本文主要讲述如何在Linux（以CentOS6.7为例）环境中搭建***（Open***）服务器。

Open***基本介绍：

Open***是开源的***守护进程（daemon），easy-RSA提供一些简易的CA证书工具。

***原理：

简单讲就是客户端主机A通过与***服务器B建立连接（可以是TCP也可以是UDP），通过***客户端在客户端主机A上创建一个虚拟网卡a（***客户端与***服务器端连接建立后形成），这个虚拟网卡a通过***服务器开放的端口与***服务器B上的另一块虚拟网卡b（***服务启动后形成）建立所谓的“私有连接”通道，在连接成功后，根据***服务器B上的配置，在客户端主机A上建一条路由，根据这一条路由使得客户机A想访问某些特定网络（特定网络可以有多条）时就走这条***通道，实现网络***实际上就是一个代理的作用，相当于一个踏板。

搭建实验环境：

实验环境可以通过VMware等虚拟化软件软件模拟，Open***服务端可以单网卡也可以双网卡，单网卡无非就是在原先网卡的基础上配置一个虚拟网卡，此处以双网卡为例。

实验环境拓扑图如下：

(1)***客户端A：

Windows 8 + Open*** 2.3.4 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Jun  5 2014

网卡1:192.168.1.228

(2)***服务器B：

CentOS release 6.7 (Final)

Linux localhost.localdomain 2.6.32-573.3.1.el6.x86_64 #1 SMP Thu Aug 13 22:55:16 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux

Open***版本：Open*** 2.3.8 (git source)

网卡1：192.168.1.182

网卡2：10.20.0.129

(3)服务器C（用于进一步测试***连通性）：

网卡1:192.168.1.113（假设没有此地址，此地址与本次实验无关，之所以列出是为了不使读者阅读下面的内容时感到困惑）

网卡2：10.20.0.130

Open***安装步骤：

S1.安装基本软件包，用于编译安装open***和解决open***相关的依赖包

yum -y install gcc gcc-c++
yum -y install autoconf
yum -y install automake
yum -y install libtool
yum -y install gettext
yum -y install lzo lzo-devel
yum -y install pam-devel

S2.从github获得Open***的源码，选择一个稳定版本的分支，生成configure等文件，编译安装

git clone git@github.com:Open***/open***.git
git checkout -b 2.3 remotes/origin/release/2.3
autoreconf -i -v -f
./configure --prefix=/usr/local/open***
make
make install

S3.配置Open***服务端

S3.1配置Open***

cp distro/rpm/open***.init.d.rhel /etc/init.d/open***
ln -s /usr/local/open***/sbin/open*** /usr/sbin/open***
mkdir /usr/local/open***/etc
ln -s /usr/local/open***/etc /etc/open***
cp sample/sample-config-files/server.conf /etc/open***/

S3.2编辑Open***主配置文件，上一步的配置文件sample-config中的注释能帮助你很好的理解每一个字段的内容，在此就不详细讲解了，一看就懂。

vim /etc/open***/server.conf    # grep -v ^# /etc/open***/server.conf | grep -v ^$ | grep -v ^\;     port 1194     proto udp     dev tun     ca ca.crt     cert server.crt     key server.key  # This file should be kept secret     dh dh2048.pem     server 10.8.0.0 255.255.255.0     ifconfig-pool-persist ipp.txt     push "route 10.20.0.0 255.255.255.0"  push "dhcp-option DNS 114.114.114.114"     push "dhcp-option DNS 8.8.4.4"     client-to-client     duplicate-cn     keepalive 10 120     comp-lzo     persist-key     persist-tun     status open***-status.log     log         open***.log     verb 3

S4.配置Open***服务器和客户端证书，使客户端通过证书登录Open***

S4.1从github获得easy-RSA的源码，用于生成服务端、客户端证书，可以用openssl工具单独生成

cd
git clone git@github.com:Open***/easy-rsa.git
git checkout -b 2.x remotes/origin/release/2.x
cd easy-rsa/easy-rsa/2.0/

S4.2编辑证书配置信息

vim vars    # grep -v ^# vars | grep -v ^$     export EASY_RSA="`pwd`"     export OPENSSL="openssl"     export PKCS11TOOL="pkcs11-tool"     export GREP="grep"     export KEY_CONFIG=`$EASY_RSA/whichopensslcnf $EASY_RSA`     export KEY_DIR="$EASY_RSA/keys"     echo NOTE: If you run ./clean-all, I will be doing a rm -rf on $KEY_DIR     export PKCS11_MODULE_PATH="dummy"     export PKCS11_PIN="dummy"     export KEY_SIZE=2048     export CA_EXPIRE=3650     export KEY_EXPIRE=3650     export KEY_COUNTRY="CN"     export KEY_PROVINCE="Shandong"     export KEY_CITY="Qingdao"     export KEY_ORG="51devops"     export KEY_EMAIL="chris@51devops.com"     export KEY_OU="chris"     export KEY_NAME="EasyRSA"

S4.3.生成服务器证书，包括CA和Server证书

source vars
./clean-all
./pkitool --initca
./pkitool --server server
./build-dh

S4.4.生成客户端证书

# ./pkitool client-christhinkt430
./pkitool --pkcs12 client-christhinkt430
\cp -f keys/ca.crt /etc/open***/
\cp -f keys/server.crt /etc/open***/
\cp -f keys/server.key /etc/open***/
\cp -f keys/dh2048.pem /etc/open***/

S5.启动Open***服务，准备测试

开启内核转发参数：

vim /etc/sysctl.conf
net.ipv4.conf.default.accept_source_route = 1
net.ipv4.conf.default.rp_filter = 0
net.ipv4.ip_forward = 1

配置iptables内网转发并启动Open***服务

iptables -I INPUT -m state --state NEW -m udp -p udp --dport 1194 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth1 -j MASQUERADE
service iptables save || iptables-save > /etc/sysconfig/iptables
service open*** start

如果iptables提示nat有问题（具体问题当时没有截图和文字记录），可能是因为模块没有加载，可以通过“modprobe iptable_nat”命令加载nat模块，再通过“lsmod  | grep nat”命令确认它已经正确加载到内核中。

此处额外列一下iptables文件（/etc/sysconfig/iptables）的内容，以便于参考：

# Generated by iptables-save v1.4.7 on Tue Sep 15 09:50:41 2015
*filter
:INPUT ACCEPT [95751:71225675]
:FORWARD ACCEPT [2:120]
:OUTPUT ACCEPT [18830:1205082]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 1194 -j ACCEPT
#-A INPUT -j REJECT --reject-with icmp-host-prohibited
#-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Tue Sep 15 09:50:41 2015
# Generated by iptables-save v1.4.7 on Tue Sep 15 09:50:41 2015
*nat
:PREROUTING ACCEPT [8758:1233668]
:POSTROUTING ACCEPT [467:144522]
:OUTPUT ACCEPT [466:144462]
-A POSTROUTING -s 10.8.0.0/24 -o eth1 -j MASQUERADE
COMMIT
# Completed on Tue Sep 15 09:50:41 2015

查看Open***服务器B上的日志

Open***服务器B上的网卡信息

Open*** 服务器上显示的Client连接日志信息

服务器B上的网卡和IP信息

Open***客户端上的IP信息（上面显示子网掩码为255.255.255.252先可以忽略，不影响连接）

S6.将S4.4步骤中生成的客户端证书传输到Windows客户端上，配置Windows的Open***客户端使之能连接Open***服务器

客户端的证书同样也在/root/easy-rsa/easy-rsa/2.0/keys路径下，只需要client-christhinkt430.p12这个证书即可。

Windows如何安装将证书放到Open***安装路径下的config文件夹下即可，并创建一个.o***的配置文件。配置文件内容如下：

remote 192.168.1.182 1194 udp
persist-key
tls-client
pull
dev tun
persist-tun
comp-lzo adaptive
nobind
pkcs12 client-christhinkt430.p12

用管理员权限打开Open***客户端，选择“connect”即可，如果连接成功，会有如下提示信息，原先的灰色小图标也会变成绿色。

此时就可以连接Open***服务器后端的内网地址了，如下图所示，表示连接成功。

简单总结：

配置Open***的一些难点或技巧：

1.如果不***，获取Open***安装包和文档支持比较困难，可以通过github的方式解决，要通过合适的branch选择合适的release以及客户端等

2.iptables防火墙的POSTROUTING、MASQUERADE需要理解，它的原理就是通过SNAT将某一段网络的地址转化（封装、伪装）成某一个网卡上的地址，以达到内网穿透的目的

例如iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth1 -j MASQUERADE，它的意思是源地址为10.8.0.0/24网段时，将这些地址伪装成eth1网卡的地址，实现内网穿透，例如10.8.0.6（Open***客户端地址）这个地址要访问10.20.0.130（服务器B地址）时，实际是通过10.20.0.129（Open***服务器eth1的地址）这个地址出去的。

最后列举一些可供参考的文章：

1.Linux下Open***配置  http://blog.chinaunix.net/uid-26835604-id-3484906.html    
2.iptables中SNAT、DNAT和MASQUERADE的含义 http://blog.csdn.net/jk110333/article/details/8229828    
3.Ubuntu Simple Client Configuration https://help.ubuntu.com/lts/serverguide/open***.html#open***-simple-client-configuration

tag: Linux配置Open***,Linux安装Open***,Open***配置,Open***防火墙配置,CentOS编译安装Open***

--end--