科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道OpenVPN在Linux下的安装配置和使用简介

OpenVPN在Linux下的安装配置和使用简介

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

这里简单介绍一下基于CA,采用数字证书认证,可以划分多个网段的OpenVPN配置方法。例如,要为用户abc指定一个IP地址(如10.1.1.5)而不是让VPNServer自动分配,可以在配置目录/etc/vpn/ccd下建立一个abc文件,内容如下。

作者:佚名 来源:云南设计港 2008年5月24日

关键字: VPN 操作系统 服务器 Linux OpenVPN

  • 评论
  • 分享微博
  • 分享邮件

  OpenVPN是一个基于OpenSSL库的应用层VPN实现。和传统VPN相比,它的优点是简单易用。

  这里简单介绍一下基于CA,采用数字证书认证,可以划分多个网段的OpenVPN配置方法。

  Note1:VNN和OpenVPN很像。

  Note2:这个东西对于突破国内网络封锁,保护通信自由很有意义,值得大力推广。

  安装OpenVPN

  Linux下的安装

  首先,Kernel必须支持TUN/TAP设备。在2.6.x内核中,对应的Kernel选项是“UniversalTUN/TAPdevicedriversupport”。

  确认Kernel支持TUN/TAP后,可以下载OpenVPN编译并安装。这一步很easy,不多说了。

  Windows下的安装

  从http://www.openvpn.se(http://www.openvpn.se/)下载安装包安装,这里的安装包带一个ClientGUI工具,很好用。

  配置OpenVPN

  配置OpenVPNServer

  只说明在Linux下的配置。Windows类似。创建/etc/vpn/server.conf,内容如下:

  以下为引用的内容:

  port1494

  protoudp

  devtun

  caca.crt

  certserver.crt

  keyserver.key

  dhdh1024.pem

  server10.1.0.0255.255.255.0

  push"route10.1.0.0255.255.255.0"

  push"route10.1.1.0255.255.255.0"

  client-config-dir/etc/vpn/ccd

  route10.1.1.0255.255.255.0

  client-to-client

  keepalive10120

  usernobody

  groupnobody

  persist-key

  persist-tun

  log-appendopenvpn.log

  verb3

  其中ca.crt,server.key,server.crt可以用以前贴出的ca工具创建,dh1024.pem用OpenVPN自带的工具创建。

  这个配置文件创建了两个网段:10.1.0.*和10.1.1.*,VPN服务器将从这两个网段中给Client分配IP地址。VPNServer自身IP将是10.0.0.1。

  “client-config-dir”指明Client的专有配置文件目录。在这个目录下可以针对特定用户建立配置文件。例如,要为用户abc指定一个IP地址(如10.1.1.5)而不是让VPNServer自动分配,可以在配置目录/etc/vpn/ccd下建立一个abc文件,内容如下:

  ifconfig-push10.1.1.510.1.1.6

  那么VPNServer就会自动给abc用户分配10.1.1.5这个地址。注意第一个IP地址的最后一个数字(这里是5)必须是4*n+1的数。

  问题是,VPNServer怎么知道哪个用户是abc呢?它是Client数字证书中的CommonName域来判断的。就是说,在连接协商时如果Client端数字证书的CommonName是abc,那么VPNServer就找配置目录下abc这个文件。

  配置OpenVPNClient

  在Client机器上OpenVPN安装目录的config目录下建立如下client.ovpn文件:

  修改remote一行填上对应VPNServer的IP和端口。ca.crt和服务端ca.crt一样,必须把这个ca.crt也放在config目录下。

  关键是cryptoapicert"SUBJ:abc"这行。这一行指定客户端的数字证书从Windows证书Store里取。在IE的“选项->内容->证书”页面能看到你的个人数字证书。

  SUBJ:abc指明选择证书主题中含有abc的证书。客户端数字证书也可以用以前贴的ca工具生成,如果要给用户abc签发数字证书,只用指明CommonName是abc即可,然后把生成的abc.p12传给abc用户并告诉导入口令。abc导入这个数字证书后,VPNClient就可以工作了。

  启动OpenVPN

  服务端启动

  在/etc/vpn目录下,执行:

  openvpn--daemon--configserver.conf

  客户端启动

  OpenVPN带一个GUI小工具,会装在系统托盘里。点菜单里的connect即可。

  常见问题

  无法得到IP地址

  通常是因为DHCPClient服务没有启动。在服务管理里启动即可。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章