OpenVpn是一款开源的VPN软件,可以搭建在Linux、MAC、Windows等多种平台上,以其优异的性能与安全性著称。前几天刚好遇到一个实验项目需要构建异地访问,但市面上已有的商业化软件价格都超出预期,所以就在开源世界里寻找方案。经过昨天的一番折腾,基本打通了流程,现在把过程总结一下,以备自己查阅,同时也供后来的新手学习参考。
软件目前的最新版本是2.4.6-I602,需要梯子才能拿到,我已经将软件及高清视频教程等资源放在文末的链接里,请根据需要自取。下面我们开始安装:
双击打开,标准的windows安装程序,直接下一步。
作为服务器的计算机,安装时请勾选上图标红部分,这是整个配置的核心部分,客户端电脑可以不装。
安装目录可以采用默认,但建议目录尽可能的短,防止后面使用批处理时遇到长路径问题,我这里选择安装到D盘OpenVPN目录。
点击Finish,完成程序的初步安装。
检查一下网络连接处有没有生成虚拟网卡,如果没有,则安装失败,请以管理员身份重装一次。
安装后的目录结构是这样的,其中bin目录是主要程序文件所在,config目录是整个系统配置文件存放处,doc里为手册,easy-rsa为生成证书的工具,log是当软件以服务状态执行时存放日志的地方,sample-config存放着服务端与客户端配置文件的模板。
为了方便使用,我这里加入了一个cmd的快捷方式和名为ta.bat的批处理文件。
修改环境配置模板,注意红色标注的环境变量值,软件装在哪个目录,这里就需要改变成对应的值。下面的两个密匙长度我改的比较小,因为太长会导致生成过程异常的慢,但只能在实验里这么干,真正生产环境时必须在2048-4096之间,以保证传输的安全性。
进入命令行,执行init-config.bat对系统进行初始化。
执行环境变量设置命令vars.bat,实质就是上面的模板改名。
执行clean-all.bat,清理无关数据,保障环境的纯洁。
创建CA证书,注意Common Name处需要输入一个无重复的值,他相当于用户唯一标识。
创建服务端证书,标红处Common Name相当于用户名,Password相当于密码。
两次确认,完成服务端证书生成。
创建迪菲.赫尔曼密钥,它是一种建立秘钥的方法,这种秘钥交换技术的目的在于使两个用户安全的交换一个秘钥一遍后面的报文加密。
创建客户端证书,标红处同服务端一样,需要唯一性,并两次确认,其他全部回车取默认值。这里可以创建多个不同名的证书,分发给每个用户。
生成ta.key,主要用于防御DoS、UDP淹没等恶意攻击。
最终服务端所需证书,如上图所示,一个都不能少,否则,你就得ViewLog了。
最终客户端所需要证书及各类文件如上图,比服务端稍少。
需要分别放到对应config目录的配置文件,服务端是server,客户端是client.
服务器端证书文件及配置文件,其中标红处需要对应。
客户端config目录文件,其中client.ovpn中需要修改Remote 那行,增加服务器IP地址或者域名。
配置完成后,打开OpenVpn Gui后服务端显示获得工作IP,确认其工作正常。
这是客户端配置完成后,运行状态,通过ping命令可以看到,VPN建立完成,双方可以互相通信,至此,实验成功。
高清视频及软件请点击【阅读原文】