Centos搭建服务

1、安装openvpn 和easy-rsa（该包用来制作ca证书）

（1）安装epel 仓库源

wget http://dl.fedoraproject.org/pub/epel/6/i386/epel-release-6-8.noarch.rpm

rpm -Uvh epel-release-6-8.noarch.rpm

（2）安装openvpn

[root@master1 ~]# yum install openvpn

（3）在github 上，下载最新的easy-rsa

① https://github.com/OpenVPN/easy-rsa 下载包

② 上传，解压缩

[root@master1]# mkdir openvpn

[root@master1 easy-rsa]# tar xvf EasyRSA-3.0.8.tgz

2、配置/etc/openvpn/ 目录

（1）创建目录，并复制easy-rsa 目录

[root@master1 ~]# mkdir -p /etc/openvpn/

[root@master1 easy-rsa]# cp -rf /usr/share/easy-rsa/EasyRSA-3.0.8/* /etc/openvpn/easy-rsa

cp /etc/openvpn/easy-rsa/openssl-easyrsa.cnf /etc/openvpn/easy-rsa/openssl.cnf

cp vars.example vars

（2）编辑vars文件，根据自己环境配置

[root@master1 easy-rsa]# vim vars

set_var EASYRSA_REQ_COUNTRY     "CN"
set_var EASYRSA_REQ_PROVINCE    "Shanghai"
set_var EASYRSA_REQ_CITY        "Shanghai"
set_var EASYRSA_REQ_ORG         "zed"
set_var EASYRSA_REQ_EMAIL       "hanjushu@zed.com"
set_var EASYRSA_REQ_OU          "My OpenVPN"

3、创建服务端证书及key

进入/etc/openvpn/easy-rsa/目录

① 初始化

[root@master1 easy-rsa]# ./easyrsa init-pki

② 创建根证书

[root@master1 easy-rsa]# ./easyrsa build-ca

注意：在上述部分需要输入PEM密码 PEM pass phrase，输入两次，此密码必须记住，不然以后不能为证书签名。还需要输入common name 通用名，这个你自己随便设置个独一无二的。

③ 创建服务器端证书

[root@master1 easy-rsa]# ./easyrsa gen-req server nopass

该过程中需要输入common name，随意但是不要跟之前的根证书的一样

④ 签约服务端证书

[root@master1 easy-rsa]# ./easyrsa sign server server

该命令中.需要你确认生成，要输入yes，还需要你提供我们当时创建CA时候的密码。如果你忘记了密码，那你就重头开始再来一次吧

⑤ 创建Diffie-Hellman，确保key穿越不安全网络的命令

[root@master1 easy-rsa]# ./easyrsa gen-dh

4、创建客户端证书

① 进入root目录新建client文件夹，文件夹可随意命名，然后拷贝前面解压得到的easy-ras文件夹到client文件夹,进入下列目录

[root@master1 ~]# mkdir client

[root@master1 ~]# cp -rf /openvpn/EasyRSA-3.0.8/* /client

[root@master1 ~]# cd client/easy-rsa/

② 初始化

[root@master1 easy-rsa]# ./easyrsa init-pki //需输入yes 确定

③ 创建客户端key及生成证书（记住生成是自己客户端登录输入的密码）

[root@master1 easy-rsa]# ./easyrsa gen-req along //名字自己定义

④ 将得到的qingliu.req导入然后签约证书

a. 进入到/etc/openvpn/easy-rsa/

[root@master1 easy-rsa]# cd /etc/openvpn/easy-rsa/

b. 导入req

[root@master1 easy-rsa]# ./easyrsa import-req /client/easy-rsa/pki/reqs/zedguest.req zedguest

c. 签约证书

[root@master1 easy-rsa]# ./easyrsa sign client zedguest

//这里生成client所以必须为client，zedguest要与之前导入名字一致

上面签约证书跟server类似，就不截图了，但是期间还是要输入CA的密码

5、把服务器端必要文件放到etc/openvpn/ 目录下

ca的证书、服务端的证书、秘钥

[root@master1 ~]# cp /etc/openvpn/easy-rsa/pki/ca.crt /etc/openvpn/

[root@master1 ~]# cp /etc/openvpn/easy-rsa/pki/private/server.key /etc/openvpn/

[root@master1 ~]# cp /etc/openvpn/easy-rsa/pki/issued/server.crt /etc/openvpn/

[root@master1 ~]# cp /etc/openvpn/easy-rsa/pki/dh.pem /etc/openvpn/

6、把客户端必要文件放到root/openvpn/ 目录下

客户端的证书、秘钥

[root@master1 ~]# cp /etc/openvpn/easy-rsa/pki/ca.crt /client/

[root@master1 ~]# cp /etc/openvpn/easy-rsa/pki/issued/zedguest.crt /client/

[root@master1 ~]# cp /client/easy-rsa/pki/private/along.key /client

7、为服务端编写配置文件

（1）当你安装好了openvpn时候，他会提供一个server配置的文件例子，在/usr/share/doc/openvpn-2.4.11/sample/sample-config-files 下会有一个server.conf文件，我们将这个文件复制到/etc/openvpn

[root@master1 ~]# rpm -ql openvpn |grep server.conf

[root@master1 ~]# cp /usr/share/doc/openvpn-2.4.11/sample/sample-config-files/server.conf /etc/openvpn

（2）修改配置文件

[root@master1 ~]# vim /etc/openvpn/server.conf

[root@master1 ~]# grep '^[^#|;]' /etc/openvpn/server.conf 修改的地方如下：

local 0.0.0.0     #监听地址
port 1194     #监听端口
proto tcp     #监听协议
dev tun     #采用路由隧道模式
ca /etc/openvpn/ca.crt      #ca证书路径
cert /etc/openvpn/server.crt       #服务器证书
key /etc/openvpn/server.key  # This file should be kept secret 服务器秘钥
dh /etc/openvpn/dh.pem     #密钥交换协议文件
server 10.8.0.0 255.255.255.0     #给客户端分配地址池，注意：不能和VPN服务器内网网段有相同
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"      #给网关
push "dhcp-option DNS 8.8.8.8"        #dhcp分配dns
client-to-client       #客户端之间互相通信
keepalive 10 120       #存活时间，10秒ping一次,120 如未收到响应则视为断线
comp-lzo      #传输数据压缩
max-clients 100     #最多允许 100 客户端连接
user openvpn       #用户
group openvpn      #用户组
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log         /var/log/openvpn/openvpn.log
verb 3

每个项目都会由一大堆介绍，上述修改，openvpn提供的server.conf已经全部提供，我们只需要去掉前面的注释#，然后修改我们自己的有关配置

（3）配置后的设置

[root@master1 ~]# mkdir /var/log/openvpn

[root@master1 ~]# chown -R openvpn.openvpn /var/log/openvpn/

[root@master1 ~]# chown -R openvpn.openvpn /etc/openvpn/*

8、iptables 设置nat 规则和打开路由转发

[root@master1 ~]# iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j MASQUERADE

[root@master1 ~]# iptables -vnL -t nat

[root@master1 ~]# vim /etc/sysctl.conf //打开路由转发

net.ipv4.ip_forward = 1

[root@along ~]# sysctl -p

9、开启openvpn 服务

[root@master1 ~]# openvpn /etc/openvpn/server.conf 开启服务

[root@master1 ~]# ss -nutl |grep 1194

如果开启后没有打开1194 端口，说明开启服务失败，可能是配置文件有错，也有可能是权限不够，自己查询日志解决。