1.OpenVPN基本概述
VPN直译就是虚拟专用通道,是提供给企业之间或者个人与公司之间安全数据传输的隧道,OpenVPN无疑是Linux下开源VPN的先锋,提供了良好的性能和友好的用户GUI。
OpenVPN和传统VPN相比,它的优点是安全、简单易用。
2.OpenVPN应用场景
Peer-to-Peer VPN(点对点连接),将Interne俩台机器(公网地址)使用VPN连接起来,比如上海服务器和北京服务器的之间的数据需要相互调用,但是数据又比较敏感,直接通http公共网络传输,容易被窃取。如果拉一条专线成本又太高。那么我们可以通过VPN使用现有网络,将两台主机逻辑上捆绑在一个虚拟网络中,这样既保证了数据传输安全,同时又节省了成本。
Slte-to-Site VPN(站点对站点连接),用于连接两个或者多个地域上不同的局域网LAN,每个LAN有一台OpenVPN服务器作为接入点,组成虚拟专用网络,使得不同LAN里面的主机和服务器都能够相互通讯(比如国内公司与海外公司分公司的连接)
Remote AccessVPN(远程访问),应用于外网用户访问内部资源。在这个场景中远程访问者一般通过公网IP连接VPN服务,然后通过分配后的内网地址与其内网网段进行通信。
3.OpenVPN场景实践
OpenVPN场景实践拓扑图
- 1用户通过internets接vpn服务通过加密技术逬行数据传递
- 2.加密实现方式是客户端公钥加密,服务端私钥解密
- 3.客户端连接VPN服务后,VPN会给客户端推送一条内网的路由以此实现与内部主机通信
OpenVPN场景实践地址规划
| 主机角色 | 外网IP(NAT) | 内网IP(LAN) |
|---|---|---|
| OpenVPN Server | 10.0.0.61 | 72.16.1.61 |
| OpenVPN Client | 10.0.0.1 |
3.1.为了保证OpenVPN的安装,需要使用easy-rsa秘钥生成工具生成证书
[root@m01 ~]# yum install easy-rsa -y3.2.生成秘钥证书前, 需要准备vars文件
[root@m01 -]# mkdir /opt/easy-rsa
[root@m01 -]# cd /opt/easy-rsa/
[root@m01 easy-rsa]# /usr/bin/cp -a /usr/share/easy-rsa/3.0.3/* ./
此步下面自己配置,需省略
[root@m01 easy-rsa]# /usr/bin/cp -a /usr/share/doc/easy-rsa-3.0.3/vars.example ./vars
[root@m01 easy-rsa]# cat vars
if [ -z "$EASYRSA_CALLER" ]; then
echo "You appear to be sourcing an Easy-RSA 'vars' file." >&2
echo "This is no longer necessary and is disallowed. See the section called" >&2
echo '"How to use this file' near the top comments for more details." >&2
return 1
fi
set_var EASYRSA_DN "cn_only"
set_var EASYRSA_REQ_COUNTRY "CN" #所在的国家
set_var EASYRSA_REQ_PROVINCE "Shanghai" #所在的省份
set_var EASYRSA_REQ_CITY "Shanghai" #所在的城市
set_var EASYRSA_REQ_ORG "Oldboy" #所在的组织
set_var EASYRSA_REQ_EMAIL "[email protected]"#邮箱的地址
set_var EASYRSA_NS_SUPPORT "yes"3.3.初始化生成证书
#1.初始化,在当前目录创建PKI目录,用于存储证书
[root@m01 easy-rsa]# ./easyrsa init-pki
#2.创建根证书,会提示设置密码,用于ca对之后生成的server和client证书签名时使用,其他可默认
[root@m01 easy-rsa]# ./easyrsa build-ca
#3.创建server端证书和私钥文件,nopass表示不加密私钥文件,其他可默认
[root@m01 easy-rsa]# ./easyrsa gen-req server nopass
#4.给server端证书签名,首先对一些信息的确认,可以输入yes,然后创建ca根证书时设置的密码
[root@m01 easy-rsa]# ./easyrsa sign server server
#5 •创建Diffie-Hellman文件,秘钥交换时的Diffie-Hellman算法
[root@m01 easy-rsa]# ./easyrsa gen-dh
#6.创迚client端证书和私钥文件,nopass表示不加密私钥文件,其他可默认
[root@m01 easy-rsa]# ./easyrsa gen-req client nopass
#7.给client端证书签名,首先是对一些信息的确认,可以输入yes,然后创建ca根证书时设置的密码
[root@m01 easy-rsa]# ./easyrsa sign client client3.4.安装openvpn服务
[root@m01 ~]# yum install openvpn -y3.5.配置openvpn,首先需要开启内核转发功能
[root@m01 ~]# echo "net.ipv4.ip_forward = 1" >>/etc/sysctl.conf
[root@m01 ~]# systemctl restart network3.6.配置OpenVPN服务
[root@openvpn easy-rsa]# cd /etc/openvpn/
[root@web01 openvpn]# cat server.conf
port 1194 #端口
proto udp #协议
dev tun #采用路由隧道模式tun
ca ca.crt #ca证书文件位置
cert server.crt #服务端公钥名称
key server.key #服务端私钥名称
dh dh.pem #交换证书
server 10.8.0.0 255.255.255.0 #给客户端分配的地址池,注意:不能和VPN服务器内网网段有相同
push "route 172.16.1.0 255.255.255.0" #允许客户端访问内网172.16.1.0网段
ifconfig-pool-persist ipp.txt #地址池记录文件位置
keepalive 10 120 #存活时间,10秒ping一次,120如未收到响应则视为断线
max-clients 100 #最多允许100个客户端连接
status openvpn-status.log #日志记录位置
verb 3 #openvpn版本
client-to-client #客户端与客户端之间支持通信
log /var/log/openvpn.log #openvpn日志记录位置
persist-key #通过keepalive检测超时后,重新启动VPN,不重新读取keys,保留第一次使用的keys
persist-tun #检测超时后,重新启动VPN,一直保持tun是linkup的。否则网络会先linkdown然后在linkup
duplicate-cn3.7.根据配置文件中定义,需要拷贝openvpnServer端用到的证书至/etc/openvpn目录中
[root@m01 -]# cd /etc/openvpn/
[root@m01 openvpn]# cp /opt/easy-rsa/pki/ca.crt ./
[root@m01 openvpn]# cp /opt/easy-rsa/pki/issued/server.crt ./
[root@m01 openvpn]# cp /opt/easy-rsa/pki/private/server.key ./
[root@m01 openvpn]# cp /opt/easy-rsa/pki/dh.pem ./3.8.启动openvpn服务并加入开机自启
[root@m01 ~]# systemctl -f enable openvpn@server. service #设置启动文件
[root@m01 ~]# systemctl start openvpn@server. service #启动openvpn服务4.OpenVPN多客户端配置
4.1Windows
4.1.1.下载windows 的openvpn软件
4.1.2.下载服务端生成的客户端密钥文件和ca文件至windows指定C:\Program Files\OpenVPN\config目录中
[root@openvpn-client ~]# cd /etc/openvpn/
[root@openvpn-client openvpn]# sz /opt/easy-rsa/pki/ca.crt
[root@openvpn-client openvpn]# sz /opt/easy-rsa/pki/issued/client.crt
[root@openvpn-client openvpn]# sz /opt/easy-rsa/pki/private/client.key4.1.3.在C:\Program Files\OpenVPN\config 创建一个客户端配置文件,名称叫client.ovpn
内容如下:
client #指定当前VPN是客户端
dev tun #使用tun隧道传输协议
proto udp #使用udp协议传输数据
remote 10.0.0.102 1194 #openvpn服务器IP 地址端口号
resolv-retry infinite #断线自动重新连接,在网络不稳定的情况下非常有用
nobind #不绑定本地特定的端口号
ca ca.crt #指定CA证书的文件路径
cert client.crt #指定当前客户端的证书文件路径
key client.key #指定当前客户端的私钥文件路径
verb 3 #指定日志文件的记录详细级别,可选0-9,等级越高日志内容越详细
persist-key #通过keepalive检测超时后,重新启动VPN,不重新读取keys,保留第一次使用的keys
persist-tun #检测超时后,重新启动VPN,一良保持tun是linkup的。否则网络会先linkdown然后在linkup4.1.4.windows查看推送过来由信息
# route print -4 4.2Linux
4.2.1.安级openvpn
[root@openvpn-client ~]# yum install openvpn -y4.2.2. 下载证书文件
[root@openvpn-client ~]# cd /etc/openvpn/
[root@openvpn-client openvpn]# scp [email protected]:/opt/easy-rsa/pki/ca.crt ./
[root@openvpn-client openvpn]# scp [email protected]:/opt/easy-rsa/pki/issued/client.crt
[root@openvpn-client openvpn]# scp [email protected]:/opt/easy-rsa/pki/private/client.key4.2.3. 配置客户端
[root@zabbix-agent-sh-103 openvpn]# cat client.ovpn
client #指定当前VPN是客户端
dev tun #使用tun隧道传输协议
proto udp #使用udp协议传输数据
remote 10.0.0.102 1194 #openvpn服务器IP 地址端口号
resolv-retry infinite #断线自动重新连接,在网络不稳定的情况下非常有用
nobind #不绑定本地特定的端口号
ca ca.crt #指定CA证书的文件路径
cert client.crt #指定当前客户端的证书文件路径
key client.key #指定当前客户端的私钥文件路径
verb 3 #指定日志文件的记录详细级别,可选0-9,等级越高日志内容越详细
persist-key #通过keepalive检测超时后,重新启动VPN,不重新读取keys,保留第一次使用的keys
persist-tun #检测超时后,重新启动VPN,一良保持tun是linkup的。否则网络会先linkdown然后在linkup4.2.4.启动linux客户端的openvpn
[root@openvpn-client ~]# openvpn --daemon --cd /etc/openvpn --config client.ovpn --log-append
/var/log/openvpn.log
# --daemon: openvpn以daemon方式启动
# --cd dir:配置文件的目录,openvpn初始化前,先切换到此目录。
# --config file:客户端配置文件的路径。
# --log-append file: 日志文件路径,如果文件不存在会自动创建。4.3MacOS
如果客户端MacOS,则进行如下操作
https://www.jianshu.com/p/a5fd8dc95ad4
https://www.cnblogs.com/airoot/p/7252987. html
如果是mac电脑,需要将所有的文件放入一个文件夹中,然后将文件夹的名称修改为tblk5.OpenVPN访问内网网段
抓包分析数据能抵达openvpn的内网地址,但无法与OpenVPN服务同内网网段主机进行通信,因为后端主机没有回10.8.0.0的路由,所以会导致无法ping通,可以在后端主机增加一条抵达10.8.0.0的路由。
[root@web01 ~]ping 172.16.1.7
Request timeout for icmp_seq 0
Request timeout for icmp_seq 1在后端的主机上抓包分析,发现能接收到数据包,但没有回去的路由所以还是无法通信
[root@web01 ~]# tcpdump -i eth1
01:12:29.394601 IP 10.8.0.6 > web01: ICMP echo request, id 61147, seq 107, length 64
01:12:30.298996 IP 10.8.0.6 > web01: ICMP echo request, id 61147, seq 108, length 645.1解决方式一:在后端主机添加抵达去往10.8.0.0网段的走openvpn的内网地址即可
指定添加去往 10.8.0.0的网段走openvpn内网
[root@web01 ~]# route add -net 10.8.0.0/24 gw 172.16.1.61
添加完路由后的效果如下
[root@web01 〜]# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.8.0.0 172.16.1.61 255.255.255.0 UG 0 0 0 eth1如上的配置需要在所有后端主机添加,如果机器量过多,那么添加起来非常的麻烦,建议使用firewalld防火墙的转发功能
5.2解决方式二,在vpn服务器上配置防火墙转发规则
[root@m01 ~]# systemctl start firewalld
[root@m01 ~]# firewall-cmd --add-service=openvpn --permanent
[root@m01 ~]# firewall-cmd --add-masquerade --permanent
[root@m01 ~]# firewalld --reload6.OpenVPN双重认证方式
OpenVPN秘钥+用户名密码双重验证登录
为什么需要用户名密码验证登录,我们已经使用了CA证书、及交换密钥这几种方式进行加密了,可以说已经很安全了,为什么还要需要用户名密码呢。
首先安全还是很重要的,其次就是管理这些秘钥和证书还是比较麻烦的,如果用户量比较多,我们不可能为每个用户都创建一套加密,每个用户创建一个秘钥比较麻烦,但多人使用一个秘钥又不具有唯一性,比如说有用户不在需要VPN的时候,我们就只能吊销证书。但是如果多人使用一个秘钥的情况下,吊销证书了,其他的用户也登录不了。所以我们就需要秘钥+用户名密码,这样就可以多个用户使用同一个证书,使用不同的用户名和密码。
新用户加入的时候,只需要添加一个用户名和密码,如果有人不需要VPN的时候,直接删除用户名和密码就可以了。
首先需要确保能使用秘钥成功连接OpenVPN服务,然后再配置秘钥+用户名密码验证登录方式。配置如下:
6.1.修改Server端配置文件,添加以下三行代码
[root@web01 ~]# vim /etc/openvpn/server.conf
script-security 3 #允许使用自定义脚本
auth-user-pass-verify /etc/openvpn/check.sh via-env
username-as-common-name #用户密码登录方式验证注:如果加上client-cert-not-required则代表只使用用户名密码方式验证登录,如果不加,则代表需要证书和用户名密码双重验证登录!
6.2.在/etc/openvpn/目录下创建check.sh文件,直接复制粘贴以下代码也可以
[root@openvpn ~]# cat /etc/openvpn/check.sh
#!/bin/sh
###########################################################
PASSFILE="/etc/openvpn/openvpnfile"
LOG_FILE="/var/log/openvpn-password.log"
TIME_STAMP=$(date "+%Y-%m-%d %T")
if [ ! -r "${PASSFILE}" ];then
echo "${TIME_STAMP}: Could not open password file \"${PASSFILE}\" for reading." >> ${LOG_FILE}
fi
CORRECT_PASSWORD=$(awk '!/^;/&&!/^#/&&$1==" '${username}' "{print $2;exit}' ${PASSFILE})
if [ "${CORRECT_PASSWORD}" = "" ];then
echo "${TIME_STAMP}: User does not exist: username=\"${username}\", password=\"${password}\".">>
${LOG_FILE}
exit 1
fi
if [ '${password}' = "${CORRECT_PASSWORD}" ];then
echo "${TIME_STAMP}: Successful authentication: username=\"${username}\"." >> ${LOG_FILE}
exit 0
fi
echo "${TIME_STAMP}: Incorrect password: username=\"${username}\",password=\"${password}\"." >>
${LOG_FILE}
exit 16.3.记得添加执行权限,否则会无法重启openvpn服务
[root@openvpn ~]# chmod +x /etc/openvpn/check.sh6.4.准备用户名密码文件
[root@openvpn ~]# cat /etc/openvpn/openvpnfile
oldboy 1234566.5.重载openvpn服务
[root@openvpn -]# systemctl restart openvpn@server6.6.修改客户端配置文件client.ovpn,添加如下代码
auth-user-pass #用户密码认证