OpenVPN操作配置文檔.doc

OpenVPN操作配置文檔什么是OpenVPN?(下面這段文字摘自互聯(lián)網(wǎng))OpenVPN是自由軟件遵循GNU/GPL協(xié)議,可以免費使用。OpenVPN是一個容易配置，功能強大，支持多系統(tǒng)的VPN程序。OpenVPN是一個用于創(chuàng)建虛擬專用網(wǎng)絡加密通道的軟件包，最早由James Yonan編寫。OpenVPN允許參與建立VPN的單點使用預設的私鑰，第三方證書，或者用戶名/密碼來進行身份驗證。它大量使用了OpenSSL加密庫，以及SSLv3/TLSv1協(xié)議。OpenVPN能在Linux、xBSD、Mac OS X與Windows 2000/XP上運行。它并不是一個基于Web的VPN軟件，也不與IPsec及其他VPN軟件包兼容。OpenVPN使用OpenSSL庫加密數(shù)據(jù)與控制信息：它使用了OpesSSL的加密以及驗證功能，意味著，它能夠使用任何OpenSSL支持的算法。它提供了可選的數(shù)據(jù)包HMAC功能以提高連接的安全性。此外，OpenSSL的硬件加速也能提高它的性能。OpenVPN提供了多種身份驗證方式，用以確認參與連接雙方的身份，包括：預享私鑰，第三方證書以及用戶名/密碼組合。預享密鑰最為簡單，但同時它只能用于建立點對點的VPN；基于PKI的第三方證書提供了最完善的功能，但是需要額外的精力去維護一個PKI證書體系。OpenVPN2.0后引入了用戶名/口令組合的身份驗證方式，它可以省略客戶端證書，但是仍有一份服務器證書需要被用作加密。OpenVPN所有的通信都基于一個單一的IP端口，默認且推薦使用UDP協(xié)議通訊，同時TCP也被支持。OpenVPN連接能通過大多數(shù)的代理服務器，并且能夠在NAT的環(huán)境中很好地工作。服務端具有向客戶端“推送”某些網(wǎng)絡配置信息的功能，這些信息包括：IP地址、路由設置等。OpenVPN提供了兩種虛擬網(wǎng)絡接口：通用Tun/Tap驅(qū)動，通過它們，可以建立三層IP隧道，或者虛擬二層以太網(wǎng)，后者可以傳送任何類型的二層以太網(wǎng)絡數(shù)據(jù)。傳送的數(shù)據(jù)可通過LZO算法壓縮。IANA（Internet Assigned Numbers Authority）指定給OpenVPN的官方端口為1194。OpenVPN 2.0以后版本每個進程可以同時管理數(shù)個并發(fā)的隧道。 OpenVPN使用通用網(wǎng)絡協(xié)議（TCP與UDP）的特點使它成為IPsec等協(xié)議的理想替代，尤其是在ISP（Internet service provider）過濾某些特定VPN協(xié)議的情況下。在選擇協(xié)議時候，需要注意2個加密隧道之間的網(wǎng)絡狀況，如有高延遲或者丟包較多的情況下，請選擇TCP協(xié)議作為底層協(xié)議，UDP協(xié)議由于存在無連接和重傳機制，導致要隧道上層的協(xié)議進行重傳，效率非常低下。OpenVPN與生俱來便具備了許多安全特性：它在用戶空間運行，無須對內(nèi)核及網(wǎng)絡協(xié)議棧作修改；初始完畢后以chroot方式運行，放棄root權限；使用mlockall以防止敏感數(shù)據(jù)交換到磁盤。 OpenVPN通過PKCS#11支持硬件加密標識，如智能卡。OpenSSH，能實現(xiàn)二/三層的基于隧道的VPN。stunnel，使用SSL向任何單一端口的TCP服務提供安全保護。如何獲取OpenVPN？官方網(wǎng)站: OpenVPN版下載地址:(32位系統(tǒng))http:/www.openvpn.se/files/install_packages/openvpn-2.1_beta7-gui-1.0.3-install.exeOpenVPN版下載地址:(64位系統(tǒng))http:/www.openvpn.se/files/install_packages/openvpn-2.0.5-gui-1.0.3-install-auto_xp64.exewindowsTUN/TAP驅(qū)動程序下載地址: (64位系統(tǒng))http:/www.openvpn.se/files/xp64/tap-win64.zip 如何架設OpenVPN服務端？ 1.下載安裝程序2.把程序默認安裝在C:Program FilesOpenVPN目錄下。安裝過程中會安裝一張網(wǎng)卡虛擬網(wǎng)卡，安裝好之后網(wǎng)卡處于中斷狀態(tài)。3.生成證書文件(1)修改C:Program FilesOpenVPNeasy-rsa目錄下的vars.bat.sample文件.找到: set KEY_COUNTRY=US #CA證書的國家代碼set KEY_PROVINCE=CA #CA證書的省份set KEY_CITY=SanFrancisco #CA證書的城市set KEY_ORG=FortFunston #CA證書的組織set KEY_EMAIL=mailhost.domain #CA證書的聯(lián)系郵箱按照你自己的需要對相應選項做修改，比如我的修改如下:set KEY_COUNTRY=CNset KEY_PROVINCE=HUNANset KEY_CITY=CHANGSHAset KEY_ORG=HUGEset KEY_EMAIL=修改完成后保存文件.下面制作證書的時候會默認加載這里的選項。(2)初始化。打開命令行窗口執(zhí)行cd C:Program FilesOpenVPNeasy-rsa 進入到目錄下執(zhí)行 init-config 命令初始化配置.執(zhí)行 vars命令執(zhí)行 clean-all 命令清除臨時文件上面是初始化工作，以后在進行證書制作工作時，仍舊需要進行初始化，但只需要進入C:Program FilesOpenVPNeasy-rsa目錄運行vars就可以了，不需要上面那些步驟了。(3)生成根證書執(zhí)行命令build-ca提示輸入國家代碼，這里已經(jīng)默認從easy-rs vars.bat.sample文件中加載相應的選項CN,直接回車即可。提示輸入省份名稱，這里已經(jīng)默認從easy-rs vars.bat.sample文件中加載相應的選項HUNAN,直接回車即可。提示輸入城市名稱, 這里已經(jīng)默認從easy-rs vars.bat.sample文件中加載相應的選項CHANGSHA,直接回車即可。提示輸入組織名稱，這里已經(jīng)默認從easy-rs vars.bat.sample文件中加載相應的選項HUGE,直接回車即可。提示輸入組織單位名稱，可以自己定義,輸入HUGE提示輸入服務器名稱，可以自己定義，輸入SERVER提示輸入郵件地址，這里已經(jīng)默認從easy-rs vars.bat.sample文件中加載相應的選項,直接回車即可進行根證書的制作。如圖:(4)生成dh文件執(zhí)行命令build-dh命令生成dh文件。（5）生成服務端密鑰執(zhí)行命令 build-key-server server提示輸入國家代碼，這里已經(jīng)默認從easy-rs vars.bat.sample文件中加載相應的選項CN,直接回車即可。提示輸入省份名稱，這里已經(jīng)默認從easy-rs vars.bat.sample文件中加載相應的選項HUNAN,直接回車即可。提示輸入城市名稱, 這里已經(jīng)默認從easy-rs vars.bat.sample文件中加載相應的選項CHANGSHA,直接回車即可。提示輸入組織名稱，這里已經(jīng)默認從easy-rs vars.bat.sample文件中加載相應的選項HUGE,直接回車即可。提示輸入組織單位名稱，可以自己定義，輸入HUGE提示輸入服務器名稱，可以自己定義，輸入SERVER提示輸入郵件地址，這里已經(jīng)默認從easy-rs vars.bat.sample文件中加載相應的選項,直接回車。提示輸入密碼,可以自己定義，輸入123456后回車。輸入公司名稱,可以自己定義，輸入HUGE后回車。提示是否簽名？，輸入Y后回車。提示是否需要提交？輸入Y后回車。服務端密鑰便生成成功.如圖(6)生成客戶端密鑰執(zhí)行命令build-key client1后回車.提示輸入國家代碼，這里已經(jīng)默認從easy-rs vars.bat.sample文件中加載相應的選項CN,直接回車即可。提示輸入省份名稱，這里已經(jīng)默認從easy-rs vars.bat.sample文件中加載相應的選項HUNAN,直接回車即可。提示輸入城市名稱, 這里已經(jīng)默認從easy-rs vars.bat.sample文件中加載相應的選項CHANGSHA,直接回車即可。提示輸入組織名稱，這里已經(jīng)默認從easy-rs vars.bat.sample文件中加載相應的選項HUGE,直接回車即可。提示輸入組織單位名稱，可以自己定義，輸入HUGE提示輸入服務器名稱，可以自己定義，輸入CLIENT1提示輸入郵件地址，這里已經(jīng)默認從easy-rs vars.bat.sample文件中加載相應的選項,直接回車。提示輸入密碼,可以自己定義，輸入123456后回車。輸入公司名稱,可以自己定義，輸入HUGE后回車。提示是否簽名？，輸入Y后回車。提示是否需要提交？輸入Y后回車?？蛻舳嗣荑€便生成成功.如圖如果需要繼續(xù)生成客戶端密鑰可以執(zhí)行命令build-key client2,只要改變build-key后面的名稱即可。3.配置VPN服務器相關選項。1.復制C:Program FilesOpenVPNeasy-rsakeys目錄下的ca.crt, dh1024.pem, server.crt, server.key文件到C:Program FilesOpenVPNkey目錄下，這四個文件是VPN服務端運行所需要的文件。2. 在C:Program FilesOpenVPNconfig目錄下創(chuàng)建server.ovpn 這個是OpenVPN服務器配置文件。server.ovpn文件的內(nèi)容如下local 04 #申明本機使用的IP地址,也可以不說明 port 1194 #申明使用的端口,默認1194 proto tcp-server#申明使用的協(xié)議為TCP協(xié)議也可以為UDP協(xié)議dev tap #申明使用的設備可選tap和tun,tap是二層設備,支持鏈路層協(xié)議。server #配置VPN服務器給客戶端分配的IP地址網(wǎng)段和掩碼keepalive 20 180 #下面表示每10秒通過VPN的Control通道ping對方,如果連續(xù)120秒無法ping通#認為連接丟失,并重新啟動VPN,重新連接,對于mode server模式下的#openvpn不會重新連接 ca C:Program FilesOpenVPNkeyca.crt #OpenVPN使用的ROOT CA,使用build-ca生成,用于驗證客戶是證書是否合法cert C:Program FilesOpenVPNkeyserver.crt #Server使用的證書對應的key,注意文件的權限,防止被盜key C:Program FilesOpenVPNkeyserver.key #CRL文件的申明,被吊銷的證書鏈,這些證書將無法登錄dh C:Program FilesOpenVPNkeydh1024.pem #Diffie-Hellman文件 push redirect-gateway local def1 #使Client的默認網(wǎng)關指向VPN,讓Client的所有Traffic都通過VPNpush dhcp-option DNS #申明DHCP服務器IPmode server #OpenVPN工作在Server模式,可以支持多client同時動態(tài)接入tls-server #使用TLS加密傳輸,本端為Server,Client端為tls-client client-to-client #指定客戶端之間可以互通duplicate-cn #客戶端可以使用同一證書連接。否則使用同一證書的客戶端掉線。status C:Program FilesOpenVPNlogopenvpn-status.log #指定服務器端的日志文件,comp-lzo #對數(shù)據(jù)進行壓縮傳輸,注意Server和Client一致 verb 4 #定義運行級別3.啟動OpenVPN服務器。打開C:Program FilesOpenVPNbin目錄下的openvpn-gui.exe。這時在桌面右下角有個紅色圖標,右鍵點擊這個紅色圖標，在彈出的菜單中選擇connect啟動。啟動好之后在桌面右下角可以看到原來的網(wǎng)絡連接從中斷狀態(tài)變成連接狀態(tài)，并且得到了IP地址.,同時openvpn-gui小圖標顏色變成綠色。4.停止OpenVPN服務器。右鍵點擊桌面右下角的綠色小圖標，在彈出的菜單中選擇disconnect通知OpenVPN服務器5.配置相關的服務器選項。1.使客戶端之間能夠互訪修改server.ovpn增加選項client-to-client如果不需要客戶端之間能夠互相訪問那么就不需要增加這個選項。2.使客戶端所有的連接都經(jīng)過VPN修改server.ovpn增加選項push redirect-gateway local def1如果客戶端連接VPN后不需要所有數(shù)據(jù)都通過VPN，那么就不需要增加這個選項。3.指定VPN服務端的連接IP地址修改server.ovpn增加選項local 04（你的IP地址）4.設置服務器分配給客戶端的IP地址和掩碼修改server.ovpn增加選項server 如何配置OpenVPN客戶端？1.下載安裝程序2.把程序默認安裝在C:Program FilesOpenVPN目錄下。安裝過程中會安裝一張網(wǎng)卡虛擬網(wǎng)卡，安裝好之后網(wǎng)卡處于中斷狀態(tài)。3.安裝好客戶端之后，復制OpenVPN服務器端安裝目錄下easy-rsakeys的ca.crt，client1.crt，client1.key三個文件到C:Program FilesOpenVPNkey目錄下。4.在C:Program FilesOpenVPN下新建config文件夾,在C:Program FilesOpenVPNconfig目錄下新建client.ovpn文件.client.ovpn文件內(nèi)容如下client #申明是一個clientdev tap#指定接口的類型,嚴格和Server端一致proto tcp-client #使用的協(xié)議,與Server嚴格一致remote 04 1194 #設置Server的IP地址和端口,如果有多臺機器做負載均衡,可以多次出現(xiàn)remote關鍵字resolv-retry infinite#始終重新解析Server的IP地址（如果remote后面跟的是域名）， #保證ServerIP地址是動態(tài)的使用DDNS動態(tài)更新DNS后，Client在自動重新連接時重新解析Server的IP地址 #這樣無需人為重新啟動，即可重新接入VPNNobind#在本機不邦定任何端口監(jiān)聽incoming數(shù)據(jù),Client無需此操作,除非一對一的VPN有必要mute-replay-warningsca C:Program FilesOpenVPNkeyca.crt#服務端根證書地址和Server配置里