Cenots5.8 搭建openvpn
openvpn是什么东西,大家网上一搜就能有很详细的解释了这里就不废话了。
原创博文来自:www.51niux.com 博主:忙碌的柴少
我们在做部署方案之前要根据自己的需求选择简单高效的解决方案。我简单说一下我上家公司有近千台服务器,在天津,北京,山西等很多地区都有机房,当然也有云主机,这个登录策略有些复杂,这里就有云主机的登录策略举例。
我们首先在云主机上面选择了两台云主机作为主备跳板机,所有的云主机开启iptables,只允许跳板机内网普通用户登录,而跳板机只允许我们的办公网络的出口ip远程登录。
那么问题就来了,万一周末或者技术人员在家,需要远程解决问题的时候,由于做了上面的限制,没办法远程解决问题了。这个方案可能适合我们公司,并不适合其他公司,思想最重要。
我们公司在自己的办公区域有自建的机房,这时候我们选出了两台服务器作为主备vpn服务器,整个办公网用近百台前兆交换机用vlan打通了。
那么以后再出现问题,技术人员就可以通过openvpn跳到公司内网,然后就可以去控制自己要控制的内网机器了。如果想跳转云主机呢,我们云主机上面并没有做openvpn,可以通过ssh工具跳到我们规划好的办公网服务器上面然后再跳转到云主机的跳板机上面(空置服务器挺多的硬件条件比较宽松)。
可能有些人觉得这个方案尤其是远程跳云主机的方案太麻烦了,我觉得有时候想确保安全,就要麻烦一点。而且这只是一个保险方案,哪有一到周末就出问题的时候,基本工作日问题都摆平了。我工作这么久,开发人员周末在家远程解决问题的情况很少。
重点是openvpn的搭建(做事有点谨慎,所以这里的公网IP还是修改过的,但是步骤都是真实操作的),方案就简单说一下了哈,下面步入正题写一下openvpn的搭建
======================Centos 5.8 64位搭建openvpn===========================================
一、环境介绍:
openvpn server端:
操作系统:
[root@localhost openvpn]# cat /etc/redhat-release
CentOS release 5.8 (Final)
IP地址:
[root@localhost openvpn]# ifconfig |grep "inet addr"
inet addr:10.1.15.105 Bcast:10.1.15.255 Mask:255.255.255.0
inet addr:124.42.67.29 Bcast:124.42.67.31 Mask:255.255.255.248
inet addr:127.0.0.1 Mask:255.0.0.0
openvpn 客户端:
操作系统:Centos 6.4 64位
[root@iZ25awutocyZ openvpn]# ifconfig |grep "inet addr"
inet addr:10.251.2.68 Bcast:10.251.7.255 Mask:255.255.248.0
inet addr:123.56.122.70 Bcast:123.56.122.255 Mask:255.255.252.0
操作系统:Windows7 64位
IP地址:192.168.1.130
我在家的出口IP:221.216.137.113
二、 服务器端操作
1. 更新服务器时间并做定时同步
[root@localhost openvpn]# ntpdate pool.ntp.org #时间服务器我们是自己搭建的,但是由于演示我就搞了一个公共的时间服务器做时间同步。
5 Apr 16:14:47 ntpdate[4297]: step time server 202.112.31.197 offset 372.311756 sec
[root@localhost openvpn]# crontab -l|grep ntpdate
*/10 * * * * ntpdate pool.ntp.org >/dev/null 2>&1 #这个多少时间同步一次自己决定
2. 下载相关软件并安装
[root@localhost tools]# yum -y install openssl openssl-devel pam pam-devel gcc gcc-c++ #如果后面的安装过程再报少什么库,可自行将问题百度搜索yum上相应的库和工具就行。
[root@localhost openvpn]# mkdir /tools #创建一个目录只存要安装的软件和工具
[root@localhost openvpn]# cd /tools/
[root@localhost tools]# wget www.oberhumer.com/opensource/lzo/download/lzo-2.09.tar.gz
[root@localhost tools]# tar zxf lzo-2.09.tar.gz #安装lzo压缩模块可以使我们在openvpn在数据传输的时候尽量的减少带宽的消耗。
[root@localhost tools]# cd lzo-2.09
[root@localhost lzo-2.09]# ./configure --prefix=/usr/local/lzo-2.09
[root@localhost lzo-2.09]# make && make install
[root@localhost lzo-2.09]# cd ..
wget http://swupdate.openvpn.org/community/releases/openvpn-2.0.9.tar.gz
[root@localhost tools]# tar zxf openvpn-2.0.9
[root@localhost tools]# cd openvpn-2.0.9
[root@localhost openvpn-2.0.9]# ./configure --prefix=/usr/local/openvpn-2.0.9 \
--with-lzo-headers=/usr/local/lzo-2.09/include/ \
--with-lzo-lib=/usr/local/lzo-2.09/lib \
--with-ssl-headers=/usr/include/openssl/ \
--with-ssl-lib=/usr/lib/openssl /
[root@localhost openvpn-2.0.9]# make && make install
[root@localhost tools]# cd /tools/
wget http://swupdate.openvpn.org/community/releases/easy-rsa-2.2.0_master.tar.gz
[root@localhost tools]# tar zxf easy-rsa-2.2.0_master.tar.gz
下面一步选作:
[root@localhost tools]# tail -n 2 /etc/profile
PATH=$PATH:/usr/local/openvpn-2.0.9/sbin #将openvpn的命令添加环境变量
export PATH
[root@localhost tools]# openvpn --version #上面那样做的目录就是不用全路径使用命令了
OpenVPN 2.0.9 x86_64-unknown-linux [SSL] [LZO] [EPOLL] built on Apr 5 2015
Developed by James Yonan
Copyright (C) 2002-2005 OpenVPN Solutions LLC <[email protected]>
3. 建立的CA证书
[root@localhost tools]# mkdir -p /etc/openvpn
[root@localhost openvpn]# cp -rf /tools/easy-rsa-2.2.0_master/easy-rsa /etc/openvpn/
[root@localhost tools]# cd /etc/openvpn
下面对我们用到的文件进行一下介绍:
vars 脚本,是用来创建环境变量,设置所需要的变量的脚本
clean-all 脚本,是创建生成CA证书及密钥 文件所需要的文件和目录
build-ca 脚本,生成CA证书(交互)
build-dh 脚本,生产交换秘钥协议文件(交互)
build-key-server 脚本,生成服务器端密钥(交互)
build-key 脚本,生成客户端密钥(交互)
pkitool 脚本,直接使用vars的环境变量设置直接生成证书(非交互)
[root@localhost openvpn]# vi easy-rsa/2.0/vars #进行下修改等会创建证书的时候默认回车就行
export KEY_COUNTRY="CN"
export KEY_PROVINCE="BJ"
export KEY_CITY="beijing"
export KEY_ORG="51niux"
export KEY_EMAIL="[email protected]"
其实是11行,但是有些是重复的所以修改之后就是5行了,下面是9行的全部定义:
export KEY_COUNTRY="CN" #所在国家
export KEY_PROVINCE="BJ" #所在省份
export KEY_CITY="beijing" #所在城市
export KEY_ORG="51niux" #所在组织
export KEY_EMAIL="[email protected]" #邮箱
export KEY_EMAIL=[email protected] #邮箱
export KEY_CN=51niux #查了好多博客有篇说是邮箱.com和@中间的部分
export KEY_NAME=51niux #查了好多博客有篇说是邮箱.com和@中间的部分
export KEY_OU=51niux #单位名称
export PKCS11_MODULE_PATH=51niux #单位名称
export PKCS11_PIN=123456 #个人密码
[root@localhost openvpn]# cd easy-rsa/2.0/
[root@localhost 2.0]# . ./vars
NOTE: If you run ./clean-all, I will be doing a rm -rf on /etc/openvpn/easy-rsa/2.0/keys
[root@localhost 2.0]# ./clean-all
[root@localhost 2.0]# ./build-ca #一路回车就行
Generating a 1024 bit RSA private key
..................++++++
..........++++++
writing new private key to ‘ca.key‘
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.‘, the field will be left blank.
-----
Country Name (2 letter code) [CN]:
State or Province Name (full name) [BJ]:
Locality Name (eg, city) [beijing]:
Organization Name (eg, company) [51niux]:
Organizational Unit Name (eg, section) [changeme]:
Common Name (eg, your name or your server‘s hostname) [changeme]:
Name [changeme]:
Email Address [[email protected]]:
[root@localhost 2.0]# ./build-key-server openvpn.51niux.com #自定义名称创建服务端的秘钥证书
Generating a 1024 bit RSA private key
...................++++++
...........................................++++++
writing new private key to ‘openvpn.51niux.com.key‘
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.‘, the field will be left blank.
-----
Country Name (2 letter code) [CN]:
State or Province Name (full name) [BJ]:
Locality Name (eg, city) [beijing]:
Organization Name (eg, company) [51niux]:
Organizational Unit Name (eg, section) [changeme]:
Common Name (eg, your name or your server‘s hostname) [openvpn.51niux.com]:
Name [changeme]:
Email Address [[email protected]]:
Please enter the following ‘extra‘ attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Using configuration from /etc/openvpn/easy-rsa/2.0/openssl-0.9.8.cnf
Check that the request matches the signature
Signature ok
The Subject‘s Distinguished Name is as follows
countryName :PRINTABLE:‘CN‘
stateOrProvinceName :PRINTABLE:‘BJ‘
localityName :PRINTABLE:‘beijing‘
organizationName :PRINTABLE:‘51niux‘
organizationalUnitName:PRINTABLE:‘changeme‘
commonName :PRINTABLE:‘openvpn.51niux.com‘
name :PRINTABLE:‘changeme‘
emailAddress :IA5STRING:‘[email protected]‘
Certificate is to be certified until Apr 2 10:38:23 2025 GMT (3650 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
[root@localhost 2.0]# ./build-key csp #生成客户端所需的秘钥文件,最好以醒目的名称命名
Generating a 1024 bit RSA private key
.....++++++
......................++++++
writing new private key to ‘csp.key‘
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.‘, the field will be left blank.
-----
Country Name (2 letter code) [CN]:
State or Province Name (full name) [BJ]:
Locality Name (eg, city) [beijing]:
Organization Name (eg, company) [51niux]:
Organizational Unit Name (eg, section) [changeme]:
Common Name (eg, your name or your server‘s hostname) [csp]:
Name [changeme]:
Email Address [[email protected]]:
Please enter the following ‘extra‘ attributes
to be sent with your certificate request
A challenge password []: #密码为空,在客户端连接时候不用密码,当然也可以设置
An optional company name []:
Using configuration from /etc/openvpn/easy-rsa/2.0/openssl-0.9.8.cnf
Check that the request matches the signature
Signature ok
The Subject‘s Distinguished Name is as follows
countryName :PRINTABLE:‘CN‘
stateOrProvinceName :PRINTABLE:‘BJ‘
localityName :PRINTABLE:‘beijing‘
organizationName :PRINTABLE:‘51niux‘
organizationalUnitName:PRINTABLE:‘changeme‘
commonName :PRINTABLE:‘csp‘
name :PRINTABLE:‘changeme‘
emailAddress :IA5STRING:‘[email protected]‘
Certificate is to be certified until Apr 2 10:41:13 2025 GMT (3650 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
[root@localhost 2.0]# ./build-dh #生成交换秘钥协议文件
[root@localhost 2.0]# cp -rf keys /etc/openvpn
[root@localhost 2.0]# vi /etc/openvpn/server.conf
local 124.42.67.29 #监听ip
port 52116 #监听端口
proto tcp #默认使用的网络协议跟客户端一致
dev tun #普遍选择tun隧道模式,当然还有tap桥接模式
ca /etc/openvpn/keys/ca.crt #ca证书位置
cert /etc/openvpn/keys/openvpn.51niux.com.crt
key /etc/openvpn/keys/openvpn.51niux.com.key
dh /etc/openvpn/keys/dh1024.pem
server 10.16.0.0 255.255.255.0 #分配一个vpn网段但是不能跟openvpn服务端的内网重复
ifconfig-pool-persist ipp.txt #维持一个客户端和virtual IP的对应表,以方便客户端重新,连接可以获得同样的IP
keepalive 10 120 #设置服务端检测的间隔和超时时间
comp-lzo #开启压缩功能
persist-key #通过keepalive检测超时后,重新启动vpn,不重新读取keys,保留第一次使用的keys
persist-tun #通过keepalive检测超时后,重新启动vpn,一直保持tun或tap设备是linkup的,否则网络连接会先linkdown然后linkup
status openvpn-status.log #输出短日志,每分钟刷新一次,以显示当前的客户端
verb 3 #日志记录级别
push "route 10.1.15.0 255.255.255.0" # 为客户端创建对应的路由,以另其通达openvpn服务器内部网络服务器
client-to-client #客户端之间可以互通
log-append /var/log/openvpn.log #openvpn重启后会删除log内容,log-append则是追加log内容,并不删除。
log /var/log/openvpn.log #缺省日志记录位置文件
/usr/local/openvpn-2.0.9/sbin/openvpn /etc/openvpn/server.conf & #启动openvpn服务
[1] 31865
[root@localhost openvpn-2.0.9]# lsof -i :52116 #检查端口是否启动
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
openvpn 31865 root 5u IPv4 288488 TCP 124.42.97.29:52116 (LISTEN)
[root@localhost openvpn-2.0.9]# vi /etc/rc.local #添加开机自启动
/usr/local/openvpn-2.0.9/sbin/openvpn /etc/openvpn/server.conf &
三、 客户端的操作
首先是window7客户端:
1.http://openvpn.ustc.edu.cn/openvpn-install-2.3.6-I603-x86_64.exe #下载gui软件并安装
2.将ca证书,客户端证书从服务器端拷贝到安装目录下的config目录下,并修改client.ovpn文件。
下面是client.ovpn的配置
client
dev tun #隧道模式
proto tcp #协议跟服务端一致
remote 124.42.67.29 52116 #服务端的IP地址和端口,如果有多台服务端做负载均衡,则可以出现多个remote
resolv-retry infinite #始终重新解析Server的IP地址,如果remote后面跟的是域名,保证Server IP地址是动#态的使用DDNS动态更新DNS后,Client在自动重新连接时重新解析Server的IP地址,这#样无需人为重新启动,即可重新接入VPN
nobind #在本机不绑定任何端口监听进入的数据
persist-key
persist-tun
ca ca.crt
cert csp.crt
key csp.key
comp-lzo
verb 3
3. 右击图标以管理员身份运行,不然第一次直接双击启动的话会报下面的错:"error creating HKLM\SOFTWARE\OpenVPN-GUI key"
4. 查看程序图标颜色是否连通,绿色表示连通了,因为前面没有设置密码所以这是无密码交互连接
但是现在ping内网的那些服务器还是ping不通的:
这里是linux系统客户端的操作:
yum install openvpn -y
cd /etc/openvpn/ #将windows下面的config目录下面的证书和配置文件上传一份
openvpn /etc/openvpn/client.ovpn #这是启动命令
四、 Openvpn服务器端添加防火墙转发
1. 开启内核转发
[root@localhost ~]# cat /etc/sysctl.conf |grep forward
# Controls IP packet forwarding
net.ipv4.ip_forward = 1 #由默认的0变成1,开启转发功能
[root@localhost ~]# sysctl -p /etc/sysctl.conf #使其更改生效
2. 配置防火墙
[root@localhost ~]# iptables -t nat -F #清空nat表的规则
[root@localhost ~]# iptables -F #清空防火墙规则当然如果防火墙早做了其他设置就不能清空了
[root@localhost ~]# /etc/init.d/iptables save #保存到防火墙配置文件里面
Saving firewall rules to /etc/sysconfig/iptables: [ OK ]
[root@localhost ~]# service iptables restart #重启防火墙开始配置
Flushing firewall rules: [ OK ]
Setting chains to policy ACCEPT: nat filter [ OK ]
Unloading iptables modules: [ OK ]
Applying iptables firewall rules: [ OK ]
[root@localhost ~]# iptables -A INPUT -p tcp --dport 52116 -j ACCEPT #允许访问52116端口的tcp请求通过
[root@localhost ~]# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #制定状态,指定连通状态和关联状态的请求通过
[root@localhost ~]# iptables -t nat -A POSTROUTING -o eth0 -s 10.16.0.0/24 -j SNAT --to-source 10.1.15.105 #指定来自10.16.0.0网段的请求都转换成10.1.15.105
如果防火墙没有限制端口和IP访问的,其实只要最后一步转发就行了。
然后我们再ping办公网络内网的ip,结果是通的
下面是我两台客户机互ping的结果,左边为阿里云主机右边为我的本地电脑
下面是我云主机通过openvpn跳到我办公内部网络机器的截图:
以后在家只要有权限就可以在家跳到办公网做我们想做的事情了,当然也可以跳到服务器上面去操作。
补充一点,每个人尽量生成一个客户端证书秘钥,这样就可以根据用户名和ip干很多事情,比如说限制权限啊,因为证书不一样,所获得的ip地址就不同,这样对我们的管理是很方便的。
至此一个简单的openvpn就搭建完成了,我们客户端也可以在没有公网地址的情况下互访了,后续还会对openvpn的认证方式啊,负载啊等进行编写博文
原创博文来自:www.51niux.com 博主:忙碌的柴少
本文出自 “技术在分享中进步” 博客,谢绝转载!
郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。
