openvpn安装配置

服务器：192.168.10.31 172.28.3.2

客户端：192.168.10.2

实现客户端可以访问服务器内网172网段

1.安装软件包

tar zxvf /home/lzo-2.05.tar.gz -C /usr/src/

cd /usr/src/lzo-2.05/

./configure

make && make install

（http://www.oberhumer.com/opensource/lzo/download/）

yum -y install openssl-devel

tar zxvf /home/openvpn-2.1.4.tar.gz -C /usr/src/

cd /usr/src/openvpn-2.1.4/

./configure

make && make install

（http://openvpn.net/index.php/open-source/downloads.html）

2.配置

cd easy-rsa/2.0/

vi vars

export KEY_COUNTRY="CN"

export KEY_PROVINCE="BJ"

export KEY_CITY="beijing"

export KEY_ORG="beijing"

export KEY_EMAIL="davidqikangwei@qq.com"

source vars                   //配置PKI

./clean-all                   //配置PKI

./build-ca                    //创建本地CA

./build-key-server server     //创建密钥及证书

./build-key qikangwei         //创建客户端密钥及证书

./build-dh                    //创建DH参数

openvpn --genkey --secret keys/ta.key      //创建预共享密钥

mkdir -p /etc/openvpn/keys

cp /usr/src/openvpn-2.1.4/easy-rsa/2.0/keys/ca.crt  /etc/openvpn/keys/

cp /usr/src/openvpn-2.1.4/easy-rsa/2.0/keys/server.crt /etc/openvpn/keys/

cp /usr/src/openvpn-2.1.4/easy-rsa/2.0/keys/server.key /etc/openvpn/keys/

cp /usr/src/openvpn-2.1.4/easy-rsa/2.0/keys/ta.key /etc/openvpn/keys/

cp /usr/src/openvpn-2.1.4/easy-rsa/2.0/keys/dh1024.pem /etc/openvpn/keys/

cd /etc/openvpn/

cp /usr/src/openvpn-2.1.4/sample-config-files/server.conf ./

vi server.conf                //配置主配置文件，此为修改部分,其他的保持默认

local 192.168.10.31

ca /etc/openvpn/keys/ca.crt

cert /etc/openvpn/keys/server.crt

key /etc/openvpn/keys/server.key  # This file should be kept secret

dh /etc/openvpn/keys/dh1024.pem

server 10.8.0.0 255.255.255.0

ifconfig-pool-persist ipp.txt

push "route 172.28.3.0 255.255.255.0"

client-to-client

duplicate-cn

tls-auth /etc/openvpn/keys/ta.key 0 # This file is secret

comp-lzo

max-clients 20

user nobody

group nobody

3.启动openvpn

cp /usr/src/openvpn-2.1.4/sample-scripts/openvpn.init /etc/init.d/openvpn

chkconfig --add openvpn

service openvpn start

（注：开启路由转发

vi /etc/sysctl.conf

net.ipv4.ip_forward = 1

sysctl -p

iptables -F INPUT

iptables -F OUTPUT

iptables -F FORWARD

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -d 172.28.3.0/24 -j SNAT --to-source 172.28.3.2

）

4.配置客户端

安装openvpn-2.1.4-install.exe

将上面生成的ca.crt、qikangwei.key、qikangwei.crt、ta.key下载到客户端本地，并放在openvpn安装目录下的config文件夹下。

双击ca.crt、qikangwei.crt安装证书。

将sample文件夹下的client.ovpn拷贝到config文件夹下。

编辑client.ovpn（此处为修改部分，其他的保持默认）

remote 192.168.10.31 1194

resolv-retry infinite

nobind

persist-key

persist-tun

ca ca.crt

cert qikangwei.crt

key qikangwei.key

tls-auth ta.key 1

运行openvpn客户端连接就可以了。

测试结果：ping 10.8.0.1通，ping 172.28.3.2通

另外找一台服务器内网为 172.28.3.x，若能在客户端ping通则实验成功。

此属本人个人配置，省略了一些步骤，尚有不足之处，不同环境可能配置不同，各位童鞋可参考其他作者文档。