说明:

1、发现一个很奇怪的现象,CentOS和Ubuntu有着对用户不同的管理理念,比如CentOS中安装一切软件都是以root优先(su -),而Ubuntu则以当前用户优先,安装软件以sudo开头赋予当前用户权限执行安装。所以下面安装软件基本是CentOS默认以root下操作,而Ubuntu则以当前用户+sudo执行。当然,为了两者的统一,可以在Ubuntu下按照CentOS这一套统一去管理也是完全通用的。

2、网上针对OpenVPN服务器的搭建教程非常多,但是感觉有些乱,比如有些是专门搭建转发实现GFW的跨越,有些则做为跳板机实现访问内网没有连上VPN的机器等等;所以,个人建议先找一些最基本的,且最容易达到效果的教程来配置,比如就单纯的配置一个Server,每个Client能连接上去,分配好每个Client的IP,然后每个Client能通过这个IP正常访问就可以了。切记,前期先不要了解原理是什么,配置文件怎么配置才是最好,前期目标先保证能通为准。

3、完成上一步之后,再来深入配置,比如配置文件优化配置,原理是什么,IP分配的策略等等。

4、对于Ubuntu和CentOS的配置基本一致,不同的在于安装软件方法不一样。

5、理论上OpenVPN是跨平台的,在任何一个平台上搭建配置基本相同,但一般以Linux搭建服务器,Windows使用Client连接为主。当然也可以直接使用Windows做为服务器,但一般不会这么干。

6、OpenVPN一般结合iptables使用,实现转发功能。

7、建议不要以root用户启动,使用当前用户使用风险少很多。

软件准备:

CentOS:

  • 服务器环境:CentOS 6.9 64位系统
  • 内网IP:10.143.80.116
  • 外网IP:203.195.1.2
  • OpenVPN版本:OpenVPN 2.4.4

Ubuntu:

  • 服务器环境:Ubuntu 16.04 64位系统
  • 内网IP:10.143.80.116
  • 外网IP:203.195.1.2
  • OpenVPN版本:OpenVPN 2.3.10

OpenVPN:

  • 一般以系统源安装的版本为准,比如现在安装的基本以2.4.4为主,可能以后会随着源升级而更新到最新版本。
  • 可以单独上官网(需要翻出去)下载指定版本的来安装,但前提注意系统安装的依赖。

CentOS服务器搭建过程:

1、安装前准备

# 关闭selinux
setenforce
sed -i '/^SELINUX=/c\SELINUX=disabled' /etc/selinux/config

# 安装openssl和lzo,lzo用于压缩通讯数据加快传输速度
yum -y install openssl openssl-devel
yum -y install lzo

# 安装epel源
rpm -ivh http://mirrors.sohu.com/fedora-epel/6/x86_64/epel-release-6-8.noarch.rpm
sed -i 's/^mirrorlist=https/mirrorlist=http/' /etc/yum.repos.d/epel.repo

2、安装及配置OpenVPN和easy-rsa

# 安装openvpn和easy-rsa
yum -y install openvpn easy-rsa

# 修改vars文件
cd /usr/share/easy-rsa/2.0/
vim vars
# 修改注册信息,比如公司地址、公司名称、部门名称等。
export KEY_COUNTRY="CN"
export KEY_PROVINCE="Shandong"
export KEY_CITY="Qingdao"
export KEY_ORG="MyOrganization"
export KEY_EMAIL="me@myhost.mydomain"
export KEY_OU="MyOrganizationalUnit"
# 初始化环境变量
source vars

# 清除keys目录下所有与证书相关的文件
# 下面步骤生成的证书和密钥都在/usr/share/easy-rsa/2.0/keys目录里
./clean-all

# 生成根证书ca.crt和根密钥ca.key(一路按回车即可)
./build-ca

# 为服务端生成证书和私钥(一路按回车,直到提示需要输入y/n时,输入y再按回车,一共两次)
./build-key-server server

# 每一个登陆的VPN客户端需要有一个证书,每个证书在同一时刻只能供一个客户端连接,下面建立2份
# 为客户端生成证书和私钥(一路按回车,直到提示需要输入y/n时,输入y再按回车,一共两次)
./build-key client1
./build-key client2

# 创建迪菲·赫尔曼密钥,会生成dh2048.pem文件(生成过程比较慢,在此期间不要去中断它)
./build-dh

# 生成ta.key文件(防DDos攻击、UDP淹没等恶意攻击)
openvpn --genkey --secret keys/ta.key

3、创建服务器端配置文件

# 在openvpn的配置目录下新建一个keys目录
mkdir /etc/openvpn/keys

# 将需要用到的openvpn证书和密钥复制一份到刚创建好的keys目录中
cp /usr/share/easy-rsa/2.0/keys/{ca.crt,server.{crt,key},dh2048.pem,ta.key} /etc/openvpn/keys/

# 复制一份服务器端配置文件模板server.conf到/etc/openvpn/
cp /usr/share/doc/openvpn-*/sample/sample-config-files/server.conf /etc/openvpn/

# 查看server.conf里的配置参数
grep '^[^#;]' /etc/openvpn/server.conf

# 编辑server.conf
vim /etc/openvpn/server.conf 
port
# 改成tcp,默认使用udp,如果使用HTTP Proxy,必须使用tcp协议
proto tcp
dev tun # 路由模式,桥接模式用dev tap
# 路径前面加keys,全路径为/etc/openvpn/keys/ca.crt
ca keys/ca.crt
cert keys/server.crt
key keys/server.key  # This file should be kept secret
dh keys/dh2048.pem
# 默认虚拟局域网网段,不要和实际的局域网冲突即可
server 10.8.0.0 255.255.255.0 # 路由模式,桥接模式用server-bridge
ifconfig-pool-persist ipp.txt
# 10.0.0.0/8是我这台VPN服务器所在的内网的网段,读者应该根据自身实际情况进行修改
push "route 10.0.0.0 255.0.0.0"
# 可以让客户端之间相互访问直接通过openvpn程序转发,根据需要设置
client-to-client
# 如果客户端都使用相同的证书和密钥连接VPN,一定要打开这个选项,否则每个证书只允许一个人连接VPN
duplicate-cn
keepalive
tls-auth keys/ta.key  # This file is secret
comp-lzo
persist-key
persist-tun
# OpenVPN的状态日志,默认为/etc/openvpn/openvpn-status.log
status openvpn-status.log
# OpenVPN的运行日志,默认为/etc/openvpn/openvpn.log
log-append openvpn.log
# 改成verb 5可以多查看一些调试信息
verb 

4、配置内核和防火墙,启动服务

# 开启路由转发功能
sed -i '/net.ipv4.ip_forward/s/0/1/' /etc/sysctl.conf
sysctl -p

# 配置防火墙,别忘记保存
iptables -I INPUT -p tcp --dport  -m comment --comment "openvpn" -j ACCEPT
iptables -t nat -A POSTROUTING -s  -j MASQUERADE
service iptables save

# 启动openvpn并设置为开机启动
service openvpn start
chkconfig openvpn on

5、创建客户端配置文件client.ovpn(用于客户端软件使用)

# 复制一份client.conf模板命名为client.ovpn
cp /usr/share/doc/openvpn-*/sample/sample-config-files/client.conf /etc/openvpn/client.ovpn

# 编辑client.ovpn
vim /etc/openvpn/client.ovpn
client
dev tun # 路由模式
# 改为tcp
proto tcp
# OpenVPN服务器的外网IP和端口
remote
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
# client1的证书
cert client1.crt
# client1的密钥
key client1.key
ns-cert-type server
# 去掉前面的注释
tls-auth ta.key
comp-lzo
verb 

6、配置client

安装软件,可以和服务器安装的保持一致:

# 安装openssl和lzo,lzo用于压缩通讯数据加快传输速度
yum -y install openssl openssl-devel
yum -y install lzo

# 安装epel源
rpm -ivh http://mirrors.sohu.com/fedora-epel/6/x86_64/epel-release-6-8.noarch.rpm
sed -i 's/^mirrorlist=https/mirrorlist=http/' /etc/yum.repos.d/epel.repo

# 安装openvpn和easy-rsa
yum -y install openvpn easy-rsa 

在服务器上下载回需要的文件

sz /etc/openvpn/client.ovpn /usr/share/easy-rsa/keys/ca.crt /usr/share/easy-rsa/keys/client1.crt /usr/share/easy-rsa/keys/client1.key /usr/share/easy-rsa/keys/ta.key

将OpenVPN服务器上的client.ovpn、ca.crt、client1.crt、client1.key、ta.key上传到Linux客户端安装目录下的/etc/openvpn文件夹(使用rz命令)

[root@linux64 openvpn]# pwd
/etc/openvpn
[root@linux64 openvpn]# ls
ca.crt client1.crt client1.key client.ovpn conf ta.key

启动客户端

openvpn --daemon --cd /etc/openvpn --config client.ovpn --log-append /var/log/openvpn.log &

上面是以守护进程启动的,可以把上面脚本放在/etc/rc.local实现开机启动。或者使用以服务的形式启动,如果想清晰明了,建议放在启动脚本。

7、观察服务器和客户端上的IP,看是否已经增加了OpenVPN分配的虚拟IP
#查看服务器端,多出10. 的网卡:
[root@web10 config]# ifconfig
tun0 Link encap:UNSPEC HWaddr ---------------
inet addr:10.8.0.1 P-t-P:10.8.0.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU: Metric:
RX packets: errors: dropped: overruns: frame:
TX packets: errors: dropped: overruns: carrier:
collisions: txqueuelen:
RX bytes: ( (168.0 b)

#查看客户端, 多出网卡10.:
[root@linux64 openvpn]# ifconfig
tun0 Link encap:UNSPEC HWaddr ---------------
inet addr:10.8.0.6 P-t-P:10.8.0.5 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU: Metric:
RX packets: errors: dropped: overruns: frame:
TX packets: errors: dropped: overruns: carrier:
collisions: txqueuelen:
RX bytes: ( (168.0 b)

#客户端Ping服务器
[root@linux64 ~]# ping 10.8.0.1
PING () bytes of data.
 bytes from  ttl= time=8.28 ms
 bytes from  ttl= time=2.36 ms

Ubuntu服务器搭建过程:

Ubuntu搭建和配置过程基本和CentOS的一致,只是安装的软件不一样而已,下面将展示安装软件,配置参照上面一步:

1、服务端和客户端软件安装

sudo apt-get install openssl libssl-dev
sudo apt-get install openvpn lzop
sudo apt-get install easy-rsa

Ubuntu客户端启动比较慢,注意观察日志。如果libssl-dev安装不上就要装了,不影响。

常见问题:

1、Bad LZO decompression header

解决:加上comp-lzo

2、Cannot ioctl TUNSETIFF tun: Operation not permitted (errno=1)

解决:没有权限,加上sudo,或者root用户启动

3、Wed Sep 20 18:37:27 2017 VERIFY ERROR: depth=1, error=certificate is not yet valid: C=CN, ST=Shandong, L=Qiangdao, O=Fort-Funston, OU=MyOrganizationalUnit, CN=Fort-Funston CA, name=EasyRSA, emailAddress=me@myhost.mydomain

解决:服务端和客户端时间不同步,ntpdate time.windows.com ,更新时间再启动成功

参考:

官网

CentOS6搭建OpenVPN服务器(CentOS6搭建教程)

在Debian下搭建OpenVPN | 雨天阳光 (Ubuntu搭建教程)

OpenVPN - 软件指南针(OpenVPN原理、配置文件详解、Linux+Windows搭建教程)

CentOS6搭建OpenVPN服务器_服务器应用_Linux公社-Linux系统门户网站

CentOS6下搭建OpenVPN服务器 - CSDN博客

centos6.5下搭建openvpn服务,访问内网服务器 - CSDN博客

在CentOS下搭建OpenVPN - CSDN博客

CentOS6搭建OpenVPN服务器-启程的Linux博客-51CTO博客

CentOS快速搭建OpenVPN-AS | 老李博客

完整CentOS搭建OpenVPN服务环境图文教程 - 简书

CentOS6搭建OpenVPN(VPS) - 简书

在CentOS下搭建OpenVPN - CSDN博客

CentOS 6.9/Ubuntu 16.04搭建OpenVPN服务器以及客户端的使用的更多相关文章

  1. Ubuntu 16.04搭建OpenVPN服务器以及客户端的使用

    说明:启动时注意用户权限,比如root用户启动. Ubuntu: 服务器环境:Ubuntu 16.04 64位系统 内网IP:10.143.80.116 外网IP:203.195.1.2 OpenVP ...

  2. 阿里云ubuntu 16.04搭建odoo11服务器

    ubuntu 16.04 具体如何搭建odoo11网站的具体步骤可以参考这一篇文章 按上面的文章配置环境后,自己网站的启动具体步骤如下: 1.登录阿里云 [远程连接],进入命令行界面1 2.cd到目录 ...

  3. Ubuntu 16.04 搭建LAMP服务器环境流程

    http://www.linuxidc.com/Linux/2016-09/135629.htm [安装mysql时 只需安装 mysql-server无需安装mysql-client] mysql ...

  4. 烂泥:ubuntu 14.04搭建OpenVPN服务器

    本文由秀依林枫提供友情赞助,首发于烂泥行天下 公司分部需要连接公司内部的服务器,但是该服务器只允许公司内部的网络访问. 为了解决这个问题,打算使用VPN.对于VPN以前使用最多的是PPTP这个解决方案 ...

  5. 【openvpn】转载:烂泥:ubuntu 14.04搭建OpenVPN服务器

    地址:http://www.cnblogs.com/ilanni/p/4681740.html (1)安装openVpn软件后.在openVpn的配置目录下添加配置文件: ca.crt  client ...

  6. Ubuntu 16.04搭建php5.6 Web服务器环境

    Ubuntu 16.04默认安装php7.0环境,但是php7目前兼容性并不是很好,如果自行安装php5需要清除php7的已安装包,否则会报错. 移除默认及已安装的PHP包 sudo dpkg -l ...

  7. 【转】64位Ubuntu 16.04搭建嵌入式交叉编译环境arm-linux-gcc过程图解

    64位Ubuntu 16.04搭建嵌入式交叉编译环境arm-linux-gcc过程图解,开发裸机环境之前需要先搭建其开发环境,毕竟工欲善其事必先利其器嘛.  安装步骤 1.准备工具安装目录 下载 ar ...

  8. Ubuntu 12.04 搭建TFTP服务器

    吐槽先:在Ubuntu上搭建TFTP服务器,网上搜到一堆资料,可惜基本都是部分能用,至于哪些部分能用还要自己摸索着试出来,郁闷之情仅次于找不到任何资料…… ---------------------- ...

  9. ubuntu 18.04 搭建flask服务器(大合集,个人实操)

    ubuntu 18.04 搭建flask服务器(大合集) Ubuntu python flask 服务器 本次使用的Ubuntu版本为:Ubuntu 18.04.5 LTS (GNU/Linux 4. ...

随机推荐

  1. Web 播放声音 — AMR(Audio) 篇

    本文主要介绍 AMR(Aduio) 播放 AMR 格式 Base64码 音频. 1.必备资料 github AMR 开源库 :https://github.com/jpemartins/amr.js用 ...

  2. 在C#代码中应用Log4Net(二)典型的使用方式(转)

    不管用什么框架,学什么东西,最初的想法还不是尽快地用上这个框架,所以我们在这个章节还是不打算介绍具体配置节的应用,而是直接给出一个经典的使用样例,让你尽快上手.即使你对Log4Net的配置不熟悉也完全 ...

  3. 2015年第11本:代码整洁之道Clean Code

    前一段时间一直在看英文小说,在读到<Before I fall>这本书时,读了40%多实在看不下去了,受不了美国人啰啰嗦嗦的写作风格,还是读IT专业书吧. 从5月9日开始看<代码整洁 ...

  4. 字符串匹配算法-BM

    在用于查找子字符串的算法中,BM(Boyer-Moore)算法是当前有效且应用比较广泛的一种算法,各种文本编辑器的“查找”功能(Ctrl+F),大多采用Boyer-Moore算法.比我们学习的KMP算 ...

  5. perl 使用use utf8

    jrhapt12:/home/tomcat> cat a1.pl use Encode; $phone='18072722237'; open (LOG1 ,"<",' ...

  6. 微言netty:不在浮沙筑高台

    1. 写作缘起 几年前,我在一家农业物联网公司,负责解决其物联网产品线.我们当时基于.net平台打造了一套实时数据采集系统,可以把数以百万级的传感器传送回来的数据采集入库并根据这些数据进行建模.在搭建 ...

  7. P2P贷款全攻略,贷前、贷中、贷后工作事项解析

    一.贷前调查事项 贷前调查是所有银行.小贷.P2P等等往出贷款部门的重中之重. 归根结底就是两条:让不对称信息最大限度对称.让软信息最大限度真实还原. 客户还不还款就是取决两大因素:还款能力.还款意愿 ...

  8. pycharm 2017最新激活码

    BIG3CLIK6F-eyJsaWNlbnNlSWQiOiJCSUczQ0xJSzZGIiwibGljZW5zZWVOYW1lIjoibGFuIHl1IiwiYXNzaWduZWVOYW1lIjoiI ...

  9. eslint 代码规范2

    eslint 规则修改 需要修改规则:文件[.eslintrc.js] 在句末是不能有分号的,若想加分号, 报错: 添加代码: 'semi': ['error', 'always'] 不要使用制表符. ...

  10. HDOJ 2005 第几天?

    #include<iostream> using namespace std; ] = { ,,,,,,,,,,, }; ] = { ,,,,,,,,,,, }; bool isRYear ...