一、 需求
1、 安装方便,平台兼容性高,不用编译内核。(我比较反感动不动就要重新编译内核的软件);
2、 能够没有限制的穿透NAT内网;(这个非常关键,因为现在我的服务器是在学校拖管,我们实验室内部都是一层一层NAT出去的,)
由于以上两点限制,在现有许多种方案中,我试用了两种:pptpd和opensvn。pptpd是网上比较推荐使用的,因为配置非常方便,就改两个小文件就可以配置成功。但是有一个致命的弱点是起了两个端口,大多数情况下穿透NAT是个障碍,所以我最终放弃了。改用opensvn后解决了NAT的问题,在内网和公网上测试没有任何问题。
openvpn的唯一缺限是不能够使用Windows内置的vpn客户端,需要另外安装软件,所幸安装过程很简单。
二、 安装环境
1. 服务器:Dell 6850服务器,Redhat Linux 企业版4 Update 2,内核2.6.9-22.ELsmp。
2. 客户端:Windows xp SP2
3. 网络结构:
500) {this.resized=true; this.width=500; }" onmouseover="this.style.cursor='hand';" onclick="window.open('http://gait.buaa.edu.cn/jgj/images/openvpn.jpg');" onmousewheel="return bbimg(this)"a) 我们是北航校园网里面的一个实验室局域网,在学校网络中心托管了一台服务器gait.buaa.edu.cn。
b) 从我们实验室到校园网是一层NAT出去的。实验室里面是192.168.48.xxx的内网地址。
c) 服务器有对外的独立地址(属于教育网内的独立地址),目前由于网管中心的疏忽,对内、对外都没有做任何端口限制(由此可见北航网管的整体水平),因此开通VPN服务是有可能的。
d) 经过我的配置,gait.buaa.edu.cn上面起了VPN服务,默认的子网地址是10.0.0.1。这样在公网上的机器就可以拨入,而且可以连通到任何已经拨入这台服务器的校园网主机。形成一个虚拟的10.0.0.x子网。从这个意义上,VPN服务也像是一个“虚拟HUB”,使得学校内、外的计算机可以互通,使得经过层层NAT和防火墙拦截的计算机连到了一个局域上。
三、 安装服务器
1、 到http://openvpn.net/上下载openvpn的最新版,时至今日是openvpn-2.0.9.tar.gz。
a) 网上都说还需要lzo这个压缩库。我没有安装,在编译程序的时候只需要加上--disable-lzo就可以了。这样所有要安装的就是一个包openvpn-2.0.9.tar.gz。
2、 上传到服务器gait.buaa.edu.cn上,解开成为/root/openvpn-2.0.9。
3、 cd /root/openvpn-2.0.9
4、 ./configure --disable-lzo。
a) 这个过程很可能需要Redhat的一些开发包,我安装的时候又打上了openssl-devel-0.9.7a- 43.2.i386.rpm、zlib-devel-1.2.1.2-1.2.i386.rpm、e2fsprogs-devel-1.35- 12.2.EL4.i386.rpm,当然如果是完全安装的服务器就不用了。
5、 make ; make install
a) 我在很多机器上都做了编译,不应该出现任何问题。这个软件做的还是不错的。
6、 生成证书
a) cd /root/openvpn-2.0.9/easy-rsa
i. export D=`pwd`
ii. export KEY_CONFIG=$D/openssl.cnf
iii. export KEY_DIR=$D/keys
iv. export KEY_SIZE=1024
v. export KEY_COUNTRY=CN
vi. export KEY_PROVINCE=BJ
vii. export KEY_CITY=BJ
viii. export KEY_ORG="buaa"
ix. export KEY_EMAIL=guojie.jin@hotmail.com
b) ./clean-all
c) ./build-ca
./clean-all
./build-ca
Generating a 1024 bit RSA private key
................++++++
........++++++
writing new private key to 'ca.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [CN]:
State or Province Name (full name) [BJ]:
Locality Name (eg, city) [BJ]:
Organization Name (eg, company) [dvdmaster]: buaa
Organizational Unit Name (eg, section) []:gait
Common Name (eg, your name or your server's hostname) []:server
Email Address [guojie.jin@hotmail.com]:
d) ./build-key-server server
./build-key-server server
Generating a 1024 bit RSA private key
......++++++
....................++++++
writing new private key to 'server.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [CN]:
State or Province Name (full name) [BJ]:
Locality Name (eg, city) [BJ]:
Organization Name (eg, company) [buaa]:
Organizational Unit Name (eg, section) []:gait
Common Name (eg, your name or your server's hostname) []:server
Email Address [support@cooldvd.com]:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:abcd1234
An optional company name []:dvdmaster
Using configuration from /openvpn-2.0.5/easy-rsa/openssl.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName :PRINTABLE:'CN'
stateOrProvinceName :PRINTABLE:'GD'
localityName :PRINTABLE:'SZ'
organizationName :PRINTABLE:'dvdmaster'
organizationalUnitName:PRINTABLE:'dvdmaster'
commonName :PRINTABLE:'server'
emailAddress :IA5STRING:'support@cooldvd.com'
Certificate is to be certified until Mar 19 08:15:31 2016 GMT (3650 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
e) 客户端证书
在openvpn中,这种配置方法是每一个登陆的VPN客户端需要有一个证书,每个证书在同一时刻只能供一个客户端连接(如果有两个机器安装相同证书,同时拨服务器,都能拨上,但是只有第一个拨上的才能连通网络)。所以需要建立许多份证书。下面建立三份,名称分别为 client1 – client3。
./build-key client1
Generating a 1024 bit RSA private key
.....++++++
......++++++
writing new private key to 'client1.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [CN]:
State or Province Name (full name) [BJ]:
Locality Name (eg, city) [BJ]:
Organization Name (eg, company) [buaa]:
Organizational Unit Name (eg, section) []:gait
Common Name (eg, your name or your server's hostname) []:client1 #重要: 每个不同的 client 生成的证书, 名字必须不同.
Email Address [support@cooldvd.com]:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:abcd1234
An optional company name []:gait
Using configuration from /openvpn-2.0.5/easy-rsa/openssl.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName :PRINTABLE:'CN'
stateOrProvinceName :PRINTABLE:'GD'
localityName :PRINTABLE:'SZ'
organizationName :PRINTABLE:'dvdmaster'
organizationalUnitName:PRINTABLE:'dvdmaster'
commonName :PRINTABLE:'client1'
emailAddress :IA5STRING:'support@cooldvd.com'
Certificate is to be certified until Mar 19 08:22:00 2016 GMT (3650 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
f) 依次类推生成其他客户端证书/key:
./build-key client2
./build-key client3
注意在进入 Common Name (eg, your name or your server's hostname) []: 的输入时, 每个证书输入的名字必须不同.
g) 执行./build-dh
h) 生成的所有证书在/root/openvpn-2.0.9/easy-rsa/keys下。
i. 其中服务器需要的是ca.crt、server.crt、server.key、dh1024.pem,每个客户端需要的是ca.crt、client1-3.crt、client1-3.key。
7、 配置文件
a) cp /root/openvpn-2.0.9/sample-config-files/server.conf /usr/local/etc/server.conf
b) vi /usr/local/etc/server.conf
i. proto udp改成proto tcp
ii. ca那四行改成
ca /root/openvpn-2.0.9/easy-rsa/keys/ca.crt
cert /root/openvpn-2.0.9/easy-rsa/keys/server.crt
key /root/openvpn-2.0.9/easy-rsa/keys/server.key
dh /root/openvpn-2.0.9/easy-rsa/keys/dh1024.pem
iii. server那行改成
server 10.0.0.0 255.255.255.0
iv. 注释掉comp-lzo
v. 改成verb 5可以多查看一些调试信息
8、 启动服务:
a) 关闭服务器、防火墙上所有对SSH(22)、openvpn(1194)的拦截。
b) echo 1> /proc/sys/net/ipv4/ip_forward
c) /usr/local/sbin/openvpn --config /usr/local/etc/server.conf
d) 为了实现开机启动,在/etc/rc.local后面添加
/usr/local/sbin/openvpn --config /usr/local/etc/server.conf > /dev/null 2>&1 &
4. 安装客户端
1、 从http://openvpn.se/上下载与openvpn服务器版本一致的Windows客户端“OpenVPN GUI For Windows”
a) 例如, 服务器装的是 OpenVPN 2.09, 那么下载的 OpenVPN GUI fow windows应该是: openvpn-2.0.9-gui-1.0.3-install.exe
2、 执行openvpn-2.0.9-gui-1.0.3-install.exe。一切采用默认设置。
3、 将ca.crt、client1.crt、client1.key复制到C:\Program Files\OpenVPN\config。(不同用户使用不同的证书,每个证书包括.crt和.key两个文件,如client2.crt和client2.key)
4、 在/root/openvpn-2.0.9/sample-config-files/client.conf 的基础上建立客户端配置文件,改名为C:\Program Files\OpenVPN\config\client.ovpn
a) proto udp改成proto tcp
b) remote那行改成
gait.buaa.edu.cn 1194
c) ca那3行改为
ca ca.crt
cert client1.crt
key client1.key
d) 注释掉comp-lzo
5、 连接:在右下角的openvpn图标上右击,选择“Connect”。正常情况下应该能够连接成功,分配正常的IP。
a) 在使用中发现,openvpn不是连续分IP,而是10.0.0.6、10.0.0.10、10.0.0.14、……这样分下去,不知是何用意。