在ECS Centos7上,安装配置OpenVPN。 1、安装openvpn yum install -y openvpn yum install -y easy-rsa 2、配置openvpn 拷贝配置文件 cp /usr/share/doc/openvpn-*/sample/sample-config-files/server.conf /etc/openvpn 编辑配置文件 vim /etc/openvpn/server.conf 主要修改以下几个配置,把前边的分号注释去掉,其中DNS配置项,改成阿里公共DNS地址。 dh dh2048.pem server 192.168.1.0 255.255.255.0 #vpn的内网地址段 push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 223.5.5.5" push "dhcp-option DNS 223.6.6.6" user nobody group nobody
3、配置证书文件 mkdir -p /etc/openvpn/easy-rsa/keys cp -a /usr/share/easy-rsa/2.0/* /etc/openvpn/easy-rsa/ vi /etc/openvpn/easy-rsa/vars 修改以下配置的内容,自定义设置各项值就可以。 export KEY_COUNTRY="CN" export KEY_PROVINCE="CA" export KEY_CITY="Bei Jing" export KEY_ORG="Fort-Funston" export KEY_EMAIL="vpm@host.com" export KEY_OU="test" export KEY_NAME="vpnserver" export KEY_CN="openvpn" 这行配置,前边默认的“#”号注释去掉。
cp /etc/openvpn/easy-rsa/openssl-1.0.0.cnf /etc/openvpn/easy-rsa/openssl.cnf cd /etc/openvpn/easy-rsa source ./vars ./clean-all ./build-ca #执行命令后,按回车键,一直到结束。
./build-key-server server #按回车键进行,在提示输入密码的地方,设置一个密码,最后输入两次“y”回车
./build-dh #创建秘钥文件,等待命令执行完。 ls /etc/openvpn/easy-rsa/keys/ #可以看到,目录中已经创建好了证书文件。 cd /etc/openvpn/easy-rsa/keys cp dh2048.pem ca.crt server.crt server.key /etc/openvpn cd /etc/openvpn/easy-rsa ./build-key client #创建客户端证书文件,按回车进行,提示输入密码的地方,输入之前设置的证书密码。
ls /etc/openvpn/easy-rsa/keys/ #可以看到,生成了客户端的证书文件
4、设置iptables、路由转发。 yum install -y iptables-services systemctl enable iptables systemctl stop firewalld #关闭Centos7默认的 firewall防火墙 systemctl start iptables #启动iptables iptables -F #清空默认的iptables规则 设置iptables NAT转发规则 iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE service iptables save #保存防火墙规则 echo 1 > /proc/sys/net/ipv4/ip_forward #临时开启路由转发 vi /etc/sysctl.conf #编辑配置文件,添加以下配置,设置永久路由转发 net.ipv4.ip_forward = 1 5、启动openvpn systemctl -f enable openvpn@server.service #设置启动文件 systemctl start openvpn@server.service #启动openvpn的命令 6、服务器安装配置好openvpn后,在本地Windows电脑上,通过openvpn客户端连接vpn。 把服务器上的三个客户端证书文件,下载到本地电脑配置vpn客户端。 /etc/openvpn/easy-rsa/keys/ca.crt /etc/openvpn/easy-rsa/keys/client.crt /etc/openvpn/easy-rsa/keys/client.key
安装好openvpn客户端软件后,把证书文件,存放到openvpn安装目录的config文件夹下。 从sample-config文件夹下,拷贝客户端的配置文件client.ovpn 到config文件夹下。 编辑config文件夹下的配置文件client.ovpn,修改remote my-server-1 1194 这行配置,指定openvpn服务器的ip地址。
配置好后,点击openvpn的客户端图标,连接vpn。 openvpn的图标显示绿色后,表示已经连接上vpn了。
然后在本地电脑进行测试,连接vpn后,可以访问ECS服务器的内网,通过ECS服务器连接公网。 本地电脑用浏览器上网,显示的ECS服务器的公网ip。
|