centos部署openvpn
openvpn服务端
安装依赖组件
sh
yum -y install epel-release openvpn easy-rsa net-tools bridge-utils配置服务端证书
创建ca和证书,使用免密模式
sh
cd /usr/share/easy-rsa/3
./easyrsa init-pki
./easyrsa build-ca
./easyrsa build-server-full server1 nopass
./easyrsa build-client-full client1 nopass
./easyrsa gen-dh
openvpn --genkey --secret ./pki/ta.key复制证书到运行目录下
sh
cp -pR /usr/share/easy-rsa/3/pki/{issued,private,ca.crt,dh.pem,ta.key} /etc/openvpn/server/配置路由转发
修改内核参数
vi /etc/sysctl.d/99-sysctl.conf
配置net.ipv4.ip_forward = 1
sysctl --system
服务端配置说明
配置文件里的路径相对server.conf所在目录
sh
cp /usr/share/doc/openvpn-x/sample/sample-config-files/server.conf /etc/openvpn/server/
vi /etc/openvpn/server/server.conf
txt
## 为客户端分配的ip段
server 10.8.0.0 255.255.255.0
## 服务端内网网段例172.16.30.0则配置如下
push "route 172.16.30.0 255.255.255.0"
## 允许多客户端使用同一个证书连接
duplicate-cn
## 证书目录
ca ca.crt
cert issued/server1.crt
key private/server1.key
dh dh.pem
## 日志输出目录
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
## 使用tcp时注释掉以下配置
;explicit-exit-notify 1服务端启动
sh
systemctl start openvpn-server@server
systemctl enable openvpn-server@server
systemctl status openvpn-server@server配置允许访问同一网段
不配置则客户端只能访问vpn服务器所在ip。需添加路由表配置转发,例10.8.0.0/16是服务端server.conf为客户端分配的网段
sh
iptables -t nat -A POSTROUTING -s 10.8.0.0/16 -j MASQUERADE查看服务端日志
详见服务端server.conf里配置的日志目录
查看已接入的客户端
sh
cat /etc/openvpn/server/ipp.txt客户端使用
客户端证书
拷贝服务端生成的证书文件放到客户端config目录下
/etc/openvpn/server/ca.crt
/etc/openvpn/server/ta.key
/etc/openvpn/server/issued/client1.crt
/etc/openvpn/server/private/client1.key
windows客户端配置
从服务端拷贝sample.ovpn配置编辑,也放在config目录下
/usr/share/doc/openvpn-x/sample/sample-windows/sample.ovpn
客户端配置说明
## vpn服务端所在公网ip和vpn服务端口
remote x.x.x.x 1194
## 客户端证书
ca ca.crt
cert client1.crt
key client1.key
tls-auth ta.key 1
## 设备类型和服务端配置一致
dev tun
## 协议要和服务端配置一致
proto tcp