CentOS6搭建OpenVPN服务器

一、服务器端安装及配置

服务器环境：干净的CentOS6.3 64位系统

内网IP：10.143.80.116

外网IP：203.195.xxx.xxx

OpenVPN版本：OpenVPN 2.3.2 x86_64-redhat-linux-gnu

    1、安装前准备

1 2 3 4 5 6 7 8 9 10 11

# 关闭selinux setenforce 0 sed -i '/^SELINUX=/c\SELINUX=disabled' /etc/selinux/config   # 安装openssl和lzo，lzo用于压缩通讯数据加快传输速度 yum -y install openssl openssl-devel yum -y install lzo   # 安装epel源 rpm -ivh http://mirrors.sohu.com/fedora-epel/6/x86_64/epel-release-6-8.noarch.rpm sed -i 's/^mirrorlist=https/mirrorlist=http/' /etc/yum.repos.d/epel.repo

    2、安装及配置OpenVPN和easy-rsa

1 2 3 4 5 6

# 安装openvpn和easy-rsa yum -y install openvpn easy-rsa   # 修改vars文件 cd /usr/share/easy-rsa/2.0/ vim vars

1 2 3 4 5 6 7

# 修改注册信息，比如公司地址、公司名称、部门名称等。 export KEY_COUNTRY="CN" export KEY_PROVINCE="Shandong" export KEY_CITY="Qingdao" export KEY_ORG="MyOrganization" export KEY_EMAIL="me@myhost.mydomain" export KEY_OU="MyOrganizationalUnit"

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23

# 初始化环境变量 source vars   # 清除keys目录下所有与证书相关的文件 # 下面步骤生成的证书和密钥都在/usr/share/easy-rsa/2.0/keys目录里 ./clean-all   # 生成根证书ca.crt和根密钥ca.key（一路按回车即可） ./build-ca   # 为服务端生成证书和私钥（一路按回车，直到提示需要输入y/n时，输入y再按回车，一共两次） ./build-key-server server   # 每一个登陆的VPN客户端需要有一个证书，每个证书在同一时刻只能供一个客户端连接，下面建立2份 # 为客户端生成证书和私钥（一路按回车，直到提示需要输入y/n时，输入y再按回车，一共两次） ./build-key client1 ./build-key client2   # 创建迪菲·赫尔曼密钥，会生成dh2048.pem文件（生成过程比较慢，在此期间不要去中断它） ./build-dh   # 生成ta.key文件（防DDos攻击、UDP淹没等恶意攻击） openvpn --genkey --secret keys/ta.key

查看keys目录下生成的文件：

    3、创建服务器端配置文件

1 2 3 4 5 6 7 8 9 10 11 12

# 在openvpn的配置目录下新建一个keys目录 mkdir /etc/openvpn/keys   # 将需要用到的openvpn证书和密钥复制一份到刚创建好的keys目录中 cp /usr/share/easy-rsa/2.0/keys/{ca.crt,server.{crt,key},dh2048.pem,ta.key} /etc/openvpn/keys/   # 复制一份服务器端配置文件模板server.conf到/etc/openvpn/ cp /usr/share/doc/openvpn-2.3.2/sample/sample-config-files/server.conf /etc/openvpn/ # 查看server.conf里的配置参数 grep '^[^#;]' /etc/openvpn/server.conf # 编辑server.conf vim /etc/openvpn/server.conf

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29

port 1194 # 改成tcp，默认使用udp，如果使用HTTP Proxy，必须使用tcp协议 proto tcp dev tun # 路由模式，桥接模式用dev tap # 路径前面加keys，全路径为/etc/openvpn/keys/ca.crt ca keys/ca.crt cert keys/server.crt key keys/server.key  # This file should be kept secret dh keys/dh2048.pem # 默认虚拟局域网网段，不要和实际的局域网冲突即可 server 10.8.0.0 255.255.255.0 # 路由模式，桥接模式用server-bridge ifconfig-pool-persist ipp.txt # 10.0.0.0/8是我这台VPN服务器所在的内网的网段，读者应该根据自身实际情况进行修改 push "route 10.0.0.0 255.0.0.0" # 可以让客户端之间相互访问直接通过openvpn程序转发，根据需要设置 client-to-client # 如果客户端都使用相同的证书和密钥连接VPN，一定要打开这个选项，否则每个证书只允许一个人连接VPN duplicate-cn keepalive 10 120 tls-auth keys/ta.key 0 # This file is secret comp-lzo persist-key persist-tun # OpenVPN的状态日志，默认为/etc/openvpn/openvpn-status.log status openvpn-status.log # OpenVPN的运行日志，默认为/etc/openvpn/openvpn.log  log-append openvpn.log # 改成verb 5可以多查看一些调试信息 verb 5

4、配置内核和防火墙，启动服务

1 2 3 4 5 6 7 8 9 10 11 12

# 开启路由转发功能 sed -i '/net.ipv4.ip_forward/s/0/1/' /etc/sysctl.conf sysctl -p   # 配置防火墙，别忘记保存 iptables -I INPUT -p tcp --dport 1194 -m comment --comment "openvpn" -j ACCEPT iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j MASQUERADE service iptables save   # 启动openvpn并设置为开机启动 service openvpn start chkconfig openvpn on

    5、创建客户端配置文件client.ovpn

1 2 3 4

# 复制一份client.conf模板命名为client.ovpn cp /usr/share/doc/openvpn-2.3.2/sample/sample-config-files/client.conf client.ovpn # 编辑client.ovpn vim client.ovpn

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20

client dev tun # 路由模式 # 改为tcp proto tcp # OpenVPN服务器的外网IP和端口 remote 203.195.xxx.xxx 1194 resolv-retry infinite nobind persist-key persist-tun ca ca.crt # client1的证书 cert client1.crt # client1的密钥 key client1.key ns-cert-type server # 去掉前面的注释 tls-auth ta.key 1 comp-lzo verb 3

 2、配置client

将OpenVPN服务器上的client.ovpn、ca.crt、client1.crt、client1.key、ta.key上传到linux客户端安装目录下的/etc/openvpn 文件夹

[root@linux64 openvpn]# pwd
/etc/openvpn
[root@linux64 openvpn]# ls
ca.crt client1.crt client1.key client.ovpn conf ta.key

启动客户端

[root@linux64 openvpn]# openvpn --daemon --cd /etc/openvpn --config client.ovpn --log-append /var/log/openvpn.log &

查看服务器端，多出10.8.0.1 的网卡：

[root@web10 config]# ifconfig

tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.8.0.1 P-t-P:10.8.0.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:2 errors:0 dropped:0 overruns:0 frame:0
TX packets:2 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:168 (168.0 b) TX bytes:168 (168.0 b)

查看客户端， 多出网卡10.8.0.6：

[root@linux64 openvpn]# ifconfig

tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.8.0.6 P-t-P:10.8.0.5 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:2 errors:0 dropped:0 overruns:0 frame:0
TX packets:2 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:168 (168.0 b) TX bytes:168 (168.0 b)

[root@linux64 ~]# ping 10.8.0.1
PING 10.8.0.1 (10.8.0.1) 56(84) bytes of data.
64 bytes from 10.8.0.1: icmp_seq=1 ttl=64 time=8.28 ms
64 bytes from 10.8.0.1: icmp_seq=2 ttl=64 time=2.36 ms

遇到问题：

客户端启动不成功 报错信息

Wed Sep 20 18:37:27 2017 VERIFY ERROR: depth=1, error=certificate is not yet valid: C=CN, ST=Shandong, L=Qiangdao, O=Fort-Funston, OU=MyOrganizationalUnit, CN=Fort-Funston CA, name=EasyRSA, emailAddress=me@myhost.mydomain

解决：服务端和客户端时间不同步，ntpdate 133.100.11.8 ，更新时间再启动成功