• 电脑-热门标签-华商生活 2019-05-20
  • 守住青山不放松 护好绿水不辞难——在渝全国人大代表聚焦“共抓大保护、不搞大开发”专题调研记略 2019-05-15
  • 芒种——仲夏的开始,忙着种下希望 2019-05-15
  • 人民网驻加拿大记者报道集 2019-05-09
  • 卡通熊入乡随俗  体验香港地道饮食文化 2019-05-09
  • 讲法治说情操 江北党员干部听“老马”宣讲“两会”精神 2019-05-04
  • 端午出游自驾 三个不得不知的急救知识 2019-04-27
  • 升级是硬道理 MQB平台全新一代宝来驾乘体验更舒适 2019-04-22
  • 回复@了不起重上井冈山2:然后你连讨饭都省了? 2019-04-22
  • 【专题】未来之城 拥抱世界 2019-04-20
  • 人民健康营养“识”堂 2019-04-20
  • 【访民情 惠民生 聚民心】吾其村“双膜瓜”为精准脱贫助力 2019-04-17
  • 美国能解决这些难题吗-热门标签-华商网数码 2019-04-15
  • 不惜与全世界为敌 特朗普图啥? 2019-04-09
  • 经济日报多媒体数字报刊 2019-04-09
  • Skip to content


    福彩15选5基本走势图:OpenVPN一键安装脚本

    华东15选5的选号技巧 www.dz-yn.com   OpenVPN不多作解释,无论大小型企业、学校都可能会用到,多种身份验证方式以及传输的加密方式无疑比其它PVN应用面更广,除了供用户拨入企业/学校内部进行联网,还可以在企业与子公司之间进行加密传输,OpenVPN能实现二/三层的基于隧道的传输,再配合企业内部的不同Vlan,能实现很多复杂的功能。

      
    (图片来源于互联网)

      脚本是根据我的需求编写的,使用生成好的密钥/证书,服务端使用脚本安装完成后启动openvpn,把/etc/openvpn目录的client.zip下载下来,解压后放在客户端修改成你的服务端ip就可以使用。

      下载地址:https://github.com/qiguang0920/openvpn.git

      在你的服务器上执行:


      就可以自动安装。


      脚本说明:

    1。使用的默认1194/udp端口
    2。脚本适用于centos7系统,如果是其它redhat系列的系统,需要手动处理防火墙端口,deban系列不支持
    3??袅藃edirect-gateway,firewalld开启了转发
    4。连接方式为tun
    5。安装完成时会询问是否现在启动OpenVPN,输入yes启动。
    6。默认加入了系统启动项,重新开机会自动启动OpenVPN
    7.无论认服务器端还是客户端证书密码都是华东15选5的选号技巧 www.dz-yn.com,手机登陆的时候会用到证书密码

      脚本适合想快速部署而且偏懒得童鞋。如果对安全要求较高,在安装完成后可以重新生成证书,再配置下server.conf指向你生成的证书就可以了??突Ф送?。

      OpenVPN证书的签发

      进入/etc/openvpn/easy-rsa/easyrsa3

      生成服务器端所需密钥

    1。./easyrsa init-pki    //目录初始化
    2。./easyrsa build-ca    //创建根证书CA,此密码必须记住,不然以后不能为证书签名?;剐枰淙隿ommon name 通用名,这个你自己随便设置,一般设置为签发机构名或是域名。
    3../easyrsa gen-req server_www.dz-yn.com nopass    //创建服务器端证书,此处我输入的是server_www.dz-yn.com,也可以是别的名字,会生成两个文件server_www.dz-yn.com.req和server_www.dz-yn.com.key
    4。./easyrsa sign server server_www.dz-yn.com        //签约服务端证书,需要提供CA密码(第二步时的密码),会生成server_www.dz-yn.com.crt
    5。./easyrsa gen-dh    //创建Diffie-Hellman,确保key穿越不安全网络的命令

      生成客户端所需密钥

    1。./easyrsa gen-req client_www.dz-yn.com    //client为自定义,可以是别的,会生成client_www.dz-yn.com.req和client_www.dz-yn.com.key,因为没有和服务器一样使用nopass参数,所以生成时我们输入一个证书密码。

    2。./easyrsa import-req  ./pki/reqs/client_www.dz-yn.com.req client1    //导入req。此处目录和上面生成的名字都要正确,后面的那个client1可以理解为注释,其实是一个短名称,签约证书时可以使用短名称签约。        
    3。./easyrsa sign client client_www.dz-yn.com        //签约证书 ,同签约服务端证书一样,需要输入CA密码

      生成的文件所在目录分别为:

    easy-rsa/easyrsa3/pki/ca.crt
    easy-rsa/easyrsa3/pki/reqs/server_www.dz-yn.com.req
    easy-rsa/easyrsa3/pki/reqs/client_www.dz-yn.com.req
    easy-rsa/easyrsa3/pki/private/ca.key
    easy-rsa/easyrsa3/pki/private/server_www.dz-yn.com.key
    easy-rsa/easyrsa3/pki/private/client_www.dz-yn.com.key
    easy-rsa/easyrsa3/pki/issued/server_www.dz-yn.com.crt
    easy-rsa/easyrsa3/pki/issued/client_www.dz-yn.com.crt
    easy-rsa/easyrsa3/pki/dh.pem

      .req和.key为生成证书时生成,.crt为签约证书时生成,签约证书时都需要输入CA密码,其实我们使用的是.crt和.key,其中ca.crt服务端和客户端都会用到。如果想为更多人添加证书,可以再次运行命令,生成证书(不同名字)–导入–签约证书

      一般情况下,比如单位或学??赡芨枰腥耸褂靡桓鲋な?,然后再配置用户名和密码登陆,我们打开openvpn的配置文件server.conf,把下面三行的注释去掉

    auth-user-pass-verify /etc/openvpn/checkpsw.sh via-env
    username-as-common-name
    script-security 3

    如果不使用证书,只使用用户名和密码验证,把下面一行的注释也去掉

    client-cert-not-required 

      以上几行配置官方的配置默认是没有的,其它手动配置openvpn的小伙伴可以把这几行加上,使用脚本安装的小伙伴只需去掉注释就可以了。

      然后我们编辑psw-file,这里面定义用户名和密码,一行一个,用户名和密码使用空格分开。
      同样,checkpsw.sh和psw-file这两个文件官方安装包安装完也是没有的,checkpsw.sh我们可以从网上下载,psw-file自己新建一个就行。
      checkpsw.sh官方下载地址: //openvpn.se/files/other/checkpsw.sh (PS:这个网址被墙了)
      也可以看这里:https://raw.githubusercontent.com/qiguang0920/openvpn/master/data/checkpsw.sh

      然后客户端我们也要配置下,在client.ovpn中加上一行:

    auth-user-pass 

      这样服务端和客户端我们就启用了密钥和用户名密码双认证,所有用户使用同一个密钥,然后分配不同的用户名和密码。
      openvpn功能很强大,认证方式还可以选择系统用户认证,大型企业和学校如果使用openvpn的用户较多,还可以配置mysql数据库认证,就不一一讨论。

     

    Posted in 技术文章.

    Tagged with .


    3 Responses

    Stay in touch with the conversation, subscribe to the RSS feed for comments on this post.

    1. name says

      官方有RPM

      • 一天到晚游泳的鱼 says

        YUM应该比RPM安装更方便,无论哪种方式,openvpn难点都是配置方面??赡苣闼档氖莖penvpn-as,这是一个安装完服务端有WEB UI的收费版本,官方提供RPM包,免费版本支持两个用户

    2. gui qi says

      为什么不能用tcp端口呢 用tcp启动就会报错



    Some HTML is OK

    or, reply to this post via trackback.



  • 电脑-热门标签-华商生活 2019-05-20
  • 守住青山不放松 护好绿水不辞难——在渝全国人大代表聚焦“共抓大保护、不搞大开发”专题调研记略 2019-05-15
  • 芒种——仲夏的开始,忙着种下希望 2019-05-15
  • 人民网驻加拿大记者报道集 2019-05-09
  • 卡通熊入乡随俗  体验香港地道饮食文化 2019-05-09
  • 讲法治说情操 江北党员干部听“老马”宣讲“两会”精神 2019-05-04
  • 端午出游自驾 三个不得不知的急救知识 2019-04-27
  • 升级是硬道理 MQB平台全新一代宝来驾乘体验更舒适 2019-04-22
  • 回复@了不起重上井冈山2:然后你连讨饭都省了? 2019-04-22
  • 【专题】未来之城 拥抱世界 2019-04-20
  • 人民健康营养“识”堂 2019-04-20
  • 【访民情 惠民生 聚民心】吾其村“双膜瓜”为精准脱贫助力 2019-04-17
  • 美国能解决这些难题吗-热门标签-华商网数码 2019-04-15
  • 不惜与全世界为敌 特朗普图啥? 2019-04-09
  • 经济日报多媒体数字报刊 2019-04-09
  • 北京pk10是正规的吗 时时彩走势图后一 七乐彩玩法规则 双色球开奖结果走势图 重庆时时彩骗局龙虎合 新时时彩人工计划 18133期足彩胜负彩开奖奖金 亚洲博彩公司 时时彩平台哪个好 玩北京赛车高手 江西时时彩入侵工具 秒速时时彩是不是官网 天津时时彩不一样开奖 幸运赛车玩法奖金表 加拿大快乐8最快开奖 山东群英会中奖号码最新走势图表