第1章 Open×××简介

  ×××（virtual private network）是一种利用公共网络设设施创建的私有专线连接技术，也即是常说的“专线”。对于具有多个地区多个分支结构的大型企业，总部与各个地区分支需要使用专线共享数据，而电信企业的专线价格昂贵，×××技术借助公用线路打造私有专线，价格低廉，加密连接同样可以保证数据安全，×××专线是个企业应用的绝佳选择。

    Open×××是基于GPL协议开源的×××实现，它可以使用密钥认证、证书认证、账户密码认证。使用openssl进行加密与证书管理可以有效保障专线的数据安全。下图展示了×××的拓扑结构，客户端可以在任意位置连接到×××服务器，***服务器接入公司内网网段，开启路由转发功能后，就可以实现外部客户端机器与内部机器的互联互通，也即可以实现各地区分支与总部的互联互通。

 

第2章  安装open***服务器

2.1   安装openssl和lzo，lzo用于压缩通讯数据加快传输速度

 

yum -y install openssl* lzo

 

2.2  安装open***和easy-rsa

yum -y install open*** easy-rsa

 

 

2.3 修改vars文件

cd /usr/share/easy-rsa/2.0/

 

vim vars

# 修改注册信息，比如公司地址、公司名称、部门名称等

export KEY_COUNTRY="CN"

export KEY_PROVINCE="Beijing"

export KEY_CITY="Changping"

export KEY_ORG="MyOrganization"

export KEY_EMAIL="me@myhost.mydomain"

export KEY_OU="MyOrganizationalUnit"

 

# 初始化环境变量

source vars

 

 

 

 

 

 

2.4 # 清除keys目录下所有与证书相关的文件

# 下面步骤生成的证书和密钥都在/usr/share/easy-rsa/2.0/keys目录里

./clean-all

 

 

2.5 # 生成根证书ca.crt和根密钥ca.key（一路按回车即可）

./build-ca

 

 

2.6 # 为服务端生成证书和密钥（一路按回车，直到提示需要输入y/n时，输入y再按回车，一共两次）

./build-key-server server

 

 

2.7 # 每一个登陆的×××客户端需要有一个证书，每个证书在同一时刻只能供一个客户端连接，下面建立2份

# 为客户端生成证书和密钥（一路按回车，直到提示需要输入y/n时，输入y再按回车，一共两次）

./build-key client1

./build-key client2

 

 

2.8 # 创建迪菲·赫尔曼密钥，会生成dh2048.pem文件（生成过程比较慢，在此期间不要去中断它）

./build-dh

 

 

2.9 # 生成ta.key文件（防DDos***、UDP淹没等恶意***）

open*** --genkey --secret keys/ta.key

 

 

 

查看keys目录下生成的文件：

[root@Centos6 2.0]# ls keys/

01.pem ca.key       client2.crt  index.txt           serial      server.key

02.pem client1.crt  client2.csr  index.txt.attr      serial.old  ta.key

03.pem client1.csr  client2.key  index.txt.attr.old  server.crt

ca.crt client1.key  dh2048.pem   index.txt.old       server.csr

 

 

2.10  创建服务器端配置文件

 

2.10.1 # 在open***的配置目录下新建一个keys目录

mkdir /etc/open***/keys

 

2.10.2 # 将需要用到的open***证书和密钥复制一份到刚创建好的keys目录中

cp/usr/share/easy-rsa/2.0/keys/{ca.crt,server.{crt,key},dh2048.pem,ta.key} /etc/open***/keys/

 

 

2.10.3 # 复制一份服务器端配置文件模板server.conf到/etc/open***/

cp/usr/share/doc/open***-2.3.14/sample/sample-config-files/server.conf/etc/open***/

 

 

 

2.10.4  # 编辑server.conf

cp /etc/open***/server.conf{,.ori}

grep '^[^#;]' /etc/open***/server.conf.ori >/etc/open***/server.conf

 

vim /etc/open***/server.conf

port 1194

#改成tcp，默认使用udp，如果使用HTTP Proxy，必须使用tcp协议

proto tcp

dev tun

# 路径前面加keys，全路径为/etc/open***/keys/ca.crt

ca keys/ca.crt

cert keys/server.crt

key keys/server.key  # This file should be kept secret

dh keys/dh2048.pem

# 默认虚拟局域网网段，不要和实际的局域网冲突即可

server10.8.0.0 255.255.255.0

ifconfig-pool-persist ipp.txt

# ×××服务器所在的内网的网段，读者应该根据自身实际情况进行修改

push"route 172.16.1.0 255.255.255.0"

# 可以让客户端之间相互访问直接通过open***程序转发，根据需要设置

client-to-client

# 如果客户端都使用相同的证书和密钥连接×××，一定要打开这个选项，否则每个证书只允许一个人连接×××

duplicate-cn

keepalive 10 120

tls-auth keys/ta.key 0 # This file is secret

comp-lzo

cipher AES-256-CBC

persist-key

persist-tun

# Open×××的状态日志，默认为/etc/open***/open***-status.log

status open***-status.log

# Open×××的运行日志，默认为/etc/open***/open***.log

log-append open***.log

# 改成verb 5可以多查看一些调试信息

verb 5

# explicit-exit-notify 1

 

2.11 配置内核和防火墙，启动服务

# 开启路由转发功能

sed -i'/net.ipv4.ip_forward/s/0/1/' /etc/sysctl.conf

sysctl -p

 

 

2.12   #配置防火墙，别忘记保存

[root@Centos6 2.0]# iptables -I INPUT -p tcp --dport 1194 -m comment--comment "open***" -j ACCEPT

[root@Centos6 2.0]# iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -jMASQUERADE

[root@Centos6 2.0]# /etc/init.d/iptables save

iptables: Saving firewall rules to/etc/sysconfig/iptables:[  OK  ]

 

 

2.13  # 启动open***并设置为开机启动

[root@Centos6 2.0]# /etc/init.d/open*** start

Starting open***:                                         [  OK  ]

[root@Centos6 2.0]# chkconfig open*** on

 

 

/usr/sbin/open***--config /etc/open***/server.conf &

 

 

 

 

 

 

 

 

 

 

 

 

第3章  创建客户端配置文件

 

# 复制一份client.conf模板命名为client.o***

[root@Centos6 2.0]# pwd

/usr/share/easy-rsa/2.0

 

cp/usr/share/doc/open***-2.3.14/sample/sample-config-files/client.conf client.o***

 

vim client.o***

client

dev tun

# 改为tcp

proto tcp

#Open×××服务器的外网IP和端口

remote10.0.0.61 1194

resolv-retry infinite

nobind

persist-key

persist-tun

caca.crt

#client1的证书

certclient1.crt

#client1的密钥

keyclient1.key

ns-cert-type server

tls-auth ta.key 1

comp-lzo

verb 3

 

 

备用参数

remote-cert-tls server

auth-user-pass pass.txt

 

 

第4章 Windows客户端安装及配置

4.1   下载安装Open×××

   Open××× 2.3.3 Windows 32位 安装文件：

   http://swupdate.open***.org/community/releases/open***-install-2.3.3-I002-i686.exe

   Open××× 2.3.3 Windows 64位 安装文件：

   http://swupdate.open***.org/community/releases/open***-install-2.3.3-I002-x86_64.exe

4.2  配置client

    将Open×××服务器上的client.o***、ca.crt、client1.crt、client1.key、ta.key上传到Windows客户端安装目录下的config文件夹（C:\Program Files\Open×××\config）

 

client.o***

[root@Centos6 2.0]#pwd

/usr/share/easy-rsa/2.0

[root@Centos6 2.0]#ls client.o***

client.o***

 

 

ca.crt 、ta.key

[root@Centos6 keys]# pwd

/etc/open***/keys

[root@Centos6 keys]# ls ca.crt ta.key

ca.crt ta.key

 

 

 

client1.crt、client1.key

[root@Centos6 keys]# pwd

/usr/share/easy-rsa/2.0/keys

[root@Centos6 keys]# ls client1.crt client1.key

client1.crt client1.key

 

4.3  启动Open××× GUI

    在电脑右下角的open***图标上右击，选择“Connect”。正常情况下应该能够连接成功，分配正常的IP。

 

4.4  测试

   ping通服务器的内网IP，说明已经接入到服务器的内部网络。

    到Open×××服务器上查看客户端的连接情况，查看状态文件/etc/open***/open***-status.log