Fork me on GitHub

基于AEAD加密来建立TUN VPN

字数统计: 1k字   |   阅读时长≈ 5分

基于AEAD加密建立稳定TUN/TAP VPN,实现异地内网互联

1
注:为了稳定,GOST协议建议使用TCP,每当重大事件时期,UDP会沦陷。
一、工具
二、架构模式
  • 第1部分部署:美国 — 北京 实现AEAD加密互联
  • 第2部分部署:HOME到北京 通过OVPN实现内网互联
三、第1部分部署
1. 服务端(US)
  • kernel
1
2
#IP转发
net.ipv4.ip_forward=1
  • iptables
1
2
3
4
#开放TUN1 VPN[注:默认允许转发]
iptables -A INPUT -p tcp --dport 8881 -j ACCEPT      
iptables -A OUTPUT -p tcp --sport 8881 -j ACCEPT
iptables -t nat -A POSTROUTING -s 172.16.100.0/24 ! -o tun1 -j MASQUERADE
  • 启动

cat cat tun1_vpn.conf 

1
2
3
4
5
6
7
8
9
10
11
12
#使用UDP
[program:tun1_vpn]
command=/usr/bin/gost -obfs4-distBias -L="tun://AEAD_AES_256_GCM:password@:8881?name=tun1&tcp=true&net=172.16.100.1/24"
stdout_logfile=/var/log/tun1.log
stderr_logfile=/var/log/tun1.log
username=nobody
autostart=true
autorestart=true
startsecs=5
priority=1
stopasgroup=true
killasgroup=true

2. 客户端(BJ)

cat cat tun1_local.conf 

1
2
3
4
5
6
7
8
9
10
11
[program:tun1_local]
command=/usr/bin/gost -obfs4-distBias -L="tun://AEAD_AES_256_GCM:password@:8881/xx.xx.xx.xx:8881?name=tun1&tcp=true&net=172.16.100.2/24&gw=172.16.100.1&route=10.0.0.0/8"
stdout_logfile=/var/log/tun1.log
stderr_logfile=/var/log/tun1.log
username=nobody
autostart=true
autorestart=true
startsecs=5
priority=1
stopasgroup=true
killasgroup=true
3.BJ测试
1
2
ping 172.16.100.1
ping 10.0.1.10
四、第2部分部署
1.内核开启转发功能

cat /etc/sysctl.conf

1
net.ipv4.ip_forward = 1

sysctl -p

2.编译安装OpenVPN
1
2
3
4
5
6
7
8
#安装依赖
yum install -y openssl openssl-devel lzo lzo-devel pam pam-devel automake pkgconfig gcc gcc++

#下载openvpn-2.4.7.tar.gz
wget https://swupdate.openvpn.org/community/releases/openvpn-2.4.7.tar.gz
tar -zxvf openvpn-2.4.7.tar.gz && cd openvpn-2.4.7
./configure --prefix=/usr/local/openvpn
make && make install
3. 创建OpenVPN工作目录
1
2
3
mkdir -p /etc/openvpn
cp -r /root/openvpn-2.4.7/sample/ /etc/openvpn/
cp /etc/openvpn/sample/sample-config-files/server.conf /etc/openvpn/
4. 下载最新EasyRsa3工具

Github 项目: https://github.com/OpenVPN/easy-rsa 

1
2
3
4
#本工具用来制作ca证书、服务端及客户端证书使用

git clone https://github.com/OpenVPN/easy-rsa.git
mv easy-rsa /etc/openvpn/
1
2
3
cd /etc/openvpn/easy-rsa/easyrsa3/
cp vars.example vars
chmod +x vars

cat vars

1
2
3
4
5
6
set_var EASYRSA_REQ_COUNTRY     "BJ-K"
set_var EASYRSA_REQ_PROVINCE    "BJ-K"
set_var EASYRSA_REQ_CITY        "BJ-K"
set_var EASYRSA_REQ_ORG         "BJ-K Team Co"
set_var EASYRSA_REQ_EMAIL       "BJ-K.com"
set_var EASYRSA_REQ_OU          "Dev Team"
5. 创建服务端证书及key
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
cd /etc/openvpn/easy-rsa/easyrsa3
#初始化
./easyrsa init-pki
#创建根证书
./easyrsa build-ca
#注:根据提示输入服务器CA的PEM密码和Common name
#CA密码为: xxxxxx
#common name为:BJ

#创建服务端证书
./easyrsa gen-req server nopass

#签约服务端证书
 ./easyrsa sign server server
 
#创建Diffle-Hellman
 ./easyrsa gen-dh
1
2
3
4
5
#拷贝配置文件
cp /etc/openvpn/easy-rsa/easyrsa3/pki/ca.crt /etc/openvpn/
cp /etc/openvpn/easy-rsa/easyrsa3/pki/issued/server.crt /etc/openvpn/
cp /etc/openvpn/easy-rsa/easyrsa3/pki/private/server.key /etc/openvpn/
cp /etc/openvpn/easy-rsa/easyrsa3/pki/dh.pem /etc/openvpn/
6. 配置OpenVPN服务

生成ta.key文件 — 注:客户端连接同样需要该文件

1
2
cd /etc/openvpn/
/usr/local/openvpn/sbin/openvpn --genkey --secret ta.key

配置/etc/openvpn/server.conf

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
local 0.0.0.0
port 21033
proto tcp
dev tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh.pem
server 172.200.200.0 255.255.255.0
ifconfig-pool-persist ipp.txt
tls-auth /etc/openvpn/ta.key 0
client-to-client
keepalive 10 120
cipher AES-256-GCM
user openvpn
group openvpn
persist-key
persist-tun
status /var/log/openvpn/openvpn.log
verb 3
#crl-verify /etc/openvpn/easy-rsa/easyrsa3/pki/crl.pem
1
2
3
4
mkdir -p /var/log/openvpn/
useradd -M -s /sbin/nologin openvpn
chown -R openvpn.openvpn /var/log/openvpn
chown -R openvpn.openvpn /etc/openvpn

supervisor启动管理

1
2
3
4
5
6
7
8
9
10
[program:bj_ovpn]
command=/usr/local/openvpn/sbin/openvpn --config /etc/openvpn/server.conf
stdout_logfile=/var/log/openvpn/openvpn.log
stderr_logfile=/var/log/openvpn/openvpn.log
autostart=true
autorestart=true
startsecs=5
priority=1
stopasgroup=true
killasgroup=true

7. OVPN客户端-配置文件
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
client
dev tun
proto tcp
remote xx.xx.xx.xx 21033
resolv-retry infinite
nobind
persist-key
persist-tun
auth-nocache
ca ./ca.crt
cert ./xxx.crt
key ./xxx.key
cipher AES-256-GCM
tls-auth ./ta.key 1
remote-cert-tls server
#US目标路由
route 10.0.0.0 255.0.0.0
verb 3

故障解决

如果服务器向客户端push了子网路由,仍然无法访问远程服务器内网其他机器的话,需要在OpenVPN服务器添加一条Iptables NAT策略

1
2
3
4
5
#OpenVPN子网转发
#--------------- OVPN -----------------------------#
iptables -A INPUT -p tcp --dport 21033 -j ACCEPT      
iptables -A OUTPUT -p tcp --sport 21033 -j ACCEPT
iptables -t nat -A POSTROUTING -s 172.200.200.0/24 ! -o eth0 -j MASQUERADE

扫一扫,分享到微信

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia-plus根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true


不论我写了什么...
其实都是错的......