-
网络安全配置
为增
强外网访问的安全,建议配置
OpenVPN
访问,禁止直接访
问外网地址。
OpenVPN
互访,采用
SSL
连接,并需要公私钥验证,故可提高访问安全性,将无需外
网访问的主机放入内网
IP
段中,增加安全性,但对
OpenVPN
来说,由于所有主机均
处于同
一虚拟局域网下,故不影响主机间的通信。内网物理网卡仍可采用内网
IP
,不
影响内网间通信。
主
Server
服务器
125.39.185.189
示意图如下
A)
OpenVPN
安装配置
#!/bin/sh
#openvpn server
cd
wget /community/releases/
tar zxf
cd openvpn-2.2.0
chmod +x ./configure
./configure
--prefix=/opt/modules/openvpn && make && make
install clean
cp -r
~/openvpn-2.2.0/easy-rsa /opt/modules/openvpn/
cd /opt/modules/openvpn/easy-rsa/2.0/
chmod +x *
source ./vars
./clean-all
./build-ca
#
一路回车
HOSTNAME=`hostname`
./build-
key-server $${HOSTNAME}
#
一路回车,最后需要回答两个
y
./build-dh
mkdir
/etc/openvpn
cd
/opt/modules/openvpn/easy-rsa/2.0/keys
cp ca.* /etc/openvpn/
cp
$${HOSTNAME}.* /etc/openvpn/
sz
echo -e
proto
tcp
dev tun
ca /etc/openvpn/
cert /etc/openvpn/$${HOSTNAME}.crt
key /etc/openvpn/$${HOSTNAME}.key
# This file should be kept
secret
dh /etc/openvpn/
cp
/opt/modules/openvpn/easy-rsa/2.0/keys/
/etc/openvpn/
server
10.8.0.0 255.255.255.0
ifconfig-pool-
persist
#push
push
push
客户端获得的
DNS
地址
client-to-client
keepalive 10 120
comp-lzo
persist-key
persist-tun
status
verb 3
echo -e
iptables
-t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j
MASQUERADE
#
如做了
bo
nding
,
eth0
改为
bond0
/opt/modules/openvpn/sbin/openvpn
--config /etc/openvpn/ &
echo
至此
openvpn
服务器端部署完毕
如遇
('') usage in
/etc/openvpn/:4
报错,需要将
/etc/o
penvpn/
中的转
义符去掉
Openvpn
启动程序
/opt/modules/openvpn/sbin/openvpn
--config
/etc/openvpn/
--script-security
2
--daemon
Iptables
相关配置
/sbin/iptables -t nat -A POSTROUTING -s
10.8.0.0/24 -o eth0 -j MASQUERADE
全部配置完毕后,添加启动
/opt/modules/openvpn/sbin/openvpn
--config
/etc/openvpn/
--script-security
2
--daemon
echo
添加客户端
直接
build-
key
,最后两个打
y
############################################ ################
176
客户端部署为例:
生成客户端证书
(Server
操作
)
#cd
/opt/modules/openvpn/easy-rsa/2.0
#.
./vars;./build-key
#build-key hostname
###########################
#################################
将
和客户端三个文件以及
放入
Linux
或
windows
p>
的
openvpn
文件
夹内启动即可使用。安装步骤基本同服务器端。
#!/bin/sh
#openvpn linux
client
yum install -y openssl-
devel.x86_64
cd
wget
/community/releases/
tar zxf
cd openvpn-2.2.0
chmod +x
./configure
./configure
--prefix=/opt/modules/openvpn && make && make
install clean
HOSTNAME=`hostname`
mkdir /etc/openvpn
echo -e
dev tun
proto tcp
remote
125.39.185.189 1194
resolv-retry
infinite
nobind
persist-key
persist-tun
ca /etc/openvpn/
cert /etc/openvpn/$${HOSTNAME}.crt
key /etc/openvpn/$${HOSTNAME}.key
ns-cert-type server
comp-lzo
verb 3
echo -e
#
如做了
bonding(
汇聚
)
,
eth0
改为
bond0
客户端启动程序
/opt/modules/openvpn/sbin/openvpn
--config /etc/openvpn/ &
添加完毕后将启动命令加入到
C)
建立用户和路由
Push
3.
生成客户端的
key
文件
回到
2.0
< br>目录下
cd
/usr/local/share/examples/openvpn/easy-
rsa/2.0
. ./vars
#
注意生成客户端不要再执行
./clean-
all
,否则全清空。
-
-
-
-
-
-
-
-
-
上一篇:HSPICE基础知识
下一篇:霍尼韦尔主机说明书