使用OpenVPN可以在Linux下,三步快速搭建一個VPN服務器。
1. 安裝服務端程序
2. 配置服務端
3. 安裝客戶端
一.安裝服務端軟件
下載lzo和openvpn:
http://www.oberhumer.com/opensource/lzo/download/
http://openvpn.net/release/
根據需要,下載需要的版本。我使用了lzo-1.08.tar.gz 和 openvpn-2.0.tar.gz。分別進行解壓和安裝:
# ./configure
# make && make install
二.配置服務端
1. 生成證書
使用openvpn安裝包中的easy-rsa生成相應的服務端和客戶端證書。
根據需要,編輯easy-rsa目錄中的vars文件:
export D=”`pwd`”
export KEY_CONFIG=”$D/openssl.cnf”
export KEY_DIR=”$D/keys”
export KEY_COUNTRY=”CN”
export KEY_PROVINCE=”SH”
export KEY_CITY=”PD”
export KEY_ORG=”test”
export KEY_EMAIL=”
[email protected]”
# source vars
source與shell命令的不同在於,source會在當前shell下執行指定的命令。
執行完成後,查看一下環境變量,確保賦值成功。
第一次安裝時,可以運行./clean-all,會清除所有已生成的證書密鑰。
生成服務端證書:
# ./build-ca
根據提示填入相應信息。
2. 生成密鑰
生成服務端密鑰:
# ./build-key-server server-name
根據提示填入相應信息。
生成客戶端密鑰:
# ./build-key client-name
每個客戶端的Common Name(client name)必須不一樣。同理可以生成其他的客戶端密鑰。
3. 生成Diffie Hellman參數
# ./build-dh
4. 將 keys 下的所有文件打包下載到本地
5. 創建、配置服務端配置文件
/etc/openvpn/server.conf
dev tun
ifconfig 10.8.0.1 10.8.0.2
ca xx/ca.crt #指向生成的服務端證書
cert xx/server.crt #指向生成的服務器證書
key xx/server.key #指向生成的服務器密鑰
dh xx/dh1024.pem #指向相應目錄下的文件
user nobody ;降低執行權限
group nobody
port 3389 ;改端口
comp-lzo ;開啟壓縮加速
;no-log ;關閉日志
verb 0
status /dev/null
log /dev/null
log-append /dev/null
6. 開啟Linux服務器的路由功能,並配置iptables
在/etc/sysctl.conf中添加
net.ipv4.ip_forward = 1
# sysctl –p
# iptables -t nat -A POSTROUTING -o eth0 -s 10.8.0.0/24 -j MASQUERADE
# /etc/init.d/iptables save
7. 添加開機啟動
編輯/etc/rc.local,添加命令行:
使用nohup後台運行
nohup openvpn {path to server.conf} >/dev/null 2>&1 &
三.安裝客戶端
安裝客戶端相對要容易很多,直接在OpenVPN官網下載客戶端安裝即可。
安裝完成後,需要配置一下客戶端的配置文件,在/config文件夾下:
dev tun
remote {ip} {port}
#指定相應的證書和客戶端密鑰(第二步中在服務端生成的)
ca "xxx\\sample-config\\key\\ca.crt"
cert "xxx\\sample-config\\key\\client.crt"
key "xxx\\sample-config\\key\\client.key"
四.FAQ
安裝、配置和使用的過程中,可能還會遇到一些問題,下面是我遇到的一些問題和解決方案:
1. Win8系統中,客戶端程序的安裝使用。
前往http://openvpn.net/index.php/open-source/downloads.html下載最新版客戶端程序。安裝並配置客戶端配置文件,使用管理員權限啟動客戶端即可。
2. OpenVPN撥號聯網,無法上網的問題。
首先查看服務端是否開啟了路由轉發。
是否有acl策略阻止,檢查iptables。
檢查客戶端路由策略。客戶端路由策略需按以下規則配置:
靜態路由 vpn服務器地址 255.255.255.255 客戶端網關地址 優先級 最高
默認路由 0.0.0.0 0.0.0.0 vpn網關 優先級 其次
默認路由 0.0.0.0 0.0.0.0 客戶端網關 優先級 再次
Reference:
http://net.chinaunix.net/8/2008/10/10/1285095.shtml
http://www.vpntutorials.com/tutorials/openvpn-client-setup-tutorial-for-windows-8/
http://www.2cto.com/os/201312/268608.html
https://www.virtacoresupport.com/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=80
