服务端完全配置手册

《服务端完全配置手册》由会员上传分享，免费在线阅读，更多相关内容在应用文档-天天文库。

OPENVPN服务端完全配置手册一．OPENVPN1.下载openvpn最新版本2.上传到linux下并解压3.编译文件cd/home/chenlong/tool/openvpn-2.3.0./configuremakemakeinstall4.新建目录mkdir/etc/openvpn5.将配置文件拷贝到新建目录下cp-r/home/chenlong/tool/openvpn-2.3.0/sample//etc/openvpn/6.配置文件修改cp/etc/openvpn/sample/sample-config-files/server.conf/etc/openvpn/在此配置文件里修改如下项：local114.112.50.242#vpn接入网口IP地址port1194protoudpdevtunca/etc/openvpn/ca.crtcert/etc/openvpn/server.crtkey/etc/openvpn/server.keydh/etc/openvpn/dh.pemserver10.8.0.0255.255.255.0ifconfig-pool-persistipp.txtpush"route192.168.1.0255.255.255.0"push"redirect-gatewaydef1bypass-dhcp"push"dhcp-optionDNS10.8.0.1"push"dhcp-optionDNS8.8.8.8"client-to-clientkeepalive10120comp-lzomax-clients200persist-keypersist-tunstatusopenvpn-status.logverb37.启动openvpn服务openvpn/etc/openvpn/server.conf&二．easy-rsa配置（easy-rsa3） 1.下载easy-rsa2.上传到linux下并解压3.将解压得到的文件夹重命名并拷贝到相应目录下mveasy-rsa-mater/easy-rsa/cp-Reasy-rsa//etc/openvpn/4.环境配置cd/etc/openvpn/easy-rsa/easyrsa3/mvvars.examplevars在该文件里修改下面的字段，然后保存5.初始化cd/etc/openvpn/easy-rsa/easyrsa3./easyrsainit-pki6.创建根证书./easyrsabuild-ca在此过程中需要输入根名称及根密码，需要记住根密码，在以后创建新用户时需要用到。7.创建服务器端证书./easyrsagen-reqservernopass在此需要输入服务端名称8.签约服务端证书./easyrsasignserverserver在此步骤需要输入根密码9.创建Diffie-Hellman./easyrsagen-dh10.将相关文件拷贝到根目录下cp/etc/openvpn/easy-rsa/easyrsa3/pki/ca.crt/etc/openvpncp/etc/openvpn/easy-rsa/easyrsa3/pki/private/server.key/etc/openvpncp/etc/openvpn/easy-rsa/easyrsa3/pki/issued/server.crt/etc/openvpncp/etc/openvpn/easy-rsa/easyrsa3/pki/dh.pem/etc/openvpn一．新增用户1.在根目录下用户目录Mkdir/root/chenlong/2.将easy-rsa拷贝到该目录下cp-r/home/chenlong/tool/easy-rsa//root/chenlong/3.初始化cd/root/chenlong/easy-rsa/easyrsa3/./easyrsainit-pki4.创建客户端key及生成证书 ./easyrsagen-reqdewei在该过程中需要输入该用户的密码及用户名1.将的到的qingliu.req导入然后签约证书cd/etc/openvpn/easy-rsa/easyrsa3/./easyrsaimport-req/root/chenlong/easy-rsa/easyrsa3/pki/reqs/chenlong.reqchenlong./easyrsasignclientdewei（此处需要输入根密码）2.将相应文件拷贝到用户目录下cp/etc/openvpn/easy-rsa/easyrsa3/pki/ca.crt/root/chenlong/cp/etc/openvpn/easy-rsa/easyrsa3/pki/issued/dewei.crt/root/chenlong/cp/root/chenlong/easy-rsa/easyrsa3/pki/private/dewei.key/root/chenlong/一．iptable配置1.停止防火墙Servicefirewalldstop2.关闭防火墙systemctldisablefirewalld3.编辑sysctl.conf文件vim/etc/sysctl.conf在该文件里增加如下项：net.ipv4.ip_forward=14.编辑iptablesvim/etc/sysconfig/iptables在该文件里增加如下项：-AINPUT-ptcp--dport22-jACCEPT#对ssh的支持-AINPUT-pudp--dport1194-jACCEPT#对vpn的支持，1194为openvpn配置端口号-AINPUT-ptcp--dport1194-jACCEPT#对vpn的支持，1194为openvpn配置端口号在该文件中去掉如下两项，否则VPN不能连接：#-AINPUT-jREJECT--reject-withicmp-host-prohibited#-AFORWARD-jREJECT--reject-withicmp-host-prohibited5.启动iptables服务Serviceiptablesstart可使用命令查看iptables-L-n6.增加NAT配置，该配置只能直接执行，可保存在/etc/rc.local文件里，以便服务器启动时即执行 iptables-tnat-APOSTROUTING-d192.168.1.0/24-oeno1-jSNAT--to-source192.168.1.9其中，192.168.1.0/24为内网ip地址网段，eno1为内网网卡，192.168.1.9为内网ip地址。该命令用于访问内网其他服务器iptables-tnat-APOSTROUTING-s10.8.0.0/24-oeno2-jSNAT--to-source114.112.50.242其中，10.8.0.0/24为vpn分配的ip地址网段，eno2为外网网卡，114.112.50.242为外网ip地址。该命令用于访问互联网可使用命令进行查看iptables-tnat-LPOSTROUTING-nv