Debian 7(Wheezy)下配置Open×××
2024-04-22 21:13:34
Debian 7(Wheezy)下配置Open××× 系统环境:Debian 7 Open×××版本:2.2.1 1.安装open*** # apt-get install open*** 2.将/usr/share/doc/open***/examples/easy-rsa目录拷贝到/etc/open***/目录下 # cp -a /usr/share/doc/open***/examples/easy-rsa /etc/open*** //如果是以二进制包的方式安装的,则应将整个easy-rsa目录拷贝到/etc/open***目录,以便将来升级open***包时不至于抹掉现有的配置 3.编辑/etc/open***/easy-rsa/2.0/vars文件,根据实际情况,修改以下字段: export KEY_COUNTRY="US" export KEY_PROVINCE="CA" export KEY_CITY="SanFrancisco" export KEY_ORG="Fort-Funston" export KEY_EMAIL="me@myhost.mydomain" 4.当修改/etc/open***/easy-rsa/2.0/vars文件后,必须使用source命令使其中的配置立即生效 # cd /etc/open***/easy-rsa/2.0 # source ./vars #./clean-all //clean-all命令会清除keys目录下的所有证书及密钥文件,并不是每次都需要执行./clean-all命令 5.设置自己的Certificate Authority (CA) # ./build-ca 6.为Open××× Server生成证书及密钥 # ./build-key-server server 7.为Open××× Client生成证书及密钥 # ./build-key client1 8.为Open××× Server生成Diffie Hellman parameters # ./build-dh 9.将/usr/share/doc/open***/examples/sample-config-files/server.conf.gz文件复制到/etc/open***目录,并解压 # cp /usr/share/doc/open***/examples/sample-config-files/server.conf.gz /etc/open*** # gzip -d /etc/open***/server.conf.gz 10.编辑/etc/open***/server.conf文件 A.将ca、cert、key和dh的路径都设为绝对路径 B.设置Open×××的子网,如10.9.8.0/24 server 10.9.8.0 255.255.255.0 C.添加以下三行: push "redirect-gateway def1" //重定向客户端的网关为Open×××服务器的网关 push "dhcp-option DNS 8.8.8.8" //推送8.8.8.8作为客户端的DNS push "dhcp-option DNS 8.8.4.4" //推送8.8.4.4作为客户端的备份DNS D.开启Open×××的日志 log-append open***.log E.增强安全性,去掉指令user、group前的分号";" ;user nobody ;group nogroup 11.开启ipv4的包转发功能 # echo 1 > /proc/sys/net/ipv4/ip_forward //立即生效,重启后失效 编辑/etc/sysctl.conf文件,将net.ipv4.ip_forward的值设为1 //重启系统后永久生效 12.在iptables的INPUT链中开启UDP的1194端口 # iptables -A INPUT -m state --state NEW -p udp --dport 1194 -j ACCEPT 13.允许Open×××的子网访问服务器的tun0端口 # iptables -A INPUT -s 10.9.8.0/24 -j ACCEPT 14.转发Open×××子网的所有数据 # iptables -I FORWARD 1 -s 10.9.8.0/24 -j ACCEPT # iptables -I FORWARD 2 -d 10.9.8.0/24 -j ACCEPT # iptables -I FORWARD 3 -j LOG --log-prefix "FORWARD-LOG " # iptables -I FORWARD 4 -j DROP 15.对Open××× Client的IP地址进行网络地址转换 # iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE 16.Windows客户端的配置 将 /etc/open***/easy-rsa/2.0/keys目录下的ca.crt、client1.crt、client1.key文件下载到 windows open***的安装目录下的config目录下,并将windows open***安装目录下的sample-config目录下的client.o***文件也复制到config目录中,之后编辑client.o*** 文件中的remote my-server-1 1194、client.crt和client.key三项即可。 备注: 1.每次创建客户端证书和密钥时都必须先执行. ./vars,但不用每次都执行./clean-all 2.如果Open××× clinet访问是是tun0的网络,则会经过filter表的INPUT链,如果访问的是Internet,则会经过filter表的FORWARD链及nat表的POSTROUTING链 |
转载于:https://blog.51cto.com/7346473/1597130
最新文章
- 一行代码求两个数的最大公约数
- 【tensorflow】 GPU 显存分配设置
- linux第三方模块参数,nginx 的第三方模块ngx_http_accesskey_module 来实现下载文件的防盗链步骤(linux系统下)...
- 深度学习-函数-tf.nn.embedding_lookup 与tf.keras.layers.Embedding
- 【华为云分享】机器学习笔记(七) ---- 贝叶斯分类
- c语言程序2048_C语言2048小游戏演示和说明
- 并发设计模式之Guarded Suspension模式
- C# 后台服务器端 Get 请求函数封装
- java编写的爬虫demo_我用Java写的第一个爬虫Demo-爬图片
- Hadoop学习之虚拟机网络配置
- python 电力系统时域仿真_电力系统暂态计算_时域仿真方法
- exe反编译为python语言_如何反编译Python写的exe到py
- java识别答题卡纸_识别复杂的答题卡的主要算法
- 三维实景拍摄虚拟现实!- Panorama
- 编写自己的newman reporter
- Android 画圆
- k8s节点NotReady状态
- 【软件工程】订货系统的UML类图
- wuc-tab标签点击不了_不干胶标签专属定制
- 完美世界手游服务器维护时间表,完美世界手游开服时间表 新区开服时间总览[多图]...