Monday, March 28, 2011

openvpn 设置装备摆设


openvpn 设置装备摆设方针功能: 搭建OpenVPN处事器,跨越Internet毗连两个异地的局域网段。 |—————| Internet |—————| LAN2 |Router2(Client)| |Router1(Server)| –gt; LAN1 |—————| SSL VPN Tun |—————| (北京)Server(router1)收集参数: eth0 173.16.16.1/24 eth1 192.168.20.1/24(本例中作为LAN1的网关) LAN1:192.168.20.0/24 (广州)Client(router2)收集参数: eth0 211.20.20.1/24 eth2 192.168.40.1/24(本例中作为LAN2的网关) LAN2:192.168.40.0/24 #################################################################### 一、安装OpenVPN软件包 (在router1、router2上均执行以下操作,按默认设置装备摆设安装到/usr/local目录下) 1、安装lzo (为SSL数据供给压缩) shellgt; tar zxvf lzo-2.03.tar.gz -C /usr/src shellgt; … 继续阅读

openvpn 设置装备摆设方针功能: 搭建OpenVPN处事器,跨越Internet毗连两个异地的局域网段。 |—————| Internet |—————| LAN2 |Router2(Client)| |Router1(Server)| –gt; LAN1 |—————| SSL VPN Tun |—————| (北京)Server(router1)收集参数: eth0 173.16.16.1/24 eth1 192.168.20.1/24(本例中作为LAN1的网关) LAN1:192.168.20.0/24 (广州)Client(router2)收集参数: eth0 211.20.20.1/24 eth2 192.168.40.1/24(本例中作为LAN2的网关) LAN2:192.168.40.0/24 #################################################################### 一、安装OpenVPN软件包 (在router1、router2上均执行以下操作,按默认设置装备摆设安装到/usr/local目录下) 1、安装lzo (为SSL数据供给压缩) shellgt; tar zxvf lzo-2.03.tar.gz -C /usr/src shellgt; cd /usr/src/lzo-2.03 shellgt; ./configure make make install 2、安装openvpn shellgt; tar zxvf openvpn-2.0.9.tar.gz -C /usr/src shellgt; cd /usr/src/openvpn-2.0.9 shellgt; ./configure make make install 二、设置装备摆设OpenVPN Server端(router1) 1、建造证书和相关密钥文件 (可参考/usr/src/openvpn-2.0.9/easy-rsa/README) 1)调整及预界说变量 shellgt; mkdir /etc/openvpn shellgt; cd /usr/src/openvpn-2.0.9/easy-rsa shellgt; vi vars export D=`pwd` export KER_CONFIG=$D/openssl.cnf export KEY_DIR=/etc/openvpn/keys/ #//改削生成的密钥等文件的保留位置 export KEY_SIZE=1024 export KEY_COUNTRY=CN #//以下为用于各密钥中的预界说信息 export KEY_PROVINCE=BJ export KEY_CITY=BJ export KEY_ORG=BJ-GZ export KEY_EMAIL=TsengYiashellgt;126.com shellgt; . vars 成立情形变量 或者 source vars shellgt; ./clean-all 断根以前的 2)建树证书、密钥等文件 shellgt; ./build-ca #//生成CA证书 建树CA的公钥和私钥 shellgt; ./build-dh #//生成dh(Diffie-Hellman)文件注:Diffie Hellman参数必需要在openvpn server中使用shellgt; ./build-key-server router1 #//生成处事端密钥 成立SEVER端的cert和key文件 shellgt; ./build-key router2 #//生成客户端密钥 成立client端的cert与key注:common name 要记住,后面要用到,我用的是router2其中/etc/openvpn/ccd/router2文件名就是client端密钥生成时发生的common nameshellgt; /usr/local/sbin/openvpn –genkey –secret /etc/openvpn/keys/ta.key #//生成tls-auth密钥 2、成立OpenVPN处事设置装备摆设文件 shellgt; cp /usr/src/openvpn-2.0.9/sample-config-files/server.conf /etc/openvpn/ shellgt; vi /etc/openvpn/server.conf 行25 local 173.16.16.1 #//指定VPN处事监听的接口地址(本例中eth0网卡的地址) 行32 port 1194 #//指定VPN处事监听的端口 行36 proto udp 行53 dev tun 行78 ca keys/ca.crt 行79 cert keys/router1.crt 行80 key keys/router1.key 行87 dh keys/dh1024.pem 行96 server 10.8.8.0 255.255.255.0 #//指定vpn地道的虚拟子网,vpn server将自动使用第一个IP,如10.8.8.1 行103 ifconfig-pool-persist ipp.txt 行125 push route 192.168.20.0 255.255.255.0 #//向客户端书记处事器端LAN1网段 行138 client-config-dir ccd #//指定挪用ccd子目录下的客户端设置装备摆设文件,可在文件中指定对端的ip地址 行139 route 192.168.40.0 255.255.255.0 #//为server端添加到client端LAN2网段的路由 行196 client-to-client #//许可各客户端之间的互相访谒 行209 duplicate-cn #//许可client密钥被改暌姑 行218 keepalive 10 120 行231 tls-auth keys/ta.key 0 #//指定tls认证密钥 行236 cipher BF-CBC #//指定cipher加密算法 行243 comp-lzo 行247 max-clients 100 #//指定最年夜并发毗连数 行254 user nobody 行255 group nobody 行261 persist-key 行262 persist-tun 行267 status /tmp/openvpn-status.log行276 log /var/log/openvpn.log行277 log-append /var/log/openvpn.log 行286 verb 3 行291 mute 20 shellgt; mkdir /etc/openvpn/ccd shellgt; vi /etc/openvpn/ccd/router2 #//在client的自力设置装备摆设文件中指定对端tun0的ip地址参数 iroute 192.168.40.0 255.255.255.0 ifconfig-push 10.8.8.2 10.8.8.1 #//依次为tun0当地地址,P-t-P对端地址 然后在成立文件vi /etc/openvpn/ccd/shanghaiiroute 192.168.40.0 255.255.255.0浸染是:上海毗连VPN server时,在上海client端不添加这个路由(如不美观不加,造成192.168.40.1与192.168.40.40无法通信,原因是在,client端毗连后加了一条路由 192.168.40.0/24 gw 10.8.0.2,这条路由靠上,使得两稳存无法正常通信)其中/etc/openvpn/ccd/router2文件名就是client端密钥生成时发生的common name 3、筹备启动剧本、启动OpenVPN shellgt; cp -p /usr/src/openvpn-2.0.9/sample-scripts/openvpn.init /etc/init.d/ shellgt; vi /etc/init.d/openvpn shellgt; chkconfig –add openvpn shellgt; chkconfig –level 35 openvpn on shellgt; service openvpn start 开启路由转发功能echo 1gt; /proc/sys/net/ipv4/ip_forwardchkconfig openvpn onservice openvpn start4、防火墙上开放1194(只针对自己的收集开放)-A RH-Firewall-1-INPUT -s 192.168.40.0/24 -p udp –dport 1194 -j ACCEPT-A RH-Firewall-1-INPUT -s 10.0.0.0/8 -p udp –dport 1194 -j ACCEPT-A RH-Firewall-1-INPUT -s 173.16.16.1/24 -p udp –dport 1194 -j ACCEPT-A RH-Firewall-1-INPUT -s 173.16.16.2/24 -p udp –dport 1194 -j ACCEPT三、设置装备摆设OpenVPN Client端(router2) 安装OpenVPN体例同上。 1、下载证书和相关密钥文件 1)下载在处事器生成的ca.crt、router2.crt、router2.key、ta.key文件,做好备份 2)复制上述文件到router2的/etc/openvpn/keys目录 2、改削Client设置装备摆设文件 shellgt; cp /usr/src/openvpn-2.0.9/sample-config-files/client.conf /etc/openvpn/ shellgt; vi /etc/openvpn/client.conf 行16 client 行24 dev tun 行37 proto udp 行42 remote 173.16.16.1 1194 行54 resolv-retry infinite 行58 nobind 行61 user nobody 行62 group nobody 行65 persist-key 行66 persist-tun 行88 ca keys/ca.crt 行89 cert keys/router2.crt 行90 key keys/router2.key 行103 ns-cert-type server 行107 tls-auth keys/ta.key 1 行112 cipher BF-CBC 行117 comp-lzo 行120 verb 3 行123 mute 20 四、筹备启动剧本、启动OpenVPN (在router1、router2上均执行以下操作) shellgt; cp -p /usr/src/openvpn-2.0.9/sample-scripts/openvpn.init /etc/init.d/ shellgt; vi /etc/init.d/openvpn shellgt; chkconfig –add openvpn shellgt; chkconfig –level 35 openvpn on shellgt; service openvpn start-A RH-Firewall-1-INPUT -i tun0 -s 10.8.0.0/16 -m state –state NEW -m udp -p udp –dport 161 -j ACCEPT注:-i tun0进入的流量是tun0接口,虚拟接口4、开启路由转发功能echo 1gt; /proc/sys/net/ipv4/ip_forward其它机械的设置1、添加路由linuxroute add -net 10.8.0.0/16 gw 192.168.40.1route add -net 10.9.0.0/16 gw 192.168.40.1windowsroute p add 10.8.0.0 mask 255.255.0.0 192.168.40.12、防火墙设置-A RH-Firewall-1-INPUT -i eth0 -s 10.9.0.0/16 -m state –state NEW -m udp -p udp –dport 161 -j ACCEPT-A RH-Firewall-1-INPUT -i eth0 -s 10.8.0.0/16 -m state –state NEW -m udp -p udp –dport 161 -j ACCEPT-A RH-Firewall-1-INPUT -i eth0 -s 192.168.40.0/24 -m state –state NEW -m udp -p udp –dport 161 -j ACCEPT五、连通测试 1、可以分袂在router1、router2上查看tun0设备参数(ifconfig tun0) router1的tun0信息: inet addr:10.8.8.1 P-t-P:10.8.8.2 router2的tun0信息: inet addr:10.8.8.2 P-t-P:10.8.8.1 2、可以分袂在router1、router2上查看路由记实(route -n) router1的路由表信息中应有到LAN2网段的路由记实: Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.40.0 10.8.8.2 255.255.255.0 UG 0 0 0 tun0 router2的路由表信息中应有到LAN1网段的路由记实: Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.20.0 10.8.8.1 255.255.255.0 UG 0 0 0 tun0 3、LAN1、LAN2两个网段的客户端互联测试,例如: 北京的192.168.20.20和广州的192.168.40.40能够彼此ping通。





Published by
Published by xFruits
Original source : http://www.vpn123.tk/?p=213...

No comments:

Post a Comment