1. OpenVPN配置关键操作
1.1 安装软件包
1.2 制作server与client证书
-
1.2.1 拷贝 easy-rsa 目录至 /etc/openvpn
-
1.2.2 配置证书参数
(注意:CentOS 5 中 easy-rsa 相关脚本没有执行权限,请对相应文件添加执行权限)
设置环境变量,编辑文件 /etc/openvpn/easy-rsa/vars,注意以下信息: -
1.2.3 生成 Diffie-Hellman密钥交换协议参数 和 CA 证书
-
1.2.4 生成服务端(server)证书
该过程同样先提示确认一些基本信息,最后提示你是否签发该证书,输入 'y' 并回车即可
-
1.2.5 生成客户端(client)证书
Openvpn默认的证书认证方式,原则上是应该每个客户端单独配置一个证书,便于用户管理。 但是由于我们情况特殊,用户数量很少,不存在复杂的用户管理,因此只生成一份证书,并在openvpn服务端配置中打开duplicate-cn选项,使得一份证书可以被多个客户端同时使用。
1.3 准备配置文件
-
1.3.1 服务端配置文件
服务端配置文件默认在/etc/openvpn/server.conf, 对于CentOS 7,在/etc/openvpn下存在空的server目录,删除即可
-
1.3.2 客户端配置文件
将客户端证书和CA证书拷贝出来,并准备客户端配置如下:
1.4 设置服务开机启动
1.5 设置 NAT 网络转发
-
1.5.1 开启数据包转发的内核选项
-
1.5.2 配置 iptables nat
2.其他注意事项
2.1 Windows机器NAT网络配置
请参考:启用和配置 NAT
2.2 Windows机器重启OpenVPN的坑
- 重启OpenVPN服务后,需要再次重启路由服务,否则NAT网络失效
- Win-R, 打开‘运行’窗口,启动services.msc , 找到openvpn服务,点击重启
- 然后再找到 ‘Routing and Remote Access’ 服务,点击重启
- 服务器重启后,由于OpenVPN与路由服务启动顺序不同,可能导致NAT失效,需要手动重启‘Routing and Remote Access’ 服务