windows 下 openvpn 使用小結
1. 服務端
環境:win2003+openvpn2.1.1
(1)安裝openvpn,最好默認安裝,否則後面配置時注意路徑。
(2)到安裝目錄下的easy-rsa文件夾下,用文本編輯器打開vars.bat.sample文件,根據需要修改最後幾行(其實也可以不改,就是為了配置過程中輸入的東西少點):set KEY_COUNTRY=CN
set KEY_PROVINCE=GD
set KEY_CITY=FS
set KEY_ORG=NCIST
set KEY_EMAIL=a@b.com(3)打開cmd命令行窗口同樣進入到安裝目錄下的easy-rsa文件夾,分別執行下面三個命令:init-config
vars
clean-all上面是初始化工作,以後,在進行證書製作工作時,仍舊需要進行初始化,但只需要進入openvpn\easy-rsa目錄,運行vars就可以了,不需要 上面那些步驟了。
(4)生成根證書,分別執行命令:build-ca
build-dh(5)生成服務端密鑰:
build-key-server server
(6)生成客戶端密鑰build-key client1build-key client2 可以繼續配置第二個VPN客戶端密鑰
以上三步執行過程中需要輸入一些參數,大部分只需按要求輸入即可。其中一些是需要注意的:
common name,出現三次,據說要求每次輸入的都不一樣,至於都一樣行不行我沒試,那就隨便輸入三個不一樣的參數。
A challenge password []: An optional company name []: 這兩個都可以留空
將生成的keys文件夾內的ca.crt,dh1024.pem,server.crt,server.key,ta.key複製到 OpenVPN\config目錄下
(7)配置文件port 60000
proto udp //如果不能連接換成tcp
dev tap
//下面四項注意路徑,如果不是放在config目錄下請用絕對路徑
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
server 192.168.10.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 0.0.0.0 0.0.0.0"
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 192.168.175.5" //這個根據實際自行修改
keepalive 20 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3要配置的大概就是這些,如果還需要通過伺服器端連接外網,還需配置win2003自帶的vpn伺服器,在nat/防火牆那裡把本地連接介面添加進去。
《解決方案》
2.客戶端
客戶端安裝openvpn后,只需把服務端生成的ca.crt client.crt client.key三個文件拷到openvpn\config目錄下,再建一個配置文件即可。
配置文件:
client
dev tap
proto udp
remote 10.1.10.x 60000 //伺服器ip 埠
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
ns-cert-type server
comp-lzo
verb 3大概就是這個樣吧...
然後還有些小技巧:
(1)讓openvpn隨系統自啟:編個批處理,寫入以下代碼:net start openvpnservice
openvpn-gui-1.0.3 --connect client1.ovpn
pause其中:
net start openvpnservice 是啟動openvpn的系統服務。
openvpn-gui-1.0.3 --connect client.ovpn是用命令行方式連接openvpn,這裡要注意路徑問題:一是openvpn-gui-1.0.3,這個文件在OpenVPN\bin目錄下,如果出現不是有效命令,請在系統環境變數里把「C:\Program Files\OpenVPN\bin」添加進去;二是client.ovpn配置文件的路徑,如果配置文件不是在config根目錄,請用絕對路徑。
(2)ovpn配置文件詳解:Server使用的配置文件server.conf
—————————–
#申明本機使用的IP地址,也可以不說明
;local a.b.c.d
#申明使用的埠,默認1194
port 1194
#申明使用的協議,默認使用UDP,如果使用HTTP proxy,必須使用TCP協議
;proto tcp
proto udp
#申明使用的設備可選tap和tun,tap是二層設備,支持鏈路層協議。
#tun是ip層的點對點協議,限制稍微多一些,本人習慣使用TAP設備
dev tap
;dev tun
#OpenVPN 使用的ROOT CA,使用build-ca生成的,用於驗證客戶是證書是否合法
ca ca.crt
#Server使用的證書文件
cert server.crt
#Server使用的證書對應的key,注意文件的許可權,防止被盜
key server.key # This file should be kept secret
#CRL文件的申明,被吊銷的證書鏈,這些證書將無法登錄
crl-verify vpncrl.pem
#上面提到的生成的Diffie-Hellman文件
dh dh1024.pem
#這是一條命令的合集,如果你是OpenVPN的老用戶,就知道這條命令的來由
#這條命令等效於:
# mode server #OpenVPN工作在Server模式,可以支持多client同時動態接入
# tls-server #使用TLS加密傳輸,本端為Server,Client端為tls-client
#
# if dev tun: #如果使用tun設備,等效於以下配置
# ifconfig 10.8.0.1 10.8.0.2 #設置本地tun設備的地址
# ifconfig-pool 10.8.0.4 10.8.0.251 #說明OpenVPN使用的地址池(用於分配給客戶),分別是起始地址、結束地址
# route 10.8.0.0 255.255.255.0 #增加一條靜態路由,省略下一跳地址,下一跳為對端地址,這裡是: 10.8.0.2
# if client-to-client: #如果使用client-to-client這個選項
# push 「route 10.8.0.0 255.255.255.0″ #把這條路由發送給客戶端,客戶連接成功后自動加入路由表,省略了下一跳地址: 10.8.0.1
# else
# push 「route 10.8.0.1″ #否則發送本條路由,這是一個主機路由,省略了子網掩碼和下一跳地址,分別為: 255.255.255.255 10.8.0.1
#
# if dev tap: #如果使用tap設備,則等效於以下命令
# ifconfig 10.8.0.1 255.255.255.0 #配置tap設備的地址
# ifconfig-pool 10.8.0.2 10.8.0.254 255.255.255.0 #客戶端使用的地址池,分別是起始地址、結束地址、子網掩碼
# push 「route-gateway 10.8.0.1″ #把環境變數route-gateway傳遞給客戶機
#
server 10.8.0.0 255.255.255.0 #等效於以上命令
#用於記錄某個Client獲得的IP地址,類似於dhcpd.lease文件,
#防止openvpn重新啟動后「忘記」Client曾經使用過的IP地址
ifconfig-pool-persist ipp.txt
#Bridge狀態下類似DHCPD的配置,為客戶分配地址,由於這裡工作在路由模式,所以不使用
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
#通過VPN Server往Client push路由,client通過pull指令獲得Server push的所有選項並應用
;push 「route 192.168.10.0 255.255.255.0″
;push 「route 192.168.20.0 255.255.255.0″
#VPN啟動后,在 VPN Server上增加的路由,VPN停止后自動刪除
;route 10.9.0.0 255.255.255.252
#Run script or shell command cmd to validate client
#virtual addresses or routes. 具體查看manual
;learn-address ./script
#其他的一些需要PUSH給Client的選項
#
# 使Client的默認網關指向VPN,讓Client的所有Traffic都通過VPN走
;push 「redirect-gateway」
#DHCP 的一些選項,具體查看Manual
;push 「dhcp-option DNS 10.8.0.1″
;push 「dhcp-option WINS 10.8.0.1″
#如果可以讓VPN Client之間相互訪問直接通過openvpn程序轉發,
# 不用發送到tun或者tap設備后重新轉發,優化Client to Client的訪問效率
client-to-client
#如果 Client使用的CA的Common Name有重複了,或者說客戶都使用相同的CA
#和keys連接VPN,一定要打開這個選項,否則只允許一個人連接VPN
;duplicate-cn
#NAT後面使用VPN,如果VPN長時間不通信,NAT Session可能會失效,
# 導致VPN連接丟失,為防止之類事情的發生,keepalive提供一個類似於ping的機制,
#下面表示每10秒通過VPN的Control通道ping對方,如果連續120秒無法ping通,
#認為連接丟失,並重新啟動VPN,重新連接
#(對於mode server模式下的openvpn不會重新連接)。
keepalive 10 120
#上面提到的HMAC防火牆,防止DOS攻擊,對於所有的控制信息,都使用HMAC signature,
#沒有HMAC signature的控制信息不予處理,注意server端後面的數字肯定使用0,client使用1
tls-auth ta.key 0 # This file is secret
#對數據進行壓縮,注意Server和Client一致
comp-lzo
#定義最大連接數
;max-clients 100
#定義運行openvpn的用戶
user nobody
group nobody
# 通過keepalive檢測超時后,重新啟動VPN,不重新讀取keys,保留第一次使用的keys
persist-key
#通過 keepalive檢測超時后,重新啟動VPN,一直保持tun或者tap設備是linkup的,
#否則網路連接會先linkdown然後 linkup
persist-tun
#定期把openvpn的一些狀態信息寫到文件中,以便自己寫程序計費或者進行其他操作
status openvpn-status.log
#記錄日誌,每次重新啟動openvpn后刪除原有的log信息
log /var/log/openvpn.log
#和log一致,每次重新啟動openvpn后保留原有的log信息,新信息追加到文件最後
;log-append openvpn.log
#相當於debug level,具體查看manual
verb 3
——————————-
把 server.conf文件保存到/etc/opennvpn目錄中,並把使用easy-rsa下的腳本什成的key都複製到/etc/openvpn目錄下,命令如下:
#cd /etc/openvpn
#cp easy-rsa/keys/ca.crt .
#cp easy-rsa/keys/server.crt .
#cp easy-rsa/keys/server.key .
#cp easy-rsa/keys/dh1024.pem .
#cp easy-rsa/keys/ta.key .
#cp easy-rsa/keys/vpncrl.pem .
創建OpenVPN啟動腳本,可以在源代碼目錄中找到,在sample-scripts目錄下的openvpn.init文件,將其複製到/etc/init.d/目錄中,改名為openvpn
然後運行:
#chkconfig –add openvpn
#chkconfig openvpn on
立即啟動openenvpn
#/etc/init.d/openvpn start
接下來配置客戶端的配置文件client.conf:
Linux或Unix下使用擴展名為.conf Windows下使用的是.ovpn,並把需要使用的keys複製到配置文件所在目錄ca.crt elm.crt elm.key ta.key
———————————-
# 申明我們是一個client,配置從server端pull過來,如IP地址,路由信息之類「Server使用push指令push過來的」
client
# 指定介面的類型,嚴格和Server端一致
dev tap
;dev tun
# Windows needs the TAP-Win32 adapter name
# from the Network Connections panel
# if you have more than one. On XP SP2,
# you may need to disable the firewall
# for the TAP adapter.
;dev-node MyTap
# 使用的協議,與Server嚴格一致
;proto tcp
proto udp
#設置Server的IP地址和埠,如果有多台機器做負載均衡,可以多次出現remote關鍵字
remote 61.1.1.2 1194
;remote my-server-2 1194
# 隨機選擇一個Server連接,否則按照順序從上到下依次連接
;remote-random
# 始終重新解析Server的IP地址(如果remote後面跟的是域名),
# 保證Server IP地址是動態的使用DDNS動態更新DNS后,Client在自動重新連接時重新解析Server的IP地址
# 這樣無需人為重新啟動,即可重新接入VPN
resolv-retry infinite
# 在本機不邦定任何埠監聽incoming數據,Client無需此操作,除非一對一的VPN有必要
nobind
# 運行openvpn用戶的身份,舊版本在win下需要把這兩行註釋掉,新版本無需此操作
user nobody
group nobody
# 在Client端增加路由,使得所有訪問內網的流量都經過VPN出去
#當然也可以在Server的配置文件裡頭設置,Server配置裡頭使用的命令是
# push 「route 192.168.0.0 255.255.255.0″
route 192.168.0.0 255.255.0.0
# 和Server配置上的功能一樣如果使用了chroot或者su功能,最好打開下面2個選項,防止重新啟動后找不到keys文件,或者nobody用戶沒有許可權啟動tun設備
persist-key
persist-tun
# 如果你使用HTTP代理連接VPN Server,把Proxy的IP地址和埠寫到下面
# 如果代理需要驗證,使用http-proxy server port
# 其中authfile是一個2行的文本文件,用戶名和密碼各佔一行,auth-method可以省略,詳細信息查看Manual
;http-proxy-retry # retry on connection failures
;http-proxy
# 對於無線設備使用VPN的配置,看看就明白了
# Wireless networks often produce a lot
# of duplicate packets. Set this flag
# to silence duplicate packet warnings.
;mute-replay-warnings
# Root CA 文件的文件名,用於驗證Server CA證書合法性,通過easy-rsa/build-ca生成的ca.crt,和Server配置里的ca.crt是同一個文件
ca ca.crt
# easy-rsa/build-key生成的key pair文件,上面生成key部分中有提到,不同客戶使用不同的keys修改以下兩行配置並使用他們的keys即可。
cert elm.crt
key elm.key
# Server使用build-key-server腳本什成的,在x509 v3擴展中加入了ns-cert-type選項
# 防止VPN client使用他們的keys + DNS hack欺騙vpn client連接他們假冒的VPN Server
# 因為他們的CA里沒有這個擴展
ns-cert-type server
# 和Server配置里一致,ta.key也一致,注意最後參數使用的是1
tls-auth ta.key 1
# 壓縮選項,和Server嚴格一致
comp-lzo
# Set log file verbosity.
《解決方案》
前面已經有一個 windows下面的 openvpn使用的 精華帖了。
《解決方案》
很詳細
