Centos7安装与配置OpenVPN服务器
参考自 https://cloud.tencent.com/developer/article/1871073
软件下载 https://build.openvpn.net/downloads/releases/
安装
yum -y update
虽然也是可以不进行更新直接安装。
安装 OpenVPN、Firewalld 软件包以及用于生成各种证书的 EasyRSA
yum -y install openvpn easy-rsa firewalld
如果未能成功安装 OpenVPN,则可能需要先安装一下 Epel 库。
yum install epel-release -y
生成 CA 证书、服务端密钥与共享密钥
这里步骤比较多。
首先需要初始化 PKI
cd ~
/usr/share/easy-rsa/3/easyrsa init-pki
接下来是生成 CA 证书
/usr/share/easy-rsa/3/easyrsa build-ca nopass
其中 nopass 表示不加密私钥,主要是方便后面导出公钥与颁发服务器证书。
再来是生成交互密钥
/usr/share/easy-rsa/3/easyrsa gen-dh
开始生成服务端密钥
/usr/share/easy-rsa/3/easyrsa build-server-full vpn-server nopass
接下来生成客户端密钥,如果未开启同证书允许多人登陆,则需要多次执行生成对应的客户端密钥
/usr/share/easy-rsa/3/easyrsa build-client-full vpn-client-01 nopass
最后是生成证书交互列表,如果不需要 crl-verify 则可以跳过
/usr/share/easy-rsa/3/easyrsa gen-crl
其实到这一步需要的证书都以及生成好了,如果你开启了 tls-auth 则还需要生成共享密钥
openvpn --genkey --secret pki/ta.key
在上面所有证书都生成完毕之后,我们需要将相关证书拷贝到 OpenVPN 的配置文件夹中(似乎也可以在 conf 文件中使用绝对路径)
cp pki/ca.crt /etc/openvpn/ca.crt
cp pki/dh.pem /etc/openvpn/dh.pem
cp pki/issued/vpn-server.crt /etc/openvpn/server.crt
cp pki/private/vpn-server.key /etc/openvpn/server.key
cp pki/ta.key /etc/openvpn/ta.key
cp pki/crl.pem /etc/openvpn/crl.pem
OpenVPN 配置文件有许多可定制化,具体请查阅官方文档。
配置服务端
cd /etc/openvpn
vim server.conf
将以下内容粘贴进去
# Secure OpenVPN Server Config
# Basic Connection Config
dev tun
proto tcp
port 1194
keepalive 10 120
max-clients 5
# Certs
ca ca.crt
cert server.crt
key server.key
dh dh.pem
tls-auth ta.key 0
# Ciphers and Hardening
reneg-sec 0
remote-cert-tls client
crl-verify crl.pem
tls-version-min 1.2
cipher AES-256-CBC
auth SHA512
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-128-CBC-SHA256
# Drop Privs
user nobody
group nobody
# IP pool
server 172.31.100.0 255.255.255.0
topology subnet
ifconfig-pool-persist ipp.txt
# 记录证书对应的ip临时
client-config-dir client
# Misc
persist-key
persist-tun
comp-lzo
# DHCP Push options force all traffic through VPN and sets DNS servers
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
# Logging
log-append /var/log/openvpn.log
verb 3
client-to-client
# 允许客户端之间访问
client-config-dir /etc/openvpn/ccd
# 固定ip 新版本不知道行不行
status openvpn-status.log
# 记录所有客户端状态到openvpn-status.log
启动服务端并让其开机自动启动
systemctl start openvpn@server
systemctl enable openvpn@server
配置防火墙与流量转发
放行 OpenVPN 入网流量与开启 IP 伪装
firewall-cmd --permanent --add-service openvpn
firewall-cmd --permanent --add-masquerade
firewall-cmd --reload
检查是否开启流量转发
sysctl -a | grep net.ipv4.ip_forward
确保net.ipv4.ip_forward 等于 1,如果不是,则需要修改一下
echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
sysctl -p
配置客户端
客户端需要拷贝以下文件
cd ~
mkdir vpn-client-01-config
cp pki/ca.crt vpn-client-01-config/ca.crt
cp pki/issued/vpn-client-01.crt vpn-client-01-config/client.crt
cp pki/private/vpn-client-01.key vpn-client-01-config/client.key
cp pki/ta.key vpn-client-01-config/ta.key
最后vim vpn-client-01-config/client.ovpn并粘贴下面内容
# Secure OpenVPN Client Config
#viscosity dns full
#viscosity usepeerdns true
#viscosity dhcp true
tls-client
pull
client
dev tun
proto tcp
remote 43.138.164.99 12093
#redirect-gateway def1
#必须注释,不然所有流量都走vpn导致无法正常上网
nobind
persist-key
persist-tun
comp-lzo
verb 3
ca ca.crt
cert vpn-client-03.crt
key vpn-client-03.key
tls-auth ta.key 1
remote-cert-tls server
ns-cert-type server
key-direction 1
cipher AES-256-CBC
tls-version-min 1.2
auth SHA512
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-128-CBC-SHA256
——————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————
其他配置说明
#local 123.57.237.225 #指定监听的本机IP(因为有些计算机具备多个IP地址),该命令是可选的,默认监听所有IP地址
port 1194 #服务端端口号
proto tcp #通过tcp协议来连接,也可以通过udp
dev tun #路由模式,注意windows下必须使用dev tap
ca ca.crt #ca证书存放位置
cert remitProd.crt #服务器证书存放位置
key remitProd.key # #服务器密钥存放位置
dh dh.pem #dh.pem存放位置
tls-auth ta.key 0 #ta.key存放位置
server 10.19.0.0 255.255.255.0 #虚拟局域网网段设置
ifconfig-pool-persist ipp.txt
client-to-client #开启客户端互访
duplicate-cn #支持一个证书多个客户端登录使用,建议不启用
keepalive 10 120
cipher AES-128-CBC
#comp-lzo
max-clients 100 #最大客户端并发连接数量
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3
log /var/log/openvpn/openvpn.log
log-append /var/log/openvpn/openvpn.log
push "route 172.20.208.0 255.255.255.0" #实际内网ip网段
——————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————
创建添加用户脚本:
vi ovpn_user.sh
# ! /bin/bash
set -e
OVPN_USER_KEYS_DIR=/etc/openvpn/client/keys
EASY_RSA_DIR=/etc/openvpn/easy-rsa/
PKI_DIR=$EASY_RSA_DIR/pki
for user in "$@"
do
if [ -d "$OVPN_USER_KEYS_DIR/$user" ]; then
rm -rf $OVPN_USER_KEYS_DIR/$user
rm -rf $PKI_DIR/reqs/$user.req
sed -i '/'"$user"'/d' $PKI_DIR/index.txt
fi
cd $EASY_RSA_DIR
# 生成客户端SSL证书文件
./easyrsa build-client-full $user nopass
# 整理下生成的文件
mkdir -p $OVPN_USER_KEYS_DIR/$user
cp $PKI_DIR/ca.crt $OVPN_USER_KEYS_DIR/$user/ # CA 根证书
cp $PKI_DIR/issued/$user.crt $OVPN_USER_KEYS_DIR/$user/ # 客户端证书
cp $PKI_DIR/private/$user.key $OVPN_USER_KEYS_DIR/$user/ # 客户端证书密钥
cp /etc/openvpn/client/sample.ovpn $OVPN_USER_KEYS_DIR/$user/$user.ovpn # 客户端配置文件
sed -i 's/client.crt/'"$user".crt'/g' $OVPN_USER_KEYS_DIR/$user/$user.ovpn
sed -i 's/client.key/'"$user".key'/g' $OVPN_USER_KEYS_DIR/$user/$user.ovpn
cp $EASY_RSA_DIR/ta.key $OVPN_USER_KEYS_DIR/$user/ta.key # auth-tls 文件
cd $OVPN_USER_KEYS_DIR
zip -r $user.zip $user
done
exit 0
执行上面脚本创建一个用户:sh ovpn_user.sh
删除一个 OpenVPN 用户
创建删除用户的脚本文件
vim del_ovpn_user.sh
# ! /bin/bash
set -e
OVPN_USER_KEYS_DIR=/etc/openvpn/client/keys
EASY_RSA_DIR=/etc/openvpn/easy-rsa/
for user in "$@"
do
cd $EASY_RSA_DIR
echo -e 'yes\n' | ./easyrsa revoke $user
./easyrsa gen-crl
# 吊销掉证书后清理客户端相关文件
if [ -d "$OVPN_USER_KEYS_DIR/$user" ]; then
rm -rf $OVPN_USER_KEYS_DIR/${user}*
fi
systemctl restart openvpn@server
done
exit 0
执行上面脚本即可删除一个用户:sh del_ovpn_user.sh <username>,改为你要删除的用户名。
