更新 centos 软件包
yum -y update虽然也是可以不进行更新直接安装 。安装 OpenVPN 和 EasyRSA
安装 OpenVPN、Firewalld 软件包以及用于生成各种证书的 EasyRSA
yum -y install openvpn easy-rsa firewalld如果未能成功安装 OpenVPN,则可能需要先安装一下 Epel 库 。yum install epel-release -y生成 CA 证书、服务端密钥与共享密钥这里步骤比较多 。
首先需要初始化 PKI
cd ~/usr/share/easy-rsa/3/easyrsa init-pki接下来是生成 CA 证书/usr/share/easy-rsa/3/easyrsa build-ca nopass其中 nopass 表示不加密私钥,主要是方便后面导出公钥与颁发服务器证书 。再来是生成交互密钥
/usr/share/easy-rsa/3/easyrsa gen-dh开始生成服务端密钥/usr/share/easy-rsa/3/easyrsa build-server-full vpn-server nopass接下来生成客户端密钥,如果未开启同证书允许多人登陆,则需要多次执行生成对应的客户端密钥/usr/share/easy-rsa/3/easyrsa build-client-full vpn-client-01 nopass最后是生成证书交互列表,如果不需要 crl-verify 则可以跳过/usr/share/easy-rsa/3/easyrsa gen-crl其实到这一步需要的证书都以及生成好了,如果你开启了 tls-auth 则还需要生成共享密钥【Centos7安装与配置OpenVPN服务器】
openvpn --genkey --secret pki/ta.key在上面所有证书都生成完毕之后,我们需要将相关证书拷贝到 OpenVPN 的配置文件夹中(似乎也可以在 conf 文件中使用绝对路径)cp pki/ca.crt /etc/openvpn/ca.crtcp pki/dh.pem /etc/openvpn/dh.pemcp pki/issued/vpn-server.crt /etc/openvpn/server.crtcp pki/private/vpn-server.key /etc/openvpn/server.keycp pki/ta.key /etc/openvpn/ta.keycp pki/crl.pem /etc/openvpn/crl.pem配置服务端OpenVPN 配置文件有许多可定制化,具体请查阅官方文档 。
cd /etc/openvpnvim server.conf将以下内容粘贴进去# Secure OpenVPN Server Config# Basic Connection Configdev tunproto udpport 1194keepalive 10 120max-clients 5# Certsca ca.crtcert server.crtkey server.keydh dh.pemtls-auth ta.key 0# Ciphers and Hardeningreneg-sec 0remote-cert-tls clientcrl-verify crl.pemtls-version-min 1.2cipher AES-256-CBCauth SHA512tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-128-CBC-SHA256# Drop Privsuser nobodygroup nobody# IP poolserver 172.31.100.0 255.255.255.0topology subnetifconfig-pool-persist ipp.txtclient-config-dir client# Miscpersist-keypersist-tuncomp-lzo# DHCP Push options force all traffic through VPN and sets DNS serverspush "redirect-gateway def1 bypass-dhcp"push "dhcp-option DNS 8.8.8.8"push "dhcp-option DNS 8.8.4.4"# Logginglog-Append /var/log/openvpn.logverb 3启动服务端并让其开机自动启动systemctl start openvpn@serversystemctl enable openvpn@server配置防火墙与流量转发放行 OpenVPN 入网流量与开启 IP 伪装
firewall-cmd --permanent --add-service openvpnfirewall-cmd --permanent --add-masqueradefirewall-cmd --reload检查是否开启流量转发sysctl -a | grep net.ipv4.ip_forward确保net.ipv4.ip_forward 等于 1,如果不是,则需要修改一下echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.confsysctl -p配置客户端客户端需要拷贝以下文件
cd ~mkdir vpn-client-01-configcp pki/ca.crt vpn-client-01-config/ca.crtcp pki/issued/vpn-client-01.crt vpn-client-01-config/client.crtcp pki/private/vpn-client-01.key vpn-client-01-config/client.keycp pki/ta.key vpn-client-01-config/ta.key最后vimvpn-client-01-config/client.ovpn并粘贴下面内容
# Secure OpenVPN Client Config#viscosity dns full#viscosity usepeerdns true#viscosity dhcp truetls-clientpullclientdev tunproto udpremote 123.123.123.123 1194redirect-gateway def1nobindpersist-keypersist-tuncomp-lzoverb 3ca ca.crtcert client.crtkey client.keytls-auth ta.key 1remote-cert-tls serverns-cert-type serverkey-direction 1cipher AES-256-CBCtls-version-min 1.2auth SHA512tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-128-CBC-SHA256remote后面填写服务端IP地址和使用的端口号,然后将 vpn-client-01-config 的所有文件拷贝到需要链接的电脑上,即可开始使用 。Centos7安装与配置OpenVPN服务器 | 《linux就该这么学》 (linuxprobe.com)
推荐阅读
- 百合花养殖方法与技巧,百合花什么时候开花
- 白菊的功效与作用及禁忌症,杭白菊的功效与作用及禁忌
- Mysql数据库安装与操作
- npm安装cnpm后使用报错解决
- 怎么查看电脑使用次数与时间
- 神应酒方的功效与作用
- 芍藥浸酒方的功效与作用
- 商陸釀酒方的功效与作用
- 生地黄酒的功效与作用
- 生地酒的功效与作用
