centos 6 安裝配置openvpn_ZenDei技術網路在線

下載地址：http://swupdate.openvpn.org/community/releases/http://www.oberhumer.com/opensource/lzo/download/lzo-2.09.tar.gzhttp://swupdate.openvpn.org/commun ...

下載地址：
http://swupdate.openvpn.org/community/releases/
http://www.oberhumer.com/opensource/lzo/download/lzo-2.09.tar.gz
http://swupdate.openvpn.org/community/releases/easy-rsa-2.2.0_master.tar.gz
http://swupdate.openvpn.org/community/releases/openvpn-2.3.12.tar.gz
http://swupdate.openvpn.org/community/releases/openvpn-install-2.3.12-I602-x86_64.exe

開始安裝
yum install gcc openssl openssl-devel pam-devel.x86_64 easy-rsa
tar xf lzo-2.09.tar.gz && cd lzo-2.09 && ./configure && make && make install
echo "/usr/local/lib" >> /etc/ld.so.conf
ldconfig

tar xf openvpn-2.3.12.tar.gz
mv openvpn-2.3.12 /usr/local/openvpn
cd /usr/local/openvpn && ./configure && make && make install
(
如果yum沒有easy-rsa，兩種解決方式
1、安裝一個新的epel
2、使用tar.gz
)

cp -ra /usr/share/easy-rsa /usr/local/openvpn/
cd /usr/local/openvpn/easy-rsa/2.0/
vim vars #根據實際情況修改為自己的，主要是創建證書的時候是互動式操作，免得後續老是提示輸入這些信息，創建完這個就直接回車即可，主要修改如下內容：
export KEY_COUNTRY="CN"
export KEY_PROVINCE="GuangDong"
export KEY_CITY="ShenZhen"
export KEY_ORG="HuiPa"
export KEY_EMAIL="[email protected]"
export KEY_OU="HuiPa"
export KEY_NAME="HP.OPENVPN"
export PKCS11_MODULE_PATH="trasin"
export PKCS11_PIN="1234"

source ./vars #讓修改的變數生效
./clean-all
創建根證書ca.crt和根密鑰ca.key #一直回車
./build-ca
生產伺服器證書和私鑰 #一直回車，最後兩步輸入y
./build-key-server server
./build-dh #創建Diffie-Hellman，在keys目錄下會生成dh2048.pem文件，時間會比較長
生成 HMAC firewall 驗證碼 #資料顯示，這是一種經加密的散列消息驗證碼，可以對信息數據的完整性和真實性進行同步檢查
/usr/local/sbin/openvpn --genkey --secret keys/ta.key
以上就是服務端證書密鑰，接下來就是創建客戶端證書和密鑰
無密碼方式，客戶端登陸的時候不會輸入密碼
./build-key trasin
有密碼方式，客戶端登陸的時候會要求輸入這個時候設置的密碼
./build-key-pass trasin
接下來可以看到keys目錄下生成了很多文件
-rw-r--r-- 1 root root 5492 Dec 23 15:59 01.pem
-rw-r--r-- 1 root root 5376 Dec 23 15:59 02.pem
-rw-r--r-- 1 root root 1732 Dec 23 15:55 ca.crt
-rw------- 1 root root 1704 Dec 23 15:55 ca.key
-rw-r--r-- 1 root root 424 Dec 23 16:00 dh2048.pem
-rw-r--r-- 1 root root 401 Dec 23 16:02 index.txt
-rw-r--r-- 1 root root 21 Dec 23 16:02 index.txt.attr
-rw-r--r-- 1 root root 21 Dec 23 16:02 index.txt.attr.old
-rw-r--r-- 1 root root 269 Dec 23 16:02 index.txt.old
-rw-r--r-- 1 root root 3 Dec 23 16:02 serial
-rw-r--r-- 1 root root 3 Dec 23 16:01 serial.old
-rw-r--r-- 1 root root 5492 Dec 23 15:59 server.crt
-rw-r--r-- 1 root root 1115 Dec 23 15:59 server.csr
-rw------- 1 root root 1704 Dec 23 15:59 server.key
-rw------- 1 root root 636 Dec 23 15:59 ta.key
-rw-r--r-- 1 root root 5369 Dec 23 16:02 trasin.crt
-rw-r--r-- 1 root root 1115 Dec 23 16:02 trasin.csr
-rw------- 1 root root 1834 Dec 23 16:02 trasi.key

ca.crt　　　　 #./build-ca 這個腳本生成的
ca.key 　　　　 #./build-ca 這個腳本生成的

server.crt　　　　 #./build-key-server server 生成的
server.csr　　　　 #./build-key-server server 生成的
server.key　　　　#./build-key-server server 生成的

trasin.crt　　　　 #./build-key vpnuser 生成的
trasin.csr 　　　　#./build-key vpnuser 生成的
trasin.key 　　　 #./build-key vpnuser 生成的
dh2048.pem　　 #./build-dh生成的
ta.key 　　　　　 #openvpn可執行文件生成的

接下來配置服務端
mkdir /etc/openvpn
cd /etc/openvpn
ln -s /usr/local/openvpn/easy-rsa/2.0/keys ./
cp /usr/local/openvpn/sample/sample-config-files/server.conf /etc/openvpn/temp.server.conf
cd /etc/openvpn/
grep '^[^#;]' temp.server.conf > server.conf

修改server.conf內容
local server_ipaddr 　　 #指定偵聽請求的IP ，openvpn伺服器本機IP
port 1194 　　　　　　 #埠
proto udp 　　　　　　 #指定協議，（聽說tcp很慢，還沒有試驗）
dev tun 　　　　　　 #IP層的點對點協議
ca keys/ca.crt 　　　　 #前面生成的ca證書，驗證客戶是證書是否合法
cert keys/server.crt
key keys/server.key # This file should be kept secret #指定客戶端獲取的IP
dh keys/dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp" 　　 #指定客戶端網關
push "dhcp-option DNS 114.114.114.114" 　　 #DNS
push "dhcp-option DNS 8.8.8.8" 　　　　 #DNS
keepalive 10 120 　　　　　　　　　　　　　　 #存活時間，10秒ping一次,120秒如未收到響應則視為斷線
tls-auth keys/ta.key 0
comp-lzo 　　　　　　　　　　　　　　　　　　　#數據進行壓縮，註意Server和Client一致
max-clients 100 　　　　　　　　　　　　　 #最多允許100個客戶端
persist-key 　　　　　　　　　　　　　　　　 #通過keepalive檢測超時後，當重新啟動VPN後，不重新讀取私鑰，保留第一次使用的私鑰
persist-tun 　　　　　　　　　　 #通過keepalive檢測超時後，當重新啟動VPN後，一直保持tun設備是連接的，否則網路連接會先斷開再連接
status openvpn-status.log
log openvpn.log 　　　　　　　　　　　　　　　 #日誌文件
verb 3

開啟系統NAT轉發
vim /etc/sysctl.conf
net.ipv4.ip_forward = 0 改為 1
sysctl -p
或者
echo 1 >/proc/sys/net/ipv4/ip_forward
sysctl -p

配置iptables
iptables -A INPUT -p udp --dport 1194 -j ACCEPT #根據你的情況來選擇開放UDP還是TCP
iptables -A FORWARD -s 192.168.0.0/24 -o em1 -j ACCEPT
iptables -A FORWARD -d 192.168.0.0/24 -i em1 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o em1 -j MASQUERADE
添加路由
route add -net 10.8.0.0 netmask 255.255.255.0 dev em1
啟動openvpn服務端
/usr/local/sbin/openvpn --daemon --config /etc/openvpn/server.conf
安裝客戶端
openvpn-install-2.3.12-I602-x86_64.exe
安裝完成以後
下載ca.crt ta.key trasin.crt trasin.key
再複製
C:\Program Files\OpenVPN\sample-config\client.ovpn到C:\Program Files\OpenVPN\config
修改客戶端配置文件
client
dev tun
proto tcp
remote server_ipaddr 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert trasin.crt
key trasin.key
remote-cert-tls server
tls-auth ta.key 1
comp-lzo
verb 3

管理員運行openvpn客戶端，到此openvpn配置完成
如果要創建多個用戶，重覆./build-key-pass username，然後把ca.crt ta.key username.crt username.key證書和密鑰給指定用戶既可以

如果遇到連上vpn，但是上不了網，檢查iptables配置，server.conf配置等信息

目前遇到一個問題(連上vpn以後，無法通過ssh登陸server，其他網路是正常的)，暫時還沒有解決，留著後面有空再找原因

參考文檔：
http://www.cnblogs.com/fjping0606/p/6042758.html
特別感謝！