Openvpn配置
在ubuntu上安装openvpn
- 安装软件包
-
sudo apt-get install openssl libssl-dev lzop lzop easy-rsa
-
修改密钥生成时所需要的参数
- sudo su
- cp -r /usr/share/easy-rsa/ /etc/openvpn/
-
vim vars export KEY_COUNTRY="CN" export KEY_PROVINCE="GD" export KEY_CITY="SZ" export KEY_ORG="COM" export KEY_EMAIL="superman@guanmai.cn" export KEY_OU="server"
-
初始化环境和生成密钥
- source vars
- ./clean-all #清除己存在的证书
- ./build-ca #生成ca证书和密码
- ./build-key-server server 生成服务器端的证书和密钥
- ./build-key client1 #生成客户端的证书和密码
-
./build-dh #生成dh2048.pem
-
配置服务器
- mkdir /etc/openvpn/keys #创建服务器证书目录
- cp /etc/openvpn/easy-rsa/keys/{ca.crt,server.{crt,key},dh2048.pem} /etc/openvpn/keys #复制key到服务器目录
- cd /etc/openvpn/ && gzip /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz #生成服务器配置文件
-
cat /etc/openvpn/server.conf |grep -Ev "#|^$|^;" local 10.104.130.189 #主机的地址 port 1194 proto udp dev tun ca /etc/openvpn/ca.crt #生成的证书 cert /etc/openvpn/server.crt dh /etc/openvpn/dh2048.pem server 10.10.0.0 255.255.255.0 #服务器和客户端获取的地址池 ifconfig-pool-persist ipp.txt push "route 10.104.0.0 255.255.0.0" #内网服务器地址范围 push "route 10.22.0.0 255.255.0.0" #内网服务器地址范围 push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 8.8.8.8" client-to-client keepalive 10 120 #2分钟没有流量中断连接 comp-lzo user nobody group nobody persist-key persist-tun status /var/log/openvpn-status.log log /var/log/openvpn.log log-append /var/log/openvpn.log verb 3
-
修改内核转发功能和配置iptables功能
- sed -i '/net.ipv4.ip_forward/s/0/1/' /etc/sysctl.conf
- iptables -t nat -A POSTROUTING -s 10.10.0.0/24 -j MASQUERADE
- iptables-save