OpenVPN编译安装部署

2018-08-23

字数统计: 2.4k字 | 阅读时长≈ 11分

1	整理下OpenVPN编译安装+部署过程，尤其是向客户端push路由、证书创建与吊销等相关技术。最后还会说明下客户端如何高可用实现逻辑负载均衡。

编译安装

环境准备

启动并清空iptables规则
  # iptables -F
  # service iptables save
  # service iptables restart
 
关闭SELINUX
  # setenforce 0
  # vi /etc/sysconfig/selinux
    修改为SELINUX=disabled
 
开启服务器端路由转发功能
  # vi /etc/sysctl.conf
    改为 net.ipv4.ip_forward = 1
  # sysctl -p
 
 
设置nat转发（注：添加正确的OpenVPN客户端网络地址）
  # iptables -t nat -A POSTROUTING -s 172.101.101.0/24 -o eth0 -j MASQUERADE
  注：如果是VPS配置openvpn，需要把上面的“-o eth0”参数取消，否则无法上网。
 
 
设置iptables开放openvpn端口：
  # iptables -A INPUT -p TCP --dport 1194 -j ACCEPT
  # service iptables save
  # service iptables restart
 
时间同步(重要)：
  # yum install ntp
  # ntpdate asia.pool.ntp.org
  # vi /etc/rc.d/rc.local
    添加 /usr/bin/ntpdate asia.pool.ntp.org
  
安装编译依赖库
  # yum install -y openssl openssl-devel lzo lzo-devel pam pam-devel automake pkgconfig gcc gcc++

下载openvpn：官网

1
2
3

# tar -zxvf openvpn.2.3.10.tar.gz && cd openvpn.2.3.10
# ./configure --prefix=/usr/local/openvpn
# make && make install

创建/etc/openvpn目录
# mkdir -p /etc/openvpn
# cp -rf /root/openvpn.2.3.10/sample /etc/openvpn
# cp /etc/openvpn/sample/sample-config-files/server.conf /etc/openvpn

安装openvpn最新的easy-rsa，该包用来制作ca证书，服务端证书，客户端证书。最新的为easy-rsa3

# wget -c https://github.com/OpenVPN/easy-rsa/archive/master.zip
# unzip master.zip
# mv easy-ras-master easy-rsa
# cp -rf easy-rsa /etc/openvpn
# cd /etc/openvpn/easy-rsa/easyrsa3
# cp vars.example vars
# chmod +x vars
修改Vars文件内的如下字段：
set_var EASYRSA_REQ_COUNTRY "CN" //根据自己情况更改
set_var EASYRSA_REQ_PROVINCE "Beijing"
set_var EASYRSA_REQ_CITY "Tong"
set_var EASYRSA_REQ_ORG "qingliu Certificate"
set_var EASYRSA_REQ_EMAIL "shuiqingliu14@gmail.com"
set_var EASYRSA_REQ_OU "My OpenVPN"
 
 
创建服务端证书及Key
A. 进入/etc/openvpn/easy-rsa/easyrsa3/目录初始化：
   ./easyrsa init-pki
 
B. 创建根证书
   ./easyrsa build-ca
   B1. 根据提示输入PEM密码，密码为：P**4 【务必要记住改密码，否则以后不能为证书签名】
   B2. 还需要输入common name 通用名，配置为Moxiu。  
 
C. 创建服务器端证书
    ./easyrsa gen-req server nopass
 
D. 签约服务端证书
   ./easyrsa sign server server
   根据提示输入”yes ” ,再输入刚才设置的PEM密码
 
 
D. 创建Diffie-Hellman，确保key穿越不安全网络的命令
   ./easyrsa gen-dh

创建客户端证书

A. 在/root目录下，创建openvpn_users文件夹来存储所有客户端证书文件。
   # mkdir  /root/openvpn_users && cd openvpn_users
   # cp -R /root/easy-rsa  ./
   # cd easy-rsa/easyrsa3/
   # cp vars.example  vars
 
B. 初始化
   # ./easyrsa init-pki
  
C. 创建客户端key以及生成证书（记住生成是自己输入的密码）
   # ./easyrsa  gen-req  test   //名字自己定义
  
D. 切换到Server证书目录下，将得到的test.req导入，然后签约证书
# cd  /etc/openvpn/easy-rsa/easyrsa3/
# ./easyrsa  import-req /root/openvpn_users/easy-rsa/easyrsa3/pki/reqs/test.req test
     
D. 用户签约，根据提示输入服务端CA密码
   # ./easyrsa sign client test
  
E. 这一步很重要，看看生成的全部文件
    (1)Server:  [目录：/etc/openvpn/easy-rsa/文件夹]
    
    /etc/openvpn/easy-rsa/easyrsa3/pki/ca.crt
    /etc/openvpn/easy-rsa/easyrsa3/pki/reqs/server.req
    /etc/openvpn/easy-rsa/easyrsa3/pki/reqs/test.req
    /etc/openvpn/easy-rsa/easyrsa3/pki/private/ca.key
    /etc/openvpn/easy-rsa/easyrsa3/pki/private/server.key
    /etc/openvpn/easy-rsa/easyrsa3/pki/issued/server.crt
    /etc/openvpn/easy-rsa/easyrsa3/pki/issued/test.crt
    /etc/openvpn/easy-rsa/easyrsa3/pki/dh.pem
 
    (2) Client: [目录：/etc/openvpn/clients/easy-rsa/文件夹]
      /root/openvpn_users/easy-rsa/easyrsa3/pki/private/test.key
      /root/openvpn_users/easy-rsa/easyrsa3/pki/reqs/test.req
         这个文件被我们导入到了服务端文件所以那里也有
 
F. 拷贝服务器证书文件放到/etc/openvpn目录
   进入/etc/openvpn/easy-rsa/easyrsa3目录
   #cp pki/ca.crt  /etc/openvpn
   #cp pki/private/server.key  /etc/openvpn
   #cp pki/issued/server.crt  /etc/openvpn
   #cp pki/dh.pem  /etc/openvpn
 
G. Client证书（集中放到一个文件夹下，给VPN用户使用）
   # mkdir /root/users
   # mkdir /root/users/test //内部文件夹以姓名全拼命名，方便下载这些密钥文件
   # cd /root/users/test/
   # cp /etc/openvpn/ca.crt ./          
    拷贝CA证书到test目录下
   # cp /etc/openvpn/easy-rsa/easyrsa3/pki/issued/test.crt ./      
    拷贝（服务端路径）用户crt文件
   # cp /root/openvpn_users/easy-rsa/easyrsa3/pki/private/test.key ./
　　拷贝（客户端路径）用户key文件
   
   查看
   [root@OpenVPN test]# ls
   ca.crt  test.crt  test.key

生成ta.key【为了安全】

配置服务之前，需要生成配置文件需要的ta.key文件，并将ta.key放入/etc/openvpn目录下
【注：客户端连接也要使用有此文件】
# cd /root/
# /usr/local/openvpn/sbin/openvpn --genkey --secret ta.key
# ls
# cp  ta.key  /etc/openvpn/
# cp ta.key /root/users/test

服务端配置文件

# vi /etc/openvpn/server.conf  
    
     local 10.0.8.28
     #申明本机使用的IP地址，也可以不说明
     port 1194
     #申明使用的端口，默认1194
     proto tcp
     #申明使用的协议，默认使用UDP，如果使用HTTP proxy，必须使用TCP协议
     dev tun
     #申明使用的设备可选tap和tun，tap是二层设备，支持链路层协议。
     ca /etc/openvpn/ca.crt
     #指定ca证书的路径
     cert /etc/openvpn/server.crt
     #指定server.crt路径
     key /etc/openvpn/server.key
     #指定server.key路径
     dh /etc/openvpn/dh.pem
     #指定dh.pem路径
     server 172.101.101.0 255.255.255.0
     #为VPN客户端指定分配的网络地址（自己根据规划分配）
     ifconfig-pool-persist ipp.txt
     push "redirect-gateway"      
     #向客户端push网关【push 网关后，客户端通过远程网络上网，作用类似NAT伪装；如果不想这么做，就需要向客户端直接push路由--后边故障解决部分有介绍】
     push "dhcp-option DNS 114.114.114.114"  #向客户端push DNS
     client-to-client  #让客户端彼此可以互相访问
     tls-auth   /etc/openvpn/ta.key 0  
     #注：此处客户端配置文件中该参数需要改为 tls-auth ta.key 1
     comp-lzo
     auth md5
      cipher AES-256-CBC
      max-clients 100
      keepalive 10 120
      persist-key
      persist-tun
      status openvpn-status.log
      verb 3

启动openvpn

/usr/local/openvpn/sbin/openvpn --config /etc/openvpn/server.conf &


加入开机启动项【手动创建开机启动脚本文件】
# vi  /etc/init.d/openvpn 
输入以下内容，保存：
#!/bin/bash
# chkconfig: 2345 67 33
# description: ntpd is the NTPv4 daemon.
nohup /usr/local/openvpn/sbin/openvpn --config /etc/openvpn/server.conf > /tmp/open.log 2>&1 &

# chmod  755  openvpn             //添加执行权限
# chkconfig --add openvpn
# chkconfig openvpn on           //加入开机启动项
# netstat -ln                   //查看端口是否正确启动

客户端配置

1	此处以windows客户端为例：安装Openvpn客户端并以管理员身份运行

配置创建client.ovpn文件

client
dev tun
proto udp
remote 10.0.8.28   #主要这里修改成自己server ip
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt               #这里需要证书
cert test.crt
key  test.key
auth md5
cipher AES-256-CBC
tls-auth ta.key 1
comp-lzo
verb 3

故障处理

1	故障描述：运行openvpn客户端后，VPN连接正常，但无法上网和Ping公司内网

解决方法：
  1. 打开Openvpn服务端配置文件
   # vi /etc/openvpn/server.conf
 
  添加如下静态路由(填写服务器这边的网络)
  push "route 10.0.8.0 255.255.254.0 net_gateway"
  push "route 10.0.0.0 255.255.254.0 net_gateway"
  #push "route 10.0.16.0 255.255.248.0 net_gateway"
  push "route 0.0.0.0 0.0.0.0 net_gateway"
  
重启openvpn服务，再进行测试即可

证书吊销

OpenVPN证书吊销

# cd  /etc/openvpn/easy-rsa/easyrsa3/
# ./easyrsa revoke  clientName              //name输入需要注销的用户名称
# ./easyrsa  gen-crl
此时会在/etc/openvpn/easy-rsa/easyrsa3/pki目录下生成crl.pem文件
# cp  ./etc/openvpn/easy-rsa/easyrsa3/pki/crl.pem    /etc/openvpn
# cd   /etc/openvpn

# vim  server.conf
添加如下内容：
crl-verify  /etc/openvpn/crl.pem
重启OpenVPN服务,使配置生效

关于客户端逻辑负载均衡

为什么说客户端负载均衡是逻辑上的呢？
实现逻辑是这样：部署多台独立的openvpn服务端，然后客户端配置多台server ip地址，客户端每次连接都会选择不同的server进行连接，如果失败，则自动连接下一个server。
客户端轮询部分配置如下：
remote server1 1194
remote server2 1194
remote server3 1194
remote-random
resolv-retry 2

那么问题来了，如何保证多台server的配置文件和用户key能保持一致呢？
解决方案：以其中一台server作为逻辑主server，也就是说所有的keys用户创建，都只在这个主server上进行，然后，将/etc/openvpn目录下的所有文件【注意：不包括server.conf主配置文件】覆盖到server2、server3上面【注意：不要覆盖server2和server3的主配置文件: server.conf,否则你就呵呵吧】，并重启他们的openvpn服务即可。

本文作者： GaryWu
本文链接： https://garywu520.github.io/2018/08/23/OpenVPN编译安装部署/
版权声明： 本博客所有文章除特别声明外，均采用 MIT 许可协议。转载请注明出处！

jsonContent: meta: false pages: false posts: title: true date: true path: true text: false raw: false content: false slug: false updated: false comments: false link: false permalink: false excerpt: false categories: false tags: true