Linux装置OpenVPN服务端

先将本机的yum换成阿里云的yum源
curl -o /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repoyum clean all yum makecache
装置依赖的软件包
yum install rpm-build gcc lsof -y yum install -y pam-devel*yum install -y lzo lzo-devel openssl openssl-devel pam pam-develyum -y install epel*yum install -y pkcs11-helper pkcs11-helper-devel #确认曾经装置实现:rpm -qa lzo lzo-devel openssl openssl-devel pam pam-devel pkcs11-helper pkcs11-helper-develyum -y install wget#下载openvpnwget http://oss.aliyuncs.com/aliyunecs/openvpn-2.2.2.tar.gz#编译rpmbuild -tb openvpn-2.2.2.tar.gz #执行下面这条命令当前就会失常开始编译了,编译实现当前会在 /root/rpmbuild/RPMS/x86_64 目录下生成 openvpn-2.2.2-1.x86_64.rpm 安装包。 #查看安装包ls /root/rpmbuild/RPMS/x86_64#装置rpm -ivh /root/rpmbuild/RPMS/x86_64/openvpn-2.2.2-1.x86_64.rpm
配置OpenVPN服务(服务端)
#初始化KPI cd /usr/share/doc/openvpn-2.2.2/easy-rsa/2.0#进入到 /usr/share/doc/openvpn-2.2.2/easy-rsa/2.0 目录下,找到 vars 证书环境文件,批改以下几行 export 定义的参数值vim varsexport KEY_COUNTRY="CN"export KEY_PROVINCE="SH"export KEY_CITY="SHANGHAI"export KEY_ORG="wu2700222"export KEY_EMAIL="wu2700222@126.com" #上述参数的值能够自定义设置,也能够不改,对配置无影响
生成服务端的证书
#革除并删除keys目录下的所有keycd /usr/share/doc/openvpn-2.2.2/easy-rsa/2.0#创立软链接ln -s openssl-1.0.0.cnf openssl.cnfll openssl* source ./vars ./clean-all#生成CA证书,刚刚下面曾经在vars文件中配置了默认参数值,屡次回车实现就能够:./build-ca #一路回车#生成服务器证书#如下kuping是自定义的名字,始终回车,到最初会有两次交互,输出y确认,实现后会在keys目录下保留了kupingvpn.key、kupingvpn.csrl和kupingvpn.crt 三个文件。./build-key-server kupingVPN #一路回车,遇到交互提醒时,输出y#查看一下,刚生成的文件ls keys/
创立VPN登陆用户的秘钥与证书
#如下,创立用户名为kevin的秘钥和证书,始终回车,到最初会有两次确认,只有按y确认即可。实现后,在keys目录下生成1024位RSA服务器密钥kevin.key、kevin.crt和kevin.csr 三个文件。./build-key kevin#一路回车,遇到交互提醒时,输出y#查看一下,刚生成的文件ls keys/

如果创立用户证书时报错,能够将keys整个目录删除,而后从source ./vars这一步开始从新操作(谨慎,否则之前在keys目录里的用户数据就会都删除)

生成Diffie Hellman参数
./build-dh#执行了./build-dh后,会在 keys 目录下生成 dh 参数文件 dh1024.pem。该文件客户端验证的时候会用到##查看一下,刚生成的pem文件ls keys/ #将/usr/share/doc/openvpn-2.2.2/easy-rsa/2.0/keys 目录下的所有文件复制到 /etc/openvpn下:cp -a /usr/share/doc/openvpn-2.2.2/easy-rsa/2.0/keys/* /etc/openvpn/ #复制openvpn服务端配置文件 server.conf 到 /etc/openvpn/ 目录下:cp -a /usr/share/doc/openvpn-2.2.2/sample-config-files/server.conf /etc/openvpn/#查看server.conf文件的配置vim /etc/openvpn/server.conf #批改对应的证书名ca ca.crtcert kupingVPN.crtkey kupingVPN.key  # This file should be kept secret #日志文件 vim /etc/openvpn/openvpn.log;log         openvpn.log;log-append  openvpn.log
设置iptables
vim /etc/sysctl.confnet.ipv4.ip_forward = 1vm.min_free_kbytes = 409600vm.vfs_cache_pressure = 200vm.swappiness = 0fs.file-max = 1024000fs.aio-max-nr = 1024000kernel.sysrq = 1#载入配置sysctl -p#显示如下net.ipv4.ip_forward = 1vm.min_free_kbytes = 409600vm.vfs_cache_pressure = 200vm.swappiness = 0fs.file-max = 1024000fs.aio-max-nr = 1024000kernel.sysrq = 1#增加iptables规定,确保服务器能够转发数据包到外网:yum install -y iptables iptables-services#查看版本iptables -Viptables v1.4.21iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j MASQUERADEservice iptables savesystemctl restart iptables#查看iptables -t nat -L
启动OpenVPN服务
/etc/init.d/openvpn start  或者 service openvpn start#查看启动状态systemctl status openvpn ps aux|grep openvpnchkconfig openvpn on  //设置为开机自启#查看启动的端口lsof -i:1194#显示如下COMMAND   PID   USER   FD   TYPE DEVICE SIZE/OFF NODE NAMEopenVPN 83101 nobody    5u  IPv4 348617      0t0  UDP *:openvpn#如果1194端口启动不起来,能够通过查看/etc/openvpn/openvpn.log日志进行起因排查
给其余共事开明VPN账号

后续给共事开VPN账号,只须要上面几步(比方给wuwei共事开vpn)

cd /usr/share/doc/openvpn-2.2.2/easy-rsa/2.0./build-key wuwei#不须要重启openvpn /etc/init.d/openvpn restart#lsof -i:1194#而后编写wuwei用户的config.ovpn客户端配置文件#创立客户端配置文件,留神ip换成openvpn服务端的ipvim /tmp/config.ovpncat /tmp/config.ovpnclientdev tunproto udpremote 192.168.0.15 1194resolv-retry infinitenobindmute-replay-warningsca  ca.crtcert wuwei.crtkey wuwei.keycomp-lzo#而后将ca.crt、config.ovpn、wuwei.crt、wuwei.csr、wuwei.key这五个文件放到wuwei用户下mkdir /tmp/wuweicp keys/wuwei.* keys/ca.crt /tmp/config.ovpn /tmp/wuwei/#查看文件ls /tmp/wuwei/#显示如下ca.crt  config.ovpn  wuwei.crt  wuwei.csr  wuwei.key#打包cd /tmp/ && tar -zvcf wuwei.tar.gz wuwei

参考链接: https://www.bilibili.com/read...