OpenVPN服务器架设手册.doc

OpenVPN服务端架设配置说明一、 目的在公司内部的CentOS服务器上架设OpenVPN服务器，使得在公司内部网络外的员工能够使用VPN通道连入公司内部网络，实现远程办公。二、 网络环境图2-1 网络环境示意图公司内网使用交换机Vlan划分为3个部分：/24 办公用网段，只能访问内网资源；/24 办公用网段，可同时访问内网资源和Internet资源；/24 视频监控用网段，只能访问内网资源。Internet接入点为联通的4M-ADSL宽带拨号（IP地址在拨号时随机分配）。出口路由器（内网地址：53）上配置了花生壳动态域名解析，获得公网域名：。用户端：员工自己的终端设备，通过ISP服务商提供的服务接入Internet。三、 系统环境及软件的安装3.1 软件需求CentOS ：目前使用的版本为CentOS-5.6-i386-bin-DVDlzo ：目前使用的版本为lzo-2.02-3.el5.kb.i386.rpmOpenVPN ：目前使用的版本为openvpn-2.1-0.20.rc4.el5.kb.i386.rpm3.2 CentOS操作系统安装在服务器50上安装CentOS操作系统：使用光盘启动，除语言种类和软件库外，其余选项全部使用缺省项安装即可：图3.2-1 开始安装 选择语言类别：根据需要选择（默认为英语）；图3.2-2 语言类别选择 选择键盘布局：美国英语式； 创建硬盘分区表：可以使用默认设置； 设置系统时区：根据需要设置； 设置root账户密码：图3.2-3 设置root账户密码 安装软件库中添加Server和Server-GUI：图3.2-4 软件库选择至此，CentOS操作系统的安装就已经完成。图3.2-5 完成安装第一次进入系统时的初始化配置，也可进入系统后修改：图3.2-6 启用防火墙图3.2-7 启用SELinux图3.2-8 设置Kdump图3.2-9 设置时间日期图3.2-10 创建用户账号图3.2-11 安装附加软件进入系统后，需要根据实际情况设置网卡的IP地址，管理路径为：“系统”菜单栏（桌面左上角）管理网络，配置界面如下图所示：图3.2-12 设置网卡IPl 双击需设置IP的网卡设备（实际使用的是eth1接口，eth0为光纤接口）；l 勾选“当计算机启动时激活设备”选项；l 当前设置静态IP地址为 50子网掩码为 默认网关为 533.3 安装OpenVPN前的准备在软件安装之前，请确认服务器可以正常访问Internet，并且所使用的账号具有管理权限，例如：root账号。过程中，建议使用yum命令在线安装软件（组件），以防止出现软件依赖性问题，导致软件无法正常工作，yum的使用方法详见附录。颜色说明：本文中XX（绿色正体）为需要输入的命令、XX（红色斜体）为需要根据实际编写的代码段、XX（蓝色正体）为系统回显信息、XX（黑色斜体）为样本文件中无需调整的代码段。3.3.1 安装gcc（GNU Compiler Collection，GNU编译器套装）：yum install gcc; 图3.3.1-1 安装gcc软件图3.3.1-2 软件gcc安装完成3.3.2 安装Openssl-devel：yum install openssl-devel；图3.3.2-1 安装openssl-devel软件图3.3.2-2 软件openssl-devel安装完成3.3.3 安装lzo：登陆搜索lzo软件包通过图形化界面使用软件包安装工具执行在线安装；也可以使用rpm -ivh lzo-2.02-3.el5.kb.i386.rpm命令安装事先下载好的软件包。图3.3.3-1 在线安装lzo3.4 安装OpenVPN登陆搜索openvpn软件包通过图形化界面使用软件包安装工具执行在线安装；也可以使用rpm -ivh openvpn-2.1-0.20.rc4.el5.kb.i386.rpm命令安装事先下载好的软件包。图3.4-1 在线安装openvpn四、配置OpenVPN服务器将openvpn安装目录下/easy-rsa/2.0目录复制到/etc/openvpn/路径下：cp -rf /usr/share/openvpn/easy-rsa/2.0 /etc/openvpn/将openvpn服务器配置文件范本复制到/etc/openvpn/路径下：cp /usr/share/doc/openvpn-2.1/sample-config-files/server.conf /etc/openvpn/4.1 初始化KPI进入/etc/openvpn/2.0目录下：vi vars #根据需要修改下列代码中红色字段export KEY_COUNTRY=US#国家（限两位字符）export KEY_PROVINCE=CA#省份export KEY_CITY=SanFrancisco#城市export KEY_ORG=Fort-Funston#组织机构export KEY_EMAIL=memyhost.mydomain#联系人邮箱4.2 注册修改后的环境变量source vars4.3 生成CA证书./clean-all#清除原有证书./build-ca#生成新的ca证书文件图4.3-1 清空旧ca，生成新ca4.4 生成服务端证书./build-key-server openvpn-server #红色参数为生成的服务端证书文件名图4.4-1 生成服务端证书4.5 生成客户端证书./build-key openvpn-client #红色参数为生成的客户端证书文件名图4.5-1 生成客户端证书如需要多个客户端证书，重复执行./build-key client*即可。但需要注意的是每个客户端证书文件的common name必须是不一样的，即client*不能重名。4.6 生成Diffie-Hellman参数./build-dh图4.6-1 生成dh文件至此，openvpn服务器及客户端所使用的证书文件已全部生成完毕，可将/etc/openvpn/2.0/keys/目录下的所有文件导出备用。如需要重新生成或增加客户端证书文件，须清空原有全部证书文件，重新创建新的证书文件（包括ca、服务端证书、客户端证书以及dh文件），即从4.1开始执行至4.6。4.7 编辑服务器配置文件进入/etc/openvpn目录，编辑server.conf文件：vi /etc/openvpn /server.conf #查找并修改以下代码内容，配置文件中的#和;为注释port 1194 #指定通讯端口proto udp #使用udp协议dev tun #使用路由交换模式ca /etc/openvpn/2.0/keys/ca.crt #指定ca.crt文件的绝对路径cert /etc/openvpn/2.0/keys/openvpn-server.crt #指定server.crt文件的绝对路径key /etc/openvpn/2.0/keys/openvpn-server.key#指定server.key文件的绝对路径dh /etc/openvpn/2.0/keys/dh1024.pem #指定dh1024.pem文件的绝对路径server #设置VPN通道的网段ifconfig-pool-persist /etc/openvpn/ipp.txt #创建客户端IP记录文本push route #允许客户端访问内网的2网段push route #允许客户端访问内网的4网段push route #允许客户端访问内网的8网段push dhcp-option DNS #设置客户端DNS地址push dhcp-option DNS 8 #一般设为服务器端公网DNS地址client-to-client #允许连上VPN服务器的客户端互相访问keepalive 10 120 #设置超时：发送10sec/次，超时120sec无响应comp-lzo #开启实时压缩，客户端须与服务端配置一致persist-key persist-tunstatus /etc/openvpn/openvpn-status.log #创建openvpn状态日志log /etc/openvpn/openvpn.log #创建openvpn日志verb 3 #设置日志记录等级五、 启动OpenVPN服务及验证5.1 初始化OpenVPN服务/usr/sbin/openvpn -config /etc/openvpn/server.conf图5.1-1 初始化VPN5.2 启动OpenVPN服务进入系统监视器（管理路径为：“系统”菜单栏（桌面左上角）管理系统监视器），结束openvpn进程（不结束此进程有可能导致openvpn服务启动失败）图5.2-1 结束进程进入openvpn程序所在目录，启动openvpn服务cd /usr/sbinservice openvpn start图5.2-2 启动VPN服务设置openvpn服务开机自动启动chkconfig openvpn on5.3 配置路由转发为了使客户端连上OpenVPN服务器后能够访问公司内部网络，还必须开启OpenVPN服务器的包转发功能，将VPN通道的数据包转发到OpenVPN服务器与公司内网相连接的网卡上vi /etc/sysctl.confnet.ipv4.ip_forward = 1iptables -t nat -A POSTROUTING -s /24（注：VPN通道网段） -o eth1（注：指定VPN服务器内网连接的物理网卡名） -j SNAT -to-source 50（注：VPN服务器IP）将配置好的防火墙策略保存，并写入防火墙初始化文档，使其在计算机重启时能够自动应用。/etc/rc.d/init.d/iptables save5.4 验证OpenVPN服务器状态进入openvpn程序所在目录，重新启动openvpn服务看服务能否正常启动service openvpn restart图5.4-1 重启VPN服务查看网卡信息中，有无tun设备且ip地址为ifconfig图5.4-2 检查网卡配置查看防火墙状态，看数据包转发功能是否正常检查Chain POSTROUTING（police ACCEPT）一栏下有无如下信息：SNAT all - /24 /0 to:50图5.4-3 检查防火墙配置使用客户端连接验证，详细内容参见OpenVPN客户端安装配置说明文档。附录：Linux的软件安装l 按软件包的类型划分：1、以二进制形式发布的软件包（已编译完成的，安装较简单，可修改性差）；2、以源代码形式发布的软件包（未编译的，需自行编译安装，可修改性强）。l 按软件包的封装格式划分，常用的有：1、tar包： 如software-1.2.3-1.tar.gz 使用UNIX系统的tar工具打包的；2、rpm包：如software-1.2.3-1.i386.rpm Redhat Linux提供的一种包封装格式。l 软件包的安装：1、tar包：一般都是源码形式发布的软件包其安装步骤为：解压缩tar包：tar -xzvf software-1.2.3-1.tar.gz或使用图形界面工具解压缩； 进入解压目录：cd software； 配置：./configure; 调用make：make； 安装源代码：make install； 删除安装时的临时文件：make clean； 软件卸载：一般需要手动删除相关目录。2、rpm包：RPM全称是Red Hat Package Manager（Red Hat包管理器），安装rpm包软件相对tar包来说要简单的多： 软件编译：rpm -rebuild software.src.rpm软件安装：进入编译好的rpm包所在路径下执行以下命令rpm -ivh software -1.2.3 -1 .i386 .rpm； 软件卸载：rpm -e software