一、服务端配置

1、 安装依赖包和open***

yum install openssl openssl-devel lzo lzo-devel pam pam-devel automake pkgconfig  -y

yum install open***

 

2、生成服务器、客户端证书

#2.3版本需要独立下载个easy-rsa,该包用来制作ca证书,服务端证书,客户端证书

wget -c   https://github.com/Open×××/easy-rsa/archive/master.zip

unzip master.zip

mv easy-rsa-master easy-rsa

cp -rf  easy-rsa /etc/open***

cd   /etc/open***/easy-rsa/easyrsa3

cp vars.example vars  #一般情况下,默认的配置可以满足需求,也可以根据需要修改

./easyrsa init-pki   #建立一个空的pki结构,生成一系列的文件和目录

./easyrsa build-ca   #创建ca  密码 和 cn那么需要记住

./easyrsa gen-req server   nopass  #创建服务端证书  common name 最好不要跟前面的cn那么一样

./easyrsa sign server   server   #签约服务端证书

./easyrsa gen-dh  #创建Diffie-Hellman

 

#下面是客户端的证书

#首先创建一个工作的目录

cd /home/

mkdir client && cd   client

cp -R ~/easy-rsa/ ./   #这是解压过的easy-rsa 而不是生成了服务端证书的easy-rsa

cd easy-rsa/easyrsa3/

cp vars.example vars

 

#开始生成

./easyrsa init-pki

./easyrsa gen-req estate   nopass #用自己的名字,如果创建了密码需要记住, cn name是用来区分客户端的,在对客户端做一些控制的时候会有用

 

#现在客户端的证书要跟服务端的交互,也就是签约,这样这个用户才能使用此***

#切换到server证书目录下

cd /etc/open***/easy-rsa/easyrsa3/  

./easyrsa import-req   /home/client/easy-rsa/easyrsa3/pki/reqs/estate.req esate   #导入req

./easyrsa sign client esate  #用户签约,根据提示输入服务端的ca密码

根据以上操作形成以下文件:

CA证书与私钥

/etc/open***/easy-rsa/easyrsa3/pki/ca.crt

/etc/open***/easy-rsa/easyrsa3/pki/private/ca.key

服务端证书与私钥

/etc/open***/easy-rsa/easyrsa3/pki/private/server.key

/etc/open***/easy-rsa/easyrsa3/pki/issued/server.crt

客户端证书与私钥

/etc/open***/easy-rsa/easyrsa3/pki/issued/estate.crt

/home/client/easy-rsa/easyrsa3/pki/private/estate.key

DHM

/etc/open***/easy-rsa/easyrsa3/pki/dh.pem

 

3、配置open***

3.1 将服务端证书与私钥和CA证书复制到/etc/open***/server目录

cd   /etc/open***/easy-rsa/easyrsa3/pki

cp  ./private/server.key /etc/open***/server

cp ./issued/server.crt  /etc/open***/server

cp  ./ca.crt /etc/open***/server

cp  ./dh.pem /etc/open***/server

 

3.2 server端配置

vim /etc/open***/server.conf  

local 0.0.0.0

port 1174  #监听端口

proto udp

dev tun

ca /etc/open***/server/ca.crt

cert   /etc/open***/server/server.crt

key   /etc/open***/server/server.key  # This   file should be kept secret

dh /etc/open***/server/dh.pem

server 10.8.0.0 255.255.255.0   #分配给客户端的IP段

ifconfig-pool-persist ipp.txt

push "route   192.168.1.0 255.255.255.0"   #增加内网访问的路由

client-config-dir ccd    #指定客户端的IP,根据客户端的common name 匹配ccd目录下的文件名,并读取文件相关内容

duplicate-cn

keepalive 10 120

cipher AES-256-CBC

persist-key

persist-tun

status open***-status.log

log         /var/log/open***.log

verb 3

explicit-exit-notify 1

 

4.3 控制客户端IP

控制common name为estate的客户端IP地址,其他common name随机分配

cat  /etc/open***/ccd/estate

ifconfig-push 10.8.0.5 10.8.0.6          

或者写成以下方式:

ifconfig-push 10.8.0.200 255.255.255.0

 

特别注意: 

ifconfig-push中的每一对IP地址表示虚拟客户端和服务器的IP端点。它们必须从连续的/30子网网段中获取(这里是/30表示xxx.xxx.xxx.xxx/30,即子网掩码位数为30),以便于与Windows客户端和TAP-Windows驱动兼容。明确地说,每个端点的IP地址对的最后8位字节必须取自下面的集合:

[1,2] [5, 6] [9, 10] [13,   14] [17, 18] [ 21, 22] [ 25, 26] [ 29, 30] [ 33, 34] [ 37, 38] [ 41, 42] [ 45,   46] [ 49, 50] [ 53, 54] [ 57, 58] [ 61, 62] [ 65, 66] [ 69, 70]   [ 73, 74] [ 77, 78] [ 81, 82] [ 85, 86] [   89, 90] [ 93, 94] [ 97, 98] [101,102] [105,106]   [109,110] [113,114] [117,118] [121,122]   [125,126] [129,130] [133,134] [137,138] [141,142] [145,146] [149,150]   [153,154] [157,158] [161,162] [165,166] [169,170]   [173,174] [177,178] [181,182] [185,186]   [189,190] [193,194] [197,198] [201,202]     [205,206] [209,210] [213,214] [217,218] [221,222] [225,226] [229,230]   [233,234] [237,238] [241,242] [245,246] [249,250] [253,254]

 

4、开启×××服务器路由转发功能

echo 1 > /proc/sys/net/ipv4/ip_forward

/sbin/iptables -t nat -A   POSTROUTING -o eth0 -j MASQUERADE

iptables -L -n -t nat   #查看NAT表,其他表有filter、mangle

 

5、客户端访问控制(在服务端配置,以控制10.8.0.5为例)

#只转发217的80和443端口,其他都拒绝

iptables -A FORWARD -i tun0   -s 10.8.0.5 -d 192.168.1.217 -p tcp --dport    80 -j ACCEPT

iptables -A FORWARD -i tun0   -s 10.8.0.5 -d 192.168.1.217 -p tcp --dport    443 -j ACCEPT

iptables -A FORWARD -i tun0   -s 10.8.0.5 -j DROP

6、启动open***

systemctl restart open***@server.service

二、客户端配置

client      

dev tun

proto udp

remote ***公网地址 1174   #***外网地址

resolv-retry infinite

nobind

persist-key

persist-tun

ca   /Users/mac/Downloads/openssl/key/ca.crt      #相应的证书

cert   /Users/mac/Downloads/openssl/estate/estate.crt

key   /Users/mac/Downloads/openssl/estate/estate.key

remote-cert-tls server

cipher AES-256-CBC

verb 3