Yum源
wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo
安装基础包
yum -y install openssl openssl-devel
yum -y install lzo
yum -y install open*** easy-rsa
修改vars文件
cd /usr/share/easy-rsa/2.0/
vim vars
×××信息
xport KEY_COUNTRY="CN"
export KEY_PROVINCE="BJ"
export KEY_CITY="BeiJing"
export KEY_ORG="CMk"
export KEY_EMAIL="xx@yatesun.com"
export KEY_OU="Open***"
初始化环境变量
初始化,清除keys目录下所有与证书相关的文件,生成根证书及密钥。
source vars
./clean-all
./build-ca
生成服务端证书及密钥
一路按回车,直到提示需要输入y/n时,输入y再按回车,一共两次
./build-key-server server
生成客户端证书
每一个登陆的×××客户端需要有一个证书,每个证书在同一时刻只能供一个客户端连接。为客户端生成证书和密钥。
./build-key client1
完美前向加密
创建迪菲·赫尔曼密钥,会生成dh2048.pem文件(生成过程比较慢,在此期间不要去中断它)
./build-dh
生成ta.key文件
防DDos***、UDP淹没等恶意***
open*** --genkey --secret keys/ta.key
至此,所有生成的证书和密钥均位于/usr/share/easy-rsa/2.0/keys
服务端配置
新建文件夹及复制配置文件
在open***的配置目录下新建一个keys目录,将需要用到的open***证书和密钥复制一份到刚创建好的keys目录中。
mkdir /etc/open***/keys
cp /usr/share/easy-rsa/2.0/keys/{ca.crt,server.{crt,key},dh2048.pem,ta.key} /etc/open***/keys/
配置文件修改
配置文件位于/etc/open***/server.conf
执行以下命令
vim /etc/open***/server.conf
填入如下配置
port 443
proto tcp
dev tap
ca keys/ca.crt
cert keys/server.crt
key keys/server.key # This file should be kept secret
dh keys/dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.0.0 255.255.0.0"
;push "dhcp-option DNS 208.67.222.222"
client-to-client
duplicate-cn
keepalive 10 120
tls-auth keys/ta.key 0 # This file is secret
comp-lzo
persist-key
persist-tun
status open***-status.log
log-append open***.log
verb 5
配置内核和防火墙
在CentOS 7中,iptables防火墙已经被firewalld所取代,需要使用如下方法:
首先启动firewalld
systemctl status firewalld.service
查看有哪些服务已经在列表中允许通过:
dhcpv6-client http https ssh
可以看到已经有了dhcpv6-client, http, https, ssh四项,接下来添加open***:
success
success
检查一下:
dhcpv6-client http https open*** ssh
最后添加masquerade:
success
success
以下命令用于确认masquerade是否添加成功:
yes
4.2 允许IP转发
在sysctl中开启IP转发
vim /etc/sysctl.conf
net.ipv4.ip_forward = 1
4.3 启动Open×××服务
启动Open×××服务器并添加自动启动项:
sysctl -p
systemctl start open***@server
systemctl enable open***@server
至此服务端搭建完成。
客户端配置文件
取回之前生成的位于/etc/open***/easy-rsa/2.0/keys中的三个文件:
ca.crt
client.crt
client.key
在你的客户端创建一个文件client.o***, 将这三个文件与其放在同一目录中,编辑client.o***内容如下:
client
dev tap
proto tcp
remote 119.29.29.29 443
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
ns-cert-type server
tls-auth ta.key 1
comp-lzo
verb 5
将其中的xxx.xxx.xxx.xxx替换为你的服务器地址,如果端口、证书、密钥不同的话修改相应的项即可
转载于:https://blog.51cto.com/12962336/2060376