OpenVPN在Linux系統(tǒng)下的安裝配置和使用

OpenVPN 簡(jiǎn)介

OpenVPN是一個(gè)基于OpenSSL庫(kù)的應(yīng)用層VPN實(shí)現(xiàn)。和傳統(tǒng)VPN相比，它的優(yōu)點(diǎn)是簡(jiǎn)單易用。

這里簡(jiǎn)單介紹一下基于 CA ，采用數(shù)字證書認(rèn)證，可以劃分多個(gè)網(wǎng)段的 OpenVPN 配置方法。

Note 1: VNN 和 OpenVPN 很像。

Note 2: 這個(gè)東西對(duì)于突破內(nèi)網(wǎng)封鎖，保護(hù)通信自由很有意義，值得大力推廣。

安裝 OpenVPN

◆Linux 下的安裝
首先，Kernel 必須支持 TUN/TAP 設(shè)備。在 2.6.x 內(nèi)核中，對(duì)應(yīng)的 Kernel 選項(xiàng)是 “Universal TUN/TAP device driver support”。

確認(rèn) Kernel 支持 TUN/TAP 后，可以下載 OpenVPN 編譯并安裝。這一步很 easy，不多說(shuō)了。

◆Windows 下的安裝

從 http://www.openvpn.se (http://www.openvpn.se/) 下載安裝包安裝，這里的安裝包帶一個(gè) Client GUI 工具，很好用。

配置 OpenVPN

◆配置 OpenVPN Server

只說(shuō)明在 Linux 下的配置。Windows 類似。創(chuàng)建 /etc/vpn/server.conf，內(nèi)容如下：

port 1494proto udpdev tunca ca.crtcert server.crtkey server.
keydh dh1024.pemserver 10.1.0.0 255.255.255.0push
"route 10.1.0.0 255.255.255.0"push "route 10.1.1.0 255.255.255.0"
client-config-dir /etc/vpn/ccdroute
10.1.1.0 255.255.255.0client-to-clientkeepalive
10 120user nobodygroup nobodypersist-keypersist-tunlog-append
openvpn.logverb 3

其中 ca.crt, server.key,server.crt 可以用以前貼出的 ca 工具創(chuàng)建，dh1024.pem 用 OpenVPN 自帶的工具創(chuàng)建。

這個(gè)配置文件創(chuàng)建了兩個(gè)網(wǎng)段：10.1.0.* 和 10.1.1.*，VPN 服務(wù)器將從這兩個(gè)網(wǎng)段中給 Client 分配 IP 地址。VPN Server 自身 IP 將是 10.0.0.1。

“client-config-dir”指明 Client 的專有配置文件目錄。在這個(gè)目錄下可以針對(duì)特定用戶建立配置文件。例如，要為用戶 abc 指定一個(gè) IP 地址（如10.1.1.5）而不是讓 VPN Server 自動(dòng)分配，可以在配置目錄/etc/vpn/ccd下建立一個(gè) abc 文件，內(nèi)容如下：

ifconfig-push 10.1.1.5 10.1.1.6

那么 VPN Server 就會(huì)自動(dòng)給 abc 用戶分配 10.1.1.5 這個(gè)地址。注意第一個(gè)IP地址 的最后一個(gè)數(shù)字（這里是 5）必須是 4*n + 1 的數(shù)。

問(wèn)題是，VPN Server 怎么知道哪個(gè)用戶是 abc 呢？它是 Client 數(shù)字證書中的 Common Name 域來(lái)判斷的。就是說(shuō)，在連接協(xié)商時(shí)如果 Client 端數(shù)字證書的 Common Name 是 abc，那么 VPN Server 就找配置目錄下 abc 這個(gè)文件。

◆配置 OpenVPN Client

在 Client 機(jī)器上 OpenVPN 安裝目錄的 config 目錄下建立如下 client.ovpn 文件：

clientdev tunproto udpremote vpn_server_ip 1494 ca ca.crtcryptoapicert "SUBJ:
abc"nobindpersist-keypersist-tunverb 2

修改 remote 一行填上對(duì)應(yīng) VPN Server 的 IP 和 端口。ca.crt 和服務(wù)端 ca.crt 一樣，必須把這個(gè) ca.crt 也放在 config 目錄下。

關(guān)鍵是 cryptoapicert "SUBJ: abc" 這行。這一行指定客戶端的數(shù)字證書從 Windows 證書 Store 里取。在 IE 的“選項(xiàng) -> 內(nèi)容 -> 證書”頁(yè)面能看到你的個(gè)人數(shù)字證書。

SUBJ:abc 指明選擇證書主題中含有 abc 的證書。客戶端數(shù)字證書也可以用以前貼的 ca 工具生成，如果要給用戶 abc 簽發(fā)數(shù)字證書，只用指明 Common Name 是 abc 即可，然后把生成的 abc.p12 傳給 abc 用戶并告訴導(dǎo)入口令。abc 導(dǎo)入這個(gè)數(shù)字證書后，VPN Client 就可以工作了。

啟動(dòng) OpenVPN

◆服務(wù)端啟動(dòng)

在 /etc/vpn 目錄下，執(zhí)行：

openvpn --daemon --config server.conf

◆客戶端啟動(dòng)

OpenVPN 帶一個(gè) GUI 小工具，會(huì)裝在系統(tǒng)托盤里。點(diǎn)菜單里的 connect 即可。

常見問(wèn)題

無(wú)法得到 IP 地址

通常是因?yàn)?DHCP Client 服務(wù)沒(méi)有啟動(dòng)。在服務(wù)管理里啟動(dòng)即可。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]