《OpenVPN操作配置文档.doc》由会员分享,可在线阅读,更多相关《OpenVPN操作配置文档.doc(15页珍藏版)》请在金锄头文库上搜索。
1、 OpenVPN操作配置文档什么是OpenVPN?(下面这段文字摘自互联网)OpenVPN是自由软件遵循GNU/GPL协议,可以免费使用。OpenVPN是一个容易配置,功能强大,支持多系统的VPN程序。OpenVPN是一个用于创建虚拟专用网络加密通道的软件包,最早由James Yonan编写。OpenVPN允许参与建立VPN的单点使用预设的私钥,第三方证书,或者用户名/密码来进行身份验证。它大量使用了OpenSSL加密库,以及SSLv3/TLSv1协议。OpenVPN能在Linux、xBSD、Mac OS X与Windows 2000/XP上运行。它并不是一个基于Web的VPN软件,也不与IP
2、sec及其他VPN软件包兼容。OpenVPN使用OpenSSL库加密数据与控制信息:它使用了OpesSSL的加密以及验证功能,意味着,它能够使用任何OpenSSL支持的算法。它提供了可选的数据包HMAC功能以提高连接的安全性。此外,OpenSSL的硬件加速也能提高它的性能。OpenVPN提供了多种身份验证方式,用以确认参与连接双方的身份,包括:预享私钥,第三方证书以及用户名/密码组合。预享密钥最为简单,但同时它只能用于建立点对点的VPN;基于PKI的第三方证书提供了最完善的功能,但是需要额外的精力去维护一个PKI证书体系。OpenVPN2.0后引入了用户名/口令组合的身份验证方式,它可以省略客
3、户端证书,但是仍有一份服务器证书需要被用作加密。OpenVPN所有的通信都基于一个单一的IP端口,默认且推荐使用UDP协议通讯,同时TCP也被支持。OpenVPN连接能通过大多数的代理服务器,并且能够在NAT的环境中很好地工作。服务端具有向客户端“推送”某些网络配置信息的功能,这些信息包括:IP地址、路由设置等。OpenVPN提供了两种虚拟网络接口:通用Tun/Tap驱动,通过它们,可以建立三层IP隧道,或者虚拟二层以太网,后者可以传送任何类型的二层以太网络数据。传送的数据可通过LZO算法压缩。IANA(Internet Assigned Numbers Authority)指定给OpenVP
4、N的官方端口为1194。OpenVPN 2.0以后版本每个进程可以同时管理数个并发的隧道。 OpenVPN使用通用网络协议(TCP与UDP)的特点使它成为IPsec等协议的理想替代,尤其是在ISP(Internet service provider)过滤某些特定VPN协议的情况下。在选择协议时候,需要注意2个加密隧道之间的网络状况,如有高延迟或者丢包较多的情况下,请选择TCP协议作为底层协议,UDP协议由于存在无连接和重传机制,导致要隧道上层的协议进行重传,效率非常低下。OpenVPN与生俱来便具备了许多安全特性:它在用户空间运行,无须对内核及网络协议栈作修改;初始完毕后以chroot方式运行
5、,放弃root权限;使用mlockall以防止敏感数据交换到磁盘。 OpenVPN通过PKCS#11支持硬件加密标识,如智能卡。OpenSSH,能实现二/三层的基于隧道的VPN。stunnel,使用SSL向任何单一端口的TCP服务提供安全保护。如何获取OpenVPN?官方网站: http:/OpenVPN版下载地址:(32位系统)http:/www.openvpn.se/files/install_packages/openvpn-2.1_beta7-gui-1.0.3-install.exeOpenVPN版下载地址:(64位系统)http:/www.openvpn.se/files/inst
6、all_packages/openvpn-2.0.5-gui-1.0.3-install-auto_xp64.exewindowsTUN/TAP驱动程序下载地址: (64位系统)http:/www.openvpn.se/files/xp64/tap-win64.zip 如何架设OpenVPN服务端? 1.下载安装程序2.把程序默认安装在C:Program FilesOpenVPN目录下。安装过程中会安装一张网卡虚拟网卡,安装好之后网卡处于中断状态。3.生成证书文件(1)修改C:Program FilesOpenVPNeasy-rsa目录下的vars.bat.sample文件.找到: set K
7、EY_COUNTRY=US #CA证书的国家代码set KEY_PROVINCE=CA #CA证书的省份set KEY_CITY=SanFrancisco #CA证书的城市set KEY_ORG=FortFunston #CA证书的组织set KEY_EMAIL=mailhost.domain #CA证书的联系邮箱按照你自己的需要对相应选项做修改,比如我的修改如下:set KEY_COUNTRY=CNset KEY_PROVINCE=HUNANset KEY_CITY=CHANGSHAset KEY_ORG=HUGEset KEY_EMAIL=修改完成后保存文件.下面制作证书的时候会默认加载这
8、里的选项。(2)初始化。打开命令行窗口执行cd C:Program FilesOpenVPNeasy-rsa 进入到目录下执行 init-config 命令初始化配置.执行 vars命令执行 clean-all 命令清除临时文件上面是初始化工作,以后在进行证书制作工作时,仍旧需要进行初始化,但只需要进入C:Program FilesOpenVPNeasy-rsa目录运行vars就可以了,不需要上面那些步骤了。(3)生成根证书执行命令build-ca提示输入国家代码,这里已经默认从easy-rs vars.bat.sample文件中加载相应的选项CN,直接回车即可。提示输入省份名称,这里已经默认
9、从easy-rs vars.bat.sample文件中加载相应的选项HUNAN,直接回车即可。提示输入城市名称, 这里已经默认从easy-rs vars.bat.sample文件中加载相应的选项CHANGSHA,直接回车即可。提示输入组织名称,这里已经默认从easy-rs vars.bat.sample文件中加载相应的选项HUGE,直接回车即可。提示输入组织单位名称,可以自己定义,输入HUGE提示输入服务器名称,可以自己定义,输入SERVER提示输入邮件地址,这里已经默认从easy-rs vars.bat.sample文件中加载相应的选项,直接回车即可进行根证书的制作。如图:(4)生成dh文件
10、执行命令build-dh命令生成dh文件。(5)生成服务端密钥执行命令 build-key-server server提示输入国家代码,这里已经默认从easy-rs vars.bat.sample文件中加载相应的选项CN,直接回车即可。提示输入省份名称,这里已经默认从easy-rs vars.bat.sample文件中加载相应的选项HUNAN,直接回车即可。提示输入城市名称, 这里已经默认从easy-rs vars.bat.sample文件中加载相应的选项CHANGSHA,直接回车即可。提示输入组织名称,这里已经默认从easy-rs vars.bat.sample文件中加载相应的选项HUGE,
11、直接回车即可。提示输入组织单位名称,可以自己定义,输入HUGE提示输入服务器名称,可以自己定义,输入SERVER提示输入邮件地址,这里已经默认从easy-rs vars.bat.sample文件中加载相应的选项,直接回车。提示输入密码,可以自己定义,输入123456后回车。输入公司名称,可以自己定义,输入HUGE后回车。提示是否签名?,输入Y后回车。提示是否需要提交?输入Y后回车。服务端密钥便生成成功.如图(6)生成客户端密钥执行命令build-key client1后回车.提示输入国家代码,这里已经默认从easy-rs vars.bat.sample文件中加载相应的选项CN,直接回车即可。提
12、示输入省份名称,这里已经默认从easy-rs vars.bat.sample文件中加载相应的选项HUNAN,直接回车即可。提示输入城市名称, 这里已经默认从easy-rs vars.bat.sample文件中加载相应的选项CHANGSHA,直接回车即可。提示输入组织名称,这里已经默认从easy-rs vars.bat.sample文件中加载相应的选项HUGE,直接回车即可。提示输入组织单位名称,可以自己定义,输入HUGE提示输入服务器名称,可以自己定义,输入CLIENT1提示输入邮件地址,这里已经默认从easy-rs vars.bat.sample文件中加载相应的选项,直接回车。提示输入密码,
13、可以自己定义,输入123456后回车。输入公司名称,可以自己定义,输入HUGE后回车。提示是否签名?,输入Y后回车。提示是否需要提交?输入Y后回车。客户端密钥便生成成功.如图如果需要继续生成客户端密钥可以执行命令build-key client2,只要改变build-key后面的名称即可。3.配置VPN服务器相关选项。1.复制C:Program FilesOpenVPNeasy-rsakeys目录下的ca.crt, dh1024.pem, server.crt, server.key文件到C:Program FilesOpenVPNkey目录下,这四个文件是VPN服务端运行所需要的文件。2.
14、在C:Program FilesOpenVPNconfig目录下创建server.ovpn 这个是OpenVPN服务器配置文件。server.ovpn文件的内容如下local 172.17.3.104 #申明本机使用的IP地址,也可以不说明 port 1194 #申明使用的端口,默认1194 proto tcp-server#申明使用的协议为TCP协议也可以为UDP协议dev tap #申明使用的设备可选tap和tun,tap是二层设备,支持链路层协议。server 192.168.10.0 255.255.255.0 #配置VPN服务器给客户端分配的IP地址网段和掩码keepalive 20
15、 180 #下面表示每10秒通过VPN的Control通道ping对方,如果连续120秒无法ping通#认为连接丢失,并重新启动VPN,重新连接,对于mode server模式下的#openvpn不会重新连接 ca C:Program FilesOpenVPNkeyca.crt #OpenVPN使用的ROOT CA,使用build-ca生成,用于验证客户是证书是否合法cert C:Program FilesOpenVPNkeyserver.crt #Server使用的证书对应的key,注意文件的权限,防止被盗key C:Program FilesOpenVPNkeyserver.key #CRL文件的申明,被吊销的证书链,这些证书将无法登录dh C:Program FilesOpenVPNke
