爛泥:Ubuntu 14.04搭建OpenVPN服務器本文由秀依林楓提供友情贊助����,首發于爛泥行天下
公司分部需要連接公司內部的服務器�����,但是該服務器只允許公司內部的網絡訪問����。
為了解決這個問題���,打算使用VPN���。對于VPN以前使用最多的是PPTP這個解決方案,但是PPTP相對于openvpn來說�,沒有openvpn安全,而且PPTP在linux下命令行支持不是很好��,穩定性也不如openvpn�����。所以最后就選擇openvpn來搭建VPN���。
PS:本文在ubuntu 14.04上安裝,openvpn服務器地址為192.168.1.8�����。
有關openvpn在centos6.6 64bit的配置完全可以使用,已經經過驗證�����。文章后有centos詳細配置命令及步驟�����。
一�����、openvpn原理
openvpn通過使用公開密鑰(非對稱密鑰���,加密解密使用不同的key�,一個稱為Publice key����,另外一個是PRivate key)對數據進行加密的。這種方式稱為TLS加密
openvpn使用TLS加密的工作過程是����,首先VPN Sevrver端和VPN Client端要有相同的CA證書,雙方通過交換證書驗證雙方的合法性�,用于決定是否建立VPN連接����。
然后使用對方的CA證書,把自己目前使用的數據加密方法加密后發送給對方,由于使用的是對方CA證書加密�����,所以只有對方CA證書對應的Private key才能解密該數據�,這樣就保證了此密鑰的安全性��,并且此密鑰是定期改變的��,對于竊聽者來說�,可能還沒有破解出此密鑰,VPN通信雙方可能就已經更換密鑰了�。
二、安裝openvpn
openvpn的安裝我們分為apt-get方式和源碼方式�,下面我們只講解apt-get方式的安裝。有關源碼方式安裝openvpn���,可自行百度�。
apt-get方式安裝��,我們可以使用如下命令:
sudo apt-get -y install openvpn libssl-dev openssl
openvpn安裝完畢后��,我們來查看openvpn的版本�,如下:
openvpn --version
通過上圖,我們可以看到openvpn目前的版本為2.3.2��。這個版本號�,建議記住。
我們再來查看下openvpn安裝時產生的文件�,如下:
dpkg -L openvpn |more
通過上圖,我們可以很明顯的看出openvpn已經有相關配置的模版了�。
openvpn安裝完畢后,我們再來安裝easy-rsa�。
easy-rsa是用來制作openvpn相關證書的。
安裝easy-rsa�,使用如下命令:
sudo apt-get -y install easy-rsa
查看easy-rsa安裝的文件,如下:
dpkg -L easy-rsa |more
通過上圖��,我們可以很明顯的看到easy-rsa已經安裝到/usr/share/easy-rsa/目錄下��。
三����、制作相關證書
根據第一章節openvpn的工作原理,我們可以知道openvpn的證書分為三部分:CA證書���、Server端證書����、Client端證書。
下面我們通過easy-rsa分別對其進行制作����。
3.1 制作CA證書
openvpn與easy-rsa安裝完畢后,我們需要在/etc/openvpn/目錄下創建easy-rsa文件夾�,如下:
sudo mkdir /etc/openvpn/easy-rsa/
然后把/usr/share/easy-rsa/目錄下的所有文件全部復制到/etc/openvpn/easy-rsa/下,如下:
sudo cp -r /usr/share/easy-rsa/* /etc/openvpn/easy-rsa/
當然���,我們也可以直接在/usr/share/easy-rsa/制作相關的證書����,但是為了后續的管理證書的方便�,我們還是把easy-rsa放在了openvpn的啟動目錄下。
注意:由于我們現在使用的是ubuntu系統�,所以我們必須切換到root用戶下才能制作相關證書,否則easy-rsa會報錯���。如果是centos系統�,則不存在此問題����。
切換到root用戶下���,使用如下命令:
sudo su
在開始制作CA證書之前�,我們還需要編輯vars文件,修改如下相關選項內容即可����。如下:
sudo vi /etc/openvpn/easy-rsa/vars
export KEY_COUNTRY="CN"
export KEY_PROVINCE="HZ"
export KEY_CITY="HangZhou"
export KEY_ORG="ilanni"
export KEY_EMAIL="ilanni@ilanni.com"
export KEY_OU="ilanni"
export KEY_NAME="vpnilanni"
vars文件主要用于設置證書的相關組織信息,紅色部分的內容可以根據自己的實際情況自行修改�。
其中export KEY_NAME="vpnilanni"這個要記住下,我們下面在制作Server端證書時���,會使用到��。
注意:以上內容�,我們也可以使用系統默認的����,也就是說不進行修改也是可以使用的。
然后使用source vars命令使其生效��,如下:
source vars
./clean-all
注意:執行clean-all命令會刪除�,當前目錄下的keys文件夾。
現在開始正式制作CA證書,使用如下命令:
./build-ca
一路按回車鍵即可��。制作完成后�,我們可以查看keys目錄。如下:
ll keys/
通過上圖�,我們可以很明顯的看到已經生成了ca.crt和ca.key兩個文件,其中ca.crt就是我們所說的CA證書���。如此��,CA證書制作完畢���。
現在把該CA證書的ca.crt文件復制到openvpn的啟動目錄/etc/openvpn下,如下:
cp keys/ca.crt /etc/openvpn/
ll /etc/openvpn/
3.2 制作Server端證書
CA證書制作完成后���,我們現在開始制作Server端證書�����。如下:
./build-key-server vpnilanni
注意:上述命令中vpnilanni�����,就是我們前面vars文件中設置的KEY_NAME
查看生成的Server端證書���,如下:
ll keys/
通過上圖��,可以很明顯的看到已經生成了vpnilanni.crt���、vpnilanni.key和vpnilanni.csr三個文件。其中vpnilanni.crt和vpnilanni.key兩個文件是我們要使用的���。
現在再為服務器生成加密交換時的Diffie-Hellman文件,如下:
./build-dh
查看生成的文件��,如下:
ll keys/
通過上圖����,我們可以很明顯的看出已經生成了dh2048.pem,這個文件���。
以上操作完畢后���,把vpnilanni.crt、vpnilanni.key���、dh2048.pem復制到/etc/openvpn/目錄下�����,如下:
cp keys/vpnilanni.crt keys/vpnilanni.key keys/dh2048.pem /etc/openvpn/
如此���,Server端證書就制作完畢��。
3.3 制作Client端證書
Server端證書制作完成后�����,我們現在開始制作Client端證書��,如下:
./build-key ilanni
注意:上述命令中的ilanni����,是客戶端的名稱���。這個是可以進行自定義的�����。
如果你想快速生成用戶證書不需要手工交互的話��,可以使用如下命令:
./build-key --batch test1
查看生成的證書����,如下:
ll keys/
通過上圖,我們可以很明顯的看出已經生成了ilanni.csr��、ilanni.crt和ilanni.key這個三個文件�。其中ilanni.crt和ilanni.key兩個文件是我們要使用的。
如此�,Client端證書就制作完畢。
四���、配置Server端
所有證書制作完畢后,我們現在開始配置Server端�。Server端的配置文件,我們可以從openvpn自帶的模版中進行復制��。如下:
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/
cd /etc/openvpn/
解壓server.conf.gz 文件����,使用如下命令:
gzip -d server.conf.gz
注意:上述命令的意思是解壓server.conf.gz文件后,然后刪除原文件���。
現在我們來修改server.conf文件��,如下:
grep -vE "^#|^;|^$" server.conf
port 1194
proto tcp
dev tun
ca ca.crt
cert vpnilanni.crt
key vpnilanni.key
dh dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
與原模版文件相比�,在此我修改幾個地方。
第一���、修改了openvpn運行時使用的協議����,由原來的UDP協議修改為TCP協議����。生成環境建議使用TCP協議。
第二�、修改了openvpn服務器的相關證書,由原來的server.csr��、server.key修改為vpnilanni.crt����、vpnilanni.key。
第三��、修改了Diffie-Hellman文件����,由原來的dh1024.pem修改為dh2048.pem。
注意:上述server.conf文件中vpnilanni.crt��、vpnilanni.key、dh2048.pem要與/etc/openvpn/目錄下的相關文件一一對應�。
同時,如果上述文件如果沒有存放在/etc/openvpn/目錄下����,在server.conf文件中,我們要填寫該文件的絕對路徑���。如下所示:
配置文件修改完畢后�����,我們現在來啟動openvpn��,使用如下命令:
/etc/init.d/openvpn start
netstat -tunlp |grep 1194
通過上圖,我們可以很明顯的看出openvpn已經在此啟動��,而且也確實使用的TCP協議的1194端口�。
五、配置Client端
Server端配置并啟動后���,我們現在來配置Client端�。Client端根據操作系統的不同���,又分為Linux OS上和Windows OS上�。以下我們對此一一驚醒講解。
5.1 在Windows OS上
無論是在Windows OS還是在Linux OS上Client端的配置���,我們都需要把Client證書�、CA證書以及Client配置文件下載下來����。
先來下載Client證書和CA證書,Client證書我們主要使用crt和key結尾的兩個文件�����,而CA證書我們主要使用crt結尾的文件���。如下:
先把這幾個文件復制到/home/ilanni/目錄下��,然后再把openvpn客戶端的配置文件模版也復制到/home/ilanni/目錄下��。如下:
cp ilanni.crt ilanni.key ca.crt /home/ilanni/
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /home/ilanni/
修改以上幾個文件的用戶屬性�����,如下:
chown ilanni:ilanni ilanni.*
chown ilanni:ilanni ca.crt
修改完畢后���,退出root用戶���,回到ilanni用戶的家目錄下,然后使用sz命令把這幾個文件下載下來����。如下:
sz -y ilanni.crt ilanni.key ca.crt client.conf
下載完畢后,把client.conf文件重命名為client.ovpn�,然后進行編輯,如下:
client
dev tun
proto tcp
remote 192.168.1.8 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert ilanni.crt
key ilanni.key
ns-cert-type server
comp-lzo
verb 3
Client配置文件client.ovpn��,我修改了幾個地方:
第一���、使用的協議��,由原來的UDP修改為TCP�����,這個一定要和Server端保持一致。否則Client無法連接����。
第二���、remote地址,這個地址要修改為Server端的地址�。
第三、Client證書名稱����,這個要和我們現在使用的Client證書名稱保持一直。
以上修改完畢后����,我們要把這個幾個文件放在同一個文件夾中,并且一定要保持client.ovpn這個文件名稱是唯一的�。否則在openvpn客戶端連接時,會報錯���。如下:
安裝openvpn for windows客戶端��,我們可以從這個地址下載�����,如下:http://build.openvpn.net/downloads/releases/
注意:下載的客戶端版本號一定要與服務器端openvpn的版本一直����,否則可能會出現無法連接服務器的現象。
我們現在服務器端的openvpn版本是2.3.2�����,所以客戶端也建議使用2.3.2的版本����。
下載并安裝后,把testilanni這個文件夾復制到openvpn客戶端安裝的config文件夾���。如下:
現在我們來啟動openvpn客戶端連接Server�����,如下:
注意:上圖中的client就是根據client.ovpn���,這個文件名來的。
點擊connect�����,會出現如下的彈窗:
如果配置都正確的話�,會出現如下的提示:
通過上圖,我們可以很明顯的看到Client已經正確連接Server端�,并且獲得的IP地址是10.8.0.6。
下面我們在本機查看下�����,該IP地址���,如下:
通過上圖���,我們可以看到本機確實已經連接到Server端,而且獲得的IP地址也確實為10.8.0.6���。
5.2 在Linux OS上
在Windows OS上測試完畢后���,我們現在在切換到linux系統。在此我們以ubuntu14.04為例��。
要在ubuntu上連接openvpnServer端�����,我們需要先安裝openvpn軟件�,如下:
sudo apt-get -y install openvpn
安裝完畢后�����,把我們剛剛在Windows系統配置的文件上傳到ubuntu系統中����。如下:
注意:上傳完畢后����,我們不需要修改任何配置文件。因為這幾個文件在Windows下已經可以正確連接openvpn Server端����。
注意:在連接Server端之前,一定要切換到root用戶下����。因為在連接Server端時,openvpn會在本機創建一個虛擬網卡��,如果使用普通用戶的話�,是沒有權限創建虛擬網卡的。
切換到root用戶��,使用sudo su命令��,如下:
sudo su
現在開始連接Server端,使用如下命令:
openvpn --config client.ovpn
如果出現上圖的信息�,說明已經正確連接Server端。
現在我們在本機使用ifconfig進行查看�,在此建議重新開啟一個新的ssh窗口����,如下:
ifconfig
通過上圖,我們可以很明顯的看出���,本機已經正確連接Server端����,并且也在本機虛擬出一個叫tun0的虛擬網卡���。
如果想讓ubuntu開機啟動并后臺運行的話�����,可以把這條命令寫入rc.local文件中��。如下:
/usr/sbin/openvpn --config /home/ilanni/testilanni/client.ovpn >/var/log/openvpn.log &
注意�,命令末尾的&符號不能省略�,否則將可能阻塞系統的正常啟動���。
同時這個時候,client.ovpn文件中有關證書的配置一定要寫成絕對路徑�,要不然系統會報錯。如下:
如果是centos系統的話���,我們首先需要安裝epel源����,然后安裝openvpn軟件包����。如下:
rpm -ivh http://dl.fedoraproject.org/pub/epel/epel-release-latest-6.noarch.rpm
yum -y install openvpn
以上安裝完畢后,把Windows已經成功連接的Client相關文件上傳到centos系統中�,然后連接方法和ubuntu系統上一樣。
注意:如果在centos系統要開機啟動的話�����,也是和ubuntu系統是一樣的�,但是有一點需要指出就是Client相關配置文件不能放在/root目錄下。
給一個正確配的例子�,如下:
