OpenVPN环境搭建使用指南.docxVIP

March 26, 2012OpenVPN DeploymentOpenVPN环境搭建使用指南文件编号UG00项目模块功能OpenVPN 环境搭建使用指南客户方服务方Crossoft Tech. Co., Ltd. 撰写人DuceXu校对人Lumen Wang创建日期2012-03-21修改日期2012-03-26版本更新记录日期修改人更改摘要2012-03-21DuceXu創建文件2012-03-26DuceXu修改文件目录版本更新记录11導論 Introduction31.1文件目的 Purpose31.2文件對象Objectives32OpenVPN運行硬件環境33OpenVPN運行軟件環境34Linux环境搭建配置OpenVPN Server34.1安装OpenVPN服务端34.2制作证书44.3配置OpenVPN Server65Windows环境搭建配置OpenVPN Server75.1安装OpenVPN Server75.2制作证书85.3配置OpenVPN Server96搭建配置OpenVPN Client107OpenVPN管控117.1开启服务117.2权限管控117.3安全管控127.4OpenVPN使用128OpenVPN配置文件说明139注意事项141 導論 Introduction1.1 文件目的 Purpose该文件讲述了在Linux和Windows环境下搭建配置OpenVPN基本的步骤、OpenVPN基本的用途和搭建过程中的注意事项，以供工作人员参考。1.2 文件對象Objectives適用所有系統及网络開發人員。2 OpenVPN運行硬件環境架設OpenVPN軟件運行環境需要以下硬件環境：n 一台开发Server。n 一台客户机。3 OpenVPN運行軟件環境软件名称版本备注Windows XP版本可选Windows Server版本可选Linux版本可选4 Linux环境搭建配置OpenVPN Server4.1 安装OpenVPN服务端a) 安装openssl在linux终端输入以下命令rpm -qa |grep opensslyum install -y openssl openssl-develb) 安装 lzo在终端输入以下命令：cd /optwget/opensource/lzo/download/lzo-2.03.tar.gztar -zxvf lzo-2.03.tar.gzcd lzo-2.03./configuremake;make installc) 安装OpenVPN在终端输入以下命令，安装OpenVPN-2.1_rc15：cd /optwget/release/openvpn-2.1_rc15.tar.gztar -zxvf openvpn-2.1_rc15.tar.gzcd openvpn-2.1_rc15./configuremake;make installmkdir -p /etc/openvpncp /opt/openvpn-2.1_rc15/easy-rsa/ -r /etc/openvpn4.2 制作证书a) 初始化PKI设置环境变量，输入命令：vi /root/.bash_profile对文件.bash_profile进行编辑，添加如下内容：KEY_COUNTRY=CNKEY_PROVINCE=GDKEY_CITY=SZKEY_ORG=kerryhuKEY_OU=ITKEY_EMAIL=输入以下命令：cd /etc/openvpn/easy-rsa/2.0source ./varsb) 制作证书颁发机构输入命令：cd /etc/openvpn/easy-rsa/2.0./clean-allbuild-ca根据提示输入证书颁发机构信息。c) 创建服务器证书输入命令：build-key-server server回车，根据提示输入服务器证书信息。依次输入y在提示输入密码处，输入密码。d) 创建客户端证书输入命令：./build-key client01依次输入y在提示输入密码处输入密码。e) 创建Diffie Hellman 参数输入命令：./build-dh创建用于增强安全性的Diffie Hellman 参数。f) 生成 ta.key输入以下命令生成tar.key并拷贝到相应目录：cd keys/openvpn -genkey -secret ta.keycp ca.crt server.crt server.key dh1024.pem ta.key /etc/openvpn/conf/4.3 配置OpenVPN Servera) 创建服务端配置文件server.conf输入命令：mkdir /etc/openvpn/2.0/conf回车cp /root/openvpn-2.1_rc15/sample-config-files/server.conf /etc/openvpn/2.0/conf/server.conf回车b) 输入命令vi server.conf对配置文件进行编辑，配置样例如下：port 1194proto tcpdev tunca /etc/openvpn/2.0/keys/ca.crtcert /etc/openvpn/2.0/keys/ovpnser.crtkey /etc/openvpn/2.0/keys/ovpnser.key dh /etc/openvpn/2.0/keys/dh1024.pemserver ifconfig-pool-persist ipp.txtpush redirect-gateway def1 bypass-dhcppush dhcp-option DNS push dhcp-option DNS 50 client-to-clientkeepalive 10 120comp-lzouser nobodygroup nobodypersist-keypersist-tunstatus openvpn-status.logverb 4c) 建立Client端的ccd配置文件输入命令：mkdir -p /etc/openvpn/ccd/Client01创建文件。对该文件进行编辑，输入命令：vim /etc/openvpn/ccd/Client01配置样例如下：iroute ifconfig-push 5 Windows环境搭建配置OpenVPN Server以下安装过程以openvpn-2.2.2-install.exe版本为例。5.1 安装OpenVPN Server1) 双击下载完的openvpn-2.2.2-install.exe，开始安装选择Next，进入下一步，选择OpenVPN特性：继续默认选择下一步到选择路径步骤：根据实际情况选择安装路径，开始并完成安装：5.2 制作证书1) 生成根证书输入命令build-ca回车，填入根证书的以下信息：2) 创建服务器证书输入命令build-dh回车，build-key-server server回车依次输入以下证书信息：回车输入y3) 创建客户端证书输入命令build-key Ray回车，输入以下信息 回车，继续如1）和2）步骤输入信息，创建客户端名称为Ray，CommonName为Ray的证书。5.3 配置OpenVPN Server1) 对OpenVPN服务器进行初始化打开C:ProgramFilesOpenVPNeasy-rsa目录里的vars.bat.sample文件，修改如下内容：set HOME=%ProgramFiles%OpenVPNeasy-rsaset KEY_COUNTRY=USset KEY_PROVINCE=CAset KEY_CITY=SanFranciscoset KEY_ORG=OpenVPNset KEY_EMAIL=mailhost.domainset KEY_CN=changeme把以上内容修改为：set HOME=C:ProgramFilesOpenVPNeasy-rsaset KEY_COUNTRY=CNset KEY_PROVINCE=JSset KEY_CITY=SZset KEY_ORG=Crossoftset KEY_EMAIL=选择“开始”“运行”“cmd”进入命令提示符窗口：输入如下命令cd C:Program FilesOpenVPNeasy-rsa进入该目录输入命令:init-config回车vars回车clean-all回车进行初始化。2) 修改配置文件打开“OpenVPN根目录/connfig”目录，在该目录下创建文件server.ovpn，用记事本打开，进行修改，配置样例如下：local 01port 443mode serverproto tcp-serverdev tapserver push route keepalive 20 180ca C:Program FilesOPENVPNKEYca.crtcert C:Program FilesOpenVPNkeyserver.crtkey C:Program FilesOpenVPNkeyserver.keydh C:Program FilesOpenVPNkeydh1024.pempush redirect-gateway def1push dhcp-option DNS status D:Program FilesOpenVPNlogopenvpn-status.logcomp-lzoverb 46 搭建配置OpenVPN Client仿照OpenVPN Server的安装，在客户机上安装OpenVPN客户端，在客户端安装完成之后，需要把服务器端生成的客户端证书文件拷贝到客户端“OpenVPN安装目录key”目录里，在“OpenVPN安装目录config”目录下创建client.ovpn，用记事本打开，进行修改，Client配置样例如下：Clientdev tapproto tcp-clientremote 01 443resolv-retry infinitenobindmute-replay-warningsca C:Program FilesOPENVPNKEYca.crtcert C:Program FilesOPENVPNKEYclient1.crtkey C:Program FilesOPENVPNKEYclient1.keycomp-lzoverb 4status openvpn-status.logcomp-lzo7 OpenVPN管控7.1 开启服务1) 开启linux服务端在linux终端输入以下命令:/usr/local/sbin/openvpn -daemon -config /etc/openvpn/server.conf 回车echo /usr/local/sbin/openvpn -daemon -config /etc/openvpn/server.conf /etc/rc.local回车 2) 开启windows服务端双击图标，然后右键点击电脑任务栏中的小图标，在弹出的菜单中，单击connect。7.2 权限管控1) 为特定用户定制IP在服务端的目录/etc/openvpn/ccd/中，修改配置文件为用户定制IP。如：添加命令ifconfig-push ，则为客户端定制IP为：2) 吊销客户端证书输入以下命令，在目录openvpn/easy-rsa/2.0中生成吊销证书列表：cd openvpn/easy-rsa/2.0source ./vars./revoke-fullking在上述命令执行完成后会在openvpn/easy-rsa/2.0/keys目录下生成一个crl.pem文件，该文件中包含了吊销证书的名单。将crl.pem复制到/etc/openvpn，并在server.conf中加入如下内容，并重启openvpn服务。 crl-verify /etc/openvpn/crl.pem3) 利用防火墙对客户端进行控制1. 在服务端的配置文件server.conf中增加如下内容：server server server client-config-dir ccd配置说明：是给所有VPN客户端的IP段；是给管理员分配的IP段；是给特定用户组分配的IP段；下面是定义服务器读取特殊客户端配置文件的目录为ccd；2. 在ccd文件夹中利用客户端证书的common name分别新建各种权限的用户端配置文件，在配置文件中为用户指定IP地址。如：common name为client1的客户端，需在新建的client1文件中添加如下内容：Ifconfig-push 3. 用iptables防火墙做限制，在终端输入如下命令：iptables -A FORWARD -i tun0 -s /24 -d -j ACCEPTiptables -A FORWARD -i tun0 -s /24 -d /24 -j ACCEPTiptables -A FORWARD -i tun0 -s /24 -d 2 -j ACCEPT命令说明：-s /24 d 即防火墙允许ip地址为/24网段内的用户访问服务器主机。7.3 安全管控1) 创建tls-auth 输入命令：openvpn -genkey -secret ta.key创建证书tar.key。在服务端配置文件server.conf中加入以下内容：tls-auth ta.key 0在客户端配置文件client.conf中加入以下内容：tls-auth ta.key 12) 使用UDP协议UDP协议能够防止端口被扫描，防止DOS攻击。在配置文件server.conf中，把proto tcp改为proto udp。3) 使用Large symmetric keys在配置文件中加入：cipher AES-256-CBC4) 把ca.key单独存放在服务器和客户端均不需要使用ca.key，但是ca.key却很重要，可以把ca.key另外存放在安全的地方。7.4 OpenVPN使用1) 通过OpenVPN虚拟网络实现两地内网互访在OpenVPN Server的配置文件中加入push命令，把Client端到Server端内网的路由推送给Client端，并且在服务器添加从Server端到Client端的路由。如：Client端网段，连接内网网段为的服务端：push route route 2) OpenVPN Client端互访在OpenVPN Server的配置文件conf.opvn中添加client-to-client。3) 通过使用OpenVPN Client访问服务器内网在OpenVPN Server的配置文件中加入push命令，把Client端到Server端内网的路由推送给Client端。如：连接内网网段为的服务端，需要添加如下命令push route 8 OpenVPN配置文件说明OpenVPN服务端配置样例如下：Local 01/指定监听的IP地址，若服务器有多个网卡，则需要进行指定port 1194/指定端口号。proto udp;proto tcp/指定文件的传输协议，可选择tcp协议。dev tun;dev tap/指定传输设备，tun设备工作在三层Tcp/Ip协议层，为虚拟“点对点IP”传输；tap工作在二层链路传输层，为虚拟“网桥”传输。须和Client端匹配ca /etc/openvpn/2.0/keys/ca.crtcert /etc/openvpn/2.0/keys/ovpnser.crtkey /etc/openvpn/2.0/keys/ovpnser.key dh /etc/openvpn/2.0/keys/dh1024.pem/指定证书、密钥文件server /指定为Server端，并且为客户端分配网段的ipifconfig-pool-persist ipp.txt/用于记录某个client获得的ip地址route01 /为服务端添加一条静态路由push23 /向客户端推送路由push redirect-gateway /向客户端推送默认网关，使客户端所有的Traffic都经过服务端push dhcp-option DNS push dhcp-option DNS 50 /向客户端推送DNSclient-to-client/定义客户端可以互访keepalive 10 120/表示每10秒通过VPN的Control通道ping对方，如果连续120秒无法ping通，/认为连接丢失，并重新启动VPN，重新连接。comp-lzo/压缩进行传输；须和客户端匹配user nobodygroup nobody/保护服务器主机，使用nobody账户开启OpenVPNpersist-key/通过keepalive检测超时后，重新启动VPN，不重新读取keys，保留第一次使用的keys。persist-tun/通过keepalive检测超时后，重新启动VPN，一直保持tun或者tap设备是linkup的。status openvpn-status.log/定期把openvpn的一些状态信息写到文件中 log/var/log/openvpn.log/记录日志，每次重新启动openvpn后删除原有的log信息max-clients 100/定义最大连接数;log-append ope