首先说明：虽然是原创，但有部分内容是借鉴了这位兄弟的文章：

http://blog.chinaunix.net/xmlrpc.php?r=blog/article&uid=27673206&id=3772566

按照这篇文档，你可以部署成功，但其中一些细节没有描述清楚。或者有后遗症，导致你的*** client无法ping通内网。好了，下面整理了一下。以备查阅：

首先安装系统，这里说明是OPENBSD 5.1 或5.3. 如果是5.5，有些命令无法执行。特别要注意。

环境说明：

1，open*** server： openbsd 5.1, 双网卡，外网卡ip：218.4.144.1/24，内网卡：192.168.0.1/24。无需配置网关。

2，openinside：freebsd 10 ，单网卡：192.168.0.2/24，gateway：192.168.0.1

3.openoutside：MS XP,单网卡： 218.4.144.2/24，no gateway。

系统安装和基本配置我就不描述了，从部署open***开始。

1.1 安装open***

有两种方法，一种是下载所需的软件到本地进行安装，另外一种是使用pkg_add进行安装。因为我已开始使用openbsd 5.5上安装open***，出现了很多问题，所以不建议搭建在本地编译源代码安装。

使用pkg_add安装的方法是：把open***配置为可以访问internet，执行下面的操作。

# export PKG_PATH=ftp://ftp.jaist.ac.jp/pub/OpenBSD/5.3/packages/i386/   //这个地址可以自己到openbsd网站上查找。 
     # ftp -m -V $PKG_PATH/index.txt //下载index.txt文件到本地
     # grep open*** index.txt         //使用grep进行搜索open***文件。没有yum那么方便。
    -rw-r--r--  1 421  111      336934 Feb 26 09:19:36 2013 open***-2.2.2p1.tgz
    -rw-r--r--  1 421  111       49144 Feb 26 11:00:56 2013 open***-auth-ldap-2.0.3.tgz
    -rw-r--r--  1 421  111        4689 Feb 26 11:57:55 2013 open***_bsdauth-7p0.tgz
    # pkg_add open***-2.2.2p1.tgz    //找到可用的版本进行安装。安装过程类似于yum。会自动安装依赖软件。

1.2 open*** 配置

1.open***默认安装完成后是不会在/etc目录下生成配置文件，需从/usr/local/share/examples/open***/ 复制过来
    #mkdir -p /etc/open***/easy-rsa
    #cp /usr/local/share/examples/open***/easy-rsa/2.0/* /etc/open***/easy-rsa

    //openbsd 5.5安装open***后，是不会在/usr/local/share/examples/open***/下面生成easy-rsa的

2.默认情况下OpenBSD安装Open×××会缺少一个文件whichopensslcnf，用vi编辑一下即可。编辑的位置为：/etc/open***/easy-rsa。其实就是新建一个文件。并把下面的内容添加到whichopensslcnf中。
#vi whichopensslcnf
#-Begin----------------------
#!/bin/sh
if [ "$OPENSSL" ]; then
        if $OPENSSL version | grep 1.0.0 > /dev/null; then
                echo "$1/openssl-1.0.0.cnf"
        else
                echo "$1/openssl.cnf"
        fi
else
        echo "$1/openssl-1.0.0.cnf"
fi
exit 0
#-End---------------------

授于可执行权限
#chmod +x whichopensslcnf

3.编辑 /etc/open***/easy-rsa/vars
# cd  /etc/open***/easy-rsa/
# vi vars              //根据需要修改下面的选项。如果不修改，并不影响后面的配置和使用效果。
export KEY_COUNTRY=CN      （国家）
export KEY_PROVINCE=SD       （省份）
export KEY_CITY=QD            （城市）
export KEY_ORG="Open×××-Server"    （组织或公司）
export KEY_EMAIL="demo@demo.org"   （电子邮箱）

4.令vars 生效。两个点之间有个空格不然会出错(在Linux下，这句话是source ./vars，但是OpenBSD默认使用ksh，没有source，用点可以起到同样作用。)
#. ./vars
NOTE: If you run ./clean-all, I will be doing a rm -rf on /etc/open***/easy-rsa/2.0/keys
5.清理以前产生的旧密钥
#./clean-all                         //openbsd 5.5无法执行该命令。
6.创建根ca证书，完成后会看到keys文件夹，里面有ca.*文件，一路回车即可
#./build-ca                             //openbsd 5.5无法执行该命令。
7.生成用于服务器的密钥，不妨给服务器起名为server，
#./build-key-server server              //openbsd 5.5无法执行该命令。
一路回车，最后两个y/n均回答y          //根据需要，填入自己的内容。默认是client，如果修改，后面的相关内容也要修改。仔细看。
8.在/etc/open***/easy-rsa/keys目录中生成dh1024.pem文件。
#./build-dh
9.防止 DoS *** 和 UDP 端口 flooding，生成一个"HMAC firewall"，在/etc/open***/easy-rsa/keys目录中生成。
# cd  /etc/open***/easy-rsa/keys && open*** --genkey --secret ta.key
10.现在生成客户端密钥，比如用户名是 xisxy(如果有100个用户，就得生成100个密钥)
# cd  /etc/open***/easy-rsa/
# ./build-key xisxy
11.配置open***服务器端配置文件。
在/usr/local/share/examples/open***/sample-config-files/ 目录中有配置文件的模板文件。把服务器配置文件 server.conf 复制到 /etc/open***/
# cp /usr/local/share/examples/open***/sample-config-files/server.conf /etc/open***
# cd /etc/open***/
# vi server.conf
（修改为如下内容）
port 1194          #端口
proto tcp          # 协议，udp 在大部分环境中运行良好，如需要玩联网游戏可设为udp。
dev tun0           # 虚拟网络设备
ca /etc/open***/easy-rsa/keys/ca.crt          # 根 ca证书，注意路径。默认是没有指明路径的。
cert /etc/open***/easy-rsa/keys/server.crt    # 服务器证书，注意路径。默认是没有指明路径的。
key /etc/open***/easy-rsa/keys/server.key     # 服务器密钥，注意路径。默认是没有指明路径的。
dh /etc/open***/easy-rsa/keys/dh1024.pem      # Diffie hellman parameters，注意路径。默认是没有指明路径的。
server 10.8.0.0 255.255.255.0                 # ××× 虚拟网段，这里非常重要。这个网段是给***客户端使用的，不是*** server内网所直连的网段。

push "route 192.168.0.0 255.255.255.0"      #为*** client添加路由。告诉*** client，如果要访问192.168.0.0/24网段，要把数据包发送给*** server，默认是10.8.0.1.具体的ip要看你上面一样参数的设置。

ifconfig-pool-persist ipp.txt                 #从新连接后分配刚刚使用过的ip地址
push "redirect-gateway def1 bypass-dhcp"   #改变默认网关，要做代理这一点很重要。可以把open***服务器当作网关，上网都通过open***服务器上网（PF NAT功能）
push "dhcp-option DNS 8.8.8.8"        #设置client的DNS服务器，还可以高为 10.8.0.1 ，这时open***服务器本身充当DNS服务器了。
#client-to-client  # 在这里不需要虚拟网中的机器互相看到服务器以外的机器，所以要注释掉
keepalive 10 120                   #每10秒ping一次，120秒不响应，从新连接
tls-auth /etc/open***/easy-rsa/keys/ta.key 0    #防止 DoS *** 和 UDP 端口 flooding，生成一个"HMAC firewall",注意服务器端是0，client端是1
comp-lzo                            # 用lzo压缩
user _open***group _open*** 
persist-key
persist-tun
status open***-status.log    #  每分中更新open***状态记录
verb 3

1.3、测试服务器
# /usr/local/sbin/open*** --config /etc/open***/server.conf --cd /etc/open*** &  //启动open***服务。即监听1194端口。
最后出现Initialization Sequence Completed ，表示open***服务器启动成功。
让服务器自动启动open***服务，
# vi /etc/rc.local             #添加如下一行
/usr/local/sbin/open*** --config /etc/open***/server.conf --cd /etc/open*** &
Q：如果修改了上面的server.conf配置文件，如何重新启动open***服务？

A：使用jobs查看当前后天程序。使用fg把程序调入到前台，然后按ctrl+c结束程序。如果有多个jobs，根据编号，使用fg 编号 的方式调入到前台，比如
#fg 2

1.4、配置open***服务器pf防火墙，实现NAT功能。
1.开启IP转发功能
# sysctl net.inet.ip.forwarding=1
如要总是开启此功能，可在/etc/sysctl.conf文件中，把net.inet.ip.forwarding=1前面的#去掉即可
# vi /etc/sysctl.conf
net.inet.ip.forwarding=1
2.通过自带PF实现NAT
# vi /etc/pf.conf
加入如下内容
ext_if="bge0"
int_if="tun0"
internal_net="10.8.0.0/24"
match out on $ext_if from $internal_net to any nat-to $ext_if

pass on em0 proto tcp from any to any port  1194  //允许外部访问open***外网口的1194端口。默认pf.conf配置文件中有pass语句。

这里要说明一下，这里的rule，如果才能精细化控制***client访问内网资源？

如果要细化控制访问，注意规则距离如下：

pass proto tcp from 10.8.0.0/24 to 192.168.0.0/24 port 22

说明：10.8.0.0/24，是分配给***client使用的。192.168.0.0/24是*** server的内网网段。

根据此规则进行其他rule编写。

3.使新的规则生效
检验写的规则是否有问题：

#pfctl -nf /etc/pf.conf

没有问题在加载。

# pfctl -f /etc/pf.conf

查看加载了哪些规则：

pfctl -vf /etc/pf.conf

1.5、client的安装与配置
1.类unix client
在/usr/local/share/examples/open***/sample-config-files/目录中有配置文件的模板文件。把client配置文件client.conf复制到/etc/open***/，没有该文件夹就新建一个。
# cp /usr/local/share/examples/open***/sample-config-files/client.conf /etc/open***/
# vi /etc/open***/client.conf
-------------------------------------------
client
dev tun0
proto tcp
remote ***.***.***.*** 1194   # ***.***.***.***部分为你open*** server 外网的IP地址或域名
resolv-retry infinite
nobind
user nobody
group nobody
persist-key
persist-tun
ca /etc/open***/easy-rsa/keys/ca.crt
cert /etc/open***/easy-rsa/keys/xisxy.crt   //上面创建ca时，自己所填写的内容。
key /etc/open***/easy-rsa/keys/xisxy.key    //上面创建ca时，自己所填写的内容。
tls-auth /etc/open***/easy-rsa/keys/ta.key 1  #注意服务器端是0，client端是1
comp-lzo
verb 3
--------------------------------------------------
测试一下client。
# open*** /etc/open***/client.conf
 
最后出现Initialization Sequence Completed，表示open*** client成功连接到服务器。
分配的虚拟专用网络IP地址为10.8.0.4。现在就可用虚拟专用网络中的IP地址来访问访问服务器。
访问外部网页等会透过×××服务器NAT来实现。

使用ping测试一下访问内网的 client。
2.windows client
安装文件（for windows）： open***-2.0.9-gui-1.0.3-install.exe 客户端的版本没有什么限制，最新版也最好。
下载地址：http://www.open***.se/download.html
复制客户端密钥（client.crt和client.key）和ca.crt和ta.key复制到Client_PC的C:\Program Files\Open×××\config\ 目录。
还要把C:\Program Files\Open×××\sample-config\client.o***文件复制到
C:\Program Files\Open×××\config\ 目录。
直接点击C:\Program Files\Open×××\config\client.o***用记事本编辑配置文件。
这是PC1的client配置文件。
----------------------------------------------------
client                          //这个就是client，不要修改。
dev tun0                              
proto tcp
remote ***.***.***.*** 1194     # ***.***.***.***部分为你open*** server 外网的IP地址或域名
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert xisxy.crt                      //上面创建ca时，自己所填写的内容。
key xisxy.key                        //上面创建ca时，自己所填写的内容。
tls-auth ta.key 1  #注意client端是1
comp-lzo
verb 3
------------------------------------------------
双击桌面上的Open××× GUI图标，然后在右下角任务栏的图标上右击，选择connect。连接成功后，使用ping测试一样内网连通性把。

祝你好运。

最后，说明一下，如果按照上文配置成功后，客户端在连接的时候，不用输入密码就可以连接到open***服务器了。这有一定的安全隐患。如何配置呢？

其实无需配置。只要在客户端Open××× GUI图标右击，选择change password，原密码为空，输入两次新密码就ok了。保持后，再次连接时就需要密码验证了。