前言

OpenVPN是什么？

答：OpenVPN 是一個(gè)基于 OpenSSL 庫(kù)的應(yīng)用層 VPN 實(shí)現(xiàn)。和傳統(tǒng) VPN 相比，它的優(yōu)點(diǎn)是簡(jiǎn)單易用，相比傳統(tǒng)的VPN更加安全。

VPN又是什么？

答：vpn又叫虛擬專用網(wǎng)絡(luò)，利用可用公用網(wǎng)絡(luò)上架設(shè)一個(gè)虛擬專用網(wǎng)絡(luò)進(jìn)行加密通信，其中 VPN網(wǎng)關(guān)通過對(duì)數(shù)據(jù)包的加密和數(shù)據(jù)包目標(biāo)地址的轉(zhuǎn)換實(shí)現(xiàn)遠(yuǎn)程訪問實(shí)現(xiàn)對(duì)網(wǎng)關(guān)中各個(gè)網(wǎng)絡(luò)設(shè)備進(jìn)行加密通信。

OpenVPN搭建使用場(chǎng)景？（當(dāng)然這是原話）

1. 遠(yuǎn)程辦公：公司員工可以使用OpenVPN連接到公司的網(wǎng)絡(luò)，從而訪問公司的資源和應(yīng)用程序，實(shí)現(xiàn)遠(yuǎn)程辦公。

2. 網(wǎng)絡(luò)安全：OpenVPN可以加密數(shù)據(jù)傳輸，保護(hù)用戶的隱私和安全，在公共Wi-Fi網(wǎng)絡(luò)或不安全的網(wǎng)絡(luò)環(huán)境中使用。

3. 跨地域連接：OpenVPN可以連接不同地域的網(wǎng)絡(luò)，實(shí)現(xiàn)跨地域的數(shù)據(jù)傳輸和資源共享。

4. 云計(jì)算和虛擬機(jī)：OpenVPN可以連接到云計(jì)算平臺(tái)或虛擬機(jī)，實(shí)現(xiàn)安全的數(shù)據(jù)傳輸和訪問。

5. 家庭網(wǎng)絡(luò)：OpenVPN可以連接家庭網(wǎng)絡(luò)中的多個(gè)設(shè)備，實(shí)現(xiàn)家庭網(wǎng)絡(luò)的安全和共享。

6. 游戲和娛樂：OpenVPN可以連接游戲服務(wù)器，實(shí)現(xiàn)游戲的安全和快速連接。

7. 企業(yè)ybrid網(wǎng)絡(luò)：OpenVPN可以連接企業(yè)的混合網(wǎng)絡(luò)，實(shí)現(xiàn)不同網(wǎng)絡(luò)之間的安全和數(shù)據(jù)共享。

8. 網(wǎng)絡(luò)橋接：OpenVPN可以橋接不同網(wǎng)絡(luò)之間的連接，實(shí)現(xiàn)網(wǎng)絡(luò)之間的安全和數(shù)據(jù)共享。

9. 安全瀏覽：OpenVPN可以連接到安全的瀏覽代理服務(wù)器，實(shí)現(xiàn)安全的瀏覽和訪問。

10. 科研和教育：OpenVPN可以連接到科研和教育機(jī)構(gòu)的網(wǎng)絡(luò)，實(shí)現(xiàn)安全的數(shù)據(jù)傳輸和資源共享。

準(zhǔn)備工作                                      

需求：搭建一個(gè)虛擬網(wǎng)絡(luò)去實(shí)現(xiàn)公司對(duì)內(nèi)部網(wǎng)絡(luò)訪問辦公。

這里我準(zhǔn)備一臺(tái)阿里云服務(wù)器配置不高寬帶也不是特別高主要是價(jià)格便宜優(yōu)惠一年才100元。

1. 阿里云服務(wù)器centos7系統(tǒng)：安裝openvpn

2. 個(gè)人筆記本windows系統(tǒng)：安裝openvpn GUL

安裝openvpn                                  

1.用ssh登錄阿里云：

2.先更新：

yum -y update

3.安裝依賴：

yum install -y  lrzsz gcc-c++ openssl openssl-devel net-tools lzo lzo-devel pam pam-devel vim wget

###

4.下載openvpn：

本來是想下載版本高一點(diǎn)（2.6.12）的想到大家網(wǎng)絡(luò)環(huán)境不是很好。

wget https://swupdate.openvpn.org/community/releases/openvpn-2.5.6.tar.gz

如果出現(xiàn)無法下載情況我就直接從網(wǎng)盤下載:

鏈接：https://pan.baidu.com/s/1MTWD34ftBz6U9kg9k4Crlw?pwd=54by

提取碼：54by

##有幾種版本

下載好openvpn-2.5.6.tar.gz我們上傳到服務(wù)器上:

##使用root用戶權(quán)限上傳不然普通用戶權(quán)限可能導(dǎo)致權(quán)限不夠無法上傳文件

##在windows上使用powershell

scp C:\Users\Administrator\Downloads\openvpn-2.6.8.tar.gz root@阿里云ip:/root

###C:\Users\Administrator\Downloads\openvpn-2.6.8.tar.gz為文件的絕對(duì)路徑

可以看到上傳完成：

5.解壓

tar -zxvf openvpn-2.5.6.tar.gz

6.安裝編譯

cd openvpn-2.5.6/

./configure --prefix=/data/openvpn/

#編譯

make

make install

##配置環(huán)境

echo -e "PATH=\$PATH:/data/openvpn/sbin" >/etc/profile.d/openvpn256.sh

#加載環(huán)境變量

source /etc/profile

##檢測(cè)是否安裝完成

openvpn --version

創(chuàng)建CA機(jī)構(gòu)與服務(wù)器證書                                                    

1.下載EasyRSA

wget https://github.com/OpenVPN/easy-rsa/releases/download/v3.0.8/EasyRSA-3.0.8.tgz

2.解壓

tar -zxvf EasyRSA-3.0.8.tgz

3.簽發(fā)證書的默認(rèn)變量文件

cd EasyRSA-3.0.8/

egrep -v "^$|^#" vars.example >vars

##配置環(huán)境文件

echo -e "set_var EASYRSA_CA_EXPIRE 36500\nset_var EASYRSA_CERT_EXPIRE 3650" > vars

4.創(chuàng)建CA機(jī)構(gòu)與服務(wù)器證書

#生成pki目錄

bash easyrsa init-pki

5.創(chuàng)建CA文件

./easyrsa build-ca nopass

##隨便創(chuàng)建一個(gè)名稱即可

demo

##CA證書創(chuàng)建成功

##ca證書文件

“/root/EasyRSA-3.0.8/pki/ca.crt

##CA密鑰文件

”/root/EasyRSA-3.0.8/pki/private/ca.key

6.創(chuàng)建服務(wù)端證書

##openvpn_server

./easyrsa gen-req openvpn_server nopass

##為了方便我去名 server_vpn

Keypair and certificate request completed. Your files are:

#服務(wù)端請(qǐng)求文件

”/root/EasyRSA-3.0.8/pki/reqs/openvpn_server.req“

#服務(wù)端私鑰文件

”/root/EasyRSA-3.0.8/pki/private/openvpn_server.key“

7.簽發(fā)服務(wù)端證書

./easyrsa sign server openvpn_server

#輸入yes

#服務(wù)端證書文件

"/root/EasyRSA-3.0.8/pki/issued/openvpn_server.crt"

8.創(chuàng)建交互秘鑰

./easyrsa gen-dh

#交換秘鑰文件

"/root/EasyRSA-3.0.8/pki/dh.pem"

#啟用安全增強(qiáng)配置

openvpn --genkey tls-auth ta.key

#安全增強(qiáng)文件

"/root/EasyRSA-3.0.8/ta.key"

OpenVPN服務(wù)端配置                                                        

1.創(chuàng)建日志文件

mkdir logs

2.創(chuàng)建用戶

##創(chuàng)建用戶組

groupadd openvpn

##創(chuàng)建用戶名并加入組和用戶目錄

useradd -M -s /sbin/nologin -g openvpn openvpn

3.創(chuàng)建服務(wù)端配置文件config

vim server.conf

##按鍵盤i進(jìn)入插入模式

#添加內(nèi)容

#端口

port 1194

#協(xié)議

proto tcp

dev tun

#ca證書文件

ca  /root/EasyRSA-3.0.8/pki/ca.crt

#服務(wù)端證書文件

cert /root/EasyRSA-3.0.8/pki/issued/openvpn_server.crt

#服務(wù)端私鑰文件

key /root/EasyRSA-3.0.8/pki/private/openvpn_server.key

#交換秘鑰文件

dh /root/EasyRSA-3.0.8/pki/dh.pem

#安全增強(qiáng)文件，0是服務(wù)端，1是客戶端

tls-auth /root/EasyRSA-3.0.8/ta.key 0

#分配客戶端IP的網(wǎng)段，不能和服務(wù)器一個(gè)網(wǎng)段，不能沖突

server 10.8.0.0 255.255.255.0

#運(yùn)行通訊的內(nèi)網(wǎng)路由，可以多條

push "route 192.168.0.0 255.255.255.0"

#會(huì)話檢測(cè)，每十秒測(cè)試一下，超過120秒沒回應(yīng)就認(rèn)為對(duì)方down

keepalive 10 120

#加密算法

cipher AES-256-CBC

#壓縮算法

compress lz4-v2

#推送客戶端使用lz4-v2算法

push "compress lz4-v2"

#最大客戶端數(shù)

max-clients 100

#運(yùn)行openvpn的用戶和用戶組

user openvpn

group openvpn

#狀態(tài)日志

status  /logs/openvpn-status.log

log-append /logs/openvpn.log

#日志級(jí)別

verb 3

mute 20

##添加完成按”esc“案件在輸入” :wq “保持推出即可

啟動(dòng)項(xiàng)OpenVPN                                                              

1.創(chuàng)建開機(jī)啟動(dòng)文件

vim /etc/systemd/system/openvpn.service

##添加如下內(nèi)容

[Unit]

Description=OpenVPN Server

After=network.target

After=syslog.target

[Install]

WantedBy=multi-user.target

[Service]

ExecStart=/data/openvpn/sbin/openvpn --config /root/openvpn-2.5.6/server.conf

#加載系統(tǒng)服務(wù)

systemctl daemon-reload

#開機(jī)啟動(dòng)

systemctl enable openvpn.service

#啟動(dòng)服務(wù)

systemctl start openvpn.service

#查看服務(wù)運(yùn)行狀態(tài)

systemctl status openvpn.service

啟動(dòng)成功：

客戶端文件配置                                    

1.客戶端證書

##創(chuàng)建一個(gè)新目錄用于生成客戶端證書

cd ~

mkdir openvpn_client

##復(fù)制EasyRSA-3.0.8文件到

cp -r EasyRSA-3.0.8/ openvpn_client/

##進(jìn)入openvpn_client/

cd /root/openvpn_client/EasyRSA-3.0.8

./easyrsa init-pki

##輸入”yes“即可

./easyrsa gen-req client_demo nopass

##下一步直接回車

###客服端請(qǐng)求文件

"/root/openvpn_client/EasyRSA-3.0.8/pki/reqs/client_demo.req"

##客服端私鑰證書

/root/openvpn_client/EasyRSA-3.0.8/pki/private/client_demo.key"

##回到服務(wù)端目錄

cd /root/EasyRSA-3.0.8

##將客戶端復(fù)制到CA工作目錄

./easyrsa import-req /root/openvpn_client/EasyRSA-3.0.8/pki/reqs/client_demo.req client_demo

#簽發(fā)證書

./easyrsa sign client client_demo

#輸入yes

2.準(zhǔn)備客戶端配置文件

##回到openvpn目錄

cd /root/openvpn-2.5.6

##創(chuàng)建文件

mkdir -p client/client_demo

##復(fù)制

cp /root/openvpn_client/EasyRSA-3.0.8/pki/private/client_demo.key /root/openvpn-2.5.6/client/client_demo

cp /root/EasyRSA-3.0.8/pki/issued/client_demo.crt /root/openvpn-2.5.6/client/client_demo

cp /root/openvpn_client/EasyRSA-3.0.8/ta.key /root/openvpn-2.5.6/client/client_demo

cp /root/EasyRSA-3.0.8/pki/issued/openvpn_server.crt /root/openvpn-2.5.6/client/client_demo

cp /root/openvpn_client/EasyRSA-3.0.8/pki/ca.crt /root/openvpn-2.5.6/client/client_demo

vim /root/openvpn-2.5.6/client/client_demo/client.ovpn

client

dev tun

proto tcp

remote 阿里云IP 1194

resolv-retry infinite

nobind

ca ca.crt

cert client_demo.crt

key client_demo.key

remote-cert-tls server

tls-auth ta.key 1

cipher AES-256-CBC

verb 3

compress lz4-v2

3.打包下載客戶端文件

tar -zcvf client_demo.tar.gz /root/openvpn-2.5.6/client

##下載

scp root@你服務(wù)器ip:/root/openvpn-2.5.6/client/client_demo.tar.gz D:/

##防火墻

firewall-cmd --add-port=1194/tcp --add-port=1194/udp --permanent

firewall-cmd --reload

##還有阿里云自帶防火墻

測(cè)試                                        

1.window安裝好是這個(gè)樣子

2.下載客戶端文件解壓

3.導(dǎo)入打上面文件放入”C:\Program Files\OpenVPN\config“

4.導(dǎo)入

如果你在使用過程中,遇到問題,可以在評(píng)論區(qū)留言,我會(huì)幫你解決

“ 帶來實(shí)用才是教程，不斷改進(jìn)才是進(jìn)步”

“本文教程僅作參考和學(xué)習(xí)”