centos上部署openvpn的具体步骤(2)_linux教程_开发教程

5、配置openvpn

#将证书复制到/usr/local/openvpn/keys/目录下

[root@www keys]# cp -a ca.crt ta.key www.roger.com.crt dh2048.pem www.roger.com.key /usr/local/openvpn/keys/

#在解压包中将配置文件复制到/usr/local/openvpn/

[root@www openvpn-2.3.11]# cp -a sample/sample-config-files/server.conf /usr/local/openvpn/

#备份配置文件

[root@www openvpn]# cp -a server.conf server.conf_20160706

[root@www openvpn]# grep -v '^[#|;]' server.conf_20160706 | grep -v '^$' > server.conf

#配置服务端openvpn

[root@www 2.0]# vim /usr/local/openvpn/server.conf

# 设置监听IP，默认是监听所有IP

;local a.b.c.d

#设置监听接口，注意防火墙开放

port 1194

#设置使用tcp 还是udp协议

proto tcp

#选择模式 tun为路由模式，tap为桥接模式

dev tun

#指定SSL/TLS root certificate (ca) 证书(cert)和私钥(key)

#每个客户端和服务端都必须有自己的证书和私钥文件。

#服务端和客户端使用相同的ca文件

ca keys/ca.crt

cert keys/www.roger.com.crt

key keys/www.roger.com.key # This file should be kept secret

#指定Diffie hellman parameters. 默认是2048，生成ca的时候修改过dh参数“export KEY_SIZE”则改为对应的数字

dh keys/dh2048.pem

#证书秘钥加密传输，服务端设置ta.key 0 客户端设置ta.key 1

tls-auth keys/ta.key 0

# 配置VPN使用的网段，OpenVPN会自动提供基于该网段的DHCP服务，但不能和任何一方的局域网段重复

server 10.8.0.0 255.255.255.0

ifconfig-pool-persist ipp.txt

#为客户端创建对应的路由，以另其通达公司网内部服务器

#但记住，公司网内部服务器也需要有可用路由返回到客户端

push "route 10.10.0.0 255.255.0.0"

# 用OpenVPN的DHCP功能为客户端提供指定的DNS、WINS等

push "dhcp-option DNS 8.8.8.8"

keepalive 10 120

persist-key

persist-tun

# 使用lzo压缩的通讯,服务端和客户端都必须配置

comp-lzo

# 输出短日志,每分钟刷新一次,以显示当前的客户端

status /var/log/openvpn/openvpn-status.log

# 缺省日志会记录在系统日志中，但也可以导向到其他地方

# 建议调试的使用先不要设置,调试完成后再定义

log /var/log/openvpn/openvpn.log

log-append /var/log/openvpn/openvpn.log

#设置日志级别

verb 3

6、启动openvpn

#将启动脚本复制到/etc/init.d/目录下

[root@www openvpn-2.3.11]# cp -a distro/rpm/openvpn.init.d.rhel /etc/init.d/openvpn

#修改启动脚本相关配置，脚本85行修改为：work=/usr/local/openvpn

[root@www openvpn-2.3.11]# vim /etc/init.d/openvpn

#启动openvpn

[root@www ~]# service openvpn start

#添加开机启动

[root@www ~]# chkconfig openvpn on

7、开启外网访问，配置防火墙

#开启系统IP转发功能，让数据包在不同的网段之间流通

[root@www ~]# vim /etc/sysctl.conf

#将net.ipv4.ip_forward = 0 改为 1

[root@www ~]# sysctl -p #立即生效

#配置防火墙开启1194

[root@www ~]# iptables -A INPUT -p TCP --dport 1194 -j ACCEPT

#配置nat表将vpn网段IP转发到server内网注意eth0是内网的接口

[root@www ~]# iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

#注意nat表POSTROUTING需要保存重启才生效

#保存iptables

[root@www ~]# service iptables save

#重启iptables

[root@www ~]# service iptables restart

8、 Windows客户端配置：

软件包下载：http://build.openvpn.net/downloads/releases/

使用软件 openvpn-install-2.3.2-I003-x86_64.exe，一路默认选项安装。

一般安装在目录中C:\program files\OpenVPN中

在C:\program files\OpenVPN\config目录下创建client.ovpn 内容如下：

client

dev tun

proto tcp

remote 192.168.1.188 1194 #这里配置的是vpn服务端ip

resolv-retry infinite

ca ca.crt

cert client1.crt

key client1.key

tls-auth ta.key 1

comp-lzo

persist-key

persist-tun

auth-nocache

status openvpn-status.log

verb 3

下载服务器端生成的证书ca.crt client1.crt client1.key ta.key 并复制到 C:\program files\OpenVPN\config目录下。

此时，可以启动openvpn连接了。

(责任编辑：最模板)