首先说明:虽然是原创,但有部分内容是借鉴了这位兄弟的文章:
http://blog.chinaunix.net/xmlrpc.php?r=blog/article&uid=27673206&id=3772566
按照这篇文档,你可以部署成功,但其中一些细节没有描述清楚。或者有后遗症,导致你的vpn client无法ping通内网。好了,下面整理了一下。以备查阅:
首先安装系统,这里说明是OPENBSD 5.1 或5.3. 如果是5.5,有些命令无法执行。特别要注意。
环境说明:
1,openvpn server: openbsd 5.1, 双网卡,外网卡ip:218.4.144.1/24,内网卡:192.168.0.1/24。无需配置网关。
2,openinside:freebsd 10 ,单网卡:192.168.0.2/24,gateway:192.168.0.1
3.openoutside:MS XP,单网卡: 218.4.144.2/24,no gateway。
系统安装和基本配置我就不描述了,从部署openvpn开始。
1.1 安装openvpn
有两种方法,一种是下载所需的软件到本地进行安装,另外一种是使用pkg_add进行安装。因为我已开始使用openbsd 5.5上安装openvpn,出现了很多问题,所以不建议搭建在本地编译源代码安装。
使用pkg_add安装的方法是:把openvpn配置为可以访问internet,执行下面的操作。
# export PKG_PATH=ftp://ftp.jaist.ac.jp/pub/OpenBSD/5.3/packages/i386/ //这个地址可以自己到openbsd网站上查找。
# ftp -m -V $PKG_PATH/index.txt //下载index.txt文件到本地
# grep openvpn index.txt //使用grep进行搜索openvpn文件。没有yum那么方便。
-rw-r--r-- 1 421 111 336934 Feb 26 09:19:36 2013 openvpn-2.2.2p1.tgz
-rw-r--r-- 1 421 111 49144 Feb 26 11:00:56 2013 openvpn-auth-ldap-2.0.3.tgz
-rw-r--r-- 1 421 111 4689 Feb 26 11:57:55 2013 openvpn_bsdauth-7p0.tgz
# pkg_add openvpn-2.2.2p1.tgz //找到可用的版本进行安装。安装过程类似于yum。会自动安装依赖软件。
1.2 openvpn 配置
1.openvpn默认安装完成后是不会在/etc目录下生成配置文件,需从/usr/local/share/examples/openvpn/ 复制过来
#mkdir -p /etc/openvpn/easy-rsa
#cp /usr/local/share/examples/openvpn/easy-rsa/2.0/* /etc/openvpn/easy-rsa
//openbsd 5.5安装openvpn后,是不会在/usr/local/share/examples/openvpn/下面生成easy-rsa的
2.默认情况下OpenBSD安装Open×××会缺少一个文件whichopensslcnf,用vi编辑一下即可。编辑的位置为:/etc/openvpn/easy-rsa。其实就是新建一个文件。并把下面的内容添加到whichopensslcnf中。
#vi whichopensslcnf
#-Begin----------------------
#!/bin/sh
if [ "$OPENSSL" ]; then
if $OPENSSL version | grep 1.0.0 > /dev/null; then
echo "$1/openssl-1.0.0.cnf"
else
echo "$1/openssl.cnf"
fi
else
echo "$1/openssl-1.0.0.cnf"
fi
exit 0
#-End---------------------
授于可执行权限
#chmod +x whichopensslcnf
3.编辑 /etc/openvpn/easy-rsa/vars
# cd /etc/openvpn/easy-rsa/
# vi vars //根据需要修改下面的选项。如果不修改,并不影响后面的配置和使用效果。
export KEY_COUNTRY=CN (国家)
export KEY_PROVINCE=SD (省份)
export KEY_CITY=QD (城市)
export KEY_ORG="Open×××-Server" (组织或公司)
export KEY_EMAIL="demo@demo.org" (电子邮箱)
4.令vars 生效。两个点之间有个空格不然会出错(在Linux下,这句话是source ./vars,但是OpenBSD默认使用ksh,没有source,用点可以起到同样作用。)
#. ./vars
NOTE: If you run ./clean-all, I will be doing a rm -rf on /etc/openvpn/easy-rsa/2.0/keys
5.清理以前产生的旧密钥
#./clean-all //openbsd 5.5无法执行该命令。
6.创建根ca证书,完成后会看到keys文件夹,里面有ca.*文件,一路回车即可
#./build-ca //openbsd 5.5无法执行该命令。
7.生成用于服务器的密钥,不妨给服务器起名为server,
#./build-key-server server //openbsd 5.5无法执行该命令。
一路回车,最后两个y/n均回答y //根据需要,填入自己的内容。默认是client,如果修改,后面的相关内容也要修改。仔细看。
8.在/etc/openvpn/easy-rsa/keys目录中生成dh1024.pem文件。
#./build-dh
9.防止 DoS 攻击 和 UDP 端口 flooding,生成一个"HMAC firewall",在/etc/openvpn/easy-rsa/keys目录中生成。
# cd /etc/openvpn/easy-rsa/keys && openvpn --genkey --secret ta.key
10.现在生成客户端密钥,比如用户名是 xisxy(如果有100个用户,就得生成100个密钥)
# cd /etc/openvpn/easy-rsa/
# ./build-key xisxy
11.配置openvpn服务器端配置文件。
在/usr/local/share/examples/openvpn/sample-config-files/ 目录中有配置文件的模板文件。把服务器配置文件 server.conf 复制到 /etc/openvpn/
# cp /usr/local/share/examples/openvpn/sample-config-files/server.conf /etc/openvpn
# cd /etc/openvpn/
# vi server.conf
(修改为如下内容)
port 1194 #端口
proto tcp # 协议,udp 在大部分环境中运行良好,如需要玩联网游戏可设为udp。
dev tun0 # 虚拟网络设备
ca /etc/openvpn/easy-rsa/keys/ca.crt # 根 ca证书,注意路径。默认是没有指明路径的。
cert /etc/openvpn/easy-rsa/keys/server.crt # 服务器证书,注意路径。默认是没有指明路径的。
key /etc/openvpn/easy-rsa/keys/server.key # 服务器密钥,注意路径。默认是没有指明路径的。
dh /etc/openvpn/easy-rsa/keys/dh1024.pem # Diffie hellman parameters,注意路径。默认是没有指明路径的。
server 10.8.0.0 255.255.255.0 # ××× 虚拟网段,这里非常重要。这个网段是给vpn客户端使用的,不是vpn server内网所直连的网段。
push "route 192.168.0.0 255.255.255.0" #为vpn client添加路由。告诉vpn client,如果要访问192.168.0.0/24网段,要把数据包发送给vpn server,默认是10.8.0.1.具体的ip要看你上面一样参数的设置。
ifconfig-pool-persist ipp.txt #从新连接后分配刚刚使用过的ip地址
push "redirect-gateway def1 bypass-dhcp" #改变默认网关,要做代理这一点很重要。可以把openvpn服务器当作网关,上网都通过openvpn服务器上网(PF NAT功能)
push "dhcp-option DNS 8.8.8.8" #设置client的DNS服务器,还可以高为 10.8.0.1 ,这时openvpn服务器本身充当DNS服务器了。
#client-to-client # 在这里不需要虚拟网中的机器互相看到服务器以外的机器,所以要注释掉
keepalive 10 120 #每10秒ping一次,120秒不响应,从新连接
tls-auth /etc/openvpn/easy-rsa/keys/ta.key 0 #防止 DoS 攻击 和 UDP 端口 flooding,生成一个"HMAC firewall",注意服务器端是0,client端是1
comp-lzo # 用lzo压缩
user _openvpngroup _openvpn
persist-key
persist-tun
status openvpn-status.log # 每分中更新openvpn状态记录
verb 3
1.3、测试服务器
# /usr/local/sbin/openvpn --config /etc/openvpn/server.conf --cd /etc/openvpn & //启动openvpn服务。即监听1194端口。
最后出现Initialization Sequence Completed ,表示openvpn服务器启动成功。
让服务器自动启动openvpn服务,
# vi /etc/rc.local #添加如下一行
/usr/local/sbin/openvpn --config /etc/openvpn/server.conf --cd /etc/openvpn &
Q:如果修改了上面的server.conf配置文件,如何重新启动openvpn服务?
A:使用jobs查看当前后天程序。使用fg把程序调入到前台,然后按ctrl+c结束程序。如果有多个jobs,根据编号,使用fg 编号 的方式调入到前台,比如
#fg 2
1.4、配置openvpn服务器pf防火墙,实现NAT功能。
1.开启IP转发功能
# sysctl net.inet.ip.forwarding=1
如要总是开启此功能,可在/etc/sysctl.conf文件中,把net.inet.ip.forwarding=1前面的#去掉即可
# vi /etc/sysctl.conf
net.inet.ip.forwarding=1
2.通过自带PF实现NAT
# vi /etc/pf.conf
加入如下内容
ext_if="bge0"
int_if="tun0"
internal_net="10.8.0.0/24"
match out on $ext_if from $internal_net to any nat-to $ext_if
pass on em0 proto tcp from any to any port 1194 //允许外部访问openvpn外网口的1194端口。默认pf.conf配置文件中有pass语句。
这里要说明一下,这里的rule,如果才能精细化控制vpnclient访问内网资源?
如果要细化控制访问,注意规则距离如下:
pass proto tcp from 10.8.0.0/24 to 192.168.0.0/24 port 22
说明:10.8.0.0/24,是分配给vpnclient使用的。192.168.0.0/24是vpn server的内网网段。
根据此规则进行其他rule编写。
3.使新的规则生效
检验写的规则是否有问题:
#pfctl -nf /etc/pf.conf
没有问题在加载。
# pfctl -f /etc/pf.conf
查看加载了哪些规则:
pfctl -vf /etc/pf.conf
1.5、client的安装与配置
1.类unix client
在/usr/local/share/examples/openvpn/sample-config-files/目录中有配置文件的模板文件。把client配置文件client.conf复制到/etc/openvpn/,没有该文件夹就新建一个。
# cp /usr/local/share/examples/openvpn/sample-config-files/client.conf /etc/openvpn/
# vi /etc/openvpn/client.conf
-------------------------------------------
client
dev tun0
proto tcp
remote ***.***.***.*** 1194 # ***.***.***.***部分为你openvpn server 外网的IP地址或域名
resolv-retry infinite
nobind
user nobody
group nobody
persist-key
persist-tun
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/xisxy.crt //上面创建ca时,自己所填写的内容。
key /etc/openvpn/easy-rsa/keys/xisxy.key //上面创建ca时,自己所填写的内容。
tls-auth /etc/openvpn/easy-rsa/keys/ta.key 1 #注意服务器端是0,client端是1
comp-lzo
verb 3
--------------------------------------------------
测试一下client。
# openvpn /etc/openvpn/client.conf
最后出现Initialization Sequence Completed,表示openvpn client成功连接到服务器。
分配的虚拟专用网络IP地址为10.8.0.4。现在就可用虚拟专用网络中的IP地址来访问访问服务器。
访问外部网页等会透过×××服务器NAT来实现。
使用ping测试一下访问内网的 client。
2.windows client
安装文件(for windows): openvpn-2.0.9-gui-1.0.3-install.exe 客户端的版本没有什么限制,最新版也最好。
下载地址:http://www.openvpn.se/download.html
复制客户端密钥(client.crt和client.key)和ca.crt和ta.key复制到Client_PC的C:\Program Files\Open×××\config\ 目录。
还要把C:\Program Files\Open×××\sample-config\client.ovpn文件复制到
C:\Program Files\Open×××\config\ 目录。
直接点击C:\Program Files\Open×××\config\client.ovpn用记事本编辑配置文件。
这是PC1的client配置文件。
----------------------------------------------------
client //这个就是client,不要修改。
dev tun0
proto tcp
remote ***.***.***.*** 1194 # ***.***.***.***部分为你openvpn server 外网的IP地址或域名
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert xisxy.crt //上面创建ca时,自己所填写的内容。
key xisxy.key //上面创建ca时,自己所填写的内容。
tls-auth ta.key 1 #注意client端是1
comp-lzo
verb 3
------------------------------------------------
双击桌面上的Open××× GUI图标,然后在右下角任务栏的图标上右击,选择connect。连接成功后,使用ping测试一样内网连通性把。
祝你好运。
最后,说明一下,如果按照上文配置成功后,客户端在连接的时候,不用输入密码就可以连接到openvpn服务器了。这有一定的安全隐患。如何配置呢?
其实无需配置。只要在客户端Open××× GUI图标右击,选择change password,原密码为空,输入两次新密码就ok了。保持后,再次连接时就需要密码验证了。