1、前期准备
1.1、 基础包安装
yum install -y wget vim net-tools epel-release
1.2 、时间同步
时间同步处理,即为重要,要不然证书会有问题
yum -y install ntp ntpdate
ntpdate 0.asia.pool.ntp.org
0.asia.pool.ntp.org --为时间服务器,不是固定的。
1.3、openVPN和easy-rsa源
wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo
2、easy-rsa安装和证书生成
2.1、easy-rsa安装
yum -y install easy-rsa
2.2、证书环境准备
mkdir -p /opt/easy-rsa
cp -a /usr/share/easy-rsa/3.0.8/* /opt/easy-rsa/
cp -a /usr/share/doc/easy-rsa-3.0.8/vars.example /opt/easy-rsa/vars
2.3、vars文件修改
找到下列配置去掉注释,且修改对应的值。
set_var EASYRSA_DN "cn_only"
set_var EASYRSA_REQ_COUNTRY "CN"
set_var EASYRSA_REQ_PROVINCE "Shanghai"
set_var EASYRSA_REQ_CITY "Shanghai"
set_var EASYRSA_REQ_ORG "test"
set_var EASYRSA_REQ_EMAIL "[email protected]"
set_var EASYRSA_NS_SUPPORT "yes"
2.4、easy-rsa初始化
/opt/easy-rsa/easyrsa init-pki
2.5、创建根证书ca.crt
根证书用于ca对之后生成的server和client证书签名时使用,文件路径
/opt/easy-rsa/pki/ca.crt
/opt/easy-rsa/easyrsa init-pki
2.6、server端证书
2.6.1、创建server端证书和私钥文件
nopass表示不加密私钥文件,生成过程中直接回车默认
/opt/easy-rsa/easyrsa gen-req server nopass
2.6.2、server证书签名
/opt/easy-rsa/easyrsa sign server server
2.7、创建Diffie-Hellman文件,秘钥交换时的Diffie-Hellman算法
/opt/easy-rsa/easyrsa gen-dh
2.8、client证书签名
2.8.1、创建client端证书和私钥文件
nopass表示不加密私钥文件,生成过程中直接回车默认
/opt/easy-rsa/easyrsa gen-req client nopass
2.8.2、client证书签名
/opt/easy-rsa/easyrsa sign client client
3、openVPN安装
3.1、安装
yum -y install openvpn
3.2、配置文件
cat >> /etc/openvpn/server.conf << EOF
port 1194 #端口
proto udp #协议
dev tun #采用路由隧道模式tun
ca ca.crt #ca证书文件位置
cert server.crt #服务端公钥名称
key server.key #服务端私钥名称
dh dh.pem #交换证书
server 10.8.0.0 255.255.255.0 #给客户端分配地址池,注意:不能和VPN服务器内网网段有相同
push "route 172.16.1.0 255.255.255.0" #允许客户端访问内网172.16.1.0网段
ifconfig-pool-persist ipp.txt #地址池记录文件位置
keepalive 10 120 #存活时间,10秒ping一次,120 如未收到响应则视为断线
max-clients 100 #最多允许100个客户端连接
status openvpn-status.log #日志记录位置
verb 3 #openvpn版本
client-to-client #客户端与客户端之间支持通信
log /var/log/openvpn.log #openvpn日志记录位置
persist-key #通过keepalive检测超时后,重新启动VPN,不重新读取keys,保留第一次使用的keys。
persist-tun #检测超时后,重新启动VPN,一直保持tun是linkup的。否则网络会先linkdown然后再linkup
duplicate-cn
EOF
3.3、证书拷贝
cp -a /opt/easy-rsa/pki/ca.crt /etc/openvpn/
cp -a /opt/easy-rsa/pki/issued/server.crt /etc/openvpn/
cp -a /opt/easy-rsa/pki/private/server.key /etc/openvpn/
cp -a /opt/easy-rsa/pki/dh.pem /etc/openvpn/
3.4、openVPN启动
systemctl -f enable [email protected]
systemctl start [email protected]
4、客户端安装连接测试
4.1、安装
openVPN客户端安装,这个点点点就不缀续了
4.2、证书拷贝
将下列证书拷贝到C:\Program Files\OpenVPN\config或者C:\Users\对应用户\OpenVPN\config安装路径下
/opt/easy-rsa/pki/ca.crt
/opt/easy-rsa/pki/issued/client.crt
/opt/easy-rsa/pki/private/client.key
4.3、客户端配置文件
在C:\Program Files\OpenVPN\config或者C:\Users\对应用户\OpenVPN\config安装路径下创建client.ovpn文件
client #指定当前VPN是客户端
dev tun #使用tun隧道传输协议
proto udp #使用udp协议传输数据
remote 10.10.10.70 1194 #openvpn服务器IP地址端口号
resolv-retry infinite #断线自动重新连接,在网络不稳定的情况下非常有用
nobind #不绑定本地特定的端口号
ca ca.crt #指定CA证书的文件路径
cert client.crt #指定当前客户端的证书文件路径
key client.key #指定当前客户端的私钥文件路径
verb 3 #指定日志文件的记录详细级别,可选0-9,等级越高日志内容越详细
persist-key #通过keepalive检测超时后,重新启动VPN,不重新读取keys,保留第一次使用的keys
persist-tun #检测超时后,重新启动VPN,一直保持tun是linkup的。否则网络会先linkdown然后再linkup
4.4、转发和防火墙设置
4.4.1、转发设置
echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
sysctl -p /etc/sysctl.conf
4.4.2、防火墙
systemctl start firewalld
firewall-cmd --add-masquerade --permanent
firewall-cmd --add-service=openvpn --permanent
firewall-cmd --reload
4.5、测试
双击安装好后的OpenVPN软件,然后右键点击连接。
连接成功后,在托任务栏位置的OpenVPN图标会变绿色,则说明OpenVPN已经连接成功。
5、账号密码验证
5.1、配置文件修改
服务端修改
cat >> /etc/openvpn/server.conf << EOF
script-security 3 #允许使用自定义脚本
auth-user-pass-verify /etc/openvpn/check.sh via-env
username-as-common-name #用户密码登陆方式验证
EOF
ps:如果加上client-cert-not-required则代表只使用用户名密码方式验证登录,如果不加,则代表需要证书和用户名密码双重验证登录!
5.2、检测脚本
cat >> /etc/openvpn/check.sh << EOF
#!/bin/sh
###########################################################
PASSFILE="/etc/openvpn/openvpnfile"
LOG_FILE="/var/log/openvpn-password.log"
TIME_STAMP=`date "+%Y-%m-%d %T"`
if [ ! -r "${PASSFILE}" ]; then
echo "${TIME_STAMP}: Could not open password file \"${PASSFILE}\" for reading." >> ${LOG_FILE}
exit 1
fi
CORRECT_PASSWORD=`awk '!/^;/&&!/^#/&&$1=="'${username}'"{print $2;exit}' ${PASSFILE}`
if [ "${CORRECT_PASSWORD}" = "" ]; then
echo "${TIME_STAMP}: User does not exist: username=\"${username}\", password=\"${password}\"." >> ${LOG_FILE}
exit 1
fi
if [ "${password}" = "${CORRECT_PASSWORD}" ]; then
echo "${TIME_STAMP}: Successful authentication: username=\"${username}\"." >> ${LOG_FILE}
exit 0
fi
echo "${TIME_STAMP}: Incorrect password: username=\"${username}\", password=\"${password}\"." >> ${LOG_FILE}
exit 1
EOF
脚本增加执行权限
chmod +x /etc/openvpn/check.sh
5.3、用户密码文件创建
echo "test 123456" >> /etc/openvpn/openvpnfile
5.4、重启openVPN
systemctl restart [email protected]
5.5、客户端配置
在C:\Program Files\OpenVPN\config或者C:\Users\对应用户\OpenVPN\config安装路径下client.ovpn文件中增加
5.6、连接测试
输入Username:test Password:123456,点击ok。结果如第二张图则为正常
参考连接