养成良好习惯,在安装前先更新一下软件包,多数软件包更新主要是修补漏洞。
更新 CentOS 软件包
虽然也是可以不进行更新直接安装。
安装 OpenVPN 和 EasyRSA
安装 OpenVPN、Firewalld 软件包以及用于生成各种证书的 EasyRSA
如果未能成功安装 OpenVPN,则可能需要先安装一下 Epel 库。
生成 CA 证书、服务端密钥与共享密钥
这里步骤比较多。
首先需要初始化 PKI
接下来是生成 CA 证书
其中 nopass 表示不加密私钥,主要是方便后面导出公钥与颁发服务器证书。
再来是生成交互密钥
开始生成服务端密钥
接下来生成客户端密钥,如果未开启同证书允许多人登陆,则需要多次执行生成对应的客户端密钥
最后是生成证书交互列表,如果不需要 crl-verify 则可以跳过
其实到这一步需要的证书都以及生成好了,如果你开启了 tls-auth 则还需要生成共享密钥
在上面所有证书都生成完毕之后,我们需要将相关证书拷贝到 OpenVPN 的配置文件夹中(似乎也可以在 conf 文件中使用绝对路径)
配置服务端
OpenVPN 配置文件有许多可定制化,具体请查阅官方文档。
将以下内容粘贴进去
启动服务端并让其开机自动启动
配置防火墙与流量转发
放行 OpenVPN 入网流量与开启 IP 伪装
检查是否开启流量转发
确保net.ipv4.ip_forward 等于 1,如果不是,则需要修改一下
配置客户端
客户端需要拷贝以下文件
最后vim vpn-client-01-config/client.ovpn并粘贴下面内容
remote后面填写服务端IP地址和使用的端口号,然后将 vpn-client-01-config 的所有文件拷贝到需要链接的电脑上,即可开始使用。
注意,上面的配置在客户端是 Windows 系统的时候,会报告如下错误:
导致这个错误的原因是 TAP-WIN32 使用默认子网掩码 255.255.255.252 因此一个网段之内只能有两个 相邻IP,一个是网关,一个是子网设备。
这个问题在 Linux/macOS 系统上是不存在的,这个是 TAP-WIN32 驱动的限制。
因此,如果系统是 Windows 并且使用 TAP-WIN32 驱动,那么配置的地址只能是如下情况:
windows系统客户端地址池如下所示:
为了减少工作量,方便快速配置,可以使用如下两个增添用户的脚本。
OpenVPN 创建用户脚本:
OpenVPN 删除用户脚本,基于docker,需要自行改造成docker-compose:
引用链接:
1、 https://openvpn.net/community-resources/configuring-client-specific-rules-and-access-policies/
现在家庭宽带全面铺开,越来越多的家庭电子设备不光光只有猫和路由器了,了解NAS的同学也越来越多。内网设备量不可同日而语,那么外网访问内网的需求自然也会出现。
因为自家里面用上了nas,又是大内网宽带,在最近有了公网IPv6.所以搞了基于IPv6的ddns,(具体在另一篇文章【 ddns实现中阿里云配置RAM及解析 】:)。
一开始想过每个需要的设备做ddns,发现这样太麻烦不一定每个都能支持aliddns,所以最后选择搭建openVPN服务端来解决问题,不光是能方便访问内网,而且在外用不安全的网络时还可以开启VPN保护数据安全,以前还能免流
欢迎分享,转载请注明来源:夏雨云
评论列表(0条)