全球主机交流论坛

标题: OPENVPN [打印本页]
作者: tony1999    时间: 2011-3-30 22:22
标题: OPENVPN
本文根据网上来源东拼西凑而成,对错不知道,转载请注明:
本文首发于神奇的HOSTLOC,网址为www.lilynana.eu.org

如果你按照本文操作,作者不负任何责任,同时也不回答任何问题。

一、安装
1、lzo
# wget http://www.oberhumer.com/opensource/lzo/download/lzo-2.04.tar.gz
# .configure && make && make install

2、openvpn
# wget http://openvpn.net/release/openvpn-2.1.3.tar.gz
#./configure --prefix=/usr/local/openvpn \
--with-lzo-headers=/usr/local/include --with-lzo-lib=/usr/local/lib \
--with-ssl-headers=/usr/include/openssl --with-ssl-lib=/usr/lib \

make && make install

二、生成CA证书、Server Key和Client Key(这一步最关键)

# cp -R easy-rsa/ /usr/local/openvpn/
# cd /usr/local/openvpn/easy-rsa/2.0

1. 生成CA证书
source ./vars
./clean-all
./build-ca
./build-key-server server
./build-dh
./build-key client


采用初始化参数的只需按Enter取用默认值,生成OpenVPN的CA证书只要设置下面两项,其他直接回车:

Country Name (2 letter code) [CN]:
State or Province Name (full name) [SH]:
Locality Name (eg, city) [ShangHai]:
Organization Name (eg, company) [vpn1010]:
Organizational Unit Name (eg, section) []:vpn1010.com
Common Name (eg, your name or your server's hostname) [server]:vpn1010.com
Name []:vpn1010
Email Address [[email protected]]:


3. 建立Server Key

# ./build-key-server server

4、生成Client Key
# ./build-key client

5、生成 Diffie Hellman 参数:./build-dh
或者
# openssl dhparam -out ${KEY_DIR}/dh${KEY_SIZE}.pem ${KEY_SIZE}


三、创建Openvpn vps服务器和客户端配置文件

1. Openvpn服务器端配置文件:vi /usr/local/etc/server.conf 复制如下文件内容
# cp /opt/software/openvpn-2.1.3/sample-config-files/server.conf /usr/local/openvpn/server.conf

vi /usr/local/openvpn/server.conf
注释:注意这里的server.conf要与/usr/local/openvpn/radiusplugin.cnf中OpenVPNConfig的设置一致

# /usr/local/openvpn/sbin/openvpn --config /usr/local/openvpn/server.conf

# cp /opt/software/openvpn-2.1.3/sample-scripts/openvpn.init /etc/init.d/
# ln -s /usr/local/openvpn/sbin/openvpn /usr/sbin/openvpn

local 1.1.1.1 (改为你的服务器或者VPS的 IP地址)

port 1194
proto udp
dev tun
ca /etc/keys/ca.crt
cert /etc/keys/server.crt
key /etc/keys/server.key
dh /etc/keys/dh1024.pem
##注:上面的ca等改成你的实际路径急了
server 10.8.0.0 255.255.255.0
client-to-client
keepalive 10 120
comp-lzo
persist-key
persist-tun
status /opt/software//openvpn-2.0.5/easy-rsa/keys/openvpn-status.log
verb 4
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"

2. 下载以上生成的客户端client key和客户端配置文件到本地计算机


四、配置OpenVPN启动和设置

1. 启动OpenVPN服务器:/usr/local/sbin/openvpn --config /usr/local/etc/server.conf

2. 设置OpenVPN开机自动启动:nano /etc/rc.local,在最后面加入:
/usr/local/sbin/openvpn –config /usr/local/etc/server.conf > /dev/null 2>&1 &

3. 修改/etc/sysctl.conf:nano /etc/sysctl.conf,改成如下:net.ipv4.ip_forward = 1

4. 设置iptables

#iptables -t nat -A POSTROUTING -s 10.8.0.0/16 -j SNAT --to 1.1.1.1 (改成VPS的IP地址)
#/etc/init.d/iptables save
#/etc/init.d/iptables restart


五、客户端设置

下载openvpn windows版本,http://openvpn.net/index.php/open-source/downloads/471-old-releases.html
其中openvpn-2.1.3-install.exe是稳定版

安装完之后(假设你装在c盘),复制 ca.crt 和 client.crt 和 client.key 这三个文件,放到 C:\Program Files\OpenVPN\config
新建 client.ovpn,输入以下内容


client
dev tun
proto udp
remote 1.1.1.1(你的服务器或者VPS的IP地址) 1194
persist-key
persist-tun
ca ca.crt
cert client.crt
key client1.key
ns-cert-type server
comp-lzo
verb 3
redirect-gateway def1

《全文结束》

[ 本帖最后由 tony1999 于 2011-3-30 22:44 编辑 ]
作者: cnweb    时间: 2011-3-30 22:24
噢  挺长
作者: windywinter    时间: 2011-3-30 22:43
你怎么前面生成了tls-auth key,后面配置文件里又不用呢?

[ 本帖最后由 windywinter 于 2011-3-30 22:46 编辑 ]
作者: 店小二    时间: 2011-3-30 22:50
tls-auth ta.key 1
作者: 店小二    时间: 2011-3-30 22:52
server.conf 也没配置TLS
作者: ekucn    时间: 2011-3-30 22:58
提示: 作者被禁止或删除 内容自动屏蔽
作者: mofei5566    时间: 2011-3-30 23:03
额...这两天正弄这个呢!无数次的重装系统啊!不知道你这个能行不



欢迎光临 全球主机交流论坛 (https://lilynana.eu.org/) Powered by Discuz! X3.4