前言
之前爲了方便遠程辦公時訪問公司的內部系統,如:svn、OA、wiki、禪道等等;通通在防火牆上做了端口映射。然後 有個內部系統被黑了,各種弱口令沒辦法。果斷關閉端口映射,看來還是得搭建個***服務器,***設備感覺大材小用。馬上就想到了開源的open***, 下面就來介紹open***的安裝配置過程。
open***簡介
官方網站:https://open***.net 打不開請爬牆
openssl原理:http://www.178linux.com/archives/2704 參考書生的博客,哈哈
open***原理:http://freeloda.blog.51cto.com/2033581/1354768 參考往期學員的博客,此處就不贅述了。
安裝配置步驟
1、安裝open***軟件
2、生成服務器證書
3、修改主配置文件
4、生成並簽署客戶端證書
4、客戶端配置並連接
一、安裝open***軟件
安裝epel源
[root@qin ~]# rpm -ivh http://mirrors.zju.edu.cn/epel/6/i386/epel-release-6-8.noarch.rpm Retrieving http://mirrors.zju.edu.cn/epel/6/i386/epel-release-6-8.noarch.rpm Preparing... ########################################### [100%] 1:epel-release ########################################### [100%]
安裝open***
[root@qin ~]# yum -y install open***
下載easyesa,創建CA、生成證書都需要它
[root@qin ~]# wget https://github.com/Open***/easy-rsa/archive/master.zip [root@qin ~]# unzip master.zip [root@qin ~]# mv easy-rsa-master/ /etc/open***
二、生成服務器證書
先切換目錄到/etc/open***/easy-rsa-master/easyrsa3以便生成證書
pki目錄初始化,此動作會刪除pki目錄下所有證書及密鑰文件
創建根證書,密鑰文件需要設置密碼保護,並指定一個名稱
生成一個服務器端的證書請求文件,不需要密碼保護
簽署服務器端的請求證書,需要輸入根證書的密碼授權
生成 Diffie Hellman 參數
查看服務器端生成的所有證書及密鑰文件
爲方便查看及配置,把服務器端需要用到的證書及密鑰文件放到/etc/open***目錄下
三、修改主配置文件,
默認沒有主配置文件,需要從/usr/share/doc下複製一個模版文件過來
[root@qin ~]# cp /usr/share/doc/open***-2.3.6/sample/sample-config-files/server.conf /etc/open*** [root@qin ~]# vim /etc/open***/server.conf local 192.168.18.42 port 2285 proto udp dev tun ca /etc/open***/ca.crt cert /etc/open***/server.crt key /etc/open***/server.key # This file should be kept secret dh /etc/open***/dh.pem server 10.38.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt ;push "redirect-gateway def1 bypass-dhcp" #啓用後,客戶端連接後所有上網請求都走***網關 push "route 192.168.0.0 255.255.0.0" push "dhcp-option DNS 114.114.114.114" keepalive 10 120 comp-lzo max-clients 100 persist-key persist-tun status /var/log/open***-status.log log /var/log/open***.log log-append /var/log/open***.log verb 3 [root@qin ~]# service open*** start
需要啓用路由轉發
[root@qin ~]# sysctl -w net.ipv4.ip_forward=1
服務啓動後會生成一個***網關
在硬件防火牆上做端口映射後,open***就可以提供連接服務了
服務器iptables沒啓動,此處略過,可以參考示例文件 /usr/share/doc/open***-2.3.6/sample/sample-config-files/firewall.sh
四、生成並簽署客戶端證書
生成一個證書請求文件,在服務器端或客戶端都可以生成;設置密碼保護並指定一個名稱
[root@qin ~]# cp -r /etc/open***/easy-rsa-master/ /tmp [root@qin ~]# cd /tmp/easy-rsa-master/easyrsa3/ [root@qin easyrsa3]# ./easyrsa init-pki
導入客戶端證書請求文件
[root@qin ~]# cd /etc/open***/easy-rsa-master/easyrsa3/ [root@qin easyrsa3]# ./easyrsa import-req /tmp/easy-rsa-master/easyrsa3/pki/reqs/client1.req client1
簽署客戶端證書,同樣,需要需要輸入根證書密碼授權
五、客戶端配置並連接
到官網下載相應的軟件 https://open***.net/index.php/open-source/downloads.html
默認會安裝到 C:\Program Files\Open*** 下
下載根證書、客戶端證書、客戶端密鑰這三個文件,放到 C:\Program Files\Open***\config下
/etc/open***/easy-rsa-master/easyrsa3/pki/ca.crt /etc/open***/easy-rsa-master/easyrsa3/pki/issued/client1.crt /tmp/easy-rsa-master/easyrsa3/pki/private/client1.key
修改客戶端配置文件,默認沒有此文件,需要從 C:\Program Files\Open***\sample-config\client.o*** 複製一份到config目錄下
client dev tun proto udp remote 192.168.18.42 2285 #指向open***服務器ip及端口 resolv-retry infinite nobind persist-key persist-tun ca ca.crt #指向證書,默認路徑無需指定 cert client1.crt key client1.key comp-lzo verb 3
注意:config目錄下沒有證書和配置文件時,軟件是不能使用的,如圖
有配置文件和證書後,點擊connect並輸入client1.key的密鑰密碼後即可連接,如圖
寫的比較簡單,不要見怪哈~