openVPN学习与使用

原创 已于 2024-09-20 16:15:27 修改 · 472 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#学习 #运维 #linux
于 2020-06-18 11:06:01 首次发布

一、安装openvpn

1.更新软件包
yum -y update
2.安装epel扩展源
yum -y install epel-release
3.安装openvpn和easy-rsa
yum -y install openvpn easy-rsa
4.复制easy-rsa文件
[root@localhost ~]# cp -r /usr/share/easy-rsa/ /etc/openvpn/easy-rsa
[root@localhost ~]# cd /etc/openvpn/easy-rsa/
[root@localhost easy-rsa]# \rm 3 3.0
[root@localhost easy-rsa]# cd 3.0.3/
[root@localhost 3.0.3]# find / -type f -name “vars.example” | xargs -i cp {} . && mv vars.example vars

二、生成CA证书

1.创建一个新的 PKI 和 CA
[root@localhost 3.0.3]# ./easyrsa init-pki
2.创建新的CA,不使用密码
[root@localhost 3.0.3]# ./easyrsa build-ca nopass
Note: using Easy-RSA configuration from: ./vars
Generating a 2048 bit RSA private key
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
Common Name (eg: your user, host, or server name) [Easy-RSA CA]: 回车
CA creation complete and you may now import and sign cert requests.
Your new CA certificate file for publishing is at:
/etc/openvpn/easy-rsa/3.0.3/pki/ca.crt

三、创建服务端证书

1.创建服务端证书
[root@localhost 3.0.3]# ./easyrsa gen-req server nopass
Note: using Easy-RSA configuration from: ./vars
Generating a 2048 bit RSA private key
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
Common Name (eg: your user, host, or server name) [server]: 回车
Keypair and certificate request completed. Your files are:
req: /etc/openvpn/easy-rsa/3.0.3/pki/reqs/server.req
key: /etc/openvpn/easy-rsa/3.0.3/pki/private/server.key
2.签约服务端证书
[root@localhost 3.0.3]# ./easyrsa sign server server
Note: using Easy-RSA configuration from: ./vars
You are about to sign the following certificate.
Please check over the details shown below for accuracy. Note that this request
has not been cryptographically verified. Please be sure it came from a trusted
source or that you have verified the request checksum with the sender.
Request subject, to be signed as a server certificate for 3650 days:
subject=
commonName = server
Type the word ‘yes’ to continue, or any other input to abort.
Confirm request details: yes
Using configuration from ./openssl-1.0.cnf
Check that the request matches the signature
Signature ok
The Subject Distinguished Name is as follows
commonName :ASN.1 12:’server’
Certificate is to be certified until Apr 7 14:54:08 2028 GMT (3650 days)
Write out database with 1 new entries
Data Base Updated
Certificate created at: /etc/openvpn/easy-rsa/3.0.3/pki/issued/server.crt
3.创建 Diffie-Hellman
[root@localhost 3.0.3]# ./easyrsa gen-dh
……………………………………………………
DH parameters of size 2048 created at /etc/openvpn/easy-rsa/3.0.3/pki/dh.pem
4.整理证书
[root@localhost ~]# cd /etc/openvpn
[root@localhost openvpn]# cp easy-rsa/3.0.3/pki/dh.pem .
[root@localhost openvpn]# cp easy-rsa/3.0.3/pki/ca.crt .
[root@localhost openvpn]# cp easy-rsa/3.0.3/pki/issued/server.crt .
[root@localhost openvpn]# cp easy-rsa/3.0.3/pki/private/server.key .

四、创建客户端证书

1.复制文件
[root@localhost ~]# cp -r /usr/share/easy-rsa/ /etc/openvpn/client
[root@localhost ~]# cd /etc/openvpn/client/easy-rsa/
[root@localhost easy-rsa]# \rm 3 3.0
[root@localhost easy-rsa]# cd 3.0.3/
[root@localhost 3.0.3]# find / -type f -name “vars.example” | xargs -i cp {} . && mv vars.example vars
2.生成客户端证书
[root@localhost 3.0.3]# ./easyrsa init-pki #创建新的pki
Note: using Easy-RSA configuration from: ./vars
init-pki complete; you may now create a CA or requests.
Your newly created PKI dir is: /etc/openvpn/client/easy-rsa/3.0.3/pki
[root@localhost 3.0.3]# ./easyrsa gen-req client nopass #客户证书名,无密码
Note: using Easy-RSA configuration from: ./vars
Generating a 2048 bit RSA private key
writing new private key to ‘/etc/openvpn/client/easy-rsa/3.0.3/pki/private/client.key.FkrLzXH9Bm’
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
Common Name (eg: your user, host, or server name) [client]: 回车
Keypair and certificate request completed. Your files are:
req: /etc/openvpn/client/easy-rsa/3.0.3/pki/reqs/client.req
key: /etc/openvpn/client/easy-rsa/3.0.3/pki/private/client.key
3.签约客户端证书
[root@localhost 3.0.3]# cd /etc/openvpn/easy-rsa/3.0.3/
[root@localhost 3.0.3]# pwd
/etc/openvpn/easy-rsa/3.0.3
[root@localhost 3.0.3]# ./easyrsa import-req /etc/openvpn/client/easy-rsa/3.0.3/pki/reqs/client.req client
Note: using Easy-RSA configuration from: ./vars
The request has been successfully imported with a short name of: client
You may now use this name to perform signing operations on this request.
[root@localhost 3.0.3]# ./easyrsa sign client client
Note: using Easy-RSA configuration from: ./vars
You are about to sign the following certificate.
Please check over the details shown below for accuracy. Note that this request
has not been cryptographically verified. Please be sure it came from a trusted
source or that you have verified the request checksum with the sender.
Request subject, to be signed as a client certificate for 3650 days:
subject=
commonName = client
Type the word ‘yes’ to continue, or any other input to abort.
Confirm request details: yes
Using configuration from ./openssl-1.0.cnf
Check that the request matches the signature
Signature ok
The Subject Distinguished Name is as follows
commonName :ASN.1 12:’client’
Certificate is to be certified until Apr 8 01:54:57 2028 GMT (3650 days)
Write out database with 1 new entries
Data Base Updated
Certificate created at: /etc/openvpn/easy-rsa/3.0.3/pki/issued/client.crt
4.整理证书
[root@localhost 3.0.3]# cd /etc/openvpn/client
[root@localhost client]# cp /etc/openvpn/easy-rsa/3.0.3/pki/ca.crt .
[root@localhost client]# cp /etc/openvpn/easy-rsa/3.0.3/pki/issued/client.crt .
[root@localhost client]# cp /etc/openvpn/client/easy-rsa/3.0.3/pki/private/client.key .

五、配置文件

1.服务器配置文件
[root@localhost ~]# vi /etc/openvpn/server.conf
port 1194
proto udp
dev tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh.pem
ifconfig-pool-persist /etc/openvpn/ipp.txt
server 10.8.0.0 255.255.255.0
push “route 10.8.0.0 255.255.255.0”
push “redirect-gateway def1 bypass-dhcp”
push “dhcp-option DNS 114.114.114.114”
push “dhcp-option DNS 8.8.8.8”
client-to-client
keepalive 20 120
comp-lzo
user openvpn
group openvpn
persist-key
persist-tun
status openvpn-status.log
log-append openvpn.log
verb 1
mute 20
2.客户端配置文件
[root@localhost ~]# vi /etc/openvpn/client/client.ovpn
client
remote 服务器IP 1194
proto udp
dev tun
comp-lzo
ca ca.crt
cert client.crt
key client.key
route-delay 2
route-method exe
redirect-gateway def1
dhcp-option DNS 8.8.8.8
dhcp-option DNS 8.8.4.4
dhcp-option DNS 4.2.2.1
dhcp-option DNS 4.2.2.2
verb 3
3.合成配置文件
[root@localhost aaa]# echo ‘‘ >>client.ovpn && cat ca.crt >>client.ovpn && echo ‘‘ >>client.ovpn && echo ‘‘ >>client.ovpn && cat client.crt >>client.ovpn && echo ‘‘ >>client.ovpn && echo ‘‘ >>client.ovpn && cat client.key >>client.ovpn && echo ‘‘ >>client.ovpn

OpenVPN 安装使用
Shawn的个人博客
02-29 1万+
可以添加、删除、查看等,网段默认是10.8.0.x,按照客户端启动顺序给予分配ip,同时客户端可以访问server端所在的内网(可以使用route命令查看,原因是转发到vpn网卡的流量全部进行了转发)都提示success代表安装成功,然后根据上图底部的提示路径把ovpn文件下载下来,对于管理客户端,就再次执行。参数表示可以添加路由的条数,默认只允许添加100条路由,如果少于100条路由可不加这个参数。默认不配置是全量转发,如果有多个内网网卡,可以设置选择性转发,在配置文件增加对应配置即可。
一看就懂的保姆级教程:open vn设置 (亲测通过)
热门推荐
♀我爱摇滚,更爱金属乐♀
10-07 9万+
在安装openvpn的时候之前,大概说下它的结构,整个安装流程涉及以下4个部分:Server / Client 服务器端程序Easyrsa 证书生成程序Server端配置文件Client 端配置文件观察上图,其实OpenVPN的服务器端和客户端是合二为一的,并没有采用独立的服务器端程序或者客户端程序来区分其角色,它是通过配置文件来实现功能差异的。因此无论服务器端还是客户端,启动程序都相同,Linux下为openvpn,在windows下则为openvpn.exe。
OpenVPN搭建以及使用
m0_69804823的博客
12-04 1914
tls-auth ta.key 0 # This file is secret #拒绝dos攻击,提高VPN安全性,这里要在/etc/openvpn 下生成该文件,下文会生成该文件。ca ca.crt #ca证书文件位置(此处为ca.crt文件存放位置,如果不server.conf文件在同一路径下,要标出文件位置),加载目录。3.打包 client 下所有文件:tar -zcvf client.tar.gz /etc/openvpn/client/*
Kali及Windows安装和使用OpenVPN
qq_51690690的博客
05-11 1万+
Kali及Windows安装和使用OpenVPN
Java+FTP+nginx+Openvpn实现内网外数据直传
xtt_666的博客
05-25 1215
简约有效,刚开始只配置了21端口连接登录FTP,后边登录连接都没有问题然后上传文件一直报错,后边查资料了解FTP文件传输分为主动模式被动模式,文件上传登录连接是两个不同的链路,主动模式是客户端设定端口传输,被动模式是服务端随机分配端口告知客户端进行文件上传。第二个是在复杂的网络环境下确保数据连接正常,项目所有思路都是通的,本地测试是在同一局域网但是只要一放到现场通过nginx代理转发上传文件就报错,差点推翻重来。因为项目需要需要用到中文,工具类都附带了中文转换,如不需要可将其取消。
学习笔记:将OpenVPN Access Server on ESXi改造成软路由
weixin_43589764的博客
07-12 1232
当前新版本的OpenVPN的镜像是基于Ubuntu18.04制作的,因此很容易改造成软路由。别忘了在-A POSTROUTING行中替换eth0以匹配你的计算机可以连接到互联网的名称。根据向导提示,指定 WAN口为ppp0, LAN口为eth0 即可。# 转发eth0接口的数据包,请将eth0更改为你对应的接口。修改/etc/netplan/01-netcfg.yaml。安装:apt install miniupnpd。修改/etc/ufw/before.rules。配置UFW以允许转发数据包。
使用Pritunl OpenVPN远程连接,实现安全高效的远程访问
heike_Ch的博客
08-27 1513
Pritunl是一款免费开源的 VPN 平台软件(但使用的不是标准的开源许可证,用户受到很多限制)。这是一种简单有效的VPN方式,一方面能有一个相对简单的途径,易于初级用户迅速搭建 VPN 服务;另一方面有能抵御墙的干扰,提供稳定有效的代理服务。
OpenVpn p2p linux安装及路由转发配置
2201_75362610的博客
08-15 3180
OpenVpn p2p linux安装及路由转发配置 目的
如何使用OpenVPN搭建局域安全网
weixin_57228276的博客
04-30 1万+
这里根据提示我输入了本地服务器的域名或者IP地址,下面选是否使用udp或者tcp,这个不选默认是udp,因为udp的连接更快,但是容易丢包,但是在现在这么快的网速下丢包率很低.很多游戏都是基于udp开发,后面都是无脑回车…就会进入到下面这个图片,然后直接点击图片右下角最大的一个黄色的文字 **这里我选择第一个,因为这个第一个就是服务器的局域网IP我能访问到的。**就可以进行下载了。
OPEN VPN-服务端
m0_69942047的博客
07-02 3763
江苏职业院校技能大赛-2024-windows-server(OPEN VPN)
pritunl+openvpn安装及使用
weixin_42924568的博客
08-28 2626
openvpn在公司等场景下应用比较广泛,但是用openvpn作为server端,在很多时候操作和使用起来还是比较麻烦;那么这里就给讲一讲通过 pritunl+openvpn 的安装、配置、路由等细节,相信你会发现一些新的用法和一些以前遇到的问题的原因所在了。那么这也是我为什么用 pritunl 作为server端的原因,pritunl安装简单,配置方便(可视化太舒服了),例如配置路由、用户管理及证书下载等,操作起来简直是太轻松了~
windows系统x86架构创建ARM架构Linux系统虚拟机并运行
baidu_37148392的博客
03-20 2615
x86架构系统创建arm,aarch64虚拟机
openvpn证书过期解决
疯飙的蜗牛
03-13 7872
解决办法:检查服务器时间,或者是ntp时间同步。解决办法:重新生成证书进行替换。
openVPN安装搭建步骤,实现内网穿透
QAZ600888的博客
03-31 2万+
这将告诉 OpenVPN 服务器将 client-moxa 客户端的请求路由到 10.8.1.6 这个 IP 地址(即 client-24 客户端的 IP 地址)。这将告诉客户端将流量路由到 10.8.1.0/24 子网,其中包括 client-moxa 客户端和 client-24 客户端的 IP 地址。其中,ccd 是一个文件夹路径,用于存放客户端 CCD 配置文件,我这里CCD文件夹创建的路径在。跟之前一样先在服务端生成一份客户端的证书和密钥,然后将必要的这5份文件拷贝到如图所示的目录下。
巧用openVPN实现访问云资源池业务
衡水铁头哥的博客
05-17 1803
正文共:1234 字 25 图,预估阅读时间:2 分钟我们前面介绍了使用VSR配置入云访问云资源池内的服务器(一个“假”的“SD-WAN”入云操作案例),虽然功能强大,但是还是要额外占用一台服务器(以腾讯云为例,在公有云部署一台VSR);而且有些小伙伴也在关心授权问题,比如性能和并发数量等问题;对于一些低配版本的经济版主机,更是不支持使用自定义镜像,导致无法使用VSR。那有没有其他解决方案呢?肯定...
Qemu搭建arm版麒麟系统
沉淀所学,分享所思,让热爱与成长同行。商务记录AI实战经验,助力开发者快速成长。 热爱AI,希望做出有影响力的技术成果。 技术点亮生活,分享连接价值与机会。 专注AI落地实战,陪你走好技术每一步。
01-10 2万+
本文简单介绍了如何在windows系统中安装并使用qemu安装arm架构的kylinV10系统(其它类似的操作系统也可以参考,仅仅是安装时使用的ISO镜像不同),可以在x86架构的windows上运行arm架构的虚拟机,以便在windows上可以使用其它cpu架构的操作系统进行开发、编译、验证问题等操作。
OpenVPN实战 | 公有云+两地局域网跨网互联方案
最新发布
m0_57121953的博客
02-23 1800
????技术背景企业常见需求:实现公有云服务器、分支机构A、分支机构B的网络互通。相比PPTP协议,OpenVPN在安全性(TLS加密)和稳定性上更具优势。一、环境搭建(服务端配置)1. 安装OpenVPN服务端操作系统:Windows Server 2016+软件版本:OpenVPN 2.6.13-I001(关键组件:X509证书管理)安装路径:C:\Program Files\OpenVPN✅安...
MySQL主从复制延迟全解析
探索云原生与智能化驱动下的安全运维新范式。关注DevSecOps、可观测性、AIOps等前沿领域,与您共赴技术前沿。
01-02 1250
系统性诊断需结合监控数据日志分析,针对性优化配置SQL设计可显著降低延迟风险。系统性诊断需结合监控数据日志分析,针对性优化配置SQL设计可显著降低延迟风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值