【运维知识进阶篇】手把手教你搭建OpenVPN(保姆级教程)
生活随笔
收集整理的這篇文章主要介紹了
【运维知识进阶篇】手把手教你搭建OpenVPN(保姆级教程)
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
VPN就是虛擬專用通道,是提供給企業之間或者公司個人與公司之間安全數據傳輸的隧道,OpenVPN是Linux下開源VPN的先鋒,提供了良好的性能和友好的用戶GUI(圖形用戶界面)。本篇文章包含OpenVPN應用場景,OpenVPN服務端搭建,OpenVPN客戶端搭建(windows+linux),OpenVPN密碼認證,手把手教大家搭建OpenVPN!
大家在操作的時候一定要小心謹慎,稍有不慎,尤其是windows客戶端配置密碼認證,稍有不慎就會出很多問題,大家耐心的修改配置文件,再重新嘗試即可,希望大家都能做出來。?
目錄
OpenVPN應用場景
OpenVPN服務端搭建部署
一、安裝配置證書軟件
二、創建證書
三、安裝openvpn并寫入服務端配置文件
四、啟動并檢查端口
OpenVPN客戶端配置(linux端)
一、配置openvpn
二、測試連接
OpenVPN客戶端搭建部署(windows端)
一、安裝OpenVPN軟件
二、配置OpenVPN?
三、連接測試
四、直連其他內網服務器
Openvpn密碼認證
一、服務端配置
二、linux客戶端配置
三、windows客戶端配置
OpenVPN應用場景
1、個人出差需要訪問公司只有內網的服務器
2、公司不同地區之間建立服務通信(IDC與IDC之間)
OpenVPN服務端搭建部署
一、安裝配置證書軟件
[root@Web01 ~]# yum -y install easy-rsa [root@Web01 ~]# mkdir /opt/easy-rsa [root@Web01 easy-rsa]# rpm -ql easy-rsa #查看已安裝的RPM包中名為 easy-rsa 的文件列表 [root@Web01 easy-rsa]# cp -a /usr/share/easy-rsa/3.0.8/* . [root@Web01 easy-rsa]# cp -a /usr/share/doc/easy-rsa-3.0.8/vars.example ./vars [root@Web01 easy-rsa]# > vars [root@Web01 easy-rsa]# cat vars if [ -z "$EASYRSA_CALLER" ]; thenecho "You appear to be sourcing an Easy-RSA 'vars' file." >&2echo "This is no longer necessary and is disallowed. See the section called" >&2echo "'How to use this file' near the top comments for more details." >&2return 1 fi set_var EASYRSA_DN "cn_only" set_var EASYRSA_REQ_COUNTRY "CN" set_var EASYRSA_REQ_PROVINCE "Beijing" set_var EASYRSA_REQ_CITY "Shanghai" set_var EASYRSA_REQ_ORG "koten" set_var EASYRSA_REQ_EMAIL "888888@qq.comm" set_var EASYRSA_NS_SUPPORT "yes"二、創建證書
[root@Web01 easy-rsa]# ./easyrsa init-pki #1、初始化,在當前目錄創建PKI目錄,用于存儲整數 [root@Web01 easy-rsa]# ./easyrsa build-ca #2、創建根證書,會提示設置密碼,用于ca對之后生成的server和client證書簽名時使用,其他提示內容直接回車即可 Enter New CA Key Passphrase: #注意密碼不能太短,我這邊設置的是123456 Re-Enter New CA Key Passphrase: [root@Web01 easy-rsa]# ./easyrsa gen-req server nopass #3、創建server端證書和私鑰文件,nopass表示不加密私鑰文件,提示內容直接回車即可 [root@Web01 easy-rsa]# ./easyrsa sign server server #4、給server端證書簽名,提示內容需要輸入yes和創建ca根證書時候的密碼 [root@Web01 easy-rsa]# ./easyrsa gen-dh #5、創建Diffie-Hellman文件,密鑰交換時的Diffie-Hellman算法 [root@Web01 easy-rsa]# ./easyrsa gen-req client nopass #6、創建client端的證書和私鑰文件,nopass表示不加密私鑰文件,提示內容直接回車即可 [root@Web01 easy-rsa]# ./easyrsa sign client client #7、給client端證書前面,提示內容輸入yes和創建ca根證書時候的密碼 [root@Web01 easy-rsa]# tree #檢查是否有ca根證書、客戶端服務端證書、客戶端服務端私鑰 . ├── easyrsa #管理命令 ├── openssl-easyrsa.cnf ├── pki │?? ├── ca.crt #ca根證書,服務端與客戶端都需要用 │?? ├── certs_by_serial │?? │?? ├── 633C217979C7B5F1D0A9ECA971006F96.pem │?? │?? └── 857F9B2E3F6C3D35934672212343B42D.pem │?? ├── dh.pem #認證算法 服務端 │?? ├── index.txt │?? ├── index.txt.attr │?? ├── index.txt.attr.old │?? ├── index.txt.old │?? ├── issued │?? │?? ├── client.crt #客戶端證書 │?? │?? └── server.crt #服務端證書 │?? ├── openssl-easyrsa.cnf │?? ├── private │?? │?? ├── ca.key │?? │?? ├── client.key #客戶端私鑰 │?? │?? └── server.key #服務端私鑰 ......三、安裝openvpn并寫入服務端配置文件
[root@Web01 easy-rsa]# yum -y install openvpn [root@Web01 easy-rsa]# cat /etc/openvpn/server.conf port 1194 #端口 proto udp #協議 dev tun #采用路由隧道模式 ca /opt/easy-rsa/pki/ca.crt #ca證書的位置 cert /opt/easy-rsa/pki/issued/server.crt #服務端公鑰的位置 key /opt/easy-rsa/pki/private/server.key #服務端私鑰的位置 dh /opt/easy-rsa/pki/dh.pem #證書校驗算法 server 10.8.0.0 255.255.255.0 #給客戶端分配的地址池 push "route 172.16.1.0 255.255.255.0" #允許客戶端訪問的內網網段 ifconfig-pool-persist ipp.txt #地址池記錄文件位置,未來讓openvpn客戶端固定ip地址使用的 keepalive 10 120 #存活時間,10秒ping一次,120秒如果未收到響應則視為短線 max-clients 100 #最多允許100個客戶端連接 status openvpn-status.log #日志位置,記錄openvpn狀態 log /var/log/openvpn.log #openvpn日志記錄位置 verb 3 #openvpn版本 client-to-client #允許客戶端與客戶端之間通信 persist-key #通過keepalive檢測超時后,重新啟動VPN,不重新讀取 persist-tun #檢測超時后,重新啟動VPN,一直保持tun是linkup的,否則網絡會先linkdown然后再linkup duplicate-cn #客戶端密鑰(證書和私鑰)是否可以重復 comp-lzo #啟動lzo數據壓縮格式四、啟動并檢查端口
[root@Web01 easy-rsa]# systemctl start openvpn@server [root@Web01 easy-rsa]# systemctl enable openvpn@server Created symlink from /etc/systemd/system/multi-user.target.wants/openvpn@server.service to /usr/lib/systemd/system/openvpn@.service. [root@Web01 easy-rsa]# ip a s tun0 #查看網段 4: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100link/none inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0valid_lft forever preferred_lft foreverinet6 fe80::b1:7ea6:1178:8a1a/64 scope link flags 800 valid_lft forever preferred_lft forever [root@Web01 easy-rsa]# ss -lntup|grep 1194 #檢查端口 udp UNCONN 0 0 *:1194 *:* users:(("openvpn",pid=47104,fd=6)) [root@Web01 easy-rsa]# ps -ef|grep openvpn #檢查pid root 47104 1 0 10:59 ? 00:00:00 /usr/sbin/openvpn --cd /etc/openvpn/ --config server.conf root 47202 40565 0 11:01 pts/0 00:00:00 grep --color=auto openvpnOpenVPN客戶端配置(linux端)
一、配置openvpn
[root@Web02 ~]# yum -y install openvpn [root@Web02 ~]# cat /etc/openvpn/client.conf client dev tun proto udp remote 10.0.0.7 1194 resolv-retry infinite nobind ca ca.crt cert client.crt key client.key verb 3 persist-key comp-lzo[root@Web01 pki]# scp private/client.key 172.16.1.8:/etc/openvpn/ [root@Web01 pki]# scp issued/client.crt 172.16.1.8:/etc/openvpn/ [root@Web01 pki]# scp ca.crt 172.16.1.8:/etc/openvpn/[root@Web02 ~]# systemctl start openvpn@client [root@Web02 ~]# systemctl enable openvpn@client Created symlink from /etc/systemd/system/multi-user.target.wants/openvpn@client.service to /usr/lib/systemd/system/openvpn@.service.二、測試連接
[root@Web02 ~]# ifdown eth1 #關閉內網IP [root@Web02 ~]# ip a 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00inet 127.0.0.1/8 scope host lovalid_lft forever preferred_lft foreverinet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000link/ether 00:0c:29:36:19:29 brd ff:ff:ff:ff:ff:ffinet 10.0.0.8/24 brd 10.0.0.255 scope global eth0valid_lft forever preferred_lft foreverinet6 fe80::20c:29ff:fe36:1929/64 scope link valid_lft forever preferred_lft forever 3: eth1: <BROADCAST,MULTICAST> mtu 1500 qdisc pfifo_fast state DOWN group default qlen 1000link/ether 00:0c:29:36:19:33 brd ff:ff:ff:ff:ff:ff 4: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100link/none inet 10.8.0.6 peer 10.8.0.5/32 scope global tun0valid_lft forever preferred_lft foreverinet6 fe80::b198:27bb:5967:356b/64 scope link flags 800 valid_lft forever preferred_lft forever [root@Web02 ~]# ping 172.16.1.7 #成功通過openvpn ping通 PING 172.16.1.7 (172.16.1.7) 56(84) bytes of data. 64 bytes from 172.16.1.7: icmp_seq=1 ttl=64 time=0.686 ms 64 bytes from 172.16.1.7: icmp_seq=2 ttl=64 time=1.13 ms ^C --- 172.16.1.7 ping statistics --- 2 packets transmitted, 2 received, 0% packet loss, time 1001ms rtt min/avg/max/mdev = 0.686/0.908/1.130/0.222 msOpenVPN客戶端搭建部署(windows端)
一、安裝OpenVPN軟件
這個東西沒法放到網盤里,需要可以私信聯系
二、配置OpenVPN?
將ca根證書、client.key、client.crt放入config目錄
[root@Web01 easy-rsa]# sz pki/ca.crt [root@Web01 easy-rsa]# sz pki/private/client.key [root@Web01 easy-rsa]# sz pki/issued/client.crt再創建client.ovpn,寫入如下內容
client dev tun proto udp remote 10.0.0.7 1194 #注意此處更改為openvpn服務端代碼 resolv-retry infinite nobind ca ca.crt cert client.crt key client.key verb 3 persist-key comp-lzo?
目錄最終狀態
三、連接測試
雙擊打開OpenVPN(桌面快捷方式)右下角出現圖標,右鍵連接
?
等待進度走完會自動連接
查看網絡連接,發現多了以太網3?
右鍵,狀態,詳細信息,可以看到ipv4地址是10.8.0.6是我們配置的那個段的地址
?
?Xshell新開個本地會話,發現可以ping通openvpn服務端的內網,也可以進行ssh連接,當出差在外時,可以先連通openvpn內網再連接要工作的服務器的內網。
[c:\~]$ ping 172.16.1.7正在 Ping 172.16.1.7 具有 32 字節的數據: 來自 172.16.1.7 的回復: 字節=32 時間=1ms TTL=64 來自 172.16.1.7 的回復: 字節=32 時間<1ms TTL=64 來自 172.16.1.7 的回復: 字節=32 時間<1ms TTL=64172.16.1.7 的 Ping 統計信息:數據包: 已發送 = 3,已接收 = 3,丟失 = 0 (0% 丟失), 往返行程的估計時間(以毫秒為單位):最短 = 0ms,最長 = 1ms,平均 = 0ms ^C [c:\~]$ ssh 172.16.1.7Connecting to 172.16.1.7:22... Connection established. To escape to local shell, press Ctrl+Alt+].Last login: Sat May 20 09:07:58 2023 from 10.0.0.1 [root@Web01 ~]#四、直連其他內網服務器
首先確保我們的openvpn服務端開啟了內核轉發
[root@Web01 ~]# echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf #確保openvpn開啟了ip轉發 [root@Web01~]# sysctl -p net.ipv4.ip_forward = 1嘗試ping其他內網服務器,會顯示請求超時,需要在添加其他內網服務器添加網關后,才可以ping通,才可以直連。
[c:\~]$ ping 172.16.1.8 #1、無法ping通其他內網服務器,也就是無法直連正在 Ping 172.16.1.8 具有 32 字節的數據: 請求超時。 ......[root@Web02 ~]# yum -y install tcpdump #2、安裝tcpdump嘗試監控流量 [root@Web02 ~]# tcpdump -i eth1 -nn not icmp #3、windows端再次ping,雖然ping顯示請求超時,但是tcp監控有流量進入,說明只能接收,不能返回 12:47:58.759367 IP 10.8.0.10 > 172.16.1.8: ICMP echo request, id 1, seq 514, length 40 12:48:03.290454 IP 10.8.0.10 > 172.16.1.8: ICMP echo request, id 1, seq 515, length 40 ...... [root@Web02 ~]# route add -net 10.8.0.0 netmask 255.255.255.0 gw 172.16.1.7 #4、添加路由,臨時生效,可以加入/etc/rc.local實現永久生效[c:\~]$ ping 172.16.1.8 #5、本地成功ping通正在 Ping 172.16.1.8 具有 32 字節的數據: 來自 172.16.1.8 的回復: 字節=32 時間=1ms TTL=63 來自 172.16.1.8 的回復: 字節=32 時間=2ms TTL=63 ...... [c:\~]$ ssh 172.16.1.8 #6、直連也沒有問題Connecting to 172.16.1.8:22... Connection established. To escape to local shell, press Ctrl+Alt+].Last login: Sun May 21 12:47:51 2023 from 10.0.0.1 [root@Web02 ~]#Openvpn密碼認證
一、服務端配置
1、修改服務端配置文件為支持密碼認證
[root@Web01 ~]# cat /etc/openvpn/server.conf #添加配置文件 ...... script-security 3 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? #允許使用自定義腳本 auth-user-pass-verify /etc/openvpn/check.sh via-env #指定認證腳本 username-as-common-name ? ? ? ? ? ? ? ? ? ? ? ? ? ? #用戶密碼登陸方式驗證2、編寫腳本文件
[root@Web01 ~]# cat /etc/openvpn/check.sh # #!/bin/bash PASSFILE="/etc/openvpn/openvpnfile" #密碼文件 用戶名 密碼明文 LOG_FILE="/var/log/openvpn-password.log" #用戶登錄情況的日志 TIME_STAMP=`date "+%Y-%m-%d %T"` if [ ! -r "${PASSFILE}" ]; thenecho "${TIME_STAMP}: Could not open password file \"${PASSFILE}\" for reading." >> ${LOG_FILE}exit 1 fi CORRECT_PASSWORD=`awk '!/^;/&&!/^#/&&$1=="'${username}'"{print $2;exit}' ${PASSFILE}` if [ "${CORRECT_PASSWORD}" = "" ]; thenecho "${TIME_STAMP}: User does not exist: username=\"${username}\",password=\"${password}\"." >> ${LOG_FILE}exit 1 fi if [ "${password}" = "${CORRECT_PASSWORD}" ]; thenecho "${TIME_STAMP}: Successful authentication: username=\"${username}\"." >> ${LOG_FILE}exit 0 fi echo "${TIME_STAMP}: Incorrect password: username=\"${username}\", password=\"${password}\"." >> ${LOG_FILE} exit 13、給腳本執行權限
[root@Web01 ~]# chmod +x /etc/openvpn/check.sh4、創建用戶密碼,空格為分割符
[root@Web01 ~]# cat /etc/openvpn/openvpnfile koten 15、重啟服務端
[root@Web01 ~]# systemctl restart openvpn@server二、linux客戶端配置
在/etc/openvpn/client.conf最下面加上auth-user-pass
[root@Web02 ~]# cat /etc/openvpn/client.conf client dev tun proto udp remote 10.0.0.7 1194 resolv-retry infinite nobind ca ca.crt cert client.crt key client.key verb 3 persist-key comp-lzo auth-user-pass重啟測試連接,重啟服務的時候需要輸入密碼
[root@Web02 ~]# systemctl restart openvpn@client #重啟時候輸入密碼 Enter Auth Username: koten Enter Auth Password: * [root@Web02 ~]# ping 172.16.1.7 #密碼正確可以ping通 PING 172.16.1.7 (172.16.1.7) 56(84) bytes of data. 64 bytes from 172.16.1.7: icmp_seq=1 ttl=64 time=0.590 ms 64 bytes from 172.16.1.7: icmp_seq=2 ttl=64 time=1.11 ms ^C --- 172.16.1.7 ping statistics --- 2 packets transmitted, 2 received, 0% packet loss, time 1000ms rtt min/avg/max/mdev = 0.590/0.850/1.110/0.260 ms [root@Web02 ~]# systemctl restart openvpn@client Enter Auth Username: 1 Enter Auth Password: * [root@Web02 ~]# ping 172.16.1.7 #密碼錯誤不能ping通 PING 172.16.1.7 (172.16.1.7) 56(84) bytes of data. ^C --- 172.16.1.7 ping statistics --- 4 packets transmitted, 0 received, 100% packet loss, time 3001ms三、windows客戶端配置
先Disconnect斷開連接,注意要先斷開,否則容易報錯,再修改配置文件
?最底行添加auth-user-pass,注意該配置文件不要有多余空格,否則可能會報錯
client dev tun proto udp remote 10.0.0.7 1194 resolv-retry infinite nobind ca ca.crt cert client.crt key client.key verb 3 persist-key comp-lzo auth-user-pass再次連接,發現需要輸入賬號密碼
再次輸入密碼成功連接?
?
?
再次嘗試ping,成功ping通
[c:\~]$ ping 172.16.1.7正在 Ping 172.16.1.7 具有 32 字節的數據: 來自 172.16.1.7 的回復: 字節=32 時間=1ms TTL=64 來自 172.16.1.7 的回復: 字節=32 時間<1ms TTL=64 ......我是koten,10年運維經驗,持續分享運維干貨,感謝大家的閱讀和關注!
總結
以上是生活随笔為你收集整理的【运维知识进阶篇】手把手教你搭建OpenVPN(保姆级教程)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 大疆测试面经
- 下一篇: 用 Python 带你看各国 GDP 变