文章內(nèi)容

CentOS安裝和配置OpenVPN

發(fā)布時(shí)間: 2012/7/27 18:20:14

　OpenVPN是一個(gè)用于創(chuàng)建虛擬專用網(wǎng)絡(luò)加密通道的軟件包，最早由James Yonan編寫。
　　OpenVPN允許參與建立VPN的單點(diǎn)使用公開(kāi)密鑰、電子證書(shū)、或者用戶名／密碼來(lái)進(jìn)行身份驗(yàn)證。它大量使用了OpenSSL加密庫(kù)中的SSLv3/TLSv1協(xié)議函數(shù)庫(kù)。
　　目前OpenVPN能在Solaris、Linux、OpenBSD、FreeBSD、NetBSD、Mac OS X與Windows 2000／XP／Vista／7上運(yùn)行，并包含了許多安全性的功能。它并不是一個(gè)基于Web的VPN軟件，也不與IPsec及其他VPN軟件包兼容。
　　安裝RPMforge
　　wget http://packages.sw.be/rpmforge-release/rpmforge-release-0.5.2-2.el5.rf.i386.rpm
　　rpm -ivh rpmforge-release-0.5.2-2.el5.rf.i386.rpm
　　安裝OpenVPN
　　yum -y install openvpn openssl openssl-devel
　　復(fù)制easy-rsa文件夾，方便后續(xù)配置
　　cp -R /usr/share/doc/openvpn-2.1.4/easy-rsa/ /etc/openvpn/
　　生成CA證書(shū)
　　cd /etc/openvpn/easy-rsa/2.0
　　chmod +rwx *
　　. ./vars
　　./clean-all
　　source ./vars
　　./build-ca
　　此時(shí)會(huì)提示輸入一些信息，可以都直接回車默認(rèn)。
　　生成服務(wù)器端證書(shū)和密鑰
　　./build-key-server server
　　此時(shí)也會(huì)提示輸入一些信息，前面的信息直接回車默認(rèn)，提示Sign the certificate? [y/n]:時(shí)輸入y，提示1 out of 1 certificate requests certified, commit? [y/n] 也是輸入y，server名字可以自定義。
　　生成 Diffie Hellman 參數(shù)
　　./build-dh
　　生成客戶端證書(shū)和密鑰
　　./build-key client1
　　此時(shí)也會(huì)提示輸入一些信息，前面的信息直接回車默認(rèn)，提示Sign the certificate? [y/n]:時(shí)輸入y，提示1 out of 1 certificate requests certified, commit? [y/n] 也是輸入y，server名字可以自定義。
　　創(chuàng)建服務(wù)端配置文件
　　vi /etc/openvpn/server.conf
　　輸入以下內(nèi)容：
　　port 443
　　proto tcp
　　dev tun
　　ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt
　　cert /etc/openvpn/easy-rsa/2.0/keys/server.crt
　　key /etc/openvpn/easy-rsa/2.0/keys/server.key
　　dh /etc/openvpn/easy-rsa/2.0/keys/dh1024.pem
　　server 192.168.9.0 255.255.255.0
　　ifconfig-pool-persist ipp.txt
　　#push "redirect-gateway"
　　push "dhcp-option gateway 192.168.9.1"
　　push "dhcp-option DNS 202.96.128.86"
　　keepalive 10 120
　　comp-lzo
　　persist-key
　　persist-tun
　　創(chuàng)建客戶端配置文件
　　vi /etc/openvpn/easy-rsa/2.0/keys/client1-vpn.wucode.com.ovpn
　　輸入以下內(nèi)容：
　　client
　　dev tun
　　proto tcp
　　remote vpn.wucode.com 443
　　resolv-retry infinite
　　nobind
　　persist-key
　　persist-tun
　　ca ca.crt
　　cert client1.crt
　　key client1.key
　　ns-cert-type server
　　comp-lzo
　　route-delay 2
　　route-method exe
　　verb 3
　　打包客戶端的配置文件
　　cd /etc/openvpn/easy-rsa/2.0/keys/
　　zip /root/client1-keys.zip ca.crt ca.key client1.crt client1.csr client1.key client1-vpn.wucode.com.ovpn
　　先在windows機(jī)器上安裝OpenVPN客戶端，然后將client1-keys.zip下載，解壓到客戶端安裝目錄“C:\Program Files\OpenVPN\config”下。
　　配置iptables
　　iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT (如果INPUT設(shè)置是DROP的話)
　　iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT (如果OUTPUT設(shè)置是DROP的話)
　　iptables -t nat -A POSTROUTING -s 192.168.9.0/255.255.255.0 -o eth0 -j MASQUERADE
　　/etc/rc.d/init.d/iptables save
　　讓OpenVPN自動(dòng)開(kāi)機(jī)啟動(dòng)
　　echo "/usr/sbin/openvpn --config /etc/openvpn/server.conf &" >> /etc/rc.local
　　這樣就OK了，可以在客戶端登錄測(cè)試了。
　　以后需要添加新用戶，可按下面操作進(jìn)行添加
　　cd /etc/openvpn/easy-rsa/2.0/
　　source ./vars
　　./build-key client2