51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术24年11月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

在Ubuntu 15.04上配置OpenVPN服务器和客户端

作者:Ivan Zabrovskiy
系统 Linux 其他OS
OpenSSL提供了两种加密方法:对称和非对称。下面,我们展示了如何配置OpenVPN的服务器端,以及如何配置使用带有公共密钥基础结构(PKI)的非对称加密和TLS协议。假定我们有一台装有类Unix操作系统的设备,比如Ubuntu 15.04,并安装有OpenVPN。

[[143587]]

虚拟专用网(VPN)常指几种通过其它网络建立连接技术。它之所以被称为“虚拟”,是因为各个节点间的连接不是通过物理线路实现的,而“专用”是指如果没有网络所有者的正确授权是不能被公开访问到。

OpenVPN软件借助TUN/TAP驱动使用TCP和UDP协议来传输数据。UDP协议和TUN驱动允许NAT后的用户建立到OpenVPN服务器的连接。此外,OpenVPN允许指定自定义端口。它提供了更多的灵活配置,可以帮助你避免防火墙限制。

OpenVPN中,由OpenSSL库和传输层安全协议(TLS)提供了安全和加密。TLS是SSL协议的一个改进版本。

OpenSSL提供了两种加密方法:对称和非对称。下面,我们展示了如何配置OpenVPN的服务器端,以及如何配置使用带有公共密钥基础结构(PKI)的非对称加密和TLS协议。

服务器端配置

首先,我们必须安装OpenVPN软件。在Ubuntu 15.04和其它带有‘apt’包管理器的Unix系统中,可以通过如下命令安装:

  1. sudo apt-get install openvpn

然后,我们必须配置一个密钥对,这可以通过默认的“openssl”工具完成。但是,这种方式十分难。这也是我们使用“easy-rsa”来实现此目的的原因。接下来的命令会将“easy-rsa”安装到系统中。

  1. sudo apt-get unstall easy-rsa

注意: 所有接下来的命令要以超级用户权限执行,如在使用sudo -i命令后执行,或者你可以使用sudo -E作为接下来所有命令的前缀。

开始之前,我们需要拷贝“easy-rsa”到openvpn文件夹。

  1. mkdir /etc/openvpn/easy-rsa
  2. cp -r /usr/share/easy-rsa /etc/openvpn/easy-rsa
  3. mv /etc/openvpn/easy-rsa/easy-rsa /etc/openvpn/easy-rsa/2.0

然后进入到该目录:

  1. cd /etc/openvpn/easy-rsa/2.0

这里,我们开始密钥生成进程。

首先,我们编辑一个“vars”文件。为了简化生成过程,我们需要在里面指定数据。这里是“vars”文件的一个样例:

  1. export KEY_COUNTRY="CN"
  2. export KEY_PROVINCE="BJ"
  3. export KEY_CITY="Beijing"
  4. export KEY_ORG="Linux.CN"
  5. export KEY_EMAIL="open@vpn.linux.cn"
  6. export KEY_OU=server

希望这些字段名称对你而言已经很清楚,不需要进一步说明了。

其次,我们需要拷贝openssl配置。另外一个版本已经有现成的配置文件,如果你没有特定要求,你可以使用它的上一个版本。这里是1.0.0版本。

  1. cp openssl-1.0.0.cnf openssl.cnf

第三,我们需要加载环境变量,这些变量已经在前面一步中编辑好了。

  1. source ./vars

生成密钥的最后一步准备工作是清空旧的证书和密钥,以及生成新密钥的序列号和索引文件。可以通过以下命令完成。

  1. ./clean-all

现在,我们完成了准备工作,准备好启动生成进程了。让我们先来生成证书。

  1. ./build-ca

在对话中,我们可以看到默认的变量,这些变量是我们先前在“vars”中指定的。我们可以检查一下,如有必要进行编辑,然后按回车几次。对话如下:

  1. Generating a 2048 bit RSA private key
  2. .............................................+++
  3. ...................................................................................................+++
  4. writing new private key to 'ca.key'
  5. -----
  6. You are about to be asked to enter information that will be incorporated
  7. into your certificate request.
  8. What you are about to enter is what is called a Distinguished Name or a DN.
  9. There are quite a few fields but you can leave some blank
  10. For some fields there will be a default value,
  11. If you enter '.', the field will be left blank.
  12. -----
  13. Country Name (2 letter code) [CN]:
  14. State or Province Name (full name) [BJ]:
  15. Locality Name (eg, city) [Beijing]:
  16. Organization Name (eg, company) [Linux.CN]:
  17. Organizational Unit Name (eg, section) [Tech]:
  18. Common Name (eg, your name or your server's hostname) [Linux.CN CA]:
  19. Name [EasyRSA]:
  20. Email Address [open@vpn.linux.cn]:

接下来,我们需要生成一个服务器密钥。

  1. ./build-key-server server

该命令的对话如下:

  1. Generating a 2048 bit RSA private key
  2. ........................................................................+++
  3. ............................+++
  4. writing new private key to 'server.key'
  5. -----
  6. You are about to be asked to enter information that will be incorporated
  7. into your certificate request.
  8. What you are about to enter is what is called a Distinguished Name or a DN.
  9. There are quite a few fields but you can leave some blank
  10. For some fields there will be a default value,
  11. If you enter '.', the field will be left blank.
  12. -----
  13. Country Name (2 letter code) [CN]:
  14. State or Province Name (full name) [BJ]:
  15. Locality Name (eg, city) [Beijing]:
  16. Organization Name (eg, company) [Linux.CN]:
  17. Organizational Unit Name (eg, section) [Tech]:
  18. Common Name (eg, your name or your server's hostname) [Linux.CN server]:
  19. Name [EasyRSA]:
  20. Email Address [open@vpn.linux.cn]:
  21.  
  22. Please enter the following 'extra' attributes
  23. to be sent with your certificate request
  24. A challenge password []:
  25. An optional company name []:
  26. Using configuration from /etc/openvpn/easy-rsa/2.0/openssl-1.0.0.cnf
  27. Check that the request matches the signature
  28. Signature ok
  29. The Subject's Distinguished Name is as follows
  30. countryName :PRINTABLE:'CN'
  31. stateOrProvinceName :PRINTABLE:'BJ'
  32. localityName :PRINTABLE:'Beijing'
  33. organizationName :PRINTABLE:'Linux.CN'
  34. organizationalUnitName:PRINTABLE:'Tech'
  35. commonName :PRINTABLE:'Linux.CN server'
  36. name :PRINTABLE:'EasyRSA'
  37. emailAddress :IA5STRING:'open@vpn.linux.cn'
  38. Certificate is to be certified until May 22 19:00:25 2025 GMT (3650 days)
  39. Sign the certificate? [y/n]:y
  40. 1 out of 1 certificate requests certified, commit? [y/n]y
  41. Write out database with 1 new entries
  42. Data Base Updated

这里,最后两个关于“签署证书”和“提交”的问题,我们必须回答“yes”。

#p#

现在,我们已经有了证书和服务器密钥。下一步,就是去生成Diffie-Hellman密钥。执行以下命令,耐心等待。在接下来的几分钟内,我们将看到许多点和加号。

  1. ./build-dh

该命令的输出样例如下:

  1. Generating DH parameters, 2048 bit long safe prime, generator 2
  2. This is going to take a long time
  3. ................................+................<许多的点>

在漫长的等待之后,我们可以继续生成最后的密钥了,该密钥用于TLS验证。命令如下:

  1. openvpn --genkey --secret keys/ta.key

现在,生成完毕,我们可以移动所有生成的文件到最后的位置中。

  1. cp -r /etc/openvpn/easy-rsa/2.0/keys/ /etc/openvpn/

最后,我们来创建OpenVPN配置文件。让我们从样例中拷贝过来吧:

  1. cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/
  2. cd /etc/openvpn
  3. gunzip -d /etc/openvpn/server.conf.gz

然后编辑:

  1. vim /etc/openvpn/server.conf

我们需要指定密钥的自定义路径

  1. ca /etc/openvpn/keys/ca.crt
  2. cert /etc/openvpn/keys/server.crt
  3. key /etc/openvpn/keys/server.key # This file should be kept secret
  4. dh /etc/openvpn/keys/dh2048.pem

一切就绪。在重启OpenVPN后,服务器端配置就完成了。

  1. service openvpn restart

Unix的客户端配置

假定我们有一台装有类Unix操作系统的设备,比如Ubuntu 15.04,并安装有OpenVPN。我们想要连接到前面建立的OpenVPN服务器。首先,我们需要为客户端生成密钥。为了生成该密钥,请转到服务器上的对应目录中:

  1. cd /etc/openvpn/easy-rsa/2.0

加载环境变量:

  1. source vars

然后创建客户端密钥:

./build-key client

我们将看到一个与先前关于服务器密钥生成部分的章节描述一样的对话,填入客户端的实际信息。

如果需要密码保护密钥,你需要运行另外一个命令,命令如下:

  1. ./build-key-pass client

在此种情况下,在建立VPN连接时,会提示你输入密码。

现在,我们需要将以下文件从服务器拷贝到客户端/etc/openvpn/keys/文件夹。

服务器文件列表:

  • ca.crt,
  • dh2048.pem,
  • client.crt,
  • client.key,
  • ta.key.

在此之后,我们转到客户端,准备配置文件。配置文件位于/etc/openvpn/client.conf,内容如下:

  1. dev tun
  2. proto udp
  3.  
  4. # 远程 OpenVPN 服务器的 IP 和 端口号
  5. remote 111.222.333.444 1194
  6.  
  7. resolv-retry infinite
  8.  
  9. ca /etc/openvpn/keys/ca.crt
  10. cert /etc/openvpn/keys/client.crt
  11. key /etc/openvpn/keys/client.key
  12. tls-client
  13. tls-auth /etc/openvpn/keys/ta.key 1
  14. auth SHA1
  15. cipher BF-CBC
  16. remote-cert-tls server
  17. comp-lzo
  18. persist-key
  19. persist-tun
  20.  
  21. status openvpn-status.log
  22. log /var/log/openvpn.log
  23. verb 3
  24. mute 20

在此之后,我们需要重启OpenVPN以接受新配置。

  1. service openvpn restart

好了,客户端配置完成。

#p#

安卓客户端配置

安卓设备上的OpenVPN配置和Unix系统上的十分类似,我们需要一个含有配置文件、密钥和证书的包。文件列表如下:

  • 配置文件 (扩展名 .ovpn),
  • ca.crt,
  • dh2048.pem,
  • client.crt,
  • client.key.

客户端密钥生成方式和先前章节所述的一样。

配置文件内容如下:

  1. client tls-client
  2. dev tun
  3. proto udp
  4.  
  5. # 远程 OpenVPN 服务器的 IP 和 端口号
  6. remote 111.222.333.444 1194
  7.  
  8. resolv-retry infinite
  9. nobind
  10. ca ca.crt
  11. cert client.crt
  12. key client.key
  13. dh dh2048.pem
  14. persist-tun
  15. persist-key
  16.  
  17. verb 3
  18. mute 20

所有这些文件我们必须移动我们设备的SD卡上。

然后,我们需要安装一个OpenVPN Connect 应用。

接下来,配置过程很是简单:

  • 打开 OpenVPN 并选择“Import”选项
  • 选择“Import Profile from SD card”
  • 在打开的窗口中导航到我们放置好文件的目录,并选择那个 .ovpn 文件
  • 应用会要求我们创建一个新的配置文件
  • 点击“Connect”按钮并稍等一下

搞定。现在,我们的安卓设备已经通过安全的VPN连接连接到我们的专用网。

尾声

虽然OpenVPN初始配置花费不少时间,但是简易的客户端配置为我们弥补了时间上的损失,也提供了从任何设备连接的能力。此外,OpenVPN提 供了一个很高的安全等级,以及从不同地方连接的能力,包括位于NAT后面的客户端。因此,OpenVPN可以同时在家和企业中使用。

责任编辑:火凤凰 来源: Linux中国
Ubuntu配置
相关推荐
如何在服务器配置客户端
使用零客户端最好的原因是因为它是无状态的,没有活动组件,唯一有可能导致其发生故障的原因就是用户将可乐洒在机器上或者机器出现物理损坏。

2014-06-01 11:03:13

VDI零客户端
如何在Linux安装、配置NTP服务器客户端
你也许听说过这个词很多次或者你可能已经在使用它了。在这篇文章中我将会清晰的告诉你NTP服务器和客户端的安装。

2019-05-05 10:42:22

LinuxNTP命令
如何在ubuntu 15.04服务器配置SNMPv3?
简单网络管理协议(SNMP)是一种“互联网标准协议,可用于管理IP网络上的设备”。通常支持SNMP的设备包括路由器、交换机、服务器、工作站、打印机、调制解调器及更多设备。SNMPv3为SNMP增添了安全和远程配置方面的改进。

2015-07-08 09:21:29

SNMP网络管理简单网络管理协议
Eclipse中SVN服务器客户端配置方法详解
在学习SVN的过程中,经常会遇到SVN的客户端或者服务器端配置问题,本文就简单的向大家介绍一下SVN服务器端与Eclipse中的SVN客户端配置,希望对你的学习有所帮助。

2010-05-31 19:29:46

SVN客户端配置
Linux实战之NFS服务器客户端配置
在RedHatEnterpriseLinux5.0服务器中,NFS服务器以后,网络中不同的计算机在使用该文件系统之前必须先挂载该文件系统。

2009-06-27 20:32:00

LinuxNFS客户端
如何在 Ubuntu 22.04 / 20.04 配置 FreeIPA 客户端
在本文中,我们将逐步介绍在Ubuntu22.0420.04上配置FreeIPA客户端的步骤。配置FreeIPA客户端后,我们将尝试使用在FreeIPA服务器上创建的用户登录。

2023-05-27 16:27:25

RHEL 5中配置NIS服务器客户端
目前,NIS基本上已经成为了业界标准,所有主流的类UNIX系统(Solaris,HPUX,AIX,Linux,NetBSD,OpenBSD,FreeBSD等等)都支持NIS。

2009-09-16 15:44:25

服务器+客户端的聊天程序
在当今这样一个网络时代,很多技术都以网络为中心在诞生。本文介绍了服务器端+客户端的聊天系统,希望对大家有用。

2009-08-18 12:51:19

服务器+客户端
Qt/E服务器客户端架构
QtE是专门为嵌入式系统开发的GUI平台,嵌入式GUI具有下面几个方面的基本要求:轻型、占用资源少、高性能、高可靠性、便于移植、可配置等特点。

2011-06-09 10:51:26

Qt 服务器 客户端
OpenVPN桌面客户端爆CSRF漏洞
Consult的安全研究员发现OpenVPN的桌面客户端存在CSRF漏洞。成功利用该漏洞,可以实现远程命令执行。openvpn已经发布公告,建议受影响的客户端版本立刻升级到最新版。

2014-07-17 15:47:52

将 UNIX 客户端配置为使用 NIS 服务器作为主服务器
对要使用NIS服务器作为主服务器的每台UNIX客户端计算机执行下列操作。

2009-09-17 18:06:44

Nis服务器
轻松分析HTTP流量:Ubuntu15.04安装配置Webalizer
Webalizer是一款免费的应用程序,可用于分析网站服务器日志。

2015-07-09 09:23:19

HTTP流量Ubuntu15.04Webalizer
LINUX设置VNC server配置服务客户端服务器
要把VNCserver配置成一项系统服务,把你的用户名称加入到下面的VNCserver配置文件中:CODE:[Copytoclipboard][tchungtchung101tchung]$sudovietcsysconfigVNCservers

2010-01-11 13:05:24

VNC server配
使用openvpn技术配置服务器
搞openvpn技术已经好久了,先是8月份经理突然让我搞个openvpn技术到服务器上,说是要在家里可以访问版本库方便,也可以增加网络的安全性,我也不明白openvpn算是什么技术。

2009-12-28 15:04:40

SVN服务器与Eclipse中的客户端配置详解
本文介绍快速建立Subversion服务器,以及在Eclipse客户端中的配置方法。本文是使用Subversion最快速的教程,在最短的时间里帮助您建立起一套可用的服务器环境,只需略加调整就可以应用到实际项目当中。

2009-06-10 16:25:02

详解客户端系统安装虚拟桌面客户端组件
本节介绍安装配置过程中的在客户端系统上安装虚拟桌面客户端组件。

2009-03-04 10:27:50

客户端组件桌面虚拟化Xendesktop
服务器配置GlassfishJavaDB
本文向您讲解在Solaris服务器上配置GlassFish和JavaDB的过程,包括在Solaris上安装GlassFish、管理JavaDB数据库等重要知识。

2009-06-18 15:04:52

Ubuntu Evolution Email 客户端配置
linux的发行版本有多种,在各种发行版本下,有学部完的知识需要我们去学习。email的配置可谓是常见的问题。本文主要介绍的是如何配置ubuntuevolutionemail客户端。

2011-02-21 09:06:19

LinuxEmail配置
Python 绝技 —— TCP 服务器客户端
本文先介绍因特网的核心协议TCP,再以Python的socket模块为例介绍网络套接字,最后给出TCP服务器与客户端的Python脚本,并演示两者之间的通信过程。

2019-08-28 15:19:15

PythonTCP服务器
详细讲解Fedora DNS服务器客户端
Linux下架设DNS服务器通常是使用Bind程序来实现的。Bind是BerkeleyInternetNameDomainService的简写,它是一款实现DNS服务器的开放源码软件。

2009-12-25 10:47:17

DNS服务器
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服