前言:
之前搭建过程中找了5-6个教程一起看,真是累,难道就没有写的详细一点,一次成功的吗,基于此花了一下午制作了本教程,实际测试2遍均成功,懒人福音。
@H_301_9@基础环境:
@H_301_9@系统:@H_301_9@Centos6.5 64X
@H_301_9@Openvpn:2.3.14
@H_301_9@安装:
@H_301_9@Windows版
@H_301_9@Linux版
@H_301_9@问题:
@H_301_9@Windows版有路由推送、用户名密码验证方面的问题,不推荐使用。建议安装Linux版
@H_301_9@
@H_301_9@
0基础环境
setenforce0
sed-i'/^SELINUX=/c\SELINUX=disabled'/etc/selinux/config
@H_301_9@#清空防火墙
@H_301_9@iptables -F
@H_301_9@iptables -X
@H_301_9@#启动smb共享,可以看到还没有安装。
@H_301_9@
@H_301_9@#安装Samba共享,后面有需要。
@H_301_9@yum -y install samba
@H_301_9@mkdir /home/samba
@H_301_9@调整权限:@H_301_9@chown nobody:nobody /home/samba/
@H_301_9@创建测试文件:@H_301_9@touch /home/samba/1.txt
@H_301_9@vim /etc/samba/smb.conf
@H_301_9@security = share@H_301_9@//表示允许匿名访问
@H_301_9@workgroup = WORKGROUP@H_301_9@//和@H_301_9@windows主机相同
@H_301_9@
@H_301_9@末尾追加
@H_301_9@
#启动Samba
@H_301_9@service smb restart
#添加开机启动
@H_301_9@chkconfig smb on
@H_301_9@#在windows主机输入@H_301_9@\\服务器IP@H_301_9@访问可以看到1.txt
#安装openssl和lzo,lzo用于压缩通讯数据加快传输速度.
yum-yinstallopensslopenssl-devel lzo
#安装epel源
rpm-ivhhttp://mirrors.sohu.com/fedora-epel/6/x86_64/epel-release-6-8.noarch.rpm
sed-i's/^mirrorlist=https/mirrorlist=http/'/etc/yum.repos.d/epel.repo
1安装openvpn
#安装主程序
yum -y install openvpn easy-rsa
#修改基本信息
@H_301_9@cd @H_301_9@@H_301_9@/usr/share/easy-rsa/2.0/
@H_301_9@chmod +x *
@H_301_9@vim vars
#清除keys目录下所有与证书相关的文件
#下面步骤生成的证书和密钥都在/usr/share/easy-rsa/2.0/keys目录里
sourcevars//这里会提示一个东西,不用管它。
./clean-all
#生成根证书ca.crt和根密钥ca.key(一路按回车即可)
./build-ca
@H_301_9@
@H_301_9@
#生成服务端证书和密钥
./build-key-serverserver
@H_301_9@#为客户端生成证书 (后面要换成账号名+密码认证这一步可以省略。)
#创建dh密钥
./build-dh//按电脑性能决定,等一会,不要乱动。
#查看文件是否都有
#将刚才创建的密钥文件拷贝出来
@H_301_9@cd keys
@H_301_9@cp @H_301_9@@H_301_9@ca.crt dh2048.pem server.crt server.key @H_301_9@@H_301_9@/etc/openvpn/
cd @H_301_9@/usr/share/doc/openvpn-2.3.14/sample/sample-config-files/
@H_301_9@cp server.conf /etc/openvpn/
#拷贝主配置文件(可选,方式二,建议使用,两者区别是方式一是默认文件,方式二是我修改过)
将文件内的server.conf通过smb共享拷贝到服务器上
#在服务器上转移拷贝过来的文件
@H_301_9@cp /home/samba/server.conf /etc/openvpn/
@H_301_9@
@H_301_9@cd /etc/openvpn/
@H_301_9@vim server.conf
@H_301_9@
wget http://openvpn.se/files/other/checkpsw.sh
@H_301_9@修改@H_301_9@vim checkpsw.sh
@H_301_9@
@H_301_9@chmod +x checkpsw.sh
@H_301_9@vim userfile.sh
@H_301_9@
@H_301_9@
chown nobody:nobody userfile.sh
@H_301_9@#确认权限
@H_301_9@ls -l
@H_301_9@
@H_301_9@cp ca.crt /home/samba
@H_301_9@
2添加防火墙规则
@H_301_9@#允许ssh端口通过
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -P OUTPUT ACCEPT
#允许openvpn的端口连接
iptables -A INPUT -p tcp --dport 1194 -j ACCEPT
#配置openvpn的nat功能
ifconfig查看接口是否为etho,有些服务器是em1.
@H_301_9@
@H_301_9@
iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -o eth0 -j MASQUERADE
#开启系统的路由功能
echo "1" > /proc/sys/net/ipv4/ip_forward
#添加FORWARD白名单
iptables -A FORWARD -i tun+ -j ACCEPT
#允许虚拟网段的所有连接
iptables -A INPUT -s 10.10.10.0/24 -j ACCEPT
#保持已经建立的连接
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
service iptables save
service iptables start
3启动服务
@H_301_9@/etc/init.d/openvpn start
@H_301_9@chkconfig openvpn on
@H_301_9@
4到此服务端所有配置已完成,确认所有文件存在,权限正确。
@H_301_9@
@H_301_9@
5客户端配置
@H_301_9@#客户端安装,去官网下载,一路默认下一步。
@H_301_9@访问服务器共享目录\\xxxx 拷贝ca.crt,放到安装目录的config目录中。
@H_301_9@拷贝文件内的client.ovpn,放到安装目录的config目录中。
@H_301_9@修改client.ovpn内容如下,这个文件需要用高级文件编辑工具打开。
@H_301_9@
#双击桌面openvpn图标运行,右击桌面右下角图标,Connect连接,输入用户名密码。连接成功
@H_301_9@
修改client.ovpn配置文件,将auth-user-pass改为auth-user-pass pass.txt
在config目录中新建pass.txt
重新运行OpenVPN,即可不输密码登录vpn了!
