- VPN(Virtual Private Network)介绍
- VPN 介绍
- PPTPD 安装
- PPTPD 服务配置
- L2TPD 安装
- L2TPD 服务配置
- OpenVPN 安装
- OpenVPN 服务配置
- 禁用 selinux
- 生成OpenVPN需要的服务器、客户端证书
- 设置OpenVPN服务端配置文件
- 配置内核和防火墙,开启nat功能,启动服务
- 启动openvpn并设置为开机启动
- OpenVPN客户端配置
- VPN 资料
VPN(Virtual Private Network)介绍
VPN 介绍
VPN 分类有很多,这里主要讲 PPTPD 和 L2TPD、OpenVPN
PPTPD 安装
查看是否已安装:
- CentOS:
rpm -qa | grep pptpd
- Ubuntu:
dpkg -l | grep pptpd
- CentOS:
先安装依赖包:
- CentOS 6:
sudo yum -y install ppp
- Ubuntu:
sudo apt-get install -y ppp
- CentOS 6:
安装:
- CentOS 6:
sudo yum -y install pptpd
- Ubuntu:
sudo apt-get install -y pptpd
- CentOS 6:
PPTPD 服务配置
- 注意:PPTPD 默认端口是 1723,所以防火墙要取消对其限制,查看 1723 端口是否开启:
sudo netstat -apnl | grep 1723
- 编辑 PPTPD 配置文件介绍(记得先备份):
sudo vim /etc/pptpd.conf
- 修改配置信息:
option /etc/ppp/options.pptpd
#配置文件中有一行这样的参数,如果没有自己添加上去,正常默认是有的。同时也有可能是这样的一句话:option /etc/ppp/pptpd-options
,具体你自己看下你的配置文件里面是什么内容。logwtmp
#默认这个是没有被注释的,这里要进行注释localip 172.31.0.1
#本机服务器的内网IP地址,建议你的内网IP一般不要用常见网段,默认这个被注释,取消注释remoteip 192.168.0.10-200
#客户端的IP地址范围,默认这个被注释,取消注释
- 修改配置信息:
- 编辑 PPP 配置文件介绍(记得先备份):
sudo vim /etc/ppp/options.pptpd
或是sudo vim /etc/ppp/pptpd-options
- 在文件尾巴添加如下配置信息(默认配置文件应该有,只是被注释了):
ms-dns 8.8.8.8
#配置DNS,如果是境外服务器最好改为google的,国内的看情况ms-dns 8.8.4.4
#配置DNS,如果是境外服务器最好改为google的,国内的看情况
- 在文件尾巴添加如下配置信息(默认配置文件应该有,只是被注释了):
- 开启系统转发(记得先备份):
sudo vim /etc/sysctl.conf
- 修改配置信息该值改为 1:
net.ipv4.ip_forward=1
# 默认是注释掉的,要取消注释,也有出现是没有注释,但是默认是0:net.ipv4.ip_forward=0
- 刷新配置:
sudo sysctl -p
- 修改配置信息该值改为 1:
- 设置 iptables 转发:
- 追加 iptables 规则:
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
- 设置默认启动使用该规则:
sudo vim /etc/rc.local
- 在配置文件中添加:
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
- 在配置文件中添加:
- 追加 iptables 规则:
- 添加登录账号(记得先备份):
sudo vim /etc/ppp/chap-secrets
- 在文件尾巴添加如下配置信息:
mytest1 pptpd 123456 *
#该格式分别表示:登录名、登录协议、密码、该连接上的客户端用什么 IP(* 表示随机一个 IP)
- 在文件尾巴添加如下配置信息:
- 重启服务:
sudo service pptpd restart
- Windows 连接 VPN 方法:http://www.cnblogs.com/yuzeren48/p/4123879.html
L2TPD 安装
查看是否已安装:
- CentOS:
rpm -qa | grep xl2tpd
- Ubuntu:
dpkg -l | grep xl2tpd
- CentOS:
安装:
- CentOS 6:
XXXXXXXXXXXXXXXXXXXXXXXX
- Ubuntu:
sudo apt-get install -y xl2tpd ppp openswan
- CentOS 6:
L2TPD 服务配置
- 注意:L2TPD 默认端口是 1701,所以防火墙要取消对其限制,查看 1701 端口是否开启:
sudo netstat -apnl | grep 1701
- 编辑 Openswan 配置文件介绍(记得先备份):
sudo vim /etc/ipsec.conf
- left=172.31.201.255 #其中这里的IP地址改为本机的内网IP,文件中有两处,都进行修改
- 编辑 IPsec-based 配置文件介绍(记得先备份):
sudo vim /etc/ipsec.secrets
- 172.31.201.255 %any: PSK”adc123456” #在文件最后一行补充:(格式是:本机内网IP,后面是配置密钥。密钥不配置也可以但是建议配上去)
- 编辑 L2TPD 配置文件介绍(记得先备份):
sudo vim /etc/xl2tpd/xl2tpd.conf
- 修改配置信息:
ipsec saref = yes
require chap = yes
refuse pap = yes
require authentication = yes
ppp debug = yes
length bit = yes
ip range = 192.168.1.10-192.168.1.200 #这是客户端连接本机的IP端限制
local ip = 172.31.201.255 #这是本机服务器端的内网 IP
pppoptfile = /etc/ppp/options.xl2tpd #指定本机的 PPP 配置文件地址,如果你的 PPP 配置文件地址不是这里那就改下
- 编辑 PPP 配置文件介绍(记得先备份):
sudo vim /etc/ppp/options.xl2tpd
(如果没有这个文件自己创建)- 在文件尾巴添加如下配置信息:
refuse-mschap-v2
refuse-mschap
ms-dns 8.8.8.8 #配置DNS,如果是境外服务器最好改为google的,国内的看情况
ms-dns 8.8.4.4 #配置DNS,如果是境外服务器最好改为google的,国内的看情况
asyncmap 0
auth
lock
hide-password
local
name l2tpd
proxyarp
lcp-echo-interval 30
lcp-echo-failure 4
refuse
refuse
refuse
- 在终端输入命令:sudo sh -c ‘for each in /proc/sys/net/ipv4/conf/* do echo 0 > $each/accept_redirects echo 0 > $each/send_redirects done’
- 开启系统转发(记得先备份):
sudo vim /etc/sysctl.conf
- 修改配置信息:
- net.ipv4.ip_forward=1 #默认是注释掉的,要取消注释
- 刷新配置:
sudo sysctl -p
- 修改配置信息:
- 设置 iptables 转发:
- 追加 iptables 规则:
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
- 设置默认启动使用该规则:
sudo vim /etc/rc.local
- 在配置文件中添加:iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
- 追加 iptables 规则:
- 添加登录账号(记得先备份):
sudo vim /etc/ppp/chap-secrets
- 在文件尾巴添加如下配置信息:
- mytest1 l2tpd 123456 #该格式分别表示:登录名、登录协议、密码、该连接上的客户端用什么 IP( 表示随机一个 IP)
- 在文件尾巴添加如下配置信息:
- 重启服务:
sudo service l2tpd restart
- Windows 连接 VPN 方法:http://www.cnblogs.com/yuzeren48/p/4123879.html
OpenVPN 安装
- 主要软件版本信息:
- OpenVPN:2.3.11-1.el6
- EasyRsa:2.2.2-1.el6
- 检查系统环境是否支持:
cat /dev/net/tun
,如果出现:cat: /dev/net/tun: File descriptor in bad state
,则表示支持。如果现实的是:cat: /dev/net/tun: No such device
,则不支持 - 需要先安装 EPEL 源,具体可以看这篇文章:CentOS 源设置
- 安装:
- 安装依赖包:
yum install -y gcc make rpm-build autoconf.noarch openssl openssl-devel lzo lzo-devel pam pam-devel automake pkgconfig
- 安装 OpenVPN:
yum install -y openvpn easy-rsa
- 安装依赖包:
OpenVPN 服务配置
禁用 selinux
- 编辑配置文件:
vim /etc/selinux/config
- 把
SELINUX=enforcing
改为SELINUX=disabled
生成OpenVPN需要的服务器、客户端证书
使用 easy-rsa 的脚本产生证书
修改vars文件
cd /usr/share/easy-rsa/2.0
,后面关于证书的操作都是在这个目录下vim vars
- 需要修改的内容主要有下面这些信息(在文件 64 行):注册信息,比如公司地址、公司名称、部门名称等。
export KEY_COUNTRY="CN"
export KEY_PROVINCE="GuangDong"
export KEY_CITY="GuangZhou"
export KEY_ORG="YouMeekOrganization"
export KEY_EMAIL="admin@youmeek.com"
export KEY_OU="YouMeekOrganizationalUnit"
- 需要修改的内容主要有下面这些信息(在文件 64 行):注册信息,比如公司地址、公司名称、部门名称等。
初始化环境变量
source vars
清除keys目录下所有与证书相关的文件,下面步骤生成的证书和密钥都在 /usr/share/easy-rsa/2.0/keys 目录里
./clean-all
生成根证书 ca.crt 和根密钥 ca.key(会有好几个提示,你都不需要输入什么内容,一路按回车即可,除非你懂原理)
./build-ca
为服务端生成证书和密钥(也会有好几个提示,你都不需要输入什么内容,一路按回车即可,直到提示需要输入y/n时,输入y再按回车继续走)
- 其中:server,这个名字别改,照着来,等下那些就可以直接使用。
./build-key-server server
每一个登陆的VPN客户端需要有一个证书,每个证书在同一时刻只能供一个客户端连接,下面语句是建立2份demo,你可以只输入第一个即可。
为客户端生成证书和密钥(一路按回车,直到提示需要输入y/n时,输入y再按回车,一共两次)
- 其中:client1,这个名字别改,照着来,等下那些就可以直接使用,除非你会。
./build-key client1
./build-key client2
创建迪菲·赫尔曼密钥,会在 keys 目录里面生成dh2048.pem文件(生成过程比较慢,在此期间不要去中断它,我这边花的时间是:2分钟)
./build-dh
设置OpenVPN服务端配置文件
- 复制一份服务器端配置文件模板server.conf到/etc/openvpn/
其中,我这边现在的版本是:2.3.11,所以我这边是填这个,你的不一定就跟我一样,所以你先到 doc 目录下,看下你具体是哪个版本,改下下面这句命令即可。
cp /usr/share/doc/openvpn-2.3.11/sample/sample-config-files/server.conf /etc/openvpn/
编辑 server.conf,把下面的内容替换到已有的文件中,记得去掉后面的注释,我这样写只是为了方便解释对应的内容含义:
vim /etc/openvpn/server.conf
port 1194 # 端口一般我们不改
proto udp # 默认使用udp,如果使用HTTP Proxy,改成tcp,必须使用tcp协议,还需要注意的是:需要与客户端配置保持一致,等下客户端配置会说道
dev tun
ca /usr/share/easy-rsa/2.0/keys/ca.crt # 这一行默认值为:ca ca.crt
cert /usr/share/easy-rsa/2.0/keys/server.crt # 这一行默认值为:cert server.crt
key /usr/share/easy-rsa/2.0/keys/server.key # 这一行默认值为:key server.key
dh /usr/share/easy-rsa/2.0/keys/dh2048.pem # 这一行默认值为:dh dh2048.pem
server 10.192.170.0 255.255.255.0 # 给客户的分配的局域网IP段,默认虚拟局域网网段,不要和实际的局域网冲突即可,这个10.192.170.0跟下面还有一个地方配置也有关联,需要注意
ifconfig-pool-persist ipp.txt # 启用了ipp.txt作为客户端和virtual IP的对应表,以方便客户端重新连接可以获得同样的IP;
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log # OpenVPN的状态日志,默认为/etc/openvpn/openvpn-status.log
log openvpn.log # OpenVPN的运行日志,默认为/etc/openvpn/openvpn.log
log-append openvpn.log
verb 3
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DOMAIN-SEARCH ap-northeast-1.compute.internal"
push "dhcp-option DOMAIN-SEARCH ec2.drawbrid.ge"
配置内核和防火墙,开启nat功能,启动服务
- 开启路由转发功能
sed -i '/net.ipv4.ip_forward/s/0/1/' /etc/sysctl.conf
- 刷新配置:
sudo sysctl -p
辨别你的 VPS 是属于那种虚拟方式,主流有:Xen KVM OpenVZ,方法:
sudo yum install -y virt-what
,virt-what是一个判断当前环境所使用的虚拟技术的脚本,常见的虚拟技术基本上都能正常识别出来sudo virt-what
,我这边 Vultr 输出的结果是:KVM
配置防火墙
iptables -A INPUT -p udp --dport 1194 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
设置IP转发,若你的 VPS 虚拟方案是:Xen 或 KVM的请输入:(eth0要根据具体的网卡标示来,可以通过ifconfig查看),其中:10.192.170.0/16 表示客户端连接上去后从这个区间中分配给客户端的IP地址
iptables -t nat -A POSTROUTING -s 10.192.170.0/16 -o eth0 -j MASQUERADE
若你的 VPS 虚拟方案是:OpenVZ 的请输入:(45.32.90.22是你VPS的IP)
iptables -t nat -A POSTROUTING -s 10.192.170.0/16 -j SNAT --to-source 45.32.90.22
- 保存防火墙配置
service iptables save
service iptables restart
启动openvpn并设置为开机启动
service openvpn start
chkconfig openvpn on
OpenVPN客户端配置
下载 Windows 客户端:
https://openvpn.net/index.php/download/community-downloads.html
Mac 用户下载这个 tunnelblick(该地址需要开穿越):
http://code.google.com/p/tunnelblick/
- 从服务器上下载证书文件到本地:
/usr/share/easy-rsa/2.0/keys/ca.crt
/usr/share/easy-rsa/2.0/keys/client1.crt
/usr/share/easy-rsa/2.0/keys/client1.key
到你本地的电脑上(window电脑在安装好OpenVPN软件后可以把如上证书拷贝到如下文件夹里:C:\Program Files\OpenVPN\config )
从服务器找到这个文件:/usr/share/doc/openvpn-2.3.11/sample/sample-windows/sample.ovpn,下载到本地电脑这个目录下:C:\Program Files\OpenVPN\config
然后把这个文件改名字为:client1.ovpn 文件内如如下, 其他不用改只要把SERVER-IP 改成你服务器的 IP
client #这个client不是自定义名称 不能更改
dev tun #要与前面server.conf中的配置一致。
proto udp #要与前面server.conf中的配置一致。
remote 45.32.90.22 1194 #将45.32.90.22替换为你VPS的IP,端口也与前面的server.conf中配置一致。
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt #具体名称以刚下载的为准
cert client1.crt #具体名称以刚下载的为准
key client1.key #具体名称以刚下载的为准
comp-lzo
verb 3
- 打开 OpenVPN 客户端,连接试试看。
VPN 资料
- http://www.jikexueyuan.com/course/1692_2.html?ss=1
- http://gnailuy.com/linux/2011/07/04/pptp-vpn/
- http://www.centoscn.com/CentosServer/test/2014/1120/4153.html
- https://linux.cn/article-3706-1.html
- http://www.bkjia.com/yjs/1041400.html
- http://blog.liujason.com/1663.html
- http://shit.name/openvpn-on-centos/
- http://kunsland.github.io/blogs/2015/03/22/vps-openvpn/
- http://neolee.com/web/centos-openvz-vps-configuration-openvpn/
- Freeradius 服务(用于账号认证管理的工具,可以扩展到VPN的账号管理)