OpenVPN_服务搭建解读

模式一般用

DHCP

分发

IP

，另一种

tap

模式，一般是从

IP

段中指派

IP

ca /etc/openvpn/ ##

强烈建议写绝对路径

cert /etc/openvpn/ ##

强烈建议写绝对路径

key /etc/openvpn/ # This file should be kept secret

dh /etc/openvpn/ ##

强烈建议写绝对路径

server 10.8.0.0 255.255.255.0 ##

配置

VPN

使用的网段，

O penVPN

会自动提供基

于该网段的

DHCP

服务，但不能和任何一方的局域网

IP

段重复，保证唯一性

ifconfig-pool- persist ##

存储分发

IP

记录，确保下次登录还获得一样的

IP

push

##

若客户端希望所有的流量都通过

VPN

传输，则可以使用该语句，其会自动改变客户端的网关为

VPN

服务器（推荐关闭）

push

push

duplicate- cn

#

此处设置一个证书可以多个用户同时登陆

client-to-client ##

默认

OpenVPN

客户端之间是不能互通的，注释掉就可以了。

keepalive 10 120

comp- lzo ##

使用

lzo

压缩的通 讯，服务端与客户端都必须配置

max-clients 100 ##

最大连接数

user nobody

group nogroup

persist-key

persist-tun

status ##

日志文件

verb 3e

这是起码的，你必 须通过配置来获得一个工作

OpenVPN

服务器。您也可以使 用

该样本

中的文件中的所有默认设置。 现在启动服务器。你会发现

日志和错误信息在您的系统日志（

/ var/log/syslog

）里面可以查看到。

root@server:/etc/openvpn# service openvpn start

* Starting virtual private network daemon(s)...

* Autostarting VPN 'server' [ OK ]

现在，可以查看到

OpenVP N

创建了一个

tun0

的接口：

root@server:/etc/openvpn# ifconfig tun0

tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00 -00-

00-00-00-00-00

inet addr:10.8.0.1 P-t-P:10.8.0.2 Mask:255.255.255.255

UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1

[...]

配置虚拟网卡

tun0

可以通过

eth0

网 卡进行

NAT

转发数据包

vim /etc/default/ufw

DEFAUL T_FORWARD_POLICY=

修改成

DEFAULT_FORWARD_POLICY=

ACCEPT

vim /etc/

#_forward=1

修改成

_forward=1

sysctl -p

执行一下命令使修改生效

添加几条策略

ufw allow 22/tcp

iptables -A INPUT -p udp

–

-dport 1194 -j ACCEPT

或

（

ufw allow 1194/udp

）

iptables -A FORWARD -s 10.8.0.0/24 -o eth0 -j MASQUERADE

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

防止系统重启后

iptables< /p>

不生效

iptables-save -c >/etc/ufw/

echo

4.

客户端配置

有带和不带图形用户界面 的各种不同的

OpenVPN

客户端实现。你可以阅读更多

有关在后面的部分客户。现在我们使用

OpenVPN

客户端的

Ubuntu

这是相同的可

执行文件服务器。所以，你必须在客户机上重新安装

OpenVPN

sudo apt-get install openvpn

这一次 的

样本配置文件复制到

/etc/op envpn/

。

sudo cp /usr/share/doc/openvpn/examples/sample- config-

files/ /etc/openvpn/

复制客户端密钥，你在上面的部分，例如要在

/etc/ope nvpn /

然后编辑

/etc/openvpn/

CA

证

书。

如果

在

/etc/openvpn

下的文件

/

可以省略路径。

ca

cert

key

你必须至少指定

OpenVPN

服务器的名 称或地址，确保关键字的客户端是在

config

，这就是使得 客户端模式。

client

remote

14.127.233.98

1194

< br>##14.127.233.98

是

OpenVPN Server

映射出去的公网

IP

（

192.168.100.252

的

1 194

端口在防火墙做了映射

）

此外，

不在

/et c/openvpn

目录下时，请确保您指定的服务器复制

的密 钥文件名

ca /etc/openvpn/

cert /etc/openvpn/

key /etc/openvpn/

##

强烈建议用绝对路径，这样 不容易出错。

现在启动

OpenVP N

客户端：

root@client:/etc/openvpn# service openvpn start

* Starting virtual private network daemon(s)...

* Autostarting VPN 'client' [ OK ]

检查它是否创造了一个

tun0

的接口：

root@client:/etc/openvpn# ifconfig tun0

tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00 -00-

00-00-00-00-00

inet addr:10.8.0.6 P-t-P:10.8.0.5 Mask:255.255.255.255

UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1

检查是否可以

ping OpenVPN

服务器：

root@client:/etc/openvpn# ping 10.8.0.1

PING 10.8.0.1 (10.8.0.1) 56(84) bytes of data.

64 bytes from 10.8.0.1: icmp_req=1 ttl=64 time=0.920 ms

OpenVPN

服务器总是使用客户端网络中的第一个可用的

IP

地址，只有该

IP

可

侦测。

例如，如果你配置了一个

/ 24< /p>

的客户端网络掩码，

.1

地址将被使

用。

点对点解决您在

ifconfig

输出中看到上面通常不回答

ping

请求。

检查你的路由表：

root@client:/etc/openvpn# netstat -rn

Kernel IP routing table

Destination Gateway Genmask Flags MSS Window

irtt Iface

10.8.0.5 0.0.0.0 255.255.255.255 UH 0 0

0 tun0

10.8.0.1 10.8.0.5 255.255.255.255 UGH 0 0

0 tun0

192.168.42.0 0.0.0.0 255.255.255.0 U 0 0

0 eth0

0.0.0.0 192.168.42.1 0.0.0.0 UG 0 0

0 eth0

5.

故障排查

如果完成了上面操作的还启动不了服务或连接不了，检查：

1.

2.

3.

4.

5.

6.

检查您的系统日志，例如：

tail / var/log/syslog

请检查您是否配置了正确的

< /p>

和

中指定的密钥文件的名称

不可以在客户端连接到服务器的机器，也许是防火墙阻止访问

客户端和服务器必须使用相同的协议和端口，如

UDP