背景
某高校,宿舍端口可以配置静态IP连校内网,连到实验室的服务器;实验室的服务器可以连外网;但宿舍要连外网就要花钱买了。本着发扬专业精神的原则,决定自己动手“引网入室”。
准备工作
1.OpenVPN VPN软件(http://www.openvpn.net/),可能需要科学上网。
2.EasyRSA 2.x(https://github.com/OpenVPN/easy-rsa)用于生成密钥。注意3.x与2.x差异极大,不适用本文,下载时请认准2.x。
3.OpenVPN for Android(http://plai.de/android/)让安卓手机也能连VPN上网。选择latest stable即可。iOS不了解,相信有更好的VPN客户端可供选择。
总体流程
安装OpenVPN => 生成密钥 => 配置server-conf => 配置路由转发规则 => 复制证书/密钥到客户端 => 配置client-conf => 愉快地上网!
具体步骤
Step 1、安装OpenVPN
服务器端(Ubuntu14.04),二话不说,apt-get走起!虽然版本可能不是最新,但是能用就行,比自己下载编译安装省事多了。
客户端(Windows),双击打开安装包,搞定!
安卓客户端,当然是点击apk文件搞定啦。
Step 2、生成密钥
将下载的EasyRSA包解压,cd进入,然后输入
vi vars
按自己的喜好修改如下部分:
set KEY_COUNTRY=CN 【国家】
set KEY_PROVINCE=SiChuan 【省份】
set KEY_CITY=ChengDu 【城市】
set KEY_ORG=University 【组织名】
set KEY_EMAIL=xxxxxxx@gmail.com 【邮箱】
随后输入命令
source ./vars
提示执行./clean-all将删除keys下的文件,也就是旧的证书、密钥等。执行之:
./clean-all
接下来生成一系列证书和密钥,都在keys/目录下。
1.执行
./build-ca
生成ca.crt证书文件
2.执行
./build-key-server server
生成server.crt、server.csr、server.key三个文件,是服务器端的证书和密钥。
3.执行
./build-dh
生成一个dh1024.pem或dh2048.pem文件。
4.执行
./build-key client
生成client.crt、client.csr、client.key三个文件,是客户端的证书和密钥。
5.为了进一步加强传输加密,建议开启TSL扩展,因此输入
openvpn --genkey --secret keys/ta.key
生成一个ta.key文件。
最后,在/etc目录下创建一个名为openvpn的目录,把ca.crt、三个server.*文件、dh1024.pem(或2048)、ta.key这6个文件复制到/etc/openvpn目录下。
Step 3、配置server-conf
客户端的安装目录下,有一个sample子目录,把里面的server.conf(不同版本的目录结构略有区别,但肯定能找到这个文件)复制到服务器上/etc/openvpn目录下,然后sudo vi打开,将如下选项行首的分号去掉,并根据实际情况作相应修改,其他选项保持默认即可:
local 192.168.4.112 #填写本地IP地址
port 1194 #监听端口号
proto udp #采用UDP协议;根据代理服务器的协议而定,若HTTP proxy,则使用TCP协议
;dev tap #基于桥接的隧道
dev tun #基于路由的隧道
ca ca.crt #证书文件路径
cert server.crt#服务器证书路径
server.key #服务器私有密钥路径
dh dh1024.pem #加密文件路径
push "route 0.0.0.0 0.0.0.0" #作用不详,就这样设置吧
push "redirect-gateway def1 bypass-dhcp" # 允许客户端重定向穿越VPN到外网
push "dhcp-option DNS 202.120.222.1" # 配置主要和备用DNS地址
push "dhcp-option DNS 8.8.8.8"
duplicate-cn #允许同一个证书和密钥在多个客户端登录,以便手机电脑能同时上网
tls-auth ta.key 0 #TLS密钥文件
server 10.8.0.0 255.255.255.0 #指定VPN子网段,10.8.0.1为服务端IP,其余分配给客户端
配置完成后,就可以启动服务了,输入命令
openvpn –daemon –config /etc/openvpn/server.conf
检测服务端是否已开启:
netstat –ln
若检测未开启服务,则说明服务端配置参数有误,去掉–daemon运行参数,执行:
openvpn –config /etc/openvpn/server.conf
即可看到运行的错误提示信息,根据信息更改server.conf文件
若成功运行,执行ifconfig命令会多出一个tun0,即VPN的虚拟网卡。
Step 4、配置路由转发规则
这一步比较简单,新建一个iptables-init.sh文件,将下列代码粘贴进去并保存:
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
iptables -A INPUT -i lo -p all -j ACCEPT
iptables -A INPUT -p all -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 465 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -p udp --dport 1194 -j ACCEPT
iptables -A INPUT -s 10.8.0.0/24 -p all -j ACCEPT
iptables -A FORWARD -d 10.8.0.0/24 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
然后执行之即可。这里要注意一下第一行,博主的服务器上主网卡名不叫eth0,而是em1,因此做了相应的修改。输入ifconfig即可看到本机的情况。
Step 5、复制证书/密钥到客户端
把ca.crt、client.crt、client.key以及ta.key复制到客户端安装目录下的config子目录下。
Step 6、配置client-conf
Windows客户端很简单,把sample里的client.ovpn也复制到config子目录下,然后设置下列项:
client #指明这是客户端
dev tun #基于路由的隧道
proto udp #采用UDP协议
remote 192.168.4.112 1194 #服务端IP及端口号
ca ca.crt #证书及密钥们
cert client.crt
key client.key
nobind #客户端不绑定特定端口
remote-cert-tls server #TLS加密
tls-auth ta.key 1 #TLS密钥,1表示客户端
redirect-gateway def1 #使客户端中所有流量经过VPN
就算大功告成了,打开OpenVPN,右击任务栏的小图标,点connect即可连服务器。
独家:OpenVPN for Android配置攻略
安卓上要稍微麻烦些,因为每次都无法直接导入ovpn或conf配置文件,所以要自己创建一个。笔者版本号是0.6.65,不同版本界面略有差别,但大同小异。
首先,把客户端需要的证书、密钥都拷贝到手机上任意一个好找的文件夹下。
随后,在OpenVPN界面,点击圆圈里一个+号的符号,输入client.conf,点击“确定”,开始创建配置文件。
接下来你会看到几个选项卡,依次说明:
BASIC
是否启用了LZO压缩算法根据实际情况设置,按本文是没有启用的,所以不要勾选。
Type选择“证书”,CA Certificate选择ca.crt,Client Certificate选择client.crt,Client Certificate Key……你猜对了,client.key。
服务器列表
当然是填服务器的IP地址和端口号(本文为1194)。
IP AND DNS
把“无本地绑定”和“Override DNS Settings by Server"勾上,下面清空searchDomain,并自己填写DNS服务器地址。
AUTHENTICATION/ENCRYPTION
勾选“需要TLS服务器证书”,去掉“证书主机名检查”,打开"Use TLS Authentication",下面的TLS Auth File选择ta.key文件,加密算法写“AES-256-CBC"
其他选项卡保持默认配置。
Done。点一下返回键,你会看到首页多了一个client.ovpn栏,点击就开始连接服务器了~开始愉快的上网吧!