在Linux平台上部署openvpn

部署openvpn

openvpn虚拟专用通道

认证方式：证书认证

实验环境：

openvpn_server 2块网卡     redhat6.5           内网：192.168.1.10

                                               外网：172.16.16.172

局域网内主机               redhat6.5            ip：192.168.1.100

openvpn_client             win7              ip:172.16.16.173 gateway:172.16.16.172

确保安装openssl-devel pam-devel(redhat6.5光盘中有) 

        lzo(准备软件包并安装)

lzo:致力于解压速度的加密  ，用于实现连接vpn

  

  

 

    

         

     

准备openvpn包（openvpn-2.3.5.tar.gz）：openvpn_server

easyrsa（easy-rsa-2.2.0_master.tar.gz）:提供ca证书，服务端证书和客户端证书

winscp（winscp416setup.exe）:用于实现linux和win7系统之间下载文件

vpn客户端（openvpn-install-2.3.5-I601-x86_64.exe）:openvpn_client

1.编译安装openvpn

    

2.解压easyrsa,移动到openvpn目录下

  

  

3.vi vars

  

  根据实际情况修改，这里只改了邮箱。

4.创建根证书

  

   

  Common Name 填写vpn_server的FQDN名

  

  生成dh文件

  

  

5.创建服务器证书

  

 

6.创建客户端证书

  

  

  Common Name填写客户端名，必须唯一。  

  

7.打包ca证书和客户端证书

  

  

 

8.利用样例文件生成主配置文件，并修改主配置文件

  

  修改主配置文件

  

  

 dev tun:使用tun借口建立隧道，Open××× 可以使用 TUN 或者 TAP 接口建立隧道，TUN 接口创建的是三层路由隧道，建立方便，TAP 是二层网卡桥接隧道，即创建一个以太网桥接，相对复杂。

  server:是分发给vpn_client的IP地址

  push "route 192.168.1.0 255.255.255.0":给vpn_client到内网的路由

9.在vpn_server上关闭iptables和selinux

 

   

  vim /etc/sysconfig/selinux

  

10.启动路由功能

   

11.启动vpn并查看

   

   

   

   ctrl+c终止

   后台运行

  

  查看监听状态

  

12.下载并安装vpn客户端：openvpn-install-2.3.5-I601-x86_64.exe

13.把打包的ca证书和客户端证书移动到win7上

   在客户端上安装winscp

   

  

14. 把keys.tar.gz解压到安装目录下的config里

15. 把sample-config里的client.ovpn复制到config里

   

    

    

16. 修改client.ovpn

     

     

      

     

    保存并退出

17.双击openvpnGUI连接，右击图标connect，连接成功

18.测试内网主机，注意内网防火墙。

   

19.吊销客户端证书

   当我们需要取消某个vpn客户端权限时，我们只需要吊销客户端证书

   

    查看keys,生成一个 crl.pem 文件，这个文件中包含了吊销证书的名单

   

   

   查看keys/index.txt可以看到吊销的证书 

   

   在/etc/server.conf中加入如下一行，使证书失效。

    

    重启openvpn，客户端不能连接。