在ECS Centos7上，安装配置OpenVPN。

1、安装openvpn

yum install -y openvpn

yum install -y easy-rsa

2、配置openvpn

拷贝配置文件

cp /usr/share/doc/openvpn-*/sample/sample-config-files/server.conf  /etc/openvpn

编辑配置文件

vim /etc/openvpn/server.conf

主要修改以下几个配置，把前边的分号注释去掉，其中DNS配置项，改成阿里公共DNS地址。

dh dh2048.pem

server 192.168.1.0 255.255.255.0          #vpn的内网地址段

push "redirect-gateway def1 bypass-dhcp"

push "dhcp-option DNS 223.5.5.5"

push "dhcp-option DNS 223.6.6.6"

user nobody

group nobody

3、配置证书文件

mkdir -p  /etc/openvpn/easy-rsa/keys

cp  -a  /usr/share/easy-rsa/2.0/*  /etc/openvpn/easy-rsa/

vi   /etc/openvpn/easy-rsa/vars

修改以下配置的内容，自定义设置各项值就可以。

export KEY_COUNTRY="CN"

export KEY_PROVINCE="CA"

export KEY_CITY="Bei Jing"

export KEY_ORG="Fort-Funston"

export KEY_EMAIL="vpm@host.com"

export KEY_OU="test"

export KEY_NAME="vpnserver"

export KEY_CN="openvpn"    这行配置，前边默认的“#”号注释去掉。

cp  /etc/openvpn/easy-rsa/openssl-1.0.0.cnf  /etc/openvpn/easy-rsa/openssl.cnf

cd /etc/openvpn/easy-rsa

source ./vars 

./clean-all 

./build-ca    #执行命令后，按回车键，一直到结束。

./build-key-server server    #按回车键进行，在提示输入密码的地方，设置一个密码，最后输入两次“y”回车

./build-dh     #创建秘钥文件，等待命令执行完。

ls   /etc/openvpn/easy-rsa/keys/       #可以看到，目录中已经创建好了证书文件。

cd  /etc/openvpn/easy-rsa/keys

cp  dh2048.pem  ca.crt  server.crt  server.key   /etc/openvpn

cd  /etc/openvpn/easy-rsa

./build-key client       #创建客户端证书文件，按回车进行，提示输入密码的地方，输入之前设置的证书密码。

ls /etc/openvpn/easy-rsa/keys/    #可以看到，生成了客户端的证书文件

4、设置iptables、路由转发。

yum install -y iptables-services

systemctl enable iptables

systemctl stop firewalld   #关闭Centos7默认的 firewall防火墙

systemctl start iptables   #启动iptables

iptables  -F     #清空默认的iptables规则

设置iptables NAT转发规则

iptables -t nat -A POSTROUTING -s 192.168.1.0/24  -j MASQUERADE 

service iptables save   #保存防火墙规则

echo 1 > /proc/sys/net/ipv4/ip_forward     #临时开启路由转发

vi  /etc/sysctl.conf   #编辑配置文件，添加以下配置，设置永久路由转发

net.ipv4.ip_forward = 1

5、启动openvpn

systemctl -f enable openvpn@server.service      #设置启动文件

systemctl start openvpn@server.service          #启动openvpn的命令

6、服务器安装配置好openvpn后，在本地Windows电脑上，通过openvpn客户端连接vpn。

把服务器上的三个客户端证书文件，下载到本地电脑配置vpn客户端。

/etc/openvpn/easy-rsa/keys/ca.crt

/etc/openvpn/easy-rsa/keys/client.crt

/etc/openvpn/easy-rsa/keys/client.key

安装好openvpn客户端软件后，把证书文件，存放到openvpn安装目录的config文件夹下。

从sample-config文件夹下，拷贝客户端的配置文件client.ovpn 到config文件夹下。

编辑config文件夹下的配置文件client.ovpn，修改remote my-server-1 1194  这行配置，指定openvpn服务器的ip地址。

配置好后，点击openvpn的客户端图标，连接vpn。

openvpn的图标显示绿色后，表示已经连接上vpn了。

然后在本地电脑进行测试，连接vpn后，可以访问ECS服务器的内网，通过ECS服务器连接公网。

本地电脑用浏览器上网，显示的ECS服务器的公网ip。