open Virtual Private Network相關參考文獻
阿新 • • 發佈:2019-01-06
server服務端配置檔案詳解
https://www.cnblogs.com/EasonJim/p/8449495.html
easy-rsa3.0祕鑰配置
https://blog.rj-bai.com/post/136.html
密碼證書雙認證
https://www.jianshu.com/p/e8bea912adcd
openvpn配置檔案可以使用自帶模板修改為適合自己環境的,也可以自己建立個新的配置檔案
# cp /usr/share/doc/openvpn-2.4.3/sample/sample-config-files/server.conf /etc/openvpn/ # vim /etc/openvpn/server.conf port xxxxx #定義openvpn使用埠 proto udp4 #定義openvpn使用協議,也可以使用tcp協議,我在這裡遇到坑改成tcp就報錯(此坑已經知道是哪裡的問題了)。 dev tun #定義openvpn執行模式,openvpn有兩種執行模式一種是tap模式,一種是tun模式。 ca /etc/openvpn/easy-rsa/keys/ca.crt #openvpn使用的CA證書檔案,CA證書主要用於驗證客戶證書的合法性。 cert /etc/openvpn/easy-rsa/keys/server.crt #openvpn伺服器端使用的證書檔案 dh /etc/openvpn/easy-rsa/keys/dh2048.pem #Diffie hellman檔案 server 10.8.0.0 255.255.255.0 #openvpn在使用tun路由模式時,分配給client端分配的IP地址段 push "route 172.17.48.0 255.255.240.0" #向客戶端推送的路由資訊,假如客戶端的IP地址為10.8.0.2,要訪問172.17.48.0網段的話,使用這條命令就可以了。 push "redirect-gateway def1 bypass-dhcp" #這條命令可以重定向客戶端的閘道器,在進行FQ時會使用,開啟此選項客戶端出口ip會成為openvpn伺服器IP push "dhcp-option DNS 8.8.8.8" #向客戶端推送的DNS資訊。 push "dhcp-option DNS 114.114.114.114" #向客戶端推送的DNS資訊。 keepalive 10 120 #活動連線保時期限 cipher AES-256-CBC # comp-lzo #啟用允許資料壓縮,客戶端配置檔案也需要有這項。 user nobody #openvpn執行時使用的使用者及使用者組。 group nobody #openvpn執行時使用的使用者及使用者組。 persist-key #通過keepalive檢測超時後,重新啟動VPN,不重新讀取keys,保留第一次使用的keys。 persist-tun #通過keepalive檢測超時後,重新啟動VPN,一直保持tun或者tap裝置是linkup的。否則網路連線,會先linkdown然後再linkup。 status /var/log/openvpn/openvpn-status.log log /var/log/openvpn/openvpn.log log-append /var/log/openvpn/openvpnappend.log verb 3 #設定日誌記錄冗長級別 explicit-exit-notify 1 #此選項開啟只能使用udp協議。Options error: --explicit-exit-notify can only be used with --proto udp
修改var檔案
# vim /etc/openvpn/easy-rsa/vars export KEY_COUNTRY="CN" export KEY_PROVINCE="BJ" export KEY_CITY="BeiJing" export KEY_ORG="xxxx" export KEY_EMAIL="[email protected]" export KEY_OU="xxxx" export KEY_NAME="xxxx"
var檔案一些說明
export KEY_DIR="$EASY_RSA/keys" #定義key的生成目錄 export KEY_SIZE=2048 #定義生成私鑰的大小,一般為1024或2048,預設為2048位。這個就是我們在執行build-dh命令生成dh2048檔案的依據。 export CA_EXPIRE=3650 #ca證書有效期,預設為3650天,即十年 export KEY_EXPIRE=3650 #定義祕鑰的有效期,預設為3650天,即十年 export KEY_COUNTRY="CN" #定義所在的國家 export KEY_PROVINCE="BJ" #定義所在的省 export KEY_CITY="BeiJing" #定義所在的城市 export KEY_ORG="xxxx" #定義所在的組織 export KEY_EMAIL="[email protected]" #定義郵箱 export KEY_OU="xxxx" #定義所在單位 export KEY_NAME="xxxx" #定義伺服器名稱