open***安裝
一、服務端安裝
1.安裝open***server
配置yum源並安裝open***
防火牆關閉
yum upgrade
yum install -y epel-release
yum install -y install open*** easy-rsa net-tools bridge-utils
安裝完成後查看版本
版本是2.4.8
cp /usr/share/doc/open***-2.4.8/sample/sample-config-files/server.conf /etc/open***/server/
其中這條命令的open***-2.4.8就是這個版本號的
初始化初始化一個新的PKI
2.創建服務器端證書和key:
PKI初始化,覆蓋原來的生成新的pki
cd /usr/share/easy-rsa/3
./easyrsa init-pki
3.創建根證書
/usr/share/easy-rsa/3/pki警告這個目錄已經有個了,不需要刪除創建的時候會覆蓋
創建證書申請
輸入2次密碼:123456
輸入證書名稱
3.創建服務器端證書
./easyrsa build-server-full server1 nopass
輸入剛剛創建的密碼123456
4.創建客戶端證書
./easyrsa build-client-full client1 nopass
用於拷貝到服務器上面使用
5.簽約證書
./easyrsa sign server server1
6.創建祕鑰文件
./easyrsa gen-dh
生成TLS-auth密鑰
【可選操作。Open***提供了TLS-auth功能,來抵禦Dos、UDP端口淹沒***。】
open*** --genkey --secret ./pki/ta.key
cp -pR /usr/share/easy-rsa/3/pki/{issued,private,ca.crt,dh.pem,ta.key} /etc/open***/server/
7.內核參數中開啓轉發
echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.d/99-sysctl.conf
sysctl -p
或者
sysctl -w net.ipv4.ip_forward=1
8.配置服務端
cp -pR /usr/share/easy-rsa/3/pki/{issued,private,ca.crt,dh.pem,ta.key} /etc/open***/server/
cp /usr/share/doc/open***-2.4.8/sample/sample-config-files/server.conf /etc/open***/server/
#編輯server.conf文件
local 192.168.8.128 #監聽地址服務器地址
port 1194 #監聽端口
proto udp #監聽協議
dev tun
ca /etc/open***/server/ca.crt #ca證書路徑
cert /usr/share/easy-rsa/3.0.7/pki/issued/server1.crt #服務器證書
key /etc/open***/server/private/server1.key #服務器祕鑰私鑰文件
dh /etc/open***/server/dh.pem #密鑰交換協議文件
server 10.8.0.0 255.255.255.0 #爲客戶端分配地址池
#設置服務器端模式,併爲客戶端提供一個***子網
#服務器會獲取到IP爲10.8.0.1
ifconfig-pool-persist ipp.txt #分配的地址
#用於記錄客戶端和虛擬IP地址的關聯關係的文件
#當重啓服務時,再次連接的客戶端將分配到與上一次分配相同的虛擬IP地址
#push "redirect-gateway def1 bypass-dhcp"
#啓用該指令,所有客戶端的默認網關都將重定向到服務器,導致所有客戶端流量都經過服務器
#(爲確保能正常工作,服務器所在計算機需要在TUN/TAP接口與以太網之間使用NAT或橋接技術進行連接)
#影響客戶端本地瀏覽沒法訪問外網,會導致服務器流量激增,禁用該功能
push "route 192.168.8.0 255.255.255.0" #成功連接後添加主機路由信息,如果不加的話只能***之間通信
#推送路由信息到客戶端,以允許客戶端能夠連接到服務器背後的其他私有子網。
#(簡而言之,就是允許客戶端訪問***服務器自身所在的其他局域網)
push "dhcp-option DNS 114.114.114.114" #dhcp分配dns
push "dhcp-option DNS 8.8.8.8" #dhcp分配dns
client-to-client #客戶端之間互相通信
keepalive 10 120 #存活時間,10秒ping一次,120秒後沒有收到回覆會斷開
tls-auth /etc/open***/server/ta.key #開啓密碼認證的證書
cipher AES-256-CBC
comp-lzo #傳輸數據壓縮
max-clients 100 #最多允許 100 客戶端連接
persist-key
persist-tun
status /var/log/open***-status.log
log /var/log/open***.log
log-append /var/log/open***.log
verb 3
explicit-exit-notify 1
key-direction 0
重啓服務
systemctl restart open***-server@server
systemctl status open***-server@server
如有報錯可以翻到最下面找下錯誤一般情況都是配置文件中配置信息導致的
服務器獲取到10.8.0.1的地址
netstat -nalp|grep 1194
9.端口映射
在路由器上面開放TCP、UDP1194端口,內外網映射
二、客戶端安裝
1.下載客戶端
官網下載
win7電腦的這裏有
鏈接:https://pan.baidu.com/s/1fOm43j5c4j7IABIqOdGsQw
提取碼:l304
2.安裝客戶端
一直下一步直到安裝完成
3.將服務器上CA、證書、key放入到客戶端的config文件夾中
將服務器上面的
/etc/open***/server/ca.crt
/etc/open***/server/ta.key
/etc/open***/server/issued/client1.crt
/etc/open***/server/private/client1.key
四個文件下載到客戶端上並放入D:\Program Files\Open***\config中
將D:\Program Files\Open***\sample-config文件夾中的client.o***文件複製到D:\Program Files\Open***\config文件夾中
或者
直接在D:\Program Files\Open***\config中新建一個文件命名爲xxx.o***
操作完後文件夾中有這些文件
注:如有隻有一臺server,使用一個client就行,名字可以不更改,內容一定要更改。
4.編輯客戶端配置文件
編輯客戶端配置client1.o***用ue或者notepad++打開
client
dev tun
proto tcp
proto udp
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
verb 3
remote 49.4.XXX.XXX 1194
ca ca.crt
cert client1.crt
key client1.key
tls-auth ta.key 1
comp-lzo
key-direction 1
右鍵管理員權限啓動
會出現在右下角
雙擊查看
本機分配到服務器設置的子網中的IP
測試網絡通訊成功
報錯1:
重啓時出現如下信息:
Authenticate/Decrypt packet error: packet HMAC authentication failed
TLS Error: incoming packet authentication failed from [AF_INET]124.254.57.xxx:5685x
在配置文件中加入:
mode server
tls-server
重啓服務
systemctl restart open***-server@server
systemctl status open***-server@server
參考參照https://www.bbsmax.com/A/pRdBKNn7zn/
參考參照https://cloud.tencent.com/developer/article/1491801