Centos 部署OpenVP* 证书+密码认证
一、實驗環境
主機 內網IP 外網IP 系統 備注 OpenVPN 10.5.10.202 NAT映射外網訪問 Centos7 OpenVPN服務端 PC1 10.5.10.122 內網用戶 Windows7 x64 客戶端 PC2 10.5.10.123 內網用戶 Windows10 客戶端 PC3 外網用戶 Windows7 x64 客戶端二、生成證書
1、添加epel yum源
[root@openvpn ~]# wget -O /etc/yum.repos.d/epel-7.repo http://mirrors.aliyun.com/repo/epel-7.repo2、下載證書生成工具easy-rsa
[root@openvpn ~]# yum -y install easy-rsa3、創建證書環境目錄
[root@openvpn ~]# mkdir -p /opt/easy-rsa [root@openvpn ~]# cp -a /usr/share/easy-rsa/3.0.8/* /opt/easy-rsa/ [root@openvpn ~]# cp -a /usr/share/doc/easy-rsa-3.0.8/vars.example /opt/easy-rsa/vars4、修改vars配置文件,取消下面配置的注釋
[root@openvpn ~]# vi /opt/easy-rsa/vars set_var EASYRSA_DN "cn_only" set_var EASYRSA_REQ_COUNTRY "CN" set_var EASYRSA_REQ_PROVINCE "GuangDong" set_var EASYRSA_REQ_CITY "GuangZhou" set_var EASYRSA_REQ_ORG "IT" set_var EASYRSA_REQ_EMAIL "IT@qq.com" set_var EASYRSA_NS_SUPPORT "yes"5、初始化,創建pki目錄用于存儲證書(以下都在/opt/easy-rsa目錄下操作)
[root@openvpn ~]# cd /opt/easy-rsa/ [root@openvpn easy-rsa]# ./easyrsa init-pki?6、創建根證書,根證書用于ca對之后生成的server和client證書簽名時使用
[root@openvpn easy-rsa]# ./easyrsa build-ca?7、創建server端證書和密鑰文件(nopass表示不加密密鑰文件,生成過程中直接默認回車)
[root@openvpn easy-rsa]# ./easyrsa gen-req server nopass8、給server端證書簽名
[root@openvpn easy-rsa]# ./easyrsa sign server server?9、創建Diffie-Hellman文件,密鑰交換時的Diffie-Hellman算法
[root@openvpn easy-rsa]# ./easyrsa gen-dh10、創建client端證書和密鑰文件(nopass表示不加密密鑰文件,生成過程中直接默認回車)
[root@openvpn easy-rsa]# ./easyrsa gen-req client nopass?11、給client端證書簽名
[root@openvpn easy-rsa]# ./easyrsa sign client client三、OpenVPN服務端部署
1、安裝openvpn
[root@openvpn ~]# yum install -y openvpn2、創建TLS認證密鑰
[root@openvpn ~]# openvpn --genkey --secret /etc/openvpn/ta.key3、創建新的配置文件/etc/openvpn/server.conf
[root@openvpn ~]# vi /etc/openvpn/server.conf #監聽本機端口 port 1194 #指定采用的傳輸協議,可選tcp或udp proto tcp #指定創建的通信隧道類型,可選tun或tap dev tun #指定CA證書的文件路徑 ca ca.crt #指定服務器端的證書文件路徑 cert server.crt #指定服務器端的私鑰文件路徑 key server.key #指定迪菲赫爾曼參數的文件路徑,也就是交換證書 dh dh.pem #給客戶端分配地址池,注意:不能和VPN服務器內網網段有相同 server 10.8.0.0 255.255.255.0 #允許客戶端訪問內網網段 push "route 10.5.10.0 255.255.255.0" #服務器自動給客戶端分配IP后,客戶端下次連接時,仍然采用上次的IP地址"第一次分配的IP保存在ipp.txt中,下一次分配其中保存的IP" ifconfig-pool-persist ipp.txt #存活時間,10秒ping一次,120如未收到響應則視為斷線 keepalive 10 120 #最多允許100個客戶端連接 max-clients 100 #日志記錄位置 status openvpn-status.log #openvpn版本 verb 3 #允許客戶端與客戶端相連接,默認情況下客戶端只能與服務器相連接 client-to-client #openvpn日志記錄位置 log /var/log/openvpn.log #通過keepalive檢測超時后,重新啟動VPN,不重新讀取keys,保留第一次使用的keys persist-key #檢測超時后,重新啟動VPN,一直保持tun是linkup的.否則網絡會先linkdown然后再linkup persist-tun #開啟TLS-auth,使用ta.key防御攻擊.服務器端的第二個參數值為0,客戶端的為1 tls-auth /etc/openvpn/ta.key 04、拷貝證書到openvpn主配置文件目錄下
[root@openvpn ~]# cp -a /opt/easy-rsa/pki/ca.crt /etc/openvpn/ [root@openvpn ~]# cp -a /opt/easy-rsa/pki/issued/server.crt /etc/openvpn/ [root@openvpn ~]# cp -a /opt/easy-rsa/pki/private/server.key /etc/openvpn/ [root@openvpn ~]# cp -a /opt/easy-rsa/pki/dh.pem /etc/openvpn/5、設置開機啟動,檢查服務端口
[root@openvpn ~]# systemctl start openvpn@server [root@openvpn ~]# systemctl status openvpn@server四、OpenVPN客戶端部署
1、win7客戶端安裝,默認安裝(openvpn客戶端需要.net支持,網絡正常會自動安裝)
2、win10安裝,默認安裝(openvpn客戶端需要.net支持,網絡正常會自動安裝)
?
3、拷貝服務端生成的證書到openvpn客戶端安裝目錄的config目錄下
/opt/easy-rsa/pki/ca.crt /opt/easy-rsa/pki/issued/client.crt /opt/easy-rsa/pki/private/client.key /etc/openvpn/ta.key4、在客戶端openvpn安裝目錄的config目錄下,新建一個client.ovpn文件,寫入配置
#指定當前VPN是客戶端 client #使用tun隧道傳輸協議 dev tun #使用udp協議傳輸數據 proto tcp #openvpn服務器IP地址端口號 remote 10.5.10.202 1194 #斷線自動重新連接,在網絡不穩定的情況下非常有用 resolv-retry infinite #不綁定本地特定的端口號 nobind #指定CA證書的文件路徑 ca ca.crt #指定當前客戶端的證書文件路徑 cert client.crt #指定當前客戶端的私鑰文件路徑 key client.key #指定日志文件的記錄詳細級別,可選0-9,等級越高日志內容越詳細 verb 3 #通過keepalive檢測超時后,重新啟動VPN,不重新讀取keys,保留第一次使用的keys persist-key #檢測超時后,重新啟動VPN,一直保持tun是linkup的。否則網絡會先linkdown然后再linkup persist-tun #使用ta.key防御攻擊。服務器端的第二個參數值為0,客戶端的為1 tls-auth ta.key 1?5、啟動Open VPN客戶端軟件,連接成功OpenVPN的圖標會變成綠色
win7連接成功
?win10連接成功
?OpenVPN會分配一個IP地址給客戶端,客戶端會使用該虛擬網絡IP地址與服務端進行通信。
6、目前客戶端只能ping虛擬網絡的IP,不能跟內網其他主機互通
五、OpenVPN客戶端訪問內網
1、客戶端要想跟內網通訊還需要openvpn服務端開啟內核轉發
[root@openvpn ~]# echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf [root@openvpn ~]# sysctl -p net.ipv4.ip_forward = 12、方法一:添加路由規則方式訪問內部網絡
在內網主機上添加一條路由規則,讓內網主機有回到OpenVPN客戶端的路由。如果不添加,那內網主機只能接受到來自客戶端的包,但是沒法把響應的包傳回去。
弊端:如果有成白上千臺主機時,每一臺主機都要添加路由規則,這樣任務量是比較大的。
3、方法二:添加防火墻方式訪問內部網絡
在服務端開啟防火墻,放行openvpn服務,并且開啟masquerade
優點:只需在OpenVPN服務端配置防火墻規則,內部網絡主機無需配置
[root@openvpn ~]# systemctl start firewalld [root@openvpn ~]# firewall-cmd --add-masquerade --permanent [root@openvpn ~]# firewall-cmd --add-service=openvpn --permanent [root@openvpn ~]# firewall-cmd --add-port=1194/tcp --permanent [root@openvpn ~]# firewall-cmd --reload六、證書+密碼認證
1、修改OpenVPN服務端配置文件
#在最后增加以下配置 [root@openvpn ~]# vi /etc/openvpn/server.conf #允許使用自定義腳本 script-security 3 #腳本路徑 auth-user-pass-verify /etc/openvpn/check.sh via-env #用戶密碼登陸方式驗證 username-as-common-name加上client-cert-not-required則代表只使用用戶名密碼方式驗證登錄,如果不加,則代表需要證書和用戶名密碼雙重驗證登錄
2、添加腳本
[root@openvpn ~]# vi /etc/openvpn/check.sh #!/bin/sh ########################################################### PASSFILE="/etc/openvpn/openvpnpass" LOG_FILE="/var/log/openvpn-password.log" TIME_STAMP=`date "+%Y-%m-%d %T"`if [ ! -r "${PASSFILE}" ]; thenecho "${TIME_STAMP}: Could not open password file \"${PASSFILE}\" for reading." >> ${LOG_FILE}exit 1 fiCORRECT_PASSWORD=`awk '!/^;/&&!/^#/&&$1=="'${username}'"{print $2;exit}' ${PASSFILE}`if [ "${CORRECT_PASSWORD}" = "" ]; thenecho "${TIME_STAMP}: User does not exist: username=\"${username}\", password=\"${password}\"." >> ${LOG_FILE}exit 1 fi if [ "${password}" = "${CORRECT_PASSWORD}" ]; thenecho "${TIME_STAMP}: Successful authentication: username=\"${username}\"." >> ${LOG_FILE}exit 0 fiecho "${TIME_STAMP}: Incorrect password: username=\"${username}\", password=\"${password}\"." >> ${LOG_FILE} exit 13、增加執行權限
[root@openvpn ~]# chmod +x /etc/openvpn/check.sh4、增加用戶密碼文件
[root@openvpn ~]# vi /etc/openvpn/openvpnpass openvpn openvpn@1235、重啟openvpn服務
[root@openvpn ~]# systemctl restart openvpn@server6、修改客戶端安裝路徑config目錄下的client.opvn配置文件,在最后增加
auth-user-pass?
七、出口防火墻設置
1、在出口設備配置映射,映射openvpn 1194端口到公網,允許用戶通過對應的公網地址+端口訪問
2、修改客戶端的client.ovpn文件,把遠程地址改為公網IP+端口
#openvpn服務器IP地址端口號 remote 公網IP 11943、客戶端退出重新登錄即可
總結
以上是生活随笔為你收集整理的Centos 部署OpenVP* 证书+密码认证的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 前端学习(662):逻辑运算符练习
- 下一篇: Centos7搭建coreseek