原理：

OpenVpn的技术核心是虚拟网卡，其次是SSL协议实现这里重点对虚拟网卡及其在OpenVpn的中的工作机理进行介绍：        

虚拟网卡是使用网络底层编程技术实现的一个驱动软件，安装后在主机上多出现一个网卡，可以像其它网卡一样进行配置。服务程序可以在应用层打开虚拟网卡，如果应用软件（如IE）向虚拟网卡发送数据，则服务程序可以读取到该数据，如果服务程序写合适的数据到虚拟网卡，应用软件也可以接收得到。虚拟网卡在很多的操作系统下都有相应的实现，这也是OpenVpn能够跨平台一个很重要的理由。

在OpenVpn中，如果用户访问一个远程的虚拟地址（属于虚拟网卡配用的地址系列，区别于真实地址），则操作系统会通过路由机制将数据包（TUN模式）或数据帧（TAP模式）发送到虚拟网卡上，服务程序接收该数据并进行相应的处理后，通过 SOCKET从外网上发送出去，远程服务程序通过SOCKET从外网上接收数据，并进行相应的处理后，发送给虚拟网卡，则应用软件可以接收到，完成了一个单向传输的过程，反之亦然。

安装环境 ：服务端 RHEL 5.3 (IP 192.168.10.191) 或以上

           客户端：win7

Linux 系统kerner需要支持 tun设备，需要加载iptables模块。

#modinfo tun

OpenVPN如果需要启用 SSL 连接，则需要先安装 OpenSSL。

#rpm -qa | grep ssl 

如果没有

#yum install openssl-devel

本次安装用的2.2.2，可在官网上下载

通过通过SecureCRT或者XShell等登录到服务器，上传LZO和OpenVPN，LZO用于数据压缩

安装过程：

1.解压并安装lzo

#tar zxvf lzo.2.06.tar.gz

#cd lzo-2.06

#./configure

#make

#make install

2.解压并安装openvpn

#tar zxvf openvpn-2.2.2.tar.gz

#cd openvpn-2.2.2

#configure && make && make install

3.生产证书key

初始化PKI

#mkdir /etc/openvpn (默认没有此目录)

#cd openvpn-2.2.2

#cp -r easy-rsa/2.0 /etc/openvpn/easy-rsa

#cd /etc/openvpn/easy-rsa

#vi vars

        将最下面几行根据需要自己修改,例如:

        export KEY_COUNTRY="CN"

        export KEY_PROVINCE="BJ"

        export KEY_CITY="Beijing"

        export KEY_ORG="baidu"

        export KEY_EMAIL="tech@baidu.cn"

        export KEY_EMAIL=tech@baidu.cn

        export KEY_CN=baidu

        export KEY_NAME=baidu

        export KEY_OU=baidu

        export PKCS11_MODULE_PATH=baidu

        export PKCS11_PIN=1q2w3e4r

创建证书

#../vars

NOTE: Ifyou run ./clean-all, I will be doing a rm -rf on /etc/openvpn/easy-rsa/keys

(只有在第一次生成证书的时候才需要执行)

#./clean-all

#./build-ca (一路回车)

#./build-key-server server （建立 server key）

(一路回车，到提示[y/n]，输入y)

#cd /etc/openvpn/easy-rsa/keys 

将生成的证书复制到/etc/openvpn

#cp ca.crt dh1024.pem server.crt server.key /etcp/openvpn

创建server.conf

 #cd /etc/openvpn

#vim server.conf (默认没有此文件)

        local 192.168.10.191

        port 1194

        proto udp

        dev tun

        ca ca.crt

        cert server.crt

        key server.key

        dh dh1024.pem

        server 11.8.0.0 255.255.255.0

        keepalive 10 120

        comp-lzo

        persist-key

        persist-tun

        log    openvpn.log

        log-append openvpn.log

        status openvpn-status.log

        verb 3

启动服务端 

#openvpn --config /etc/openvpn/server.conf --daemon

#ip a

可以看到增加了一个tun0设备，且IP是11.8.0.1,  说明启动成功

4.生成客户端key

#cd /etc/openvpn/easy-rsa

#./build-key client1   （以后类似生成 ./build-key client2 ...）

(一路回车，到提示[y/n]，输入y)

将生产的客户端key文件 ca.crt client1.crt client1.key拷贝到win7上，

5.win7配置

将ca.crt client1.crt client1.key拷贝到 openvpn的安装目录下的config目录里面

，并创建client.ovpn(默认没有)文件

编辑 client.ovpn ，内容如下

    client

    dev tun

    proto udp

    remote 192.168.10.191 1194

    resolv-retry infinite

    nobind

    user nobody

    group nodody

    persist-key

    persis-tun

    ca ca.crt

    cert client1.crt

    key client1.key

    comp-lzo

    verb 3

    keepalive 10 120

win7使用客户端连接,拨号成功显示自动获取的IP，ping 11.8.0.1通即成功

补充linux作为客户端:

linux客户端也要安装lzo和openven(见安装过程1和安装过程2)

并创建/etc/openvpn

把 ca.crt client1.crt client1.key 拷贝到/etc/openvpn 

还要创建client.conf（默认没有此文件）

编辑 client.conf，内容和win7 的config目录下的client.ovpn一样。

启动客户端

#openvpn --config /etc/openvpn/client.conf --daemon

#ip a 

可以看到tun0设备，自动获取了11.8.0段的IP，说明拨号成功，可以ping 11.8.0.1测试。