2. 程式人生 > >Ubuntu12.04下OpenVPN安裝和客戶端配置

Ubuntu12.04下OpenVPN安裝和客戶端配置

阿新 發佈:2019-01-06

一、實驗環境:

1.物理拓撲:


目的:利用VPN Server,使Client01和Client02能夠互訪。

2.主機配置:

主機名             IP(Static)                             系統                                               配置                                     用途
vpnserver       118.90.3.21                Ubuntu-12.04-server-amd64         2CPU,1G RAM,10G DISK,1網絡卡          VPN伺服器
Client01          192.168.10.100          CentOS-6.3-x86_64-minimal          2CPU,1G RAM,10G DISK,1網絡卡          VPN客戶端

Client02          172.16.10.100            Windows 7 ultimate sp1 x64          2CPU,1G RAM,10G DISK,1網絡卡          VPN客戶端

二、OpenVPN Server搭建

1.安裝OpenVPN及元件,在Ubuntu系統可以直接通過apt-get安裝:

[email protected]:~# sudo apt-get install openvpn udev lzop

2.拷貝OpenVPN配置檔案到/etc/openvpn下:

[email protected]

:~# cp -r /usr/share/doc/openvpn/examples/easy-rsa/ /etc/openvpn/

[email protected]:~# cp -r /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/

3.解壓OpenVPN配置檔案:

[email protected]:~# sudo gzip -d /etc/openvpn/server.conf.gz

4.修改vars檔案部分內容,修改部分如下:

[email protected]:~# vi /etc/openvpn/easy-rsa/2.0/vars

1 2 3 4 5 6 7 8 9 10 11 12 # Don't leave any of these fields blank.      export KEY_COUNTRY="CN" export KEY_PROVINCE="CA" export KEY_CITY="BJ" export KEY_ORG="EZCLOUD" export KEY_EMAIL="[email protected]" export [email protected]      export KEY_CN=changeme      export KEY_NAME=changeme      export KEY_OU=changeme      export PKCS11_MODULE_PATH=changeme      export PKCS11_PIN=1234

5.生成服務端CA證書:

[email protected]:~# cd /etc/openvpn/easy-rsa/2.0

[email protected]:/etc/openvpn/easy-rsa/2.0# cp openssl-1.0.0.cnf openssl.cnf

[email protected]:/etc/openvpn/easy-rsa/2.0# source vars

NOTE: If you run ./clean-all, I will be doing a rm -rf on /etc/openvpn/easy-rsa/2.0/keys

[email protected]:/etc/openvpn/easy-rsa/2.0# ./clean-all

[email protected]:/etc/openvpn/easy-rsa/2.0# ./build-ca             /*互動資訊全部“回車”即可*/

6.生成伺服器端證書和金鑰,server為名字可以自定義:

[email protected]:/etc/openvpn/easy-rsa/2.0# ./build-key-server server

    此步驟會提示輸入一些資訊,前面的資訊直接回車按預設資訊;

    提示Sign the certificate? [y/n]:時輸入y;

    提示1 out of 1 certificate requests certified, commit? [y/n] 時輸入y。

7.生成客戶端(client01、client02)證書和金鑰:

[email protected]:/etc/openvpn/easy-rsa/2.0# ./build-key client01

    和伺服器端證書建立一樣,前面的資訊直接回車按預設資訊;

    提示Sign the certificate? [y/n]:時輸入y;

    提示1 out of 1 certificate requests certified, commit? [y/n] 時輸入y。

    生成第二個證書時執行./build-key client02,步驟相同;

    生成後的證書儲存在 /etc/openvpn/easy-rsa/2.0/keys下。

8.生成Diffie Hellman引數:

[email protected]:/etc/openvpn/easy-rsa/2.0# ./build-dh

Generating DH parameters, 1024 bit long safe prime, generator 2
This is going to take a long time
...........................................................................................................+.......................+...........................................................................................+.....................+........+.............................+..................+.......+......................+.............+.....+...........+...........................+......+....+.+...................................................................+..++*++*++*

9.配置OpenVPN服務:

[email protected]:~# mkdir -p /etc/openvpn/serverkey

[email protected]:~# cp /etc/openvpn/easy-rsa/2.0/ca.crt /etc/openvpn/serverkey

[email protected]:~# cp /etc/openvpn/easy-rsa/2.0/server.crt /etc/openvpn/serverkey

[email protected]:~# cp /etc/openvpn/easy-rsa/2.0/server.key /etc/openvpn/serverkey

[email protected]:~# cp /etc/openvpn/easy-rsa/2.0/dh1024.pem /etc/openvpn/serverkey

[email protected]:~# vi /etc/openvpn/server.conf 

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 local 118.90.3.21     #伺服器IP地址;      port 1194                #使用埠;      proto udp               #使用協議;      dev tun                  #也可以選擇tap模式;      ca /etc/openvpn/serverkey/ca.crt      cert /etc/openvpn/serverkey/server.crt      key /etc/openvpn/serverkey/server.key  # This file should be kept secret      dh /etc/openvpn/serverkey/dh1024.pem      server 10.8.0.0 255.255.255.0         #給客戶的分配的IP段,不要衝突;      push "route 10.8.0.0 255.255.255.0" push "dhcp-option DNS 202.106.0.20" ;client-to-client      ;duplicate-cn      keepalive 10 120      comp-lzo      ;user nobody      ;group nogroup      persist-key      persist-tun      status openvpn-status.log ;log         openvpn.log ;log-append  openvpn.log verb 3      ;mute 20

10.安全配置:

[email protected]:~# sudo apt-get install iptables

[email protected]:~# sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

[email protected]:~# iptables-save > /etc/iptables.rules

[email protected]:~# vi /etc/network/if-up.d/iptables

1 2 #!/bin/sh      iptables-restore < /etc/iptables.rules

[email protected]:~# chmod +x /etc/network/if-up.d/iptables

11.轉發配置:

[email protected]:~# vi /etc/sysctl.conf

內容如下:

1 2 3 4 5 net.ipv4.ip_forward = 1 net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.default.send_redirects = 0 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.default.accept_redirects = 0

重新載入/etc/sysctl.conf使其生效:

[email protected]:~# sysctl -p

12.重啟OpenVPN和網路服務:

[email protected]:~# /etc/init.d/openvpn restart

 * Stopping virtual private network daemon(s)...
 *   Stopping VPN 'server'
   ...done.
 * Starting virtual private network daemon(s)...
 *   Autostarting VPN 'server'

[email protected]:~# /etc/init.d/networking restart

 * Running /etc/init.d/networking restart is deprecated because it may not enable again some interfaces
 * Reconfiguring network interfaces...
ssh stop/waiting
ssh start/running, process 26647
   ...done.

13.檢查OpenVPN服務執行情況:

[email protected]:~# lsof -i:1194

COMMAND   PID USER   FD   TYPE  DEVICE SIZE/OFF NODE NAME
openvpn 27419 root    5u  IPv4 3823413      0t0  UDP 118.90.3.21:openvpn

[email protected]:~# netstat -an |grep 1194
udp        0      0 118.90.3.21:1194      0.0.0.0:*

三、Linux OpenVPN客戶端配置

Client01使用CentOS作業系統,使用其他作業系統配置類同,選擇該系統目的是讓大家瞭解不同作業系統下OpenVPN的安裝過程。

1.建立儲存庫的配置檔案:

[[email protected] ~]# vi /etc/yum.repos.d/naulinux-school.repo

2.安裝OpenVPN rpm包

[[email protected] ~]# yum --enablerepo=naulinux-school install openvpn

3.拷貝ca.crt  client01.crt  client01.key檔案到/etc/openvpn目錄下

[[email protected] ~]# ls

ca.crt  client01.crt  client01.key  client00.ovpn

4.編輯/etc/openvpn/client01.ovpn檔案

[[email protected] ~]#vi /etc/openvpn/client01.ovpn

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 client      dev tun      proto udp      remote 118.90.3.21 1194 resolv-retry infinite      nobind      persist-key      persist-tun      ca /etc/openvpn/ca.crt      cert /etc/openvpn/client01.crt      key /etc/openvpn/client01.key      ns-cert-type server      redirect-gateway      keepalive 10 120 comp-lzo      verb 3 mute 20 route-method exe      route-delay 2

5.啟動客戶端openvpn服務:

[[email protected] ~]# openvpn /etc/openvpn/client01.ovpn

四、Windows OpenVPN客戶端配置

Client02安裝Windows版VPN軟體openvpn-2.0.9-gui-1.0.3-install.exe,一般採用預設安裝即可,詳細步驟如下:

1.雙擊安裝檔案,進入安裝嚮導,Next下一步:


2.同意安裝許可:


3.選擇安裝元件,預設即可:


4.選擇安裝目錄,預設是C:\Program Files(x86)\OpenVPN,也可選擇安裝到其他位置:


5.載入安裝TAP-Win32驅動,選擇“仍然繼續”:


6.繼續完成安裝:


7.安裝完成:


8.開啟安裝目錄OpenVPN安裝目錄,進入config資料夾,將ca.crt client02.crt client02.key檔案拷貝到config資料夾內,並建立一個 client02.ovpn文字檔案,內容如下:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 client     dev tun     proto udp     remote 118.90.3.21 1194     resolv-retry infinite     nobind     persist-key     persist-tun     ca ca.crt     cert client02.crt     key client02.key     ns-cert-type server     redirect-gateway     keepalive 10 120     comp-lzo     verb 3     mute 20     route-method exe     route-delay 2

9.雙機桌面的""圖示,桌面右下角會出現一個,雙機該圖示連線,會彈出對話方塊顯示連線過程,連線成功後右下角圖示會變成

10.Show Status:

Mon Mar 18 10:38:23 2013 OpenVPN 2.2.2 Win32-MSVC++ [SSL] [LZO2] [PKCS11] built on Dec 15 2011
Mon Mar 18 10:38:23 2013 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Mon Mar 18 10:38:23 2013 LZO compression initialized
Mon Mar 18 10:38:23 2013 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Mar 18 10:38:23 2013 Socket Buffers: R=[8192->8192] S=[8192->8192]
Mon Mar 18 10:38:23 2013 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Mar 18 10:38:23 2013 Local Options hash (VER=V4): '41690919'
Mon Mar 18 10:38:23 2013 Expected Remote Options hash (VER=V4): '530fdded'
Mon Mar 18 10:38:23 2013 UDPv4 link local: [undef]
Mon Mar 18 10:38:23 2013 UDPv4 link remote: 118.90.3.21:1194
Mon Mar 18 10:38:23 2013 TLS: Initial packet from 118.90.3.21:1194, sid=bebb96bc a0184fa3
Mon Mar 18 10:38:23 2013 VERIFY OK: depth=1, /C=CN/ST=CA/L=BJ/O=EZCLOUD/OU=changeme/CN=changeme/name=changeme/[email protected]
Mon Mar 18 10:38:23 2013 VERIFY OK: nsCertType=SERVER
Mon Mar 18 10:38:23 2013 VERIFY OK: depth=0, /C=CN/ST=CA/L=BJ/O=EZCLOUD/OU=changeme/CN=server/name=changeme/[email protected]
Mon Mar 18 10:38:24 2013 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Mar 18 10:38:24 2013 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Mar 18 10:38:24 2013 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Mar 18 10:38:24 2013 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Mar 18 10:38:24 2013 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Mon Mar 18 10:38:24 2013 [server] Peer Connection Initiated with 118.90.3.21:1194
Mon Mar 18 10:38:26 2013 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Mon Mar 18 10:38:26 2013 PUSH: Received control message: 'PUSH_REPLY,route 10.8.0.0 255.255.255.0,dhcp-option DNS 202.106.0.20,route 10.8.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5'
Mon Mar 18 10:38:26 2013 OPTIONS IMPORT: timers and/or timeouts modified
Mon Mar 18 10:38:26 2013 OPTIONS IMPORT: --ifconfig/up options modified
Mon Mar 18 10:38:26 2013 OPTIONS IMPORT: route options modified
Mon Mar 18 10:38:26 2013 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Mon Mar 18 10:38:26 2013 ROUTE default_gateway=192.168.10.254
Mon Mar 18 10:38:26 2013 TAP-WIN32 device [本地連線 2] opened: \\.\Global\{4C7B4F34-1EBF-4873-AF44-B239888B14E9}.tap
Mon Mar 18 10:38:26 2013 TAP-Win32 Driver Version 9.9 
Mon Mar 18 10:38:26 2013 TAP-Win32 MTU=1500
Mon Mar 18 10:38:26 2013 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.6/255.255.255.252 on interface {4C7B4F34-1EBF-4873-AF44-B239888B14E9} [DHCP-serv: 10.8.0.5, lease-time: 31536000]
Mon Mar 18 10:38:26 2013 Successful ARP Flush on interface [18] {4C7B4F34-1EBF-4873-AF44-B239888B14E9}
Mon Mar 18 10:38:28 2013 TEST ROUTES: 3/3 succeeded len=2 ret=1 a=0 u/d=up
Mon Mar 18 10:38:28 2013 C:\WINDOWS\system32\route.exe ADD 118.90.3.21 MASK 255.255.255.255 192.168.10.254
 操作完成!
Mon Mar 18 10:38:28 2013 C:\WINDOWS\system32\route.exe DELETE 0.0.0.0 MASK 0.0.0.0 192.168.10.254
 操作完成!
Mon Mar 18 10:38:28 2013 C:\WINDOWS\system32\route.exe ADD 0.0.0.0 MASK 0.0.0.0 10.8.0.5
 操作完成!
Mon Mar 18 10:38:28 2013 C:\WINDOWS\system32\route.exe ADD 10.8.0.0 MASK 255.255.255.0 10.8.0.5
 操作完成!
Mon Mar 18 10:38:29 2013 C:\WINDOWS\system32\route.exe ADD 10.8.0.1 MASK 255.255.255.255 10.8.0.5
 操作完成!
Mon Mar 18 10:38:29 2013 Initialization Sequence Completed

相關推薦

Ubuntu12.04OpenVPN安裝客戶配置

一、實驗環境: 1.物理拓撲: 目的:利用VPN Server,使Client01和Client02能夠互訪。 2.主機配置: 主機名             IP(Static)                             系統       

TCP阻塞模型服務器客戶的建立步驟

linuxTCP阻塞模型下服務器和客戶端的建立步驟:服務器的建立步驟:1.調用socket建立TCP套接字2.調用bind將套接字跟本地地址綁定3.調用listen建立監聽4.建立accept接受來自客戶端的連接,返回新的連接套接字5.在新的套接字上面,調用send/recv實現跟客戶端的通信客戶端的建立步驟

ubuntu16.04docker安裝簡單使用

purge 條件 service user amd rop pac pub bytes 前提條件 操作系統 docker-ce支持的ubuntu版本: Bionic 18.04 (LTS) Xenial 16.04 (LTS) Trusty 14.04 (LTS) 卸載

Ubuntu16.04 如何安裝解除安裝Google Chrome

參考文章: https://www.aliyun.com/jiaocheng/141917.html https://blog.csdn.net/luohuiwu/article/details/80722075 安裝 1.將下載源新增到系統源中。 sudo wget https

SVN的安裝(服務安裝客戶安裝詳細流程)

VisualSVN安裝-服務端 下載:VisualSVN安裝下載 安裝:下載完成後可以看到VisualSVN-Server的相關安裝包 上圖中: Location:是安裝主目錄 Repos

Oracle11g安裝客戶連線

1.準備資源 其中第一個instantclient是客戶端,下面的是Oracle安裝資料來源(兩個資料來源都要下喲) 點選下載instantclient 點選下載Oracle資料來源 在這裡小熙下載的是Oracle11g的,注意的是客戶端的版本必須和Oracle

Ubuntu12.04LTS如何安裝徹底解除安裝xfce4?

今天將Ubuntu12.04更新完了,用的網易的源,更新速度還是很給力的,平均500多K的下載速度。發現虛擬機器上unity介面還是比較卡的,想換成gnome3.6試一下,結果rangerlee說xfce和lxde桌面很清爽,並且輕量佔用記憶體少,打算試試。xfce的安裝命令為:sudo apt-get in

ubuntu12.04django安裝略談

首先你需要肯定你的機子上裝了python 現在ubuntu已經自帶,所以不必操心 當然你可以在你的機子下測試一下,只需在 terminal 下輸入 python 如果出現下面的介面就說明你機子已經裝了python Python 2.7.3 (default, Aug 1

ubuntu12.04redis安裝/配置

redis安裝 編譯源程式: 解壓安裝包: tar xzf redis-2.6.12.tar.gz 進入解壓後的安裝包目錄: cd tar xzf redis-2.2.12 進行編譯: make 編譯後安裝(需要管理員許可權): sudo make install 在進行編

linux快速安裝oracle客戶

1,首先Oracle官網下載安裝包: http://www.oracle.com/technetwork/database/features/instant-client/index-097480.ht

NTP服務器搭建客戶配置

position 服務器 relative middle border 1 搭建NTP服務器準備搭建環境主機IPOS備註NTP Server192.168.5.180CentOS 6NTP Client192.168.5.181CentOS 61.1 安裝NTP服務程序[[email

CnetOS 6.6 rsync 的服務客戶配置

rsync rsync 的服務端和客戶端配 linux centos 6.6 CentOS 6.6 rsync 的服務端和客戶端配置基本信息系統版本主機名IP地址角色CentOS 6.6backup10.0.0.10rsync服務端CentOS 6.6lamp0110.0.0.8rsync

CentOS系統Redis安裝自啟動配置的步驟

管理 nec 還需要 client chm 運行時 roo shu 推薦 相信大家都知道Redis是一個C實現的基於內存、可持久化的鍵值對數據庫,在分布式服務中常作為緩存服務。所以這篇文章將詳細介紹在CentOS系統下如何從零開始安裝到配置啟動服務。有需要的可以參考借鑒。

rsync服務客戶配置自動化配置腳本

列表 conf sts 系統 計算機名 1-1 只讀 watermark run 系統版本CentOS release 6.9 (Final)2.6.32-696.el6.x86_64 x86_64 rsync 服務端IP:172.16.1.41 計算機名:backu

NS3在ubuntu12.04eclipse中的編譯環境配置

1、新建並新增NS3原始碼工程,注意新增的原始碼路徑       2、配置編譯工具,使用waf工具注意在每個最小的目錄單元下面都有waf 和wscript兩個檔案(當然也可以沒有,那樣就在最外面的一層目錄下加入指定的要編譯的檔案的路徑)

nginx在windows安裝負載均衡配置

1、windows版Nginx安裝 官網:https://nginx.org/en/download.html 選擇長的順眼的版本下載下來,然後解壓。 2、啟動 不要點選那個原諒色 Nginx.exe 啟動,總是一閃而過,不管他,不這樣啟動就好了。 正確的啟動方式,CMD進入命令列

java 整合 cas系統 服務客戶配置

http://blog.csdn.net/yunye114105/article/details/7997041 參考: http://blog.csdn.net/diyagea/article/details/50638737 (配置SSL協議)http://www.cnblogs.c

基於AIX系統的應用日誌採集-Logstash伺服器客戶配置

1.服務端 1.1.需要檔案(/opt/file):   logstash-forwarder.crt   logstash-forwarder.key    1.2. 執行命令生成金鑰檔案keystor

Spring Boot2.0 Oauth2 伺服器客戶配置及原理

一、應用場景 為了理解OAuth的適用場合,讓我舉一個假設的例子。 有一個"雲沖印"的網站,可以將使用者儲存在Google的照片,沖印出來。使用者為了使用該服務,必須讓"雲沖印"讀取自己儲存在Google上的照片。 問題是隻有得到使用者的授權,Google才會同意"雲沖印"讀取這些

安裝oracle客戶配置使用plsql

選擇下載32位的oracle instance client 。因為本機的plsql是32位,因此若下載安裝64位的instance client, 則會造成配置完成後, 無任何database的連線資訊,強行輸入資料庫和使用者名稱密碼登入後,會報如下錯誤: