(原创)Redhat Linux企业版4的openvpn安装

JavaGG 发布于 2009/05/05 16:14
阅读 713
收藏 1

一、 需求
1、 安装方便,平台兼容性高,不用编译内核。(我比较反感动不动就要重新编译内核的软件);
2、 能够没有限制的穿透NAT内网;(这个非常关键,因为现在我的服务器是在学校拖管,我们实验室内部都是一层一层NAT出去的,)
由于以上两点限制,在现有许多种方案中,我试用了两种:pptpd和opensvn。pptpd是网上比较推荐使用的,因为配置非常方便,就改两个小文件就可以配置成功。但是有一个致命的弱点是起了两个端口,大多数情况下穿透NAT是个障碍,所以我最终放弃了。改用opensvn后解决了NAT的问题,在内网和公网上测试没有任何问题。
openvpn的唯一缺限是不能够使用Windows内置的vpn客户端,需要另外安装软件,所幸安装过程很简单。

二、 安装环境
1. 服务器:Dell 6850服务器,Redhat Linux 企业版4 Update 2,内核2.6.9-22.ELsmp。
2. 客户端:Windows xp SP2
3. 网络结构:



a) 我们是北航校园网里面的一个实验室局域网,在学校网络中心托管了一台服务器gait.buaa.edu.cn。
b) 从我们实验室到校园网是一层NAT出去的。实验室里面是192.168.48.xxx的内网地址。
c) 服务器有对外的独立地址(属于教育网内的独立地址),目前由于网管中心的疏忽,对内、对外都没有做任何端口限制(由此可见北航网管的整体水平),因此开通VPN服务是有可能的。
d) 经过我的配置,gait.buaa.edu.cn上面起了VPN服务,默认的子网地址是10.0.0.1。这样在公网上的机器就可以拨入,而且可以连通到任何已经拨入这台服务器的校园网主机。形成一个虚拟的10.0.0.x子网。从这个意义上,VPN服务也像是一个“虚拟HUB”,使得学校内、外的计算机可以互通,使得经过层层NAT和防火墙拦截的计算机连到了一个局域上。

三、 安装服务器
1、 到http://openvpn.net/上下载openvpn的最新版,时至今日是openvpn-2.0.9.tar.gz。
a) 网上都说还需要lzo这个压缩库。我没有安装,在编译程序的时候只需要加上--disable-lzo就可以了。这样所有要安装的就是一个包openvpn-2.0.9.tar.gz。
2、 上传到服务器gait.buaa.edu.cn上,解开成为/root/openvpn-2.0.9。
3、 cd /root/openvpn-2.0.9
4、 ./configure --disable-lzo。
a) 这个过程很可能需要Redhat的一些开发包,我安装的时候又打上了openssl-devel-0.9.7a-43.2.i386.rpm、zlib-devel-1.2.1.2-1.2.i386.rpm、e2fsprogs-devel-1.35-12.2.EL4.i386.rpm,当然如果是完全安装的服务器就不用了。
5、 make ; make install
a) 我在很多机器上都做了编译,不应该出现任何问题。这个软件做的还是不错的。
6、 生成证书
a) cd /root/openvpn-2.0.9/easy-rsa 
i. export D=`pwd` 
ii. export KEY_CONFIG=$D/openssl.cnf 
iii. export KEY_DIR=$D/keys 
iv. export KEY_SIZE=1024 
v. export KEY_COUNTRY=CN 
vi. export KEY_PROVINCE=BJ 
vii. export KEY_CITY=BJ 
viii. export KEY_ORG="buaa" 
ix. export KEY_EMAIL=guojie.jin@hotmail.com
b) ./clean-all 
c) ./build-ca
./clean-all 
./build-ca 

Generating a 1024 bit RSA private key 
................++++++ 
........++++++ 
writing new private key to 'ca.key' 
----- 
You are about to be asked to enter information that will be incorporated 
into your certificate request. 
What you are about to enter is what is called a Distinguished Name or a DN. 
There are quite a few fields but you can leave some blank 
For some fields there will be a default value, 
If you enter '.', the field will be left blank. 
----- 
Country Name (2 letter code) [CN]: 
State or Province Name (full name) [BJ]: 
Locality Name (eg, city) [BJ]: 
Organization Name (eg, company) [dvdmaster]: buaa
Organizational Unit Name (eg, section) []:gait
Common Name (eg, your name or your server's hostname) []:server
Email Address [[email]guojie.jin@hotmail.com[/email]]:



d) ./build-key-server server
./build-key-server server 

Generating a 1024 bit RSA private key 
......++++++ 
....................++++++ 
writing new private key to 'server.key' 
----- 
You are about to be asked to enter information that will be incorporated 
into your certificate request. 
What you are about to enter is what is called a Distinguished Name or a DN. 
There are quite a few fields but you can leave some blank 
For some fields there will be a default value, 
If you enter '.', the field will be left blank. 
----- 
Country Name (2 letter code) [CN]: 
State or Province Name (full name) [BJ]: 
Locality Name (eg, city) [BJ]: 
Organization Name (eg, company) [buaa]: 
Organizational Unit Name (eg, section) []:gait
Common Name (eg, your name or your server's hostname) []:server 
Email Address [[email]support@cooldvd.com[/email]]: 

Please enter the following 'extra' attributes 
to be sent with your certificate request 
A challenge password []:abcd1234 
An optional company name []:dvdmaster 
Using configuration from /openvpn-2.0.5/easy-rsa/openssl.cnf 
Check that the request matches the signature 
Signature ok 
The Subject's Distinguished Name is as follows 
countryName :PRINTABLE:'CN' 
stateOrProvinceName :PRINTABLE:'GD' 
localityName :PRINTABLE:'SZ' 
organizationName :PRINTABLE:'dvdmaster' 
organizationalUnitName:PRINTABLE:'dvdmaster' 
commonName :PRINTABLE:'server' 
emailAddress :IA5STRING:'[email]support@cooldvd.com[/email]' 
Certificate is to be certified until Mar 19 08:15:31 2016 GMT (3650 days) 
Sign the certificate? [y/n]:y 


1 out of 1 certificate requests certified, commit? [y/n]y 
Write out database with 1 new entries 
Data Base Updated 



e) 客户端证书
在openvpn中,这种配置方法是每一个登陆的VPN客户端需要有一个证书,每个证书在同一时刻只能供一个客户端连接(如果有两个机器安装相同证书,同时拨服务器,都能拨上,但是只有第一个拨上的才能连通网络)。所以需要建立许多份证书。下面建立三份,名称分别为client1 – client3。
./build-key client1 
Generating a 1024 bit RSA private key 
.....++++++ 
......++++++ 
writing new private key to 'client1.key' 
----- 
You are about to be asked to enter information that will be incorporated 
into your certificate request. 
What you are about to enter is what is called a Distinguished Name or a DN. 
There are quite a few fields but you can leave some blank 
For some fields there will be a default value, 
If you enter '.', the field will be left blank. 
----- 
Country Name (2 letter code) [CN]: 
State or Province Name (full name) [BJ]: 
Locality Name (eg, city) [BJ]: 
Organization Name (eg, company) [buaa]: 
Organizational Unit Name (eg, section) []:gait
Common Name (eg, your name or your server's hostname) []:client1 #重要: 每个不同的 client 生成的证书, 名字必须不同. 
Email Address [[email]support@cooldvd.com[/email]]: 

Please enter the following 'extra' attributes 
to be sent with your certificate request 
A challenge password []:abcd1234 
An optional company name []:gait 
Using configuration from /openvpn-2.0.5/easy-rsa/openssl.cnf 
Check that the request matches the signature 
Signature ok 
The Subject's Distinguished Name is as follows 
countryName :PRINTABLE:'CN' 
stateOrProvinceName :PRINTABLE:'GD' 
localityName :PRINTABLE:'SZ' 
organizationName :PRINTABLE:'dvdmaster' 
organizationalUnitName:PRINTABLE:'dvdmaster' 
commonName :PRINTABLE:'client1' 
emailAddress :IA5STRING:'[email]support@cooldvd.com[/email]' 
Certificate is to be certified until Mar 19 08:22:00 2016 GMT (3650 days) 
Sign the certificate? [y/n]:y 


1 out of 1 certificate requests certified, commit? [y/n]y 
Write out database with 1 new entries 
Data Base Updated 


f) 依次类推生成其他客户端证书/key: 
./build-key client2 
./build-key client3
注意在进入 Common Name (eg, your name or your server's hostname) []: 的输入时, 每个证书输入的名字必须不同.
g) 执行./build-dh
h) 生成的所有证书在/root/openvpn-2.0.9/easy-rsa/keys下。
i. 其中服务器需要的是ca.crt、server.crt、server.key、dh1024.pem,每个客户端需要的是ca.crt、client1-3.crt、client1-3.key。
7、 配置文件
a) cp /root/openvpn-2.0.9/sample-config-files/server.conf /usr/local/etc/server.conf
b) vi /usr/local/etc/server.conf
i. proto udp改成proto tcp
ii. ca那四行改成
ca /root/openvpn-2.0.9/easy-rsa/keys/ca.crt
cert /root/openvpn-2.0.9/easy-rsa/keys/server.crt
key /root/openvpn-2.0.9/easy-rsa/keys/server.key
dh /root/openvpn-2.0.9/easy-rsa/keys/dh1024.pem
iii. server那行改成
server 10.0.0.0 255.255.255.0
iv. 注释掉comp-lzo
v. 改成verb 5可以多查看一些调试信息
8、 启动服务:
a) 关闭服务器、防火墙上所有对SSH(22)、openvpn(1194)的拦截。
b) echo 1> /proc/sys/net/ipv4/ip_forward
c) /usr/local/sbin/openvpn --config /usr/local/etc/server.conf
d) 为了实现开机启动,在/etc/rc.local后面添加
/usr/local/sbin/openvpn --config /usr/local/etc/server.conf > /dev/null 2>&1 &
4. 安装客户端
1、 从http://openvpn.se/上下载与openvpn服务器版本一致的Windows客户端“OpenVPN GUI For Windows”
a) 例如, 服务器装的是 OpenVPN 2.09, 那么下载的 OpenVPN GUI fow windows应该是: openvpn-2.0.9-gui-1.0.3-install.exe
2、 执行openvpn-2.0.9-gui-1.0.3-install.exe。一切采用默认设置。
3、 将ca.crt、client1.crt、client1.key复制到C:\Program Files\OpenVPN\config。(不同用户使用不同的证书,每个证书包括.crt和.key两个文件,如client2.crt和client2.key)
4、 在/root/openvpn-2.0.9/sample-config-files/client.conf 的基础上建立客户端配置文件,改名为C:\Program Files\OpenVPN\config\client.ovpn
a) proto udp改成proto tcp
b) remote那行改成
gait.buaa.edu.cn 1194
c) ca那3行改为
ca ca.crt
cert client1.crt
key client1.key
d) 注释掉comp-lzo
5、 连接:在右下角的openvpn图标上右击,选择“Connect”。正常情况下应该能够连接成功,分配正常的IP。
a) 在使用中发现,openvpn不是连续分IP,而是10.0.0.6、10.0.0.10、10.0.0.14、……这样分下去,不知是何用意。

Linux下openvpn安装手记.rar



加载中
返回顶部
顶部