更新 CentOS 软件包
养成良好习惯,在安装前先更新一下软件包,多数软件包更新主要是修补漏洞。
yum -y update
虽然也是可以不进行更新直接安装。
安装 OpenVPN 和 EasyRSA
安装 OpenVPN、Firewalld 软件包以及用于生成各种证书的 EasyRSA
yum -y install openvpn easy-rsa firewalld
如果未能成功安装 OpenVPN,则可能需要先安装一下 Epel 库。
yum install epel-release -y
生成 CA 证书、服务端密钥与共享密钥
这里步骤比较多。
首先需要初始化 PKI
cd ~ /usr/share/easy-rsa/3/easyrsa init-pki
接下来是生成 CA 证书
/usr/share/easy-rsa/3/easyrsa build-ca nopass
其中 nopass 表示不加密私钥,主要是方便后面导出公钥与颁发服务器证书。
再来是生成交互密钥
/usr/share/easy-rsa/3/easyrsa gen-dh
开始生成服务端密钥
/usr/share/easy-rsa/3/easyrsa build-server-full vpn-server nopass
接下来生成客户端密钥,如果未开启同证书允许多人登陆,则需要多次执行生成对应的客户端密钥
/usr/share/easy-rsa/3/easyrsa build-client-full vpn-client-01 nopass
最后是生成证书交互列表,如果不需要 crl-verify 则可以跳过
/usr/share/easy-rsa/3/easyrsa gen-crl
其实到这一步需要的证书都以及生成好了,如果你开启了 tls-auth 则还需要生成共享密钥
openvpn --genkey --secret pki/ta.key
在上面所有证书都生成完毕之后,我们需要将相关证书拷贝到 OpenVPN 的配置文件夹中(似乎也可以在 conf 文件中使用绝对路径)
cp pki/ca.crt /etc/openvpn/ca.crt cp pki/dh.pem /etc/openvpn/dh.pem cp pki/issued/vpn-server.crt /etc/openvpn/server.crt cp pki/private/vpn-server.key /etc/openvpn/server.key cp pki/ta.key /etc/openvpn/ta.key cp pki/crl.pem /etc/openvpn/crl.pem
配置服务端
OpenVPN 配置文件有许多可定制化,具体请查阅官方文档。
cd /etc/openvpn vim server.conf
将以下内容粘贴进去
# Secure OpenVPN Server Config # Basic Connection Config dev tun proto udp port 1194 keepalive 10 120 max-clients 5 # Certs ca ca.crt cert server.crt key server.key dh dh.pem tls-auth ta.key 0 # Ciphers and Hardening reneg-sec 0 remote-cert-tls client crl-verify crl.pem tls-version-min 1.2 cipher AES-256-CBC auth SHA512 tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-128-CBC-SHA256 # Drop Privs user nobody group nobody # IP pool server 172.31.100.0 255.255.255.0 topology subnet ifconfig-pool-persist ipp.txt client-config-dir client # Misc persist-key persist-tun comp-lzo # DHCP Push options force all traffic through VPN and sets DNS servers push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 8.8.8.8" push "dhcp-option DNS 8.8.4.4" # Logging log-append /var/log/openvpn.log verb 3
启动服务端并让其开机自动启动
systemctl start openvpn@server systemctl enable openvpn@server
配置防火墙与流量转发
放行 OpenVPN 入网流量与开启 IP 伪装
firewall-cmd --permanent --add-service openvpn firewall-cmd --permanent --add-masquerade firewall-cmd --reload
检查是否开启流量转发
sysctl -a | grep net.ipv4.ip_forward
确保 net.ipv4.ip_forward 等于 1,如果不是,则需要修改一下
echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf sysctl -p
配置客户端
客户端需要拷贝以下文件
cd ~ mkdir vpn-client-01-config cp pki/ca.crt vpn-client-01-config/ca.crt cp pki/issued/vpn-client-01.crt vpn-client-01-config/client.crt cp pki/private/vpn-client-01.key vpn-client-01-config/client.key cp pki/ta.key vpn-client-01-config/ta.key
最后 vim vpn-client-01-config/client.ovpn 并粘贴下面内容
# Secure OpenVPN Client Config #viscosity dns full #viscosity usepeerdns true #viscosity dhcp true tls-client pull client dev tun proto udp remote 123.123.123.123 1194 redirect-gateway def1 nobind persist-key persist-tun comp-lzo verb 3 ca ca.crt cert client.crt key client.key tls-auth ta.key 1 remote-cert-tls server ns-cert-type server key-direction 1 cipher AES-256-CBC tls-version-min 1.2 auth SHA512 tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-128-CBC-SHA256
remote后面填写服务端IP地址和使用的端口号,然后将 vpn-client-01-config 的所有文件拷贝到需要链接的电脑上,即可开始使用。