背景

学校宿舍端口可以配置静态IP连校内网,也可以连到实验室的服务器;实验室的服务器可以连外网;但宿舍要连外网就要花钱买PPPoE账号了。作为壮哉我大计院的一员,本着发扬专(neng)业(sheng)精(jiu)神(sheng)的原则,决定自己动手“引网入室”,省钱且网速又快,岂不美哉?

CentOS6搭建OpenVPN服务器

OpenVPN是一个用于创建虚拟专用网络(Virtual Private
Network)加密通道的免费开源软件。使用OpenVPN可以方便地在家庭、办公场所、住宿酒店等不同网络访问场所之间搭建类似于局域网的专用网络通道。

使用OpenVPN配合特定的代理服务器,可用于访问Youtube、FaceBook、Twitter等受限网站,也可用于突破公司的网络限制。

Ubuntu下OpenVPN客户端配置教程

Ubuntu 10.04搭建OpenVPN

Ubuntu 13.04 VPN (OpenVPN) 配置和连接不能同时访问内外网的问题

如何在Linux上用OpenVPN搭建安全的远程网络架构

Ubuntu Server 14.04搭建OpenVPN服务器保护你的隐私生活

一、服务器端安装及配置

    服务器环境:干净的CentOS6.3 64位系统

    内网IP:10.143.80.116

    外网IP:203.195.xxx.xxx

    OpenVPN版本:OpenVPN 2.3.2 x86_64-RedHat-linux-gnu

    1、安装前准备

# 关闭selinux
setenforce 0
sed -i ‘/^SELINUX=/c\SELINUX=disabled’ /etc/selinux/config
 
# 安装openssl和lzo,lzo用于压缩通讯数据加快传输速度
yum -y install openssl openssl-devel
yum -y install lzo
 
# 安装epel源
rpm -ivh

sed -i ‘s/^mirrorlist=https/mirrorlist=http/’ /etc/yum.repos.d/epel.repo

    2、安装及配置OpenVPN和easy-rsa

# 安装openvpn和easy-rsa
yum -y install openvpn easy-rsa
 
# 修改vars文件
cd /usr/share/easy-rsa/2.0/
vim vars

# 修改注册信息,比如公司地址、公司名称、部门名称等。
export KEY_COUNTRY=”CN”
export KEY_PROVINCE=”Shandong”
export KEY_CITY=”Qingdao”
export KEY_ORG=”MyOrganization”
export
KEY_EMAIL=”[email protected]”
export KEY_OU=”MyOrganizationalUnit”

# 初始化环境变量
source vars
 
# 清除keys目录下所有与证书相关的文件
# 下面步骤生成的证书和密钥都在/usr/share/easy-rsa/2.0/keys目录里
./clean-all
 
# 生成根证书ca.crt和根密钥ca.key(一路按回车即可)
./build-ca
 
#
为服务端生成证书和密钥(一路按回车,直到提示需要输入y/n时,输入y再按回车,一共两次)
./build-key-server server
 
#
每一个登陆的VPN客户端需要有一个证书,每个证书在同一时刻只能供一个客户端连接,下面建立2份
#
为客户端生成证书和密钥(一路按回车,直到提示需要输入y/n时,输入y再按回车,一共两次)
./build-key client1
./build-key client2
 
#
创建迪菲·赫尔曼密钥,会生成dh2048.pem文件(生成过程比较慢,在此期间不要去中断它)
./build-dh
 
# 生成ta.key文件(防DDos攻击、UDP淹没等恶意攻击)
openvpn –genkey –secret keys/ta.key

    查看keys目录下生成的文件:

图片 1

    3、创建服务器端配置文件

# 在openvpn的配置目录下新建一个keys目录
mkdir /etc/openvpn/keys
 
# 将需要用到的openvpn证书和密钥复制一份到刚创建好的keys目录中
cp
/usr/share/easy-rsa/2.0/keys/{ca.crt,server.{crt,key},dh2048.pem,ta.key}
/etc/openvpn/keys/
 
# 复制一份服务器端配置文件模板server.conf到/etc/openvpn/
cp /usr/share/doc/openvpn-2.3.2/sample/sample-config-files/server.conf
/etc/openvpn/
# 查看server.conf里的配置参数
grep ‘^[^#;]’ /etc/openvpn/server.conf
# 编辑server.conf
vim /etc/openvpn/server.conf

port 1194
# 改成tcp,默认使用udp,如果使用HTTP Proxy,必须使用tcp协议
proto tcp
dev tun
# 路径前面加keys,全路径为/etc/openvpn/keys/ca.crt
ca keys/ca.crt
cert keys/server.crt
key keys/server.key  # This file should be kept secret
dh keys/dh2048.pem
# 默认虚拟局域网网段,不要和实际的局域网冲突即可
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
#
10.0.0.0/8是我这台VPN服务器所在的内网的网段,读者应该根据自身实际情况进行修改
push “route 10.0.0.0 255.0.0.0”
# 可以让客户端之间相互访问直接通过openvpn程序转发,根据需要设置
client-to-client
#
如果客户端都使用相同的证书和密钥连接VPN,一定要打开这个选项,否则每个证书只允许一个人连接VPN
duplicate-cn
keepalive 10 120
tls-auth keys/ta.key 0 # This file is secret
comp-lzo
persist-key
persist-tun
# OpenVPN的状态日志,默认为/etc/openvpn/openvpn-status.log
status openvpn-status.log
# OpenVPN的运行日志,默认为/etc/openvpn/openvpn.log
log-append openvpn.log
# 改成verb 5可以多查看一些调试信息
verb 5

    4、配置内核和防火墙,启动服务

# 开启路由转发功能
sed -i ‘/net.ipv4.ip_forward/s/0/1/’ /etc/sysctl.conf
sysctl -p
 
# 配置防火墙,别忘记保存
iptables -I INPUT -p tcp –dport 1194 -m comment –comment “openvpn” -j
ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j MASQUERADE
service iptables save
 
# 启动openvpn并设置为开机启动
service openvpn start
chkconfig openvpn on

    5、创建客户端配置文件

# 复制一份client.conf模板命名为client.ovpn
cp /usr/share/doc/openvpn-2.3.2/sample/sample-config-files/client.conf
client.ovpn
# 编辑client.ovpn
vim client.ovpn

client
dev tun
# 改为tcp
proto tcp
# OpenVPN服务器的外网IP和端口
remote 203.195.xxx.xxx 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
# client1的证书
cert client1.crt
# client1的密钥
key client1.key
ns-cert-type server
# 去掉前面的注释
tls-auth ta.key 1
comp-lzo
verb 3

更多详情见请继续阅读下一页的精彩内容:

  • 1
  • 2
  • 下一页

OpenVPN是一个用于创建虚拟专用网络(Virtual Private
Network)加密通道的免费开源软件。使用OpenVPN可以方便地在家庭、办公…

OpenVPN是一个用于创建虚拟专用网络(Virtual Private
Network)加密通道的免费开源软件。使用OpenVPN可以方便地在家庭、办公场所、住宿酒店等不同网络访问场所之间搭建类似于局域网的专用网络通道。

准备工作

1. EasyRSA 2.x 
用于生成密钥。注意3.x与2.x差异极大,不适用本文,下载时请认准2.x。

  1. OpenVPN 
    Windows/Linux上的VPN软件,既可做服务器端又可做客户端。

  2. Tunnelblick
    MacOS客户端,官方网站下载最新稳定版。

  3. OpenVPN for Android 
    Android客户端。选择latest stable即可。

iOS不了解,相信有更好的VPN客户端可供选择。

使用OpenVPN配合特定的代理服务器,可用于访问Youtube、FaceBook、Twitter等受限网站,也可用于突破公司的网络限制。

总体流程

安装OpenVPN => 生成密钥 => 配置server-conf => 配置路由转发规则
=> 配置客户端=> 愉快地上网!

Ubuntu下OpenVPN客户端配置教程
http://www.linuxidc.com/Linux/2013-06/86562.htm

具体步骤

Ubuntu 10.04搭建OpenVPN
http://www.linuxidc.com/Linux/2012-11/74790.htm

Step 1  安装OpenVPN

服务器端(Ubuntu14.04):sudo apt-get openvpn
走起!虽然版本可能不是最新,但是能用就行,比自己下载编译安装省事多了。

Windows、Android、MacOS客户端的安装,就不消说了吧,常规安装包……

Ubuntu 13.04 VPN (OpenVPN) 配置和连接不能同时访问内外网的问题
http://www.linuxidc.com/Linux/2013-07/86899.htm

Step 2  生成密钥

将下载的EasyRSA包解压,cd进入,然后输入

vi vars

按自己的喜好修改如下部分:

set KEY_COUNTRY=CN 【国家】

set KEY_PROVINCE=SiChuan 【省份】

set KEY_CITY=ChengDu 【城市】

set KEY_ORG=University 【组织名】

set KEY_EMAIL=xxxxxxx@gmail.com 【邮箱】

随后输入命令

source ./vars

提示执行./clean-all将删除keys下的文件,也就是旧的证书、密钥等。执行之:

./clean-all

接下来生成一系列证书和密钥,都在keys/目录下。

1.执行

./build-ca

生成ca.crt证书文件

2.执行

./build-key-server
server

生成server.crt、server.csr、server.key三个文件,是服务器端的证书和密钥。

  1. 执行
    ./build-dh

生成一个dh1024.pem或dh2048.pem文件。

  1. 执行

./build-key
client

生成client.crt、client.csr、client.key三个文件,是客户端的证书和密钥。

[5]. 为了进一步加强传输加密,建议开启TSL扩展,因此输入

openvpn
–genkey –secret keys/ta.key

生成一个ta.key文件。

最后,在/etc目录下创建一个名为openvpn的目录,把ca.crt三个server.*文件dh1024.pem(或2048)ta.key这6个文件复制到/etc/openvpn目录下。

如何在Linux上用OpenVPN搭建安全的远程网络架构
http://www.linuxidc.com/Linux/2013-11/92646.htm

Step 3  配置server-conf

客户端的安装目录下,有一个sample子目录,把里面的server.conf(不同版本的目录结构略有区别,但肯定能找到这个文件)复制到服务器上/etc/openvpn目录下,然后sudo
vi打开,将如下选项行首的分号去掉,并根据实际情况作相应修改,其他选项保持默认即可:

 

local 192.168.4.112 #填写本地IP地址

port 1194 #监听端口号

proto udp #采用UDP协议;根据代理服务器的协议而定,若HTTP
proxy,则使用TCP协议

;dev tap #基于桥接的隧道

dev tun #基于路由的隧道

ca ca.crt&nbsp#证书文件路径

cert server.crt#服务器证书路径

server.key #服务器私有密钥路径

dh dh1024.pem #加密文件路径

push “route 0.0.0.0 0.0.0.0”
#作用不详,就这样设置吧

push “redirect-gateway def1 bypass-dhcp” #
允许客户端重定向穿越VPN到外网

push “dhcp-option DNS 202.120.222.1” #
配置主要和备用DNS地址

push “dhcp-option DNS 8.8.8.8”

duplicate-cn #允许同一个证书和密钥在多个客户端登录,以便手机电脑能同时上网

tls-auth ta.key 0 #TLS密钥文件

server 10.8.0.0 255.255.255.0 #指定VPN子网段,10.8.0.1为服务端IP,其余分配给客户端

 

配置完成后,就可以启动服务了,输入命令

openvpn
–daemon –config /etc/openvpn/server.conf

检测服务端是否已开启:
netstat
–ln

若检测未开启服务,则说明服务端配置参数有误,去掉–daemon运行参数,执行:
openvpn
–config /etc/openvpn/server.conf

即可看到运行的错误提示信息,根据信息更改server.conf文件
若成功运行,执行ifconfig命令会多出一个tun0,即VPN的虚拟网卡。

Ubuntu Server 14.04搭建OpenVPN服务器保护你的隐私生活
http://www.linuxidc.com/Linux/2014-08/105925.htm

Step 4  配置路由转发规则

这一步比较简单,新建一个iptables-init.sh文件,将下列代码粘贴进去并保存:

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
iptables -A INPUT -i lo -p all -j ACCEPT
iptables -A INPUT -p all -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 465 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -p udp --dport 1194 -j ACCEPT
iptables -A INPUT -s 10.8.0.0/24 -p all -j ACCEPT
iptables -A FORWARD -d 10.8.0.0/24 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

然后执行之即可。这里要注意一下第一行,博主的服务器上主网卡名不叫eth0,而是em1,因此做了相应的修改。输入ifconfig即可看到本机的情况。

一、服务器端安装及配置

Step 5  配置客户端

这一步需要把ca.crtclient.crtclient.key以及ta.key这四个文件复制到客户端。

   
服务器环境:干净的CentOS6.3
64位系统

Windows

首先,把上述四个文件复制到OpenVPN安装目录的config子目录下;

随后,把sample里的client.ovpn复制到config子目录下,然后设置下列项:

 

client #指明这是客户端

dev tun #基于路由的隧道

proto udp #采用UDP协议

remote 192.168.4.112 1194 #服务端IP及端口号

ca ca.crt #证书及密钥们

cert client.crt

key client.key

nobind #客户端不绑定特定端口

remote-cert-tls server #TLS加密

tls-auth ta.key 1 #TLS密钥,1表示客户端

redirect-gateway def1 #使客户端中所有流量经过VPN

 

就算大功告成了,打开OpenVPN,右击任务栏的小图标,点connect即可连服务器。

 

    内网IP:10.143.80.116

Mac OS端

Mac电脑上使用的客户端是Tunnelblick,配置方式也很简单。

首先,去官方网站下载最新稳定版并安装(笔者所用的版本是
3.7.0_build_4790);

随后,创建一个文件夹,譬如命名为VPNconfig,把.ovpn文件连同四个证书/密钥文件都放进去,.ovpn配置内容与Windows一样;

接下来,把文件夹重命名为以.tblk结尾,形如VPNconfig.tblk,于是文件夹变成了一个单一文件(包)。双击之,便导入了Tunnelblick中;

最后在Tunnelblick的小图标上右击点击“连接VPNconfig”(或者进入程序主界面点击“连接”),这样就可以连接服务器上网啦!

 

    外网IP:203.195.xxx.xxx

Android客户端

安卓上用的客户端是OpenVPN for
Android,要稍微麻烦些,因为可能是程序的bug,无法直接导入ovpn或conf配置文件,所以要自己创建一个。笔者版本号是0.6.65,不同版本界面略有差别,但大同小异。

首先,把客户端需要的证书、密钥都拷贝到手机上任意一个好找的文件夹下。

随后,在OpenVPN界面,点击圆圈里一个+号的符号,输入client.conf,点击“确定”,开始创建配置文件。

接下来你会看到几个选项卡,依次说明:

    OpenVPN版本:OpenVPN 2.3.2
x86_64-RedHat-linux-gnu

BASIC

是否启用了LZO压缩算法根据实际情况设置,按本文是没有启用的,所以不要勾选。

Type选择“证书”,CA Certificate选择ca.crt,Client
Certificate选择client.crt,Client Certificate
Key……你猜对了,client.key。

    1、安装前准备

服务器列表

当然是填服务器的IP地址和端口号(本文为1194)。

# 关闭selinux
setenforce 0
sed -i ‘/^SELINUX=/c\SELINUX=disabled’ /etc/selinux/config
 
# 安装openssl和lzo,lzo用于压缩通讯数据加快传输速度
yum -y install openssl openssl-devel
yum -y install lzo
 
# 安装epel源
rpm -ivh

sed -i ‘s/^mirrorlist=https/mirrorlist=http/’ /etc/yum.repos.d/epel.repo

IP AND DNS

把“无本地绑定”和“Override DNS Settings by
Server”勾上,下面清空searchDomain,并自己填写DNS服务器地址。

    2、安装及配置OpenVPN和easy-rsa

AUTHENTICATION/ENCRYPTION

勾选“需要TLS服务器证书”,去掉“证书主机名检查”,打开”Use TLS
Authentication”,下面的TLS Auth
File选择ta.key文件,加密算法写“AES-256-CBC”

 

其他选项卡保持默认配置。

Done。点一下返回键,你会看到首页多了一个client.ovpn栏,点击就开始连接服务器了~

 

开始愉快的上网吧!

# 安装openvpn和easy-rsa
yum -y install openvpn easy-rsa
 
# 修改vars文件
cd /usr/share/easy-rsa/2.0/
vim vars

# 修改注册信息,比如公司地址、公司名称、部门名称等。
export KEY_COUNTRY=”CN”
export KEY_PROVINCE=”Shandong”
export KEY_CITY=”Qingdao”
export KEY_ORG=”MyOrganization”
export KEY_EMAIL=”me@myhost.mydomain”
export KEY_OU=”MyOrganizationalUnit”

# 初始化环境变量
source vars
 
# 清除keys目录下所有与证书相关的文件
# 下面步骤生成的证书和密钥都在/usr/share/easy-rsa/2.0/keys目录里
./clean-all
 
# 生成根证书ca.crt和根密钥ca.key(一路按回车即可)
./build-ca
 
#
为服务端生成证书和密钥(一路按回车,直到提示需要输入y/n时,输入y再按回车,一共两次)
./build-key-server server
 
#
每一个登陆的VPN客户端需要有一个证书,每个证书在同一时刻只能供一个客户端连接,下面建立2份
#
为客户端生成证书和密钥(一路按回车,直到提示需要输入y/n时,输入y再按回车,一共两次)
./build-key client1
./build-key client2
 
#
创建迪菲·赫尔曼密钥,会生成dh2048.pem文件(生成过程比较慢,在此期间不要去中断它)
./build-dh
 
# 生成ta.key文件(防DDos攻击、UDP淹没等恶意攻击)
openvpn –genkey –secret keys/ta.key

    查看keys目录下生成的文件:

图片 2

    3、创建服务器端配置文件

# 在openvpn的配置目录下新建一个keys目录
mkdir /etc/openvpn/keys
 
# 将需要用到的openvpn证书和密钥复制一份到刚创建好的keys目录中
cp
/usr/share/easy-rsa/2.0/keys/{ca.crt,server.{crt,key},dh2048.pem,ta.key}
/etc/openvpn/keys/
 
# 复制一份服务器端配置文件模板server.conf到/etc/openvpn/
cp /usr/share/doc/openvpn-2.3.2/sample/sample-config-files/server.conf
/etc/openvpn/
# 查看server.conf里的配置参数
grep ‘^[^#;]’ /etc/openvpn/server.conf
# 编辑server.conf
vim /etc/openvpn/server.conf

port 1194
# 改成tcp,默认使用udp,如果使用HTTP Proxy,必须使用tcp协议
proto tcp
dev tun
# 路径前面加keys,全路径为/etc/openvpn/keys/ca.crt
ca keys/ca.crt
cert keys/server.crt
key keys/server.key  # This file should be kept secret
dh keys/dh2048.pem
# 默认虚拟局域网网段,不要和实际的局域网冲突即可
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
#
10.0.0.0/8是我这台VPN服务器所在的内网的网段,读者应该根据自身实际情况进行修改
push “route 10.0.0.0 255.0.0.0”
# 可以让客户端之间相互访问直接通过openvpn程序转发,根据需要设置
client-to-client
#
如果客户端都使用相同的证书和密钥连接VPN,一定要打开这个选项,否则每个证书只允许一个人连接VPN
duplicate-cn
keepalive 10 120
tls-auth keys/ta.key 0 # This file is secret
comp-lzo
persist-key
persist-tun
# OpenVPN的状态日志,默认为/etc/openvpn/openvpn-status.log
status openvpn-status.log
# OpenVPN的运行日志,默认为/etc/openvpn/openvpn.log
log-append openvpn.log
# 改成verb 5可以多查看一些调试信息
verb 5

    4、配置内核和防火墙,启动服务

# 开启路由转发功能
sed -i ‘/net.ipv4.ip_forward/s/0/1/’ /etc/sysctl.conf
sysctl -p
 
# 配置防火墙,别忘记保存
iptables -I INPUT -p tcp –dport 1194 -m comment –comment “openvpn” -j
ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j MASQUERADE
service iptables save
 
# 启动openvpn并设置为开机启动
service openvpn start
chkconfig openvpn on

    5、创建客户端配置文件

# 复制一份client.conf模板命名为client.ovpn
cp /usr/share/doc/openvpn-2.3.2/sample/sample-config-files/client.conf
client.ovpn
# 编辑client.ovpn
vim client.ovpn

client
dev tun
# 改为tcp
proto tcp
# OpenVPN服务器的外网IP和端口
remote 203.195.xxx.xxx 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
# client1的证书
cert client1.crt
# client1的密钥
key client1.key
ns-cert-type server
# 去掉前面的注释
tls-auth ta.key 1
comp-lzo
verb 3

更多详情见请继续阅读下一页的精彩内容
http://www.linuxidc.com/Linux/2014-11/109588p2.htm

图片 3

相关文章