使用CentOS8的OpenVPN
起初/首先/首先先提到
我想使用固定IP,但不想使用任何服务,而是自己创建。因此,我搭建了一个VPN服务器。说到VPN,有以下几种协议。
IPsec(网络协议/安全协议的一种)
L2TP(链路层隧道协议)
PPTP(点对点隧道协议)
SSL-VPN(基于SSL的虚拟专用网络)
OpenVPN(开放式虚拟专用网络)
Shadowsocks(影梭)
这次我们使用了OpenVPN进行创建。
环境
conoha VPS
OpenVPNサーバ:centos 8.3(最小プラン)
OpenVPNクライアント: macbook(Tunnelblick)
搭建OpenVPN服务器。
OpenVPNサーバ:centos 8.3(最小プラン)
OpenVPNクライアント: macbook(Tunnelblick)
有多种认证方式,但我们采用证书认证方式。
我们会为每个连接的客户端颁发证书。
※ 这样做可以处理大量信息并且易于构建。
安装所需的软件包。
查看官方网站时看到以 RPM 方式安装,但我发现可以直接使用 DNF 安装,因此选择使用 DNF 进行安装。
dnf -y update
dnf -y install openvpn easy-rsa
创建证明书
使用easy-rsa工具创建服务器证书和客户端证书。
cd /usr/share/easy-rsa/3/
初始化认证机构。
[root@hoge 3]# ./easyrsa init-pki
init-pki complete; you may now create a CA or requests.
Your newly created PKI dir is: /usr/share/easy-rsa/3/pki
建立认证机构。
[root@hoge 3]# ./easyrsa build-ca
Using SSL: openssl OpenSSL 1.1.1g FIPS 21 Apr 2020
Enter New CA Key Passphrase: #任意のパスワード
Re-Enter New CA Key Passphrase: #任意のパスワード
Generating RSA private key, 2048 bit long modulus (2 primes)
............+++++
..........................................+++++
e is 65537 (0x010001)
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Common Name (eg: your user, host, or server name) [Easy-RSA CA]: #何でも良いので指定する。デフォルトのままでもOK
CA creation complete and you may now import and sign cert requests.
Your new CA certificate file for publishing is at:
/usr/share/easy-rsa/3/pki/ca.crt
生成DH参数。
[root@hoge 3]# ./easyrsa gen-dh
Using SSL: openssl OpenSSL 1.1.1g FIPS 21 Apr 2020
Generating DH parameters, 2048 bit long safe prime, generator 2
This is going to take a long time
........................................................................................................+....+
DH parameters of size 2048 created at /usr/share/easy-rsa/3/pki/dh.pem
从创建服务器密钥到签署证书的过程
[root@hoge 3]# ./easyrsa build-server-full server nopass
Using SSL: openssl OpenSSL 1.1.1g FIPS 21 Apr 2020
Generating a RSA private key
..................+++++
............................................................................+++++
writing new private key to '/usr/share/easy-rsa/3/pki/easy-rsa-36402.InOa0s/tmp.ILGl7B'
-----
Using configuration from /usr/share/easy-rsa/3/pki/easy-rsa-36402.InOa0s/tmp.omwcm1
Enter pass phrase for /usr/share/easy-rsa/3/pki/private/ca.key: #認証局の作成の時に設定したパスワードを入力
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
commonName :ASN.1 12:'server'
Certificate is to be certified until Apr 9 05:25:22 2023 GMT (825 days)
Write out database with 1 new entries
Data Base Updated
从客户端生成私钥到证书签名,通过添加nopass,可以在VPN连接时不需要输入密码。
[root@hoge 3]# ./easyrsa build-client-full client0 nopass
Using SSL: openssl OpenSSL 1.1.1g FIPS 21 Apr 2020
Generating a RSA private key
........+++++
..........+++++
writing new private key to '/usr/share/easy-rsa/3/pki/easy-rsa-36518.woJCtP/tmp.DYeRlx'
-----
Using configuration from /usr/share/easy-rsa/3/pki/easy-rsa-36518.woJCtP/tmp.6ttbFr
Enter pass phrase for /usr/share/easy-rsa/3/pki/private/ca.key: #認証局の作成の時に設定したパスワードを入力
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
commonName :ASN.1 12:'client0'
Certificate is to be certified until Apr 9 05:25:48 2023 GMT (825 days)
Write out database with 1 new entries
Data Base Updated
生成TLS秘钥
cd /etc/openvpn/server
openvpn --genkey --secret ta.key
创建服务器端配置文件
我会创建OpenVPN的配置文件。
vi /etc/openvpn/server/server.conf
port 1194 #Listenするポート
proto udp #udpで上記ポートで受け付ける
dev tun # サーバのLAN側ネットワークとVPNでブリッジする場合はdev tapを使う。 OpenVPNサーバでルーティングする場合はtunにする
ca /usr/share/easy-rsa/3/pki/ca.crt #
cert /usr/share/easy-rsa/3/pki/issued/server.crt #サーバー証明書
key /usr/share/easy-rsa/3/pki/private/server.key #サーバー秘密鍵
dh /usr/share/easy-rsa/3/pki/dh.pem #DH鍵
server 10.8.0.0 255.255.255.0 #クライアントに払い出すアドレス帯。dev tunにつくアドレスでもある。
ifconfig-pool-persist /etc/openvpn/server/ipp.txt
push "redirect-gateway def1 bypass-dhcp bypass-dns" #クライアントの全ての通信をOpenVPN経由にする。後ろのbypassはdhcpとdns通信のみローカルを通す設定。特にDHCPを使ってる環境ではbypass-dhcpが必須。dnsをbypassしない場合はpush "dhcp-option DNS 8.8.8.8"を下に書く
client-to-client #VPNクライアント同士の通信を許可
keepalive 10 120 #クライアントに10秒に1回死活監視パケットを送信。120秒間帰ってこなかったらクライアントがdownしていると見なす
tls-auth /etc/openvpn/server/ta.key 0 #TLS
cipher AES-256-CBC
persist-key
persist-tun
comp-lzo
status openvpn-status.log
verb 3
explicit-exit-notify 1
打开OpenVPN
服务器上的地方是配置文件名。(/etc/openvpn/server/server.conf)
systemctl enable openvpn-server@server.service
systemctl start openvpn-server@server.service
防火墙的设置
进行允许 OpenVPN 的设置。
由于 conoha 的 VPS 采用 eth0 具有全球 IP,因此将 eth0 设置为外部。
※ 将区域设置为外部时,将默认进行网络地址转换。
nmcli connection modify eth0 connection.zone external
nmcli connection modify tun0 connection.zone trusted
firewall-cmd --zone=external --add-service=openvpn --permanent
firewall-cmd --reload
[root@hoge ~]# firewall-cmd --list-all --zone=external
external (active)
target: default
icmp-block-inversion: no
interfaces: eth0
sources:
services: openvpn ssh
ports:
protocols:
masquerade: yes
forward-ports:
source-ports:
icmp-blocks:
rich rules:
客户端的设置(MacBook)
在SCP上下载证书。
将刚刚创建的证书下载到MacBook的任意目录中。
scp -i ~/.ssh/test.pem root@XXX.XXX.XXX.XXX:/usr/share/easy-rsa/3/pki/ca.crt ./
scp -i ~/.ssh/test.pem root@XXX.XXX.XXX.XXX:/usr/share/easy-rsa/3/pki/issued/client0.crt ./
scp -i ~/.ssh/test.pem root@XXX.XXX.XXX.XXX:/usr/share/easy-rsa/3/pki/private/client0.key ./
scp -i ~/.ssh/test.pem root@XXX.XXX.XXX.XXX:/etc/openvpn/server/ta.key ./
创建客户端配置文件
下载并启动Tunnelblick
https://tunnelblick.net/
用文本创建设置文件。
client
dev tun
proto udp
remote XXX.XXX.XXX.XXX 1194 #接続先とポート
resolv-retry infinite
nobind
persist-key
persist-tun
ca /Users/hoge/workspace/openvpn/ca.crt #scpでダウンロードしたもの
cert /Users/hoge/workspace/openvpn/client0.crt #scpでダウンロードしたもの
key /Users/hoge/workspace/openvpn/client0.key #scpでダウンロードしたもの
tls-auth /Users/hoge/workspace/openvpn/ta.key 1 #scpでダウンロードしたもの
cipher AES-256-CBC
comp-lzo
verb 3
确认已连接成功
执行curl命令,如果响应结果是VPN服务器的全球IP,则说明连接成功。
% curl ipinfo.io/ip/
XXX.XXX.XXX.XXX
当有无法浏览的网站连接时
请尝试在服务器和客户端上添加MTU或MSS的设置。
tun接口的默认MTU为1500。
mssfix XXXX
tun-mtu XXXX
