在CentOS上配置OpenVPN涉及多个步骤,包括安装必要的软件包、生成证书、配置服务器和客户端等,以下是详细的配置指南:
一、准备工作
1、更新YUM源:
为了确保能够获取到最新的软件包,建议将YUM源更新为阿里云的YUM源,执行以下命令:
wget O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel7.repo
2、安装依赖的软件包:
安装OpenVPN及其依赖项,包括lzo、openssl等:
yum install y lzo lzodevel openssl openssldevel pam pamdevel yum install y pkcs11helper pkcs11helperdevel
3、确认软件包已成功安装:
rpm qa | grep lzo rpm qa | grep openssl
二、安装EasyRSA
1、安装EasyRSA:
yum install y easyrsa
2、创建证书环境目录并复制文件:
mkdir p /opt/easyrsa cp a /usr/share/easyrsa/3.0.8/* /opt/easyrsa/ cp a /usr/share/doc/easyrsa3.0.8/vars.example /opt/easyrsa/vars
3、修改vars配置文件:
编辑/opt/easyrsa/vars文件,取消以下配置的注释并设置相应的值:
vi /opt/easyrsa/vars set_var EASYRSA_DN "cn_only" set_var EASYRSA_REQ_COUNTRY "CN" set_var EASYRSA_REQ_PROVINCE "GuangDong" set_var EASYRSA_REQ_CITY "GuangZhou" set_var EASYRSA_REQ_ORG "IT" set_var EASYRSA_REQ_EMAIL "IT@qq.com" set_var EASYRSA_NS_SUPPORT "yes"
4、初始化PKI目录:
cd /opt/easyrsa/ ./easyrsa initpki
5、创建根证书:
./easyrsa buildca
6、创建服务器证书和密钥:
./easyrsa genreq server nopass ./easyrsa sign server server
7、创建DiffieHellman文件:
./easyrsa gendh
8、创建客户端证书和密钥:
./easyrsa genreq client nopass ./easyrsa sign client client
三、安装OpenVPN服务端
1、安装OpenVPN:
yum install y openvpn
2、生成TLS认证密钥:
openvpn genkey secret /etc/openvpn/ta.key
3、配置server.conf文件:
创建或编辑/etc/openvpn/server.conf文件,添加以下内容:
port 1194 proto udp dev tun ca ca.crt cert server.crt key server.key dh dh.pem server 10.8.0.0 255.255.255.0 push "route 10.66.17.0 255.255.255.0" ifconfigpoolpersist ipp.txt keepalive 10 120 maxclients 100 status openvpnstatus.log log /var/log/openvpn.log verb 3 clienttoclient persistkey persisttun tlsauth ta.key 0 duplicatecn scriptsecurity 3 authuserpassverify /etc/openvpn/check.sh viaenv usernameascommonname
4、配置密码验证脚本和密码本:
创建/etc/openvpn/check.sh脚本,用于用户名和密码验证:
vi /etc/openvpn/check.sh
#!/bin/bash
PASSFILE="/etc/openvpn/openvpnpass"
LOG_FILE="/var/log/openvpnpassword.log"
TIME_STAMP=$(date "+%Y%m%d %T")
if [ ! r "$PASSFILE" ]; then
echo "$TIME_STAMP: Could not open password file \"$PASSFILE\" for reading." >> $LOG_FILE
exit 1
fi
CORRECT_PASSWORD=$(awk '!/^;/&&!/^#/&&$1=="'${username}'"{print $2;exit}' $PASSFILE)
if [ "$CORRECT_PASSWORD" = "" ]; then
echo "$TIME_STAMP: User does not exist: username=\"${username}\",password=\"${password}\"." >> $LOG_FILE
exit 1
fi 创建或编辑密码本文件/etc/openvpn/openvpnpass,格式如下:
username password
赋予脚本执行权限:
chmod +x /etc/openvpn/check.sh
四、配置防火墙和启动服务
1、设置IP转发:
vim /etc/sysctl.conf net.ipv4.ip_forward = 1 sysctl p
2、配置防火墙规则:
iptables t nat A POSTROUTING s 10.8.0.0/24 j MASQUERADE service iptables save
3、启动OpenVPN服务:
systemctl start openvpn@server.service
4、设置开机自启:
systemctl enable openvpn@server.service
五、配置OpenVPN客户端(Windows示例)
1、下载OpenVPN客户端:从OpenVPN官方网站下载适用于Windows的客户端安装包。
2、安装客户端:按照默认设置完成安装。
3、拷贝证书和配置文件:将服务器生成的证书(ca.crt、client1.crt、client1.key)和ta.key文件拷贝到客户端机器上,创建一个名为client.ovpn的配置文件,内容如下:
client dev tun proto udp remote <服务器IP> 1194 resolvretry infinite nobind user nobody group nobody persistkey persisttun ca ca.crt cert client1.crt key client1.key remotecerttls server verb 3
4、连接VPN:使用OpenVPN客户端导入client.ovpn配置文件并连接,输入之前配置的用户名和密码进行验证。
六、常见问题及解答(FAQs)
Q1: OpenVPN服务无法启动怎么办?
A1: 检查日志文件/var/log/openvpn.log和openvpnstatus.log,查看错误信息,常见原因包括配置文件错误、端口被占用、防火墙规则未正确设置等,确保所有路径和文件权限正确,并且没有拼写错误。
Q2: 客户端连接后无法访问内网资源怎么办?
A2: 确保在服务器的防火墙中设置了正确的NAT规则,允许客户端访问内网网段,检查客户端的路由表是否正确推送了内网路由,可以在server.conf文件中添加push "route <内网网段>" <子网掩码>来手动推送路由。
Q3: 如何更改OpenVPN的监听端口?
A3: 在server.conf文件中修改port指令的值即可,将port 1194改为port 2200,确保防火墙规则中也相应地更改了端口号。
Q4: 如何限制OpenVPN的最大连接数?
A4: 在server.conf文件中添加或修改maxclients指令的值。maxclients 50表示最多允许50个客户端连接,注意,这个值应该根据你的服务器性能和网络带宽来合理设置。
