环境:
vpn服务器系统:Ubutu
一、Vps端安装
1、安装openVpn服务
输入安装命令安装openvpn:
sudo apt-get –y install openvpn libssl-dev openssl安装完成后查看版本:
openvpn –-version记录下版本号。
2、安装easy-rsa,用来制作证书
输入安装命令:
sudo apt-get –y install easy-rsa3、生成证书
生成CA证书
在/etc/openvpn/目录下创建easy-rsa文件夹:sudo mkdir /etc/openvpn/easy-rsa/将
/usr/share/easy-rsa目录下所有文件复制到/etc/openvpn/easy-rsa/下:sudo cp -r /usr/share/easy-rsa/* /etc/openvpn/easy-rsa/切换到root目录下:
sudo su进入easy-rsa文件夹:
cd /etc/openvpn/easy-rsa/编辑vars文件:
sudo vi /etc/openvpn/easy-rsa/vars根据实际情况更改文件中如下配置项:
export KEY_COUNTRY=”CN” export KEY_PROVINCE=”TJ” export KEY_CITY=”TianJin” export KEY_ORG=”qszy” export KEY_EMAIL=”公司或个人的邮箱地址” export KEY_OU=”qszy” export KEY_NAME=”qszyvpn”使
vars文件生效:source vars ./clean-all制作CA证书:
./build-ca一路回车,完成后查看keys目录,应有ca.crt和ca.key两个文件:
ll keys/把生成的
ca.crt文件复制到openvpn启动目录下:cp kyes/ca.crt /etc/openvpn生成server端证书
输入命令:./build-key-server qszyvpn(此处名称须与生成CA证书时,vars文件配置中的export KEY_NAME配置项名称一致
一路回车,需要输入
y/n时,一律输入y
完成后,查看keys文件夹,应有qszyvpn.crt、qszyvpn.csr、qszyvpn.key三个文件
为服务器生成加密交换时的秘钥协议文件:./build-dh此过程需要时间较长,耐心等待。
完成后查看keys目录,应有dh2018.pem文件:ll keys/然后将
qszyvpn.crt、qszyvpn.key、dh2048.pem都复制到/etc/openvpn/目录下:cp keys/qszyvpn.crt keys/qszyvpn.key keys/dh2048.pem /etc/openvpn/生成
Client端证书
为需要连接vpn的客户机生成一份证书。
输入命令:./build-key clint1 shell一路回车,需要输入
y/n时,一律输入y
查看keys文件夹,应有client1.crt、client1.csr、client1.key三个文件
4、server端配置
复制openvpn自带的模板配置文件到启动目录:
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/进入openvpn目录解压文件:
cd /etc/openvpn/
gzip -d server.conf.gz修改server.conf文件:
sudo vi /etc/openvpn/server.conf找到并修改或添加如下配置项:
proto tcp
dev tap
cert qszyvpn.crt
key qszyvpn.key
dh dh2048.pem
client-to-client
push “10.8.0.0 255.255.255.0”
push “route 0.0.0.0 0.0.0.0”完成后保存退出。
5、添加转发规则
开启ipv4转发,修改/etc/sysctl.conf配置文件:
vi /etc/sysctl.conf将net.ipv4.ip_forward项的值设为1:
net.ipv4.ip_forward = 1然后添加一条转发规则,输入命令:
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE6、启动
以上工作结束后,即可启动openvpn服务:
/etc/init.d/openvpn start查看其端口占用:
netstat -tunlp |grep 1194二、win10客户端安装
1、下载所需证书
将/etc/openvpn/easy-rsa/keys/目录下的ca.crt、clinet1.crt、client1.key三个文件以及/usr/share/doc/openvpn/examples/sample-config-files/目录下的client.conf模板配置文件下载到本地。先将四个文件复制到用户目录下,并赋予qszy.key文件足够权限(777),再进行下载。
2、将下载下来的client.conf文件重命名为client.ovpn,然后进行编辑,找到并修改如下配置:
proto tcp
remote ip 1194 #此处ip替换为服务器的公网ip,1194为默认端口
dev tap
ca ca.crt
cert qszy.crt
key qszy.key3、下载win客户端
进入http://build.openvpn.net/downloads/releases/镜像,找到与openvpn服务版本一致的exe安装文件下载,进行安装。
4、复制配置
安装完成后,将下载的4个文件放入同一个文件夹中,并将文件夹复制到openvpn安装目录的config文件夹下,文件夹名称可随意设置,只要保证其在config目录下名称唯一即可。
5、连接vpn
以管理员打开openvpnGUI客户端,会在系统托盘生成一个图标,右键单击图标,点击connect,即可连接,连接成功后,会提示已为本机生成一个IP,可通过cmd的ipconfig命令查看。
三、为其他win10客户端生成证书。
通过以上的配置,已经成功运行vpn服务并为一台客户端机器生成了证书以提供vpn连接服务,由于一台客户端机器只能使用唯一证书,因此局域网内其他机器想要连接vpn,须先为其再生成一份证书,证书生成过程如下:
首先进入vpn安装目录的easy-rsa目录下:
cd /etc/openvpn/easy-rsa/切换到root权限:
sudo su使配置文件生效:
source vars此时不要执行./clean-all操作,否则以前生成的所有证书都会被清空。
然后生成客户端证书:
./build-key clint2一路回车,需要输入y/n时,一律输入y
查看keys文件夹,应有client2.crt、client2.csr、client2.key三个文件。
将client2.crt、client2.key以及ca.crt文件和/usr/share/doc/openvpn/examples/sample-config-files/目录下的client.conf模板配置文件下载下来,在新客户端上重复第二部分客户端安装操作即可。
四、Ubuntu客户端安装
openvpn既可以提供服务又可以连接服务,因此Ubuntu客户端想要连接vpn服务,只需安装好openvpn后,执行服务端提供的配置文件即可。
1. 安装openvpn
与服务端安装命令一致,只需输入:
sudo apt-get install openvpn默认安装位置为:/etc/openvpn
2. 上传配置文件
将服务端提供的4个秘钥等配置文件:*.crt、*.ca、*.key、*.ovpn上传到openvpn的安装目录/etc/openvpn下。
3. 执行配置文件
进入openvpn安装目录:
cd /etc/openvpn执行配置文件以链接vpn:
sudo openvpn *.ovpn此时控制台即会输出链接信息,在其中可以找到被分配的ip地址。
4. 保持vpn后台链接
前边命令链接后,vpn在前台运行,并占用终端,退出终端后,vpn即停止运行,输入以下命令即可令vpn保持后台链接:
sudo openvpn *.ovpn > /dev/null &也可将上述命令写入到/etc/rc.local以做到开机自连。此时即可查看vpn的进程信息:
ps -ef | grep openvpn