使用OpenVPN搭建VPN服务器的例子

环境公司内网一台 CentOS 6.6 服务器 A,网卡eth0 内网IP:192.168.8.60, 公司公网IP为 116.228.12.88, 使用路由器的 DMZ 功能把公网映射到内网服务器A(即内网IP:192.168.8.60)。

1、在服务器上安装OpenVPN。由于默认的Centos软件源里面没有OpenVPN的软件包,可以通过添加rpmforge的repo,从而实现yum安装openvpn。
针对CentOS 5

rpm -ivh http://apt.sw.be/redhat/el5/en/x86_64/rpmforge/RPMS/rpmforge-release-0.5.2-2.el5.rf.x86_64.rpm
针对CentOS 6

rpm -ivh http://apt.sw.be/redhat/el6/en/x86_64/rpmforge/RPMS/rpmforge-release-0.5.2-2.el6.rf.x86_64.rpm
注意:服务器是32位还是64位,由于我的服务器安装centos 是64位,所以上传安装的源是64位,如果是32位,可以通过浏览地址:http://apt.sw.be/redhat/el6/en 找到对应的版本的地址。

2、生成OpenVPN 所需的证书。

OpenVPN 自带了 easy-rsa 工具,可以通过它很方便的生成所需的证书。复制 工具目录到 /etc/openvpn 下并赋予执行权限。

cp -R /usr/share/doc/openvpn-*/easy-rsa /etc/openvpn
cd /etc/openvpn/easy-rsa/2.0
chmod +x  *
执行下述命令创建证书。

ln -s openssl-1.0.0.cnf openssl.cnf
. vars
./clean-all
./build-ca server
./build-key-server server
./build-key client
./build-dh
3、创建 OpenVPN 的配置文件server.conf, 文件放在 /etc/openvpn

port        1194
proto       tcp
dev         tun
ca          /etc/openvpn/easy-rsa/2.0/keys/ca.crt
cert        /etc/openvpn/easy-rsa/2.0/keys/server.crt
key         /etc/openvpn/easy-rsa/2.0/keys/server.key
dh          /etc/openvpn/easy-rsa/2.0/keys/dh1024.pem
server      10.1.1.0 255.255.255.0

auth-user-pass-verify   /etc/openvpn/auth/checkpsw.sh via-env
script-security 3 system
client-cert-not-required
username-as-common-name

push        "redirect-gateway def1 bypass-dhcp"
push        "dhcp-option DNS 8.8.8.8"
push        "dhcp-option DNS 114.114.114.114"
log         /var/log/openvpn.log
keepalive   10 120
verb        3
client-to-client
comp-lzo
persist-key
persist-tun
其中server 后面对应的IP 是指VPN虚拟的网段,也就是客户端获取IP就是在这个段中,注意,不要和现有的局域网IP段有冲突。
auth-user-pass-verify 下面的四行是配置客户端可以使用用户名密码的方式认证,特别注意一定要加上 script-security 3 system, 后面的system 也不能少,我就是在这个上面浪费好多时间。

checkpsw.sh 脚本内容如下:

#!/bin/sh
PASSFILE="/etc/openvpn/auth/psw-file"
LOG_FILE="/etc/openvpn/auth/openvpn-password.log"
TIME_STAMP=`date "+%Y-%m-%d %T"`

if [ ! -r "${PASSFILE}" ]; then
  echo "${TIME_STAMP}: Could not open password file \"${PASSFILE}\" for reading." >> ${LOG_FILE}
  exit 1
fi

CORRECT_PASSWORD=`awk '!/^;/&&!/^#/&&$1=="'${username}'"{print $2;exit}' ${PASSFILE}`

if [ "${CORRECT_PASSWORD}" = "" ]; then
  echo "${TIME_STAMP}: User does not exist: username=\"${username}\", password=  \"${password}\"." >> ${LOG_FILE}
  exit 1
fi

if [ "${password}" = "${CORRECT_PASSWORD}" ]; then
  echo "${TIME_STAMP}: Successful authentication: username=\"${username}\"." >> ${LOG_FILE}
  exit 0
fi

echo "${TIME_STAMP}: Incorrect password: username=\"${username}\", password= \"${password}\"." >> ${LOG_FILE}
exit 1
其中 PASSFILE 是用户名密码的文件路径,LOG_FILE 输出的日志文件。 注意:checkpsw.sh 需要有执行权限。PASSFILE 的格式为:用户名+空格+密码, 例如:

netingcn mypassword
4、启动OpenVPN并将设置其为开机自动启动。

启动服务
/etc/init.d/openvpn start

加入开机自动启动
chkconfig openvpn on
OpenVPN 服务的日志位于 /var/log/openvpn.log, 如果启动异常,可以查看该日志,一般情况是由于生产证书那里出现问题,可以重新生成一次。

5、服务器其他设置。
关闭selinux

sed -i '/^SELINUX=/c\SELINUX=disabled' /etc/selinux/config
开启ip forward

sed -i '/net.ipv4.ip_forward/s/0/1/g' /etc/sysctl.conf
sysctl -w net.ipv4.ip_forward=1
开启iptables NAT

iptables -t nat -A POSTROUTING -s 10.1.1.0/24 -j SNAT --to-source 192.168.8.60
特别注意:to source 的值,有些文章提到是公司的公网IP,这个说法有些不太准确,如果该服务器的网卡绑定是公网IP,也就是说作为路由服务器,那么就是用公网IP,由于我的这台服务器是局域网内的一台机器,只有局域网IP,所以这里用的是本机的IP。

如果没有添加iptables 规则,出现的结果是能连上vpn server,但是不能上网。另外可能还需要用到的规则如下:

iptables -A FORWARD -i tun0 -s 10.1.1.0/24 -j ACCEPT
iptables -A FORWARD -i eth0 -d 10.1.1.0/24 -j ACCEPT
iptables -I INPUT -p tcp --dport 1194 -m comment --comment "openvpn" -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.1.1.0/24 -o eth0 -j MASQUERADE
客户端官网下载地址:https://openvpn.net/index.php/download/community-downloads.html。

下面以Win 7 客户端为例,安装好客户端后,打开默认安装路径:C:\Program Files\OpenVPN\config, 在下面建立一个 client.ovpn 文件,
证书认证方式的内容如下:

client
dev tun
proto tcp
remote 116.228.12.88 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
comp-lzo
verb 3
redirect-gateway def1
route-method exe
route-delay 2
需要复制服务器的 ca.crt,client.crt 和 client.key 到当前目录, remote 用公司公网IP

用户名密码认证的方式如下:

client
dev tun
proto tcp
remote 116.228.208.10 2294
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
;auth-user-pass
auth-user-pass pass.txt
comp-lzo
verb 3
redirect-gateway def1
route-method exe
route-delay 2
只需要复制服务器的 ca.crt 到当前目录即可,同时在当前目录建立一个名为 pass.txt,把用户名密码填入,注意格式为:

用户名
密码
至此配置完成,右键点击客户端然后选connect,应该就可以连上。

时间: 2024-12-28 11:37:35

使用OpenVPN搭建VPN服务器的例子的相关文章

详解Linux下搭建VPN服务器(CentOS、pptp)_Linux

本文介绍在安装CentOS操作系统的Xen VPS上,如何搭建PPTP VPN服务.包括PPTP的安装.配置,以及相应的iptables规则.本文暂时不涉及PPTP流量控制的部分,等抽空学明白了FreeRADIUS,再来写续篇.2011年7月20日更新:在安全建议这一部分,增加了使用不同的IP地址,分别提供VPN服务和Web等其他常规服务,以及使用不同IP地址时如何书写iptables规则的内容. 写在前面 在Godaddy一美元COM域名的怂恿下,这几天先是拿到了这个gnailuy.com,然

在Ubuntu下搭建VPN服务器的方法

VPN是什么?中文翻译叫做:虚拟专用网络.功能是,在公用网络上建立专用网络,进行加密通讯. 适用的场合: 1.你的公司网络在一个局域网,不能外部访问.有一天你外出度假了,想访问一下公司的内部网络,外网是不能直接访问的.如果公司的网络有一台主机设置了VPN,你就可以通过连上这台VPN主机,来访问公司内部网络啦. 2.如果你的主机是在国外,你可以在这台主机上配置VPN,然后你的电脑连上VPN之后就可以翻墙啦. 3.某台服务器(如游戏服务器)限制了一些IP连接到它上面,这时你配置VPN,连上VPN之后

搭建VPN服务器

问题描述 我搭建了一个玩美服游戏的VPN服务器,但是我想仅游戏的数据通过这个VPN,和游戏的官方网站这个指定的网站能被通过VPN访问.请问下大家这个该怎么做,有详细的资料能给链接最好,万分感谢! 解决方案

linux搭建vpn服务器步骤详解

PPTP 的配置主要有下面五个步骤: 验证内核是否加载了 MPPE 模块 安装所需的软件包 配置 PPP 和 PPTP 的配置文件 打开内核的 IP 转发功能 启动 pptpd 守护进程 配置 iptables 防火墙放行和转发规则 详细步骤 1.验证内核是否加载了MPPE模块: 基本都安装过了,所以略过 2.安装所需的软件包: ppp PPTP 使用 PPP 协议对用户数据进行封装,然后将 PPP 数据帧封装在 IP 数据报里,经由 IP 网络传播.因此首先需要支持 PPP 协议,下面命令安装

在ISA中利用Radius服务器搭建VPN服务器

前面我们介绍的几种VPN都是在域环境下利用ISA2006 server实现的.今天我 们来介绍一下不在域环境下使用VPN,这种方法是需要一个服务器-------VPN配合 使用的身份验证服务器:Radius服务器. RADIUS:Remote Authentication Dial In User Service,远程用户拨号认证 系统由RFC2865,RFC2866定义,是目前应用最广泛的AAA协议. RADIUS是一种C/S结构的协议,它的客户端最初就是NAS(Net Access Serv

Centos搭建vpn服务器脚本

#!/bin/bash function installVPN(){  echo "begin to install VPN services";  #check wether vps suppot ppp and tun    yum remove -y pptpd ppp  iptables --flush POSTROUTING --table nat  iptables --flush FORWARD  rm -rf /etc/pptpd.conf  rm -rf /etc/p

fedora 20搭建vpn服务器步骤详解

安装pptp server yum install pptpd -y 编辑 vim /etc/ppp/chap-secrets 加入一行 用户名 pptpd 密码 * 启动pptpd service pptpd start 到客户机上尝试连接,建立一个pptp连接,记住一定要进入高级设置,打开 use MPPE Encryption,否则连不上 连上后,没法上网了,先断开,后面还有工作要做. 设定vpn ip 段 echo "localip 192.168.0.1" >>

centos 6.5 搭建vpn环境的例子(digitalocean主机)

脚本  代码如下 复制代码 #!/bin/bash function installVPN(){  echo "begin to install VPN services";  #check wether vps suppot ppp and tun    yum remove -y pptpd ppp  iptables --flush POSTROUTING --table nat  iptables --flush FORWARD  rm -rf /etc/pptpd.conf

RHEL/Centos/Fedora/下搭建vpn pptp 服务器步骤

  用vpn已经有很多年,然而一直因为懒惰原因,所以一直都没有写关于如何搭建vpn服务器的文章,今年兴致所致,分享一下个人搭建vpn server的过程,写的简陋,请勿拍砖.vpn的使用非常广泛,可谓大多网虫和技术股都需要用到的东西,不过看下文之前请先看看自己的服务器是否支持pptp方式的vpn服务器,具体请执行命令 modprobe ppp-compress-18 && echo ok 假如输出ok请继续, 假如不ok,说明服务器不支持.下面的文章可能对你没啥用. 第一步:安装pptpd