OpenVPN 快速配置

1. OpenVPN配置关键操作

1.1 安装软件包

1.2 制作server与client证书

  • 1.2.1 拷贝 easy-rsa 目录至 /etc/openvpn

  • 1.2.2 配置证书参数

    (注意:CentOS 5 中 easy-rsa 相关脚本没有执行权限,请对相应文件添加执行权限)
    设置环境变量,编辑文件 /etc/openvpn/easy-rsa/vars,注意以下信息:

  • 1.2.3 生成 Diffie-Hellman密钥交换协议参数 和 CA 证书

  • 1.2.4 生成服务端(server)证书

    该过程同样先提示确认一些基本信息,最后提示你是否签发该证书,输入 'y' 并回车即可

  • 1.2.5 生成客户端(client)证书

    Openvpn默认的证书认证方式,原则上是应该每个客户端单独配置一个证书,便于用户管理。 但是由于我们情况特殊,用户数量很少,不存在复杂的用户管理,因此只生成一份证书,并在openvpn服务端配置中打开duplicate-cn选项,使得一份证书可以被多个客户端同时使用。

1.3 准备配置文件

  • 1.3.1 服务端配置文件

    服务端配置文件默认在/etc/openvpn/server.conf, 对于CentOS 7,在/etc/openvpn下存在空的server目录,删除即可

  • 1.3.2 客户端配置文件

    将客户端证书和CA证书拷贝出来,并准备客户端配置如下:

1.4 设置服务开机启动

1.5 设置 NAT 网络转发

  • 1.5.1 开启数据包转发的内核选项

  • 1.5.2 配置 iptables nat

2.其他注意事项

2.1 Windows机器NAT网络配置

请参考:启用和配置 NAT

2.2 Windows机器重启OpenVPN的坑

  • 重启OpenVPN服务后,需要再次重启路由服务,否则NAT网络失效
    • Win-R, 打开‘运行’窗口,启动services.msc , 找到openvpn服务,点击重启
    • 然后再找到 ‘Routing and Remote Access’ 服务,点击重启
  • 服务器重启后,由于OpenVPN与路由服务启动顺序不同,可能导致NAT失效,需要手动重启‘Routing and Remote Access’ 服务

发表评论

电子邮件地址不会被公开。 必填项已用*标注