2. 程式人生 > >openvpn伺服器&客戶端配置

openvpn伺服器&客戶端配置

阿新 發佈:2019-01-06

openvpn伺服器&客戶端配置

1. 伺服器端

環境:CentOS 6.5
軟體:openvpn、easy-rsa。

1.1 關閉selinux

    #setenforce 0
    檢視狀態
    #sed -i '/^SELINUX=/c\SELINUX=disabled' /etc/selinux/config

1.2 安裝openvpn

    #yum install -y openvpn
    檢視版本:
    #openvpn --version

1.3 安裝easy-rsa

    #yum install -y
 
 easy-rsa
    檢視
    #rpm -ql easy-rsa

1.4 製作CA證書

    #mkdir /etc/openvpn/easy-rsa/
    #cp -r /usr/share/easy-rsa/2.0/* /etc/openvpn/easy-rsa/

1.5 編輯vars檔案

    #vi /etc/openvpn/easy-rsa/vars
    修改
    export KEY_COUNTRY="CN"
    export KEY_PROVINCE="GD"
    export KEY_CITY="Shenzhen"
    export KEY_ORG="LD"
 

    export KEY_EMAIL="[email protected]"
    export KEY_OU="user"
    export KEY_NAME="user"

1.6 生效vars

    #cd /etc/openvpn/easy-rsa
    #source vars

1.7 刪除keys目錄下的檔案

    #./clean-all

1.8 製作ca證書

    #./build-ca
    使用預設資訊,一直回車即可。
    #cp /etc/openvpn/easy-rsa/keys/ca.crt /etc/openvpn/

1.9 檢視 ca.crt / ca.key 兩個檔案。

    #ls -l /etc/openvpn/easy-rsa/keys/

1.10 製作server端證書

    #./build-key-server vpnserver
    使用預設配置,最後兩次需要選擇兩次y
    Sign the certificate? [y/n]:y
    1 out of 1 certificate requests certified, commit? [y/n]y

1.11 檢視server端證書

    檢視 vpnserver.crt/vpnserver.csr/vpnserver.key
    #ls -al /etc/openvpn/easy-rsa/keys

1.12 生成加密交換時的Diffie-Hellman檔案

    #./build-dh

1.13 檢視加密檔案,dh2048.pem

    #ls -al /etc/openvpn/easy-rsa/keys

1.14 將vpnserver.crt/vpnserver.key/dh2048.pem複製到/etc/openvpn/目錄下

    #cd /etc/openvpn/easy-rsa/keys
    #cp vpnserver.crt vpnserver.key dh2048.pem /etc/openvpn/
    #ls /etc/openvpn/
    顯示
    ca.crt dh2048.pem easy-rsa openvpn.crt openvpn.key
至此, server端相關證書製作完成。

1.15 配置server端

    #cp /usr/share/doc/openvpn-2.3.12/sample/sample-config-files/server.conf /etc/openvpn/server.conf.bak
    #cp /etc/openvpn/server.conf.bak /etc/openvpn/server.conf
    #cd /etc/openvpn/
    #vi server.conf

    去掉;client-to-client前面的";"。

    cert server.crt 改成 cert vpnserver.crt #也可使用絕對路徑
    key server.key  改成 key vpnserver.key  #也可使用絕對路徑
    其它的使用預設配置即可。

    如果需要配置固定ip地址,則將以下兩行前面";"去掉
    ;client-config-dir ccd
    ;route 10.8.0.0 255.255.255.252

    新建 ccd 目錄
    #mkdir /etc/openvpn/ccd

    為testuser配置固定虛擬ip地址
    #cd /etc/openvpn/ccd
    #echo ifconfig-push 10.8.0.1 10.8.0.2 > testuser 
    10.8.0.0 需要與server.confg裡面的 route 10.8.0.0 255.255.255.252  一樣。

1.16 重啟openvpn服務

    配置防火牆
    #iptables -I INPUT -p tcp --dport 1194 -m comment --comment "openvpn" -j ACCEPT
    #iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j MASQUERADE
    #service iptables save
    重啟openvpn
    #service openvpn start
    Starting openvpn: [OK]
    開機啟動
    #chkconfig openvpn on

1.17 檢視是否啟動openvpn服務

    #ss -tnlp | grep 1194
    顯示LISTEN 0 1 *1194 *.* users:(("openvpn",1765,6))表示成功。

2. 生成客戶端證書及key

2.1 製作client端使用的證書

    #cd /etc/openvpn/easy-rsa
    #./build-key testuser
    使用預設配置,最後需要輸入兩次y
    Sign the certificate? [y/n]:y
    1 out of 1 certificate requests certified, commit? [y/n]y

2.2 檢視testuser配置的檔案

    #ls keys
    應該包含了 testuser.crt testuser.csr testuser.key
    其中,testuser.crt和testuser.key是我們需要使用的。

    如果想快速生成,也可使用
    #./build-key --batch testuser

2.3 編輯testuser.ovpn配置檔案

    #cp /usr/share/doc/openvpn-2.3.12/sample/sample-config-files/client.conf /etc/openvpn/easy-rsa/keys/testuser.ovpn
    #vi testuser.ovpn

修改以下幾點:

remote my-server-1 1194  改成  remote 自己伺服器ip 1194
cert client.crt 改成 cert testuser.crt
key client.key 改成 key testuser.key

配置檔案欄位詳細說明:

# 埠,使用預設埠
port 1194
# 預設使用udp,如果使用HTTP Proxy,必須使用tcp協議
proto tcp
dev tun
# 全路徑為/etc/openvpn/keys/ca.crt
ca ca.crt
cert testuser.crt
key testuser.key 
dh dh2048.pem
# 預設虛擬區域網網段,不要和實際的區域網衝突即可
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
# 10.0.0.0/8是這臺VPN伺服器所在的內網的網段
push "route 10.0.0.0 255.0.0.0"
# 可以讓客戶端之間相互訪問直接通過openvpn程式轉發,根據需要設定
client-to-client
# 如果客戶端都使用相同的證書和金鑰連線VPN,一定要開啟這個選項,否則每個證書只允許一個人連線VPN
duplicate-cn
keepalive 10 120
tls-auth keys/ta.key 0 # This file is secret
comp-lzo
persist-key
persist-tun
# OpenVPN的狀態日誌,預設為/etc/openvpn/openvpn-status.log
status openvpn-status.log
# OpenVPN的執行日誌,預設為/etc/openvpn/openvpn.log 
log-append openvpn.log
# 改成verb 5可以多檢視一些除錯資訊
verb 5

3.客戶端

下載cert和key:
將伺服器端以下4個檔案通過遠端下載到電腦上。
/etc/openvpn/easy-rsa/keys/ca.crt
/etc/openvpn/easy-rsa/keys/testuser.crt
/etc/openvpn/easy-rsa/keys/testuser.key
/etc/openvpn/easy-rsa/keys/testuser.ovpn

3.1 Mac 端

  1. 匯入配置檔案
    開啟Tunnelblick, 將testuser.ovpn拖到軟體上即可。

  2. 點選“連線”
    連線後的圖片

3.2 Windows 10

  1. 匯入配置
    將ca.crt/testuser.crt/testuser.key/testuser.ovpn檔案放入 c:\Program Files\OpenVPN\config目錄下

  2. 開啟軟體,即可實現聯接。
    連線後的圖片

3.3 Android 端

    <ca>
    ca.crt內容
    </ca>
    <cert>
    testuser.crt內容,-----BEGIN CERTIFICATE----- 到 -----END CERTIFICATE----- 內容
    </cert>
    <key>
    testuser.key內容
    </key>

開啟app,匯入testuser.ovpn即可。

3.4 使用vnc遠端登入

vnc遠端連線,必須配置成固定ip地址,請參照上述 [1.15]
目前我只用過 windows 登入 android 端。
windows 上需要安裝 VNC-View 應用。
VNC-View: https://www.realvnc.com/download/viewer/
如下圖。
這裡寫圖片描述

相關推薦

openvpn伺服器&客戶配置

openvpn伺服器&客戶端配置 1. 伺服器端 環境:CentOS 6.5 軟體:openvpn、easy-rsa。 1.1 關閉selinux #setenforce 0 檢視狀態 #sed

蘋果OpenVPN客戶配置文件

蘋果openvpn的客戶端配置文件   iphone-openvpn 的配置文件蘋果OpenVPN的客戶端配置文件Windows和Linux的客戶端配置文件、ca證書、客戶端證書、客戶端秘鑰、TLS-auth密鑰都是保存在不同的文件裏,然後配置文件裏配置路徑和文件名的方式來讀取這些證書和秘鑰。但

基於AIX系統的應用日誌採集-Logstash伺服器客戶配置

1.服務端 1.1.需要檔案(/opt/file):   logstash-forwarder.crt   logstash-forwarder.key    1.2. 執行命令生成金鑰檔案keystor

ngrok 伺服器 客戶的安裝,使用(包含二級域名的配置)

服務端的安裝 條件: 需要一臺公網伺服器 1.在伺服器上安裝go的環境變數 wget https://storage.googleapis.com/golang/go1.8.3.linux-amd64.tar.gz --no-check-certificate tar zxv

Spring Boot2.0 Oauth2 伺服器客戶配置及原理

一、應用場景 為了理解OAuth的適用場合,讓我舉一個假設的例子。 有一個"雲沖印"的網站,可以將使用者儲存在Google的照片,沖印出來。使用者為了使用該服務,必須讓"雲沖印"讀取自己儲存在Google上的照片。 問題是隻有得到使用者的授權,Google才會同意"雲沖印"讀取這些

sysLog 伺服器客戶配置

Syslog是一個通過IP網路允許一臺機器傳送事件通知資訊給事件收集者(Syslog伺服器或者Syslog Daemon)的協議。換言之,就是一臺機器或者裝置能夠被配置,使之產生Syslog資訊並且傳送到一臺特定的Syslog伺服器/Daemon。 Syslog資訊建立在U

openVPN客戶的client.ovpn配置.

############################################## # Sample client-side OpenVPN 2.0 config file # # for connecting to multi-client server.  

OpenVPN 系列圖文教程之(一)—— Windows下搭建VPN服務客戶配置

背景:公司移動APP需要使用VPN服務,就順便研究了一下各種VPN的搭建,突然發現買個阿里雲香港伺服器自己用也是不錯的選擇哈哈,廢話不說看教程! 本文測試環境 阿里雲香港 ECS 1 核 1GB(簡約型 t1, ecs.t1.small) 領取優惠

ntp伺服器搭建及客戶配置-使用阿里雲

1. NTP伺服器搭建 安裝ntp yum install -y ntp 2. 外網使用阿里雲ntp伺服器作為基準阿里雲ntp伺服器列表:time1.aliyun.comtime2.aliyun.comtime3.aliyun.comtime4.aliyun.comtime5.aliyun.comtime6.

Ubuntu12.04下OpenVPN安裝和客戶配置

一、實驗環境: 1.物理拓撲: 目的:利用VPN Server,使Client01和Client02能夠互訪。 2.主機配置: 主機名             IP(Static)                             系統       

使用visualvm遠端監控JVM LINUX tomcat伺服器客戶配置方法

VisualVM 是一款免費的效能分析工具。它通過 jvmstat、JMX、SA(Serviceability Agent)以及 Attach API 等多種方式從程式執行時獲得實時資料,從而進行動態的效能分析。同時,它能自動選擇更快更輕量級的技術儘量減少效能分析對應用程式

如何在客戶配置ODBC來訪問遠端DB2 for Windows伺服器

如何在客戶端配置ODBC來訪問遠端DB2 for Windows伺服器馬根峰(廣東聯合電子服務股份有限公司,廣州510300)摘要本文詳細地介紹瞭如何在客戶端配置DB2for Windows的ODBC資料來源,然後又以“萬能資料庫查詢分析器”的中文版本《DB查詢分析器》為工具

openssl生成伺服器客戶祕鑰已經頒發證書等配置命令

轉載:http://davidbj.blog.51cto.com/4159484/1613780/ 1.首先要生成伺服器的私鑰: openssl genrsa -des3 -out server.key 2048 {注:openssl rsa -in server.key

遠端連線SQL Server 2008,伺服器客戶配置

宣告: (1)這裡只指出關鍵設定步驟,其他詳細部分網上到處都是,不贅述; (3)原帖(遠端連線問題描述)位置:     ①http://topic.csdn.net/u/20110614/22/b41b27b5-7a5d-4afa-a907-e5a54db4e718.htm

yum伺服器配置客戶配置

  在講述YUM前,先來了解下RPM是什麼?RPM是RedHat Package Manager的縮寫。顧名思義,當初這個軟體管理的程式是由Red Hat發展出來的,當然也有很多其它相類似的軟體管理程式。不過由於RPM使用上很方便,所以就成為了目前最熱門的軟體管理程式。 R

Windows OpenVPN客戶配置

製作OpenVPN配置檔案 此處我按照客戶端證書生成的方法生成名為uvs-001的證書,然後將ca.crt、uvs-001.crt、uvs-001.key三個檔案從伺服器下載到本地 用文字編輯工具建立配置檔案uvs-001.ovpn,內容如下 01 0

NTP服務器搭建和客戶配置

position 服務器 relative middle border 1 搭建NTP服務器準備搭建環境主機IPOS備註NTP Server192.168.5.180CentOS 6NTP Client192.168.5.181CentOS 61.1 安裝NTP服務程序[[email

CnetOS 6.6 rsync 的服務客戶配置

rsync rsync 的服務端和客戶端配 linux centos 6.6 CentOS 6.6 rsync 的服務端和客戶端配置基本信息系統版本主機名IP地址角色CentOS 6.6backup10.0.0.10rsync服務端CentOS 6.6lamp0110.0.0.8rsync

WSUS服務器客戶配置說明

wsus服務器步驟1:win7執行【開始】I【運行】命令,在彈出的對話框中輸入gpedit.msc.單擊【確定】按鈕,打開【組策略編輯器】窗口,如圖1所示。  圖1【組策略編輯器】窗口 步驟2:依次展開【計算機配置】丨【管理模板】丨【Windows組件】丨【WindowsUpdate】結

搭建backup服務器rsyncdaemon服務模式之二rsync客戶配置

rsync1.檢查客戶端是否有rsync服務:[[email protected]/* */ ~]# rsync --versionrsync version 3.0.6 protocol version 30Copyright (C) 1996-2009 by Andrew Tridgell