关闭selinux
sed -i "s/SELINUX=enforcing/SELINUX=disabled/g" /etc/selinux/config
关闭防火墙
systemctl disable firewalld
systemctl stop firewalld
企业应用基础工具程序
yum install -y tree nmap lrzsz dos2unix nc lsof wget
企业应用扩展工具程序
yum install -y psmisc net-tools bash-completion vim-enhanced git
制作证书工具下载
https://github.com/OpenVPN/easy-rsa-old
unzip easy-rsa-old-master.zip
cd easy-rsa-old-master/easy-rsa/2.0
编辑证书创建配置文件参数
vim vars
export KEY_COUNTRY="CN"
export KEY_PROVINCE="beijing"
export KEY_CITY="beijing"
export KEY_ORG="zero"
export KEY_EMAIL="zero@126.com"
export KEY_CN=zero
export KEY_NAME=zero
export KEY_OU=zero
加载配置文件修改参数信息
source vars
./clean-all
-- 执行./clean-all会在目录中创建出keys目录,专门用于存放证书文件信息
生成根证书文件和私钥文件信息
./build-ca
生成服务器端证书和密钥文件信息
./build-key-server server
生成客户端证书和密钥文件信息
./build-key client
生成密钥交换文件信息
./build-dh
下载安装openvpn
yum install openvpn -y
修改openvpn配置文件
# 建立存放openvpn服务加载证书文件目录
cd /etc/openvpn/
mkdir keys
将之前生成的证书文件信息进行拷贝迁移
cp /root/easy-rsa-old-master/easy-rsa/2.0/keys/server.crt ./keys/
cp /root/easy-rsa-old-master/easy-rsa/2.0/keys/server.key ./keys/
cp /root/easy-rsa-old-master/easy-rsa/2.0/keys/ca.crt ./keys/
cp /root/easy-rsa-old-master/easy-rsa/2.0/keys/dh2048.pem ./keys/
检查确认是否拷贝迁移成功
ls keys/
ca.crt dh2048.pem server.crt server.key
拷贝openvpn服务模版配置文件
cp /usr/share/doc/openvpn-2.4.12/sample/sample-config-files/server.conf ./
编译openvpn服务模版配置文件
vim server.conf
78 ca keys/ca.crt
79 cert keys/server.crt
80 key keys/server.key
85 dh keys/dh2048.pem
101 server 10.0.1.0 255.255.255.0
143 push "route 10.0.1.0 255.255.255.0"
144 push "route 172.16.10.0 255.255.255.0"
246 tls-auth keys/ta.key 0
254 cipher AES-256-GCM
设置开启openvpn服务路由转发
echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
sysctl -p
net.ipv4.ip_forward = 1
在openvpn服务端建立ta.key文件
# 主要用于拒绝服务攻击证书文件; 生成次文件主要作用就是加固openvpn服务的安全性
cd keys
openvpn --genkey --secret ta.key
启动运行openvpn服务程序
openvpn --daemon --config server.conf
确认启动成功
netstat -tnlup | grep 1194
udp 0 0 0.0.0.0:1194 0.0.0.0:* 19073/openvpn
iptables -t nat -A POATROUTING -s 10.0.1.0/24 -j MASQUERADE
编辑opnvpn客户端配置文件
cp /usr/share/doc/openvpn-2.4.12/sample/sample-config-files/client.conf client/
vim client/client.conf
44 remote 172.16.10.21 1194
117 cipher AES-256-GCM
汇总拷贝整理客户端相关证书文件
cp /root/easy-rsa-old-master/easy-rsa/2.0/keys/client.crt client/
cp /root/easy-rsa-old-master/easy-rsa/2.0/keys/client.key client/
cp /root/easy-rsa-old-master/easy-rsa/2.0/keys/ca.crt client/
cp /etc/openvpn/keys/ta.key client/
检查确认客户端数据信息情况
ls client
ca.crt client.conf client.crt client.key ta.key
修改客户端文件后缀名称信息
cd client
mv client.conf client.ovpn
将所有openvpn客户端所需的文件数据打包并下载保存
zip client.zip client/*
下载安装openvpn客户端程序
https://swupdate.openvpn.org/community/releases/openvpn-install-2.4.12-I601-Win10.exe
# 默认安装到C:\Program Files\OpenVPN
# 解压client.zip,将里面文件拷贝到C:\Program Files\OpenVPN\config
# 修改客户端配置:1、选项 - 高级 - 配置文件 - 文件夹 - C:\Program Files\OpenVPN\config
# 2、选项 - 高级 - 日志文件 - 文件夹 - C:\Program Files\OpenVPN\log
评论区