一、安装环境

1.阿里云centos7

2.关闭防火墙,selinux

临时关闭:setenforce 0

永久关闭:vim /etc/selinux/config

3.修改yum源

1)备份原有的yum源

2)下载对应版本的repo文件

centos7:wget http://mirrors.163.com/.help/CentOS7-Base-163.repo

centos6:wget http://mirrors.163.com/.help/CentOS6-Base-163.repo

这下载centos7的yum源

cd /etc/yum.repos.d/
wget http://mirrors.163.com/.help/CentOS6-Base-163.repo cp CentOS6-Base-163.repo CentOS-Base.repo #运行以下命令生成缓存
yum clean all
yum makecache

4.配置时间同步

yum install ntp -y
ntpdate pool.ntp.org
echo '#tim sync by hua at 2016.6.22'>>/var/spool/cron/root
echo '*/10 * * * * /usr/sbin/ntpdate pool.ntp.org >/dev/null 2>&1'>>/var/spool/cron/root crontab -l

二、openvpn服务器安装和配置

从官网能知道安装依赖

1.安装openVPN相关的依赖软件

yum install openssl-devel openssl pam pam-devel lzo lzo-devel -y

2.创建/app下载安装

[root@database2019030517 app]#  git clone https://github.com/OpenVPN/openvpn.git
[root@database2019030517 app]#  git clone https://github.com/OpenVPN/easy-rsa.git

3.进入app目录,生成编译脚本configure

wget http://rpmfind.net/linux/centos/7.6.1810/os/x86_64/Packages/autoconf-2.69-11.el7.noarch.rpm
[root@database2019030517 app]# rpm -ivh autoconf-2.69-11.el7.noarch.rpm
[root@database2019030517 ~]#  yum install -y automake
[root@database2019030517 openvpn]# yum install -y libtool  libsysfs-dev
[root@database2019030517 openvpn]# autoreconf -i -v -f

执行configure脚本报错

报错一

checking for lz4.h... no
		usable LZ4 library or header not found, using version in src/compat/compat-lz4.*
checking git checkout... yes
configure: error: lzo enabled but missing

安装LZO

[root@database2019030517 lzo-2.10]# wget http://www.oberhumer.com/opensource/lzo/download/lzo-2.10.tar.gz
[root@database2019030517 lzo-2.10]# tar zxvf lzo-2.10.tar.gz
[root@database2019030517 lzo-2.10]# cd lzo-2.10
[root@database2019030517 lzo-2.10]# ./configure
[root@database2019030517 lzo-2.10]# make && make install

报错二

checking whether the compiler acceppts -Wall... yes
configure: error: libpam required but missin

安装pam-devel

yum install pam-devel

预编译

[root@database2019030517 openvpn]# ./configure --prefix=/app/openVPN

编译安装

[root@database2019030517 openvpn]# make
[root@database2019030517 openvpn]# make check
[root@database2019030517 openvpn]# make install

复制配置文件

[root@database2019030517 openVPN]# mkdir /app/openVPN/conf/
[root@database2019030517 openvpn]# cp sample/sample-config-files/{server,client}.conf /app/openVPN/conf/

4.配置 openvpn server-建立 CA 证书

easy-rsa,该包用来制作 ca 证书,服务端证书,客户端证书

如果执行过git clone https://github.com/OpenVPN/easy-rsa.git那么下面以#号开头的就不用弄了,包是一样的包
#yum install unzip -y
#wget -c https://github.com/OpenVPN/easy-rsa/archive/master.zip
#unzip master.zip
#mv easy-rsa-master easy-rsa
#cp -rf easy-rsa/ /app/
cd /data/app/easy-rsa/easyrsa3/

#一般情况下,默认的配置可以满足需求,也可以根据需要修改

cp vars.example vars

#1.修改 vars

vim vars +91

set_var EASYRSA_REQ_COUNTRY     "CN"
set_var EASYRSA_REQ_PROVINCE    "BJ"
set_var EASYRSA_REQ_CITY        "Bei Jing"
set_var EASYRSA_REQ_ORG         "axyh" #组织名
set_var EASYRSA_REQ_EMAIL       "446693337@qq.com"
set_var EASYRSA_REQ_OU          "axyh" 部门名

#2创建服务端客户端证书

[root@test2019030517 easy-rsa]# cp -av easyrsa3/ easyrsa3_server
[root@test2019030517 easy-rsa]# cp -av easyrsa3/ easyrsa3_client

#3服务端证书

1、创建服务端证书

创建根证书,首先会提示设置密码,用于ca对之后生成的server和client证书签名时使用,然后会提示设置
[root@proxy2019030517 easyrsa3_client]# ./easyrsa init-pki
可以键入回车使用默认的
[root@test2019030517 easyrsa3_server]# ./easyrsa build-ca
#根证书密码要记住, 给server端和客户端证书签名的时候会用到(123456)

♦创建服务端证书server 设置无密码

[root@test2019030517 easyrsa3_server]# ./easyrsa gen-req server nopass

♦给server端证书做签名,首先是对一些信息的确认,可以输入yes,然后输入build-ca时设置的那个密码 (123456)

[root@test2019030517 easyrsa3_server]# ./easyrsa sign server server

 ♦创建Diffie-Hellman,时间会有点长,耐心等待 

[root@test2019030517 easyrsa3_server]# ./easyrsa gen-dh

 2、创建客户端证书

前戏

[root@proxy2019030517 easyrsa3_client]# ./easyrsa init-pki

。。。。。

[root@test2019030517 easyrsa3_client]# cd /data/app/easy-rsa/easyrsa3_client

 ♦创建client端证书和private key,nopass表示不加密private key

[root@test2019030517 easyrsa3_client]# ./easyrsa gen-req client nopass

 ♦回到制作server证书时的那个easyrsa3目录,导入client端证书,准备签名

[root@test2019030517 easyrsa3_server]# ./easyrsa import-req /data/app/easy-rsa/easyrsa3_client/pki/reqs/client.req client

 ♦给client端证书做签名,首先是对一些信息的确认,可以输入yes,然后输入build-ca时设置的那个密码 

[root@test2019030517 easyrsa3_server]# ./easyrsa sign client client

#4整理服务端证书/客户端证书

[root@test2019030517 openVPN]# mkdir /app/openVPN/server_keys/
[root@test2019030517 openVPN]# mkdir /app/openVPN/client_keys/

 ♦导入证书到server_keys

[root@test2019030517 pki]# cp /data/app/easy-rsa/easyrsa3_server/pki/ca.crt /app/openVPN/server_keys/
[root@test2019030517 pki]# cp /data/app/easy-rsa/easyrsa3_server/pki/private/server.key /app/openVPN/server_keys/
[root@test2019030517 pki]# cp /data/app/easy-rsa/easyrsa3_server/pki/issued/server.crt /app/openVPN/server_keys/
[root@test2019030517 pki]# cp /data/app/easy-rsa/easyrsa3_server/pki/dh.pem /app/openVPN/server_keys/

 ♦导入证书到client_keys

[root@test2019030517 pki]# cp /data/app/easy-rsa/easyrsa3_server/pki/ca.crt /app/openVPN/client_keys/
[root@test2019030517 pki]# cp /data/app/easy-rsa/easyrsa3_server/pki/issued/client.crt /app/openVPN/client_keys/
[root@test2019030517 pki]# cp /data/app/easy-rsa/easyrsa3_client/pki/private/client.key /app/openVPN/client_keys/

#5创建配置文件目录,导入样本文件

[root@test2019030517 pki]# mkdir /app/openVPN/conf
[root@test2019030517 pki]# cp /data/app/openvpn/sample/sample-config-files/{server,client}.conf /app/openVPN/conf/

#6配置server.conf

local 0.0.0.0

port 1194
proto tcp

dev tun

ca /app/openVPN/server_keys/ca.crt
cert /app/openVPN/server_keys/server.crt
key /app/openVPN/server_keys/server.key 

dh /app/openVPN/server_keys/dh.pem

server 10.8.0.0 255.255.255.0

ifconfig-pool-persist ipp.txt

push "redirect-gateway def1 bypass-dhcp"

push "dhcp-option DNS 8.8.8.8"

keepalive 10 120

comp-lzo

max-clients 100

persist-key

persist-tun

status openvpn-status.log

verb 3

client-cert-not-required
username-as-common-name
auth-user-pass-verify /app/openVPN/checkpsw.sh via-env
script-security 3

#7编写/app/openVPN/checkpsw.sh

#!/bin/sh
########################################################### 

PASSFILE="/app/openVPN/psw-file"
LOG_FILE="/var/log/openvpn-password.log"
TIME_STAMP=`date "+%Y-%m-%d %T"`

########################################################### 

if [ ! -r "${PASSFILE}" ]; then
  echo "${TIME_STAMP}: Could not open password file \"${PASSFILE}\" for reading." >> ${LOG_FILE}
  exit 1
fi

CORRECT_PASSWORD=`awk '!/^;/&&!/^#/&&$1=="'${username}'"{print $2;exit}' ${PASSFILE}`

if [ "${CORRECT_PASSWORD}" = "" ]; then
  echo "${TIME_STAMP}: User does not exist: username=\"${username}\", password=\"${password}\"." >> ${LOG_FILE}
  exit 1
fi

if [ "${password}" = "${CORRECT_PASSWORD}" ]; then
  echo "${TIME_STAMP}: Successful authentication: username=\"${username}\"." >> ${LOG_FILE}
  exit 0
fi

echo "${TIME_STAMP}: Incorrect password: username=\"${username}\", password=\"${password}\"." >> ${LOG_FILE}
exit 1

♦更改权限 

[root@test2019030517 openVPN]# chmod 755 checkpsw.sh

 ♦创建账号密码文件

[root@test2019030517 openVPN]# cat psw-file
liuxueting liuxueting

#9启动svn

[root@test2019030517 sbin]# ./openvpn /app/openVPN/conf/server.conf &
[root@test2019030517 sbin]# ps -ef | grep openvpn
[root@test2019030517 sbin]# ss -lnt | grep 1194

#10打开防火墙策略,查看有无tun0网卡

[root@test2019030517 openVPN]#  iptables -I INPUT -p tcp --dport 1194 -j ACCEPT
[root@test2019030517 openVPN]# iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
[root@test2019030517 openVPN]# ifconfig
[root@test2019030517 openVPN]# iptables -I INPUT -i tun0 -j ACCEPT
[root@test2019030517 openVPN]# iptables -I FORWARD -i tun0 -j ACCEPT
[root@test2019030517 openVPN]# iptables -I FORWARD -i tun0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
[root@test2019030517 openVPN]# iptables -I FORWARD -i eth0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT

#11Centos 系统配置修改

#打开服务器的路由功能 vim /etc/sysctl.conf
net.ipv4.ip_forward = 1
# 然后使内核参数生效:
sysctl -p
more /proc/sys/net/ipv4/ip_forward 值为1 就行

#12重启openvpn

kill杀掉进程在./openvpn /app/openVPN/conf/server.conf &

5.客户端连接/app/openVPN/client_keys

将证书、client.conf发送给客户端,客户端也可以自己建立一个配置文件如下:

windows 客户端为例(将证书都放置在这个目录下面)

C:\Program Files (x86)\OpenVPN\config\

然后将client.conf改名为client.ovpn

client

auth-user-pass

dev tun

proto tcp

remote 服务端ip 1194

resolv-retry infinite

nobind

persist-key

persist-tun

ca ca.crt

cert client.crt

key client.key

comp-lzo

verb 3

完了连接就好了

openvon安装的更多相关文章

  1. docker——容器安装tomcat

    写在前面: 继续docker的学习,学习了docker的基本常用命令之后,我在docker上安装jdk,tomcat两个基本的java web工具,这里对操作流程记录一下. 软件准备: 1.jdk-7 ...

  2. 网络原因导致 npm 软件包 node-sass / gulp-sass 安装失败的处理办法

    如果你正在构建一个基于 gulp 的前端自动化开发环境,那么极有可能会用到 gulp-sass ,由于网络原因你可能会安装失败,因为安装过程中部分细节会到亚马逊云服务器上获取文件.本文主要讨论在不变更 ...

  3. Sublime Text3安装JsHint

    介绍 Sublime Text3使用jshint依赖Nodejs,SublimeLinter和Sublimelinter-jshint. NodeJs的安装省略. 安装SublimeLinter Su ...

  4. Fabio 安装和简单使用

    Fabio(Go 语言):https://github.com/eBay/fabio Fabio 是一个快速.现代.zero-conf 负载均衡 HTTP(S) 路由器,用于部署 Consul 管理的 ...

  5. gentoo 安装

    加载完光驱后 1进行ping命令查看网络是否通畅 2设置硬盘的标识为GPT(主要用于64位且启动模式为UEFI,还有一个是MBR,主要用于32位且启动模式为bois) parted -a optima ...

  6. Linux平台 Oracle 10gR2(10.2.0.5)RAC安装 Part3:db安装和升级

    Linux平台 Oracle 10gR2(10.2.0.5)RAC安装 Part3:db安装和升级 环境:OEL 5.7 + Oracle 10.2.0.5 RAC 5.安装Database软件 5. ...

  7. Linux平台 Oracle 10gR2(10.2.0.5)RAC安装 Part1:准备工作

    Linux平台 Oracle 10gR2(10.2.0.5)RAC安装 Part1:准备工作 环境:OEL 5.7 + Oracle 10.2.0.5 RAC 1.实施前准备工作 1.1 服务器安装操 ...

  8. 【原】nodejs全局安装和本地安装的区别

    来微信支付有2年多了,从2年前的互联网模式转变为O2O模式,主要的场景是跟线下的商户去打交道,不像以往的互联网模式,有产品经理提需求,我们帮忙去解决问题. 转型后是这样的,团队成员更多需要去寻找业务的 ...

  9. tLinux 2.2下安装Mono 4.8

    Tlinux2.2发行版基于CentOS 7.2.1511研发而成,内核版本与Tlinux2.0发行版保持完全一致,更加稳定,并保持对Tlinux2.0的完全兼容.Mono 4版本要求CentOS 7 ...

随机推荐

  1. java框架之spring

    一.HelloWorld程序 导入四个核心包(core.beans.expression.context)和一个logging的包: 写一个类并在 xml 中配置相应的bean(两个重要属性 id 和 ...

  2. Java map 详解

    Map 提供了一个更通用的元素存储方法.Map 集合类用于存储元素对(称作“键”和“值”),其中每个键映射到一个值. 初始化一个集合:  Map<String, String> map = ...

  3. Android--底部导航栏的动态替换方案

    1.通常来说,一般情况下,我们的app的BottomTab会有集中实现方式. 自定义view,然后自己写逻辑去实现互斥. 自由度最高,因为啥都是自己写的. 使用RadioGroup+RadioButt ...

  4. 【Spring源码解读】bean标签中的属性(一)你可能还不够了解的 scope 属性

    scope 属性说明 在spring中,在xml中定义bean时,scope属性是用来声明bean的作用域的.对于这个属性,你也许已经很熟悉了,singleton和prototype信手捏来,甚至还能 ...

  5. Unity端游无法下载资源问题

    问题:用Unity编辑器Build的游戏(MyGame.exe)无法下载服务器上资源文件: starting www download: http://10.123.102.142/resources ...

  6. java反射笔记

    反射(reflect) 1. Class对象 1.1 什么是Class对象 当JVM加载某个class文件的时候,会自动创建一个唯一的Class对象(注意:由同一个类加载器加载的class文件),这个 ...

  7. Django 2.1.3 文档

    https://blog.csdn.net/lengfengyuyu/article/details/83342553#3_23

  8. #010 全年级C语言开始统一刷题了,能否坚持下去?

    不知道这是咋回事吧,这个系统挺不好使得,出现了一个又一个的问题. 使用过程中做题的那个系统自己就崩了,刷新后那道题得了零分. 前面的几道题难度系数也不小,对于我这个新手来说,但是这个系统太坑了.他明码 ...

  9. CISCO 过载NAT配置(小型网络)

    一.实验涉及技术  vlan(虚拟局域网). svi(三层交换) .nat(网络地址转换).static router(静态路由) 三.实验目的: 通过配置过载NAT从而实现企业内网正常访问公网,PC ...

  10. Tomcat结构

    Tomcat结构 Server(服务器) 服务器代表整个Tomcat容器. Tomcat提供了服务器接口的默认实现(很少由用户定制). Service(服务) 服务是位于服务器内部的中间组件,将一个或 ...