最新消息:阿里云双12优惠,史上最低折扣。

通过主机搭建Openvpn服务器

服务器租用 aliyun 288浏览

通过主机建立jsp虚拟空间我们需要注意些什么?

本文阐述使用新睿云云服务器搭建jsp虚拟空间一些常见注意事项!

使用云主机制作VPN服务器其实并不困难,由于VPN隧道始终是加密的,因此您不必再担心使用不安全的网络。您可以连接到任何公共WiFi热点,例如进行网上银行,没有任何风险。想要搭建VPN服务器首先您需要获取到云云服务器。具体应该使用双核CPU和2GBRAM的CentOS 7.6系统版本的云服务器。在安装之前,请运行常规系统更新,以确保所有软件包都已升级到其最新版本。

一、安装OPENVPN

1、安装过程非常简单。由于OpenVPN不能从标准的CentOS存储库中获得,因此第一步是安装EPEL并刷新可用包列表:

yum install epel-release

yum update

您现在可以安装OpenVPN:

yum install openvpn

我们还将安装EasyRSA,这是一种简化服务器上内部证书颁发机构(CA)和SSL密钥生成的工具。该软件包也可以在EPEL存储库中找到,可以使用yum轻松安装:

yum install easy-rsa

2、配置OPENVPN

Open VPN有许多配置选项,可能非常复杂。幸运的是,提供了一个示例配置文件,其中包含解释每行功能的注释。将其复制到默认配置文件夹,并将其用作您自己的设置文件的基础:

cp /usr/share/doc/openvpn-2.4.6/sample/sample-config-files/server.conf /etc/openvpn

使用您喜欢的文本编辑器打开文件;我们将在这个例子中使用vim。由于vim的默认配色方案使得注释难以阅读,因此您可以切换到另一个(使用如下命令:colorscheme desert):

vim /etc/openvpn/server.conf

3、首先将默认端口和协议更改为443 tcp:

port 443

proto tcp

4、接下来,您必须修改服务器将使用的证书的位置:

ca /etc/openvpn/easy-rsa/pki/ca.crt

cert /etc/openvpn/easy-rsa/pki/issued/server.crt

key /etc/openvpn/easy-rsa/pki/private/server.key

dh /etc/openvpn/easy-rsa/pki/dh.pem

5、必须取消注释的下两行是:

topology subnet

server 10.8.0.0 255.255.255.0

这些将创建一个子网,为客户端计算机分配地址。服务器将使用子网中的第一个地址(10.8.0.1),而第一个客户端将分配IP 10.8.0.2。

6、必须取消注释的最重要的一行是这一行:

push “redirect-gateway def1 bypass-dhcp”

它基本上指示客户端计算机通过VPN重定向所有流量,而不是本地网关。由于使用此路由将忽略本地网络的DNS服务器,因此必须定义新的DNS服务器。在此示例中,我们将使用Google和Cloudflare提供的最受欢迎的公共DNS服务器:

push “dhcp-option DNS 8.8.8.8”

push “dhcp-option DNS 1.1.1.1”

为了提高安全性并遵循官方OpenVPN准则,请启用TLS身份验证。注释以tls-auth开头的行,并定义一个您使用您选择的名称生成的加密密钥(在此示例中为mykey.tls):

;tls-auth ta.key 0

tls-crypt mykey.tls

7、添加此行将进一步加强安全检查:

remote-cert-eku “TLS Web Client Authentication”

8、您还可以通过取消注释以下两个选项来启用压缩:

compress lz4-v2

push “compress lz4-v2”

最后,将OpenVPN配置为与用户和组nobody一起运行,因此该服务在启动后没有任何权限。必须取消注释的行是:

user nobody

group nobody

9、还必须更改文件的最后一行,因为此选项与TCP协议不兼容:

explicit-exit-notify 0

您现在具有可靠的基本配置,因此请保存文件并退出。由于文件中的所有指令都有很好的记录,因此您可以根据需要调整其他参数。

不要忘记通过执行以下命令生成静态加密密钥:

openvpn –genkey –secret /etc/openvpn/mykey.tls

10、生成SSL密钥和证书

虽然可以通过多种方式生成密钥和证书,但EasyRSA安装的脚本使此任务非常简单。

创建一个文件夹以存储将生成的密钥和证书:

mkdir -p /etc/openvpn/easy-rsa

将EasyRSA脚本从其初始位置复制到此文件夹:

cp -r /usr/share/easy-rsa/3.0/* /etc/openvpn/easy-rsa

导航到配置文件夹并运行脚本以初始化新PKI并构建证书颁发机构(CA):

cd /etc/openvpn/easy-rsa

./easyrsa init-pki

./easyrsa build-ca

要构建CA,您必须为服务器输入PEM密码短语和公用名(CN),或者只需按Enter键即可输入默认值。确保您记住PEM密码,因为稍后您将需要它。

下一步是生成实际OpenVPN服务器的密钥和证书,在本例中我们将使用“server”作为文件名。签名请求脚本需要PEM密码:

./easyrsa gen-req server nopass

./easyrsa sign-req server server

在与客户端的TLS握手期间使用的DH参数由以下命令生成,这需要一些时间才能完成:

./easyrsa gen-dh

每个客户端还需要一个证书才能连接到服务器。保证此证书安全并且不与他人共享非常重要,以避免巨大的安全风险。如果您想允许其他人使用您的OpenVPN服务器,请使用相同的过程为他们生成单独的证书。

11、在此示例中,我们将为client1生成密钥和证书,再次需要PEM密码:

./easyrsa gen-req client1

./easyrsa sign-req client client1

恭喜,所有证书都已生成。您需要以下四个文件才能配置VPN的客户端:

/etc/openvpn/easy-rsa/pki/ca.crt

/etc/openvpn/easy-rsa/pki/issued/client1.crt

/etc/openvpn/easy-rsa/pki/private/client1.key

/etc/openvpn/mykey.tls

二、系统配置

为了启用路由,必须定义一些防火墙规则。我们将在此示例中使用firewalld,但其他防火墙(如CSF或基本iptables)也可以使用。

1、将openvpn服务添加到受信任区域列表中,并检查它是否正确包含:

firewall-cmd –zone=trusted –add-service openvpn

firewall-cmd –zone=trusted –add-service openvpn –permanent

firewall-cmd –list-services –zone=trusted

2、在当前实例上永久配置伪装:

firewall-cmd –add-masquerade

firewall-cmd –permanent –add-masquerade

3、创建一个变量,然后使用它在主网络接口上添加永久路由规则:

VAR=$(ip route get 8.8.8.8 | awk ‘NR==1 {print $(NF-2)}’)

firewall-cmd –permanent –direct –passthrough ipv4 -t nat -A POSTROUTING -s 10.8.0.0/24 -o $VAR -j MASQUERADE

4、最后一步是重新加载firewalld以实现所有这些更改:

firewall-cmd –reload

5、在CentOS中,默认情况下禁用数据包转发,但您可以通过编辑文件/etc/sysctl.conf并添加以下行来轻松启用它:

net.ipv4.ip_forward=1

6、执行以下命令以使用新规则重新启动网络:

sysctl –p

systemctl restart network

7、启动服务

现在一切都已配置,是时候启动服务并启用它,因此每次系统重新启动时它都会自动加载:

systemctl start openvpn@server.service

systemctl enable openvpn@server.service

8、检查一切是否正常,命令输出应该是活动的(运行):

systemctl status openvpn@server.service

9、配置WINDOWS客户端

假设您的本地桌面/笔记本电脑运行Window,您将需要设置客户端以连接到您的VPN服务器。

从OpenVPN的网站下载并执行安装程序,该应用程序必须以管理员权限运行。

默认配置文件夹是/ Program Files / OpenVPN / config,将四个文件(ca.crt,client1.crt,client1.key和mykey.tls)复制到那里。

在同一文件夹中创建一个名为client.ovpn的新文件,其中包含以下内容(将IP替换为OpenVPN服务器的实际IP地址):

client

tls-client

remote <IP> 443

proto tcp

resolv-retry infinite

route-delay 2

pull

dev tun

nobind

ca ca.crt

cert client1.crt

key client1.key

tls-crypt mykey.tls

remote-cert-eku “TLS Web Client Authentication”

topology subnet

pull

user nobody

group nobody

在说明应用程序后,OpenVPN GUI图标位于系统托盘中。右键单击它并单击“连接”以开始使用该服务。

三、从其他操作系统连接

如果你拥有一台Mac,有几个VPN客户端可用,我们推荐一款名为Tunnelblick的免费软件。从App Store安装它,然后从服务器复制相同的四个文件,并创建一个与Windows相同的client.ovpn。

确保所有这些文件都在同一文件夹中,然后打开应用程序,导航到该文件夹并单击client.ovpn文件。现在已安装VPN,您只需单击Connect即可使用它。

如果Linux是您的首选操作系统,请使用您的发行版本机包管理器安装openvpn客户端。该软件包在某些发行版的默认存储库中不可用,因此您可能必须启用其他软件包(例如RedHat OS系列中的EPEL)。

就像在Windows和Mac中一样,您需要来自服务器的四个文件,以及具有相同内容的client.ovpn文件。

使用root用户或sudo权限从命令行运行应用程序,确保包含.ovpn文件的完整路径:

openvpn –config client.ovpn

连接后,使用显示您的公共IP的网站(百度搜索“我的IP”便能看到自己IP),以检查互联网流量现在是否通过VPN正确路由。

转载请注明:小猪云服务器租用推荐 » 通过主机搭建Openvpn服务器