还剩2页未读,继续阅读
文本内容:
Windows2008安装配置openvpn安装openvpn-server酉己置openvpn-server我们打开命令提示符窗口,并转到easy-rsa目录,然后依次执行如下命令完成初始化工作init-configvarsclean-all第一次执行clean-all时,提示”系统找不到指定的文件”是正常的,不用管它该命令会删除掉之前生成的所有证书和密钥文件,以避免与之后全新生成的证书和密钥发生冲突我们继续执行命令build-ca来生成CA根证书密钥对如下图所示,除了build-ca命令外,其他输入主要用于设置根证书的签名信息,包括国家、省、市、组织名称、单位名称、通用名、名称、邮箱地址等,请根据个人需要自行输入输入框前面”『中的内容表示默认值,如果你不输入、直接按回车,则表示使用默认值;如果你输入则表示该字段信息留空其中CommonName(通用名称)比较重要,相当于我们常说的”账号”(此处设为vpn_ca)o此时,我们就可以在证书存放目录中看到生成的CA证书和私钥文件了双击该证书我们还可以看到刚才输入的相关信息接着,我们使用命令build-key-serverserver来创建服务器端证书和私钥整个创建过程与前面创建CA根证书的流程比较类似,我们只需要注意CommanName的参数值为“server”并随后设置相应的密码(这里设为server_pwdH一般不会用到密码),最后输入两次“进行确认即可CommonName必须填,且不能与执行build-dh时相同否则会报failedtoupdatedatabaseTXT_DBerrornumber2找不到C:\ProgramFiles\OpenVPN\easy-rsa\keys\*.old服家器端证书创建完毕后,我们就可以为所有的客户端分别创建证书了创建命令为build-keyclientName例如build-keyclientlbuild-keyclient2o创建客户端证书的流程和创建服务器端证书的流程完全一致,只需要注意CommonName字段即可,在这里就不再赘述了此外我们还需要为OpenVPN的服务器端创建迪菲诗赤尔曼交换密钥,命令为build-dh迪菲•赫尔曼交换密钥是一种安全协议,用以对数据进行加密到这里我们的证书和密钥的创建操作就基本上完成了,如果你以后还想要创建新的客户端,只需要先执行vars命令,再执行build-keyclientName命令即可(每次打开新的命令提示符窗口,都必须先执行vars命令,才能执行其他命令)开启openvpn-server从easy-rsa/keys目录中拷贝出服务器端和客户端所需的文件,分别将其放在自己的OpenVPN安装路径/config目录中其中,服务器端需要用到的文件有ca.crtca.keydhl
024.pem(如果最初的变量KEY_SIZE设为2048这里就是dh
2048.pem)server.crtserverkey客户端clientl需要用到的文件有ca.crtclientl.crtclientl.key(名称clientl根据个人设置可能有所不同)当然,我们还需要在config目录中各自放置一个配置文件,服务器端的配置文件名为server.ovpn客户端的配置文件为client.ovpno这两个配置文件该如何编写呢?OpenVPN已经在sample-config目录中为我们提供了相关的示例文件server.ovpn和client.ovpn并且配置文件中的每个配置选项均有详细的英文说明(配置文件中W或开头的均为注释内容)在这里,我们先给出server.ovpn的详细配置,并注明每项配置的作用client#指定当前VPN是客户端devtun#必须与服务器端的保持一致protoudp#必须与服务器端的保持一致remote
192.
168.
1.1011194#指定连接的远程服务器的实际IP地址和端口号resolv-retryinfinite#断线自动重新连接,在网络不稳定的情况下(例如笔记本电脑无线网络)非常有用nobind#不绑定特定的本地端口号persist-keypersist-tuncaca.crt#指定CA证书的文件路径certclientl.crt#指定当前客户端的证书文件路径keyclientl.key#指定当前客户端的私钥文件路径ns-cert-typeserver#指定采用服务器校验方式tls-authta.key1#如果服务器设置了防御DoS等攻击的ta.key则必须每个客户端开启;如果未设置,则注释掉这一行;comp-lzo#与服务器保持一致verb3#指定日志文件的记录详细级别,可选0-9等级越高日志内容越详细实际上,将两个模板文件中与IP地址有关的配置修改一下,就可以直接拿来使用最后关闭防火墙,或者允许tcp和udp的1194端口通行开启openvpn-clint拷贝服务端上生成的客户端证书文件拷贝client.ovpn并修改通过vpn做路由local
192.
168.
1.101#指定监听的本机ip(因为有些计算机具备多个工p地址),该命令是可选的,默认监听所有工P地址port1194#指定监听的本机端口号protoudp#指定采用的传输协议,可以选择top或udpdevtun#指定创建的通信隧道类型,可选tun或tapcaca.crt#指定CA证书的文件路径certserver•crt#指定服务器端的证书文件路径keyserverkey#指定服务器端的私钥文件路径dhdhl
024.pem#指定迪菲赫尔曼参数的文件路径server
10.
0.
0.
0255.
255.
255.0ifconfig-pool-persistipp.txt#服务器自动给客户端分配工P后,客户端下次连接时,仍然采用上次的地址(第一次分配的IP保存在ipp.tXt中,下一次分配其中保存的IP)Otls-authta.key0#开启TLS-auth使用ta.key防御攻击服务器端的第二个参数值为0客户端的为lokeepalive10120#每10秒ping一次,连接超时时间设为120秒comp-lzo#开启VPN连接压缩,如果服务器端开启,客户端也必须开启client-to-client#允许客户端与客户端相连接,默认情况下客户端只能与服务器相连接persist-keypersist-tun#持久化选项可以尽量避免访问在重启时由于用户权限降低而无法访问的某些资源statusopenvpn-status.log#指定记录OpenVPN状态的LI志文件路径verb3#指定日志文件的记录详细级别,可选0-9等级越高日志内容越详细接着是client.ovpn0。