使用指南版本可选 | |
4Linux环境搭建配置OpenVPN Server
4.1安装OpenVPN服务端
a)安装openssl
在linux终端输入以下命令
b)安装 lzo
在终端输入以下命令:
c)安装OpenVPN
在终端输入以下命令,安装OpenVPN-2.1_rc15:
4.2制作证书
a)初始化PKI
设置环境变量,输入命令:vi /root/.bash_profile 对文件.bash_profile进行编辑,添加如下内容:
输入以下命令:
cd /etc/openvpn/easy-rsa/2.0
source ./vars
b)制作证书颁发机构
输入命令:
cd /etc/openvpn/easy-rsa/2.0
./clean-all
build-ca
根据提示输入证书颁发机构信息。
c)创建服务器证书
输入命令:build-key-server server回车,根据提示输入服务器证书信息。
依次输入y
在提示输入密码处,输入密码。
d)创建客户端证书
输入命令:
./build-key client01
依次输入y
在提示输入密码处输入密码。
e)创建Diffie Hellman 参数
输入命令:
./build-dh
创建用于增强安全性的Diffie Hellman 参数。
f)生成 ta.key
输入以下命令生成tar.key并拷贝到相应目录:
4.3配置OpenVPN Server
a)创建服务端配置文件f
输入命令:
b)输入命令vi f对配置文件进行编辑,配置样例如下:
c)建立Client端的ccd配置文件
输入命令:mkdir -p /etc/openvpn/ccd/Client01创建文件。
对该文件进行编辑,输入命令:vim /etc/openvpn/ccd/Client01
配置样例如下:
5Windows环境搭建配置OpenVPN Server
以下安装过程以openvpn-2.版本为例。
5.1安装OpenVPN Server
1)双击下载完的openvpn-2.,开始安装
选择Next,进入下一步,选择OpenVPN特性:
继续默认选择下一步到选择路径步骤:
根据实际情况选择安装路径,开始并完成安装:
5.2制作证书
1)生成根证书
输入命令build-ca回车,填入根证书的以下信息:
2)创建服务器证书
输入命令build-dh回车,build-key-server server回车依次输入以下证书信息:
回车
输入y
3)创建客户端证书
输入命令build-key Ray回车,输入以下信息
回车,继续如1)和2)步骤输入信息,创建客户端名称为Ray,CommonName为Ray的证书。
5.3配置OpenVPN Server
1)对OpenVPN服务器进行初始化
打开C:\ProgramFiles\OpenVPN\easy-rsa目录里的vars.bat.sample文件,修改如下内容:
把以上内容修改为:
选择“开始”“运行”“cmd”进入命令提示符窗口:
输入如下命令cd C:\Program Files\OpenVPN\easy-rsa进入该目录
输入命令:
init-config回车
vars回车
clean-all回车
进行初始化。
2)修改配置文件
打开“OpenVPN根目录/connfig”目录,在该目录下创建文件server.ovpn,用记事本打开,进行修改,配置样例如下:
6搭建配置OpenVPN Client
仿照OpenVPN Server的安装,在客户机上安装OpenVPN客户端,在客户端安装完成之后,需要把服务器端生成的客户端证书文件拷贝到客户端“OpenVPN安装目录\key”目录里,在“OpenVPN安装目录\config”目录下创建client.ovpn,用记事本打开,进行修改,Client配置样例如下:
7OpenVPN管控
7.1开启服务
1)开启linux服务端
在linux终端输入以下命令:
2)开启windows服务端
双击图标,然后右键点击电脑任务栏中的小图标,在弹出的菜单中,单击connect。
7.2权限管控
1)为特定用户定制IP
在服务端的目录/etc/openvpn/ccd/中,修改配置文件为用户定制IP。如:添加命令ifconfig-push 10.8.0.5 255.255.255.0,则为客户端定制IP为:10.8.0.5
2)吊销客户端证书
输入以下命令,在目录openvpn/easy-rsa/2.0中生成吊销证书列表:
在上述命令执行完成后会在openvpn/easy-rsa/2.0/keys目录下生成一个crl.pem文件,该文件中包含了吊销证书的名单。将crl.pem复制到/etc/openvpn,并在f中加入如下内容,并重启openvpn服务。
crl-verify /etc/openvpn/crl.pem
3)利用防火墙对客户端进行控制
1.在服务端的配置文件f中增加如下内容:
配置说明:10.8.0.0是给所有VPN客户端的IP段;10.8.1.0是给管理员分配的IP段;10.8.2.0是给特定用户组分配的IP段;下面是定义服务器读取特殊客户端配置文件的目录为ccd;
2.在ccd文件夹中利用客户端证书的common name分别新建各种权限的用户端配置文件,在配置文件中为用户指定IP地址。如:common name为client1的客户端,需在新建的client1
文件中添加如下内容:
Ifconfig-push 10.8.0.2 255.255.255.0
3.用iptables防火墙做限制,在终端输入如下命令:
命令说明:-s 10.8.0.0/24 –d 10.66.4.4 即防火墙允许ip地址为10.8.0.0/24网段内的用户访问10.66.4.4服务器主机。
7.3安全管控
1)创建tls-auth
输入命令:
openvpn --genkey --secret ta.key
创建证书tar.key。在服务端配置文件f中加入以下内容:
tls-auth ta.key 0
在客户端配置文件f中加入以下内容:
tls-auth ta.key 1
2)使用UDP协议
UDP协议能够防止端口被扫描,防止DOS攻击。
在配置文件f中,把proto tcp改为proto udp。
3)使用Large symmetric keys
在配置文件中加入:
cipher AES-256-CBC
4)把ca.key单独存放
在服务器和客户端均不需要使用ca.key,但是ca.key却很重要,可以把ca.key另外存放在安全的地方。
7.4OpenVPN使用
1)通过OpenVPN虚拟网络实现两地内网互访
在OpenVPN Server的配置文件中加入push命令,把Client端到Server端内网的路由推送给Client端,并且在服务器添加从Server端到Client端的路由。如:Client端网段10.1.1.0,连接内网网段为10.1.0.0的服务端:
push "route 10.1.0.0 255.255.255.0"
route "10.1.1.0 255.255.255.0"
2)OpenVPN Client端互访
在OpenVPN Server的配置文件conf.opvn中添加client-to-client。
3)通过使用OpenVPN Client访问服务器内网
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论