心跳 重新啟動 config 8.0 def 互訪 tap tables issue

1、安裝eple源
yum install -y epel-release
sed -i ‘s/mirrorlist=https/mirrorlist=http/g‘ /etc/yum.repos.d/epel.repo**

2、安裝openssl和lzo
yum install -y openssl openssl-devel lzo lzo-devel pam pam-devel automake pkgconfig

3、安裝open
yum install -y open easy-rsa

4、配置easy-rsa
cp -r /usr/share/easy-rsa/3.0.3/ /etc/open/easy-rsa
cp /usr/share/doc/easy-rsa-3.0.3/vars.example /etc/open

/easy-rsa/vars

grep ^set /etc/open*/easy-rsa/vars
set_var EASYRSA_REQ_COUNTRY "CN" #國家
set_var EASYRSA_REQ_PROVINCE "Guangdong" #省
set_var EASYRSA_REQ_CITY "Shenzhen" #城市
set_var EASYRSA_REQ_ORG "IT" #組織

set_var EASYRSA_REQ_EMAIL "[email protected]" #郵箱
set_var EASYRSA_REQ_OU "IT" #公司、組織

5、制作CA證書（證書存放目錄/etc/open/easy-rsa/pki/ca.crt）
cd /etc/open/easy-rsa/
./easyrsa init-pki #初始化pki，生成目錄文件結構

./easyrsa build-ca #在Enter PEM pass phrase:處設置CA密碼，其他直接回車

6、制作服務器端證書、證書簽名（證書存放目錄/etc/open*/easy-rsa/pki/issued/server.crt）
./easyrsa gen-req server nopass #一路回車即可
./easyrsa sign server server #此過程需要輸入yes和CA密碼

7、制作dh證書（證書存放目錄/etc/open*/easy-rsa/pki/dh.pem）
./easyrsa gen-dh

8、生成ta秘鑰
cd /etc/open
open --genkey --secret ta.key

9、制作客戶端證書、證書簽名
cp -r /usr/share/easy-rsa/3.0.3/ /etc/open/client
cp /usr/share/doc/easy-rsa-3.0.3/vars.example /etc/open/client/vars
cd /etc/open*/client
./easyrsa init-pki #初始化pki，生成目錄文件結構
./easyrsa gen-req client nopass #一路回車即可

cd /etc/open/easy-rsa
./easyrsa import-req /etc/open/client/pki/reqs/client.req client
./easyrsa sign client client #此過程需要輸入yes和CA密碼

10、修改服務器端配置文件
cp /etc/open/easy-rsa/pki/ca.crt /etc/open/
cp /etc/open/easy-rsa/pki/private/server.key /etc/open/
cp /etc/open/easy-rsa/pki/issued/server.crt /etc/open/
cp /etc/open/easy-rsa/pki/dh.pem /etc/open/
cp /usr/share/doc/open-2.4.6/sample/sample-config-files/server.conf /etc/open/

cat /etc/open/server.conf
local 0.0.0.0 #指定監聽的IP地址
port 1194 #指定監聽的端口
proto tcp #指定使用的協議
dev tun #指定采用路由隧道模式
ca ca.crt #ca證書相對路徑，相對路徑要與server.conf在同一目錄
cert server.crt #服務端證書相對路徑
key server.key #服務端key相對路徑
dh dh.pem #dh密鑰相對路徑
server 10.8.0.0 255.255.255.0 #給客戶端分配的地址池
ifconfig-pool-persist ipp.txt #定義客戶端和虛擬ip地址之間的關系，特別是在open重啟時,再次連接的客戶端將依然被分配和斷開之前的IP地址。
push "redirect-gateway def1 bypass-dhcp" #客戶端出口顯示為服務器的IP地址
push "dhcp-option DNS 8.8.8.8" #指定dns
push "dhcp-option DNS 114.114.114.114" #指定dns
push "route 10.2.1.0 255.255.255.0" #實際想要訪問的內網IP段
push "route 172.16.1.0 255.255.255.0" #實際想要訪問的內網IP段
client-to-client #客戶端之間能相互訪問
duplicate-cn #客戶端都使用相同的證書和密鑰連接×××，一定要打開這個選項，否則每個證書只允許一個人連接×××
keepalive 10 120 #心跳檢測，10秒檢測一次，2分鐘內沒有回應則視為斷線
tls-auth ta.key 0 #開啟TLS，使用ta.key防禦×××。服務器端的第二個參數值為0，客戶端的為1。
cipher AES-256-CBC
comp-lzo #傳輸數據壓縮
persist-key #通過keepalive檢測超時後，重新啟動×××，不重新讀取keys，保留第一次使用的keys
persist-tun #通過keepalive檢測超時後，重新啟動×××，一直保持tun或者tap設備是linkup的。否則網絡連接，會先linkdown然後再linkup。
status open-status.log #Open×××的狀態日誌，默認為/etc/open/open-status.log
log-append open.log #Open×××的運行日誌，默認為/etc/open/open.log
verb 5 #改成verb 5可以多查看一些調試信息

11、修改客戶端配置文件
cp /usr/share/doc/open-2.4.6/sample/sample-config-files/client.conf /etc/open/client/client.o
cat /etc/open/client/client.o*
client
dev tun
proto tcp
remote 10.1.1.1 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
ca ca.crt
cert client.crt
key client.key
tls-auth ta.key 1
cipher AES-256-CBC
comp-lzo
verb 5

12、開啟路由轉發，配置防火墻，啟動服務
sed -i ‘/net.ipv4.ip_forward/s/0/1/‘ /etc/sysctl.conf
sysctl -p

iptables -I INPUT -p tcp --dport 1194 -m comment --comment "open*" -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j MASQUERADE
service iptables save

service open start
chkconfig open on

13、客戶端需要的文件
/etc/open/easy-rsa/pki/issued/client.crt
/etc/open/client/pki/private/client.key
/etc/open/easy-rsa/pki/ca.crt
/etc/open/ta.key
/etc/open/client/client.o

sz /etc/open/easy-rsa/pki/issued/client.crt /etc/open/client/pki/private/client.key /etc/open/easy-rsa/pki/ca.crt /etc/open/ta.key /etc/open/client/client.o

14、查看登錄日誌
cat open*.log |grep "primary virtual IP"

**

2、CentOS6.5 安裝Open×××使用easy-rsa3.0.3