文章目录

系统环境搭建步骤安装OpenVPN服务端安装Easy RSA套件生成私钥和证书OpenVPN服务端配置OpenVPN客户端配置连接测试

系统环境

一、OpenVPN服务器系统配置

OS版本：银河麒麟服务器操作系统V10SP2（x86_64）

OpenVPN版本：2.4.8

Easy-RSA版本：3.1.1

网卡①：192.168.42.171，与外网连通；

网卡②：100.200.1.2，内部网络；

二、测试机系统环境配置

OpenVPN客户端：Win11系统，网卡IP地址192.168.42.1

内网测试机：银河麒麟桌面系统V10SP1，网卡IP地址100.200.1.3

搭建步骤

安装OpenVPN服务端

[root@localhost ~]# yum install -y openvpn

安装Easy RSA套件

下载Easy RSA源码包；

Easy RSA下载官网：/OpenVPN/easy-rsa/releases

[root@localhost ~]# wget /OpenVPN/easy-rsa/releases/download/v3.1.1/EasyRSA-3.1.1.tgz

解压Easy RSA源码包，并复制到安装目录；

[root@localhost ~]# tar -zxvf EasyRSA-3.1.1.tgz[root@localhost ~]# mkdir /etc/openvpn/easy-rsa[root@localhost ~]# cp -ar EasyRSA-3.1.1/* /etc/openvpn/easy-rsa/

生成私钥和证书

进入Easy RSA的安装目录，并配置参数；

[root@localhost ~]# cd /etc/openvpn/easy-rsa/[root@localhost easy-rsa]# cp vars.example vars[root@localhost easy-rsa]# vim vars

2. 清理原有证书和私钥并初始化；

[root@localhost easy-rsa]# ./easyrsa clean-all

3. 生成CA根证书；

[root@localhost easy-rsa]# ./easyrsa build-ca

4. 为OpenVPN服务端生成server证书和私钥；

备注：这里使用nopass参数设置不需要密码，那么在启动OpenVPN服务的时候就不提示输入密码。

[root@localhost easy-rsa]# ./easyrsa build-server-full server nopass

5. 生成Diffie-Hellman算法需要的密钥文件；

[root@localhost easy-rsa]# ./easyrsa gen-dh

6. 生成tls-auth Key用于防止DDOS和TLS攻击；

[root@localhost easy-rsa]# openvpn --genkey --secret ta.key

为OpenVPN客户端生成证书和私钥文件；

[root@localhost easy-rsa]# ./easyrsa build-client-full kylin nopass

OpenVPN服务端配置

修改OpenVPN服务端配置文件/etc/openvpn/server/server.conf；

[root@localhost ~]# cd /etc/openvpn/server/[root@localhost server]# vim server.conf

拷贝私钥、公钥和证书等文件到server.conf同级目录下；

备注：需要拷贝的文件包括ca.crt、ca.key、server.crt、server.key、dh.pem、ta.key。

[root@localhost server]# cp /etc/openvpn/easy-rsa/pki/ca.crt .[root@localhost server]# cp /etc/openvpn/easy-rsa/pki/private/ca.key .[root@localhost server]# cp /etc/openvpn/easy-rsa/pki/issued/server.crt .[root@localhost server]# cp /etc/openvpn/easy-rsa/pki/private/server.key .[root@localhost server]# cp /etc/openvpn/easy-rsa/pki/dh.pem .[root@localhost server]# cp /etc/openvpn/easy-rsa/ta.key .

3. 关闭系统firewalld防火墙，并用iptables添加NAT转发规则；

[root@localhost ~]# systemctl disable --now firewalld

[root@localhost ~]# iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j MASQUERADE[root@localhost ~]# iptables -L -n -t nat[root@localhost ~]#service iptables save[root@localhost ~]# systemctl enable --now iptables

4. 创建systemd服务文件用于管理OpenVPN Server服务自动开启；

[root@localhost ~]# cp /usr/lib/systemd/system/openvpn-server@.service /etc/systemd/system/openvpn-server@server.service

5. 设置OpenVPN Server服务开机自启并立即启动；

[root@localhost ~]# systemctl enable --now openvpn-server@server.service

OpenVPN客户端配置

安装Window版的OpenVPN客户端工具：下载地址将上述步骤中使用Easy RSA工具生成的OpenVPN客户端证书和私钥文件拷贝到Windows客户端系统中的OpenVPN安装目录的config文件夹中；

需要拷贝的文件包括：

/etc/openvpn/easy-rsa/pki/ca.crt/etc/openvpn/easy-rsa/ta.key/etc/openvpn/easy-rsa/pki/private/kylin.key/etc/openvpn/easy-rsa/pki/issued/kylin.crt

在OpenVPN服务端/etc/openvpn/client/目录下利用OpenVPN客户端模板文件client.conf创建一个连接配置文件kylin.ovpn；

[root@localhost client]# cp -rf client.conf kylin.ovpn[root@localhost client]# vim kylin.ovpn

4. 同样将上一步中的kylin.ovpn文件拷贝到Windows客户端系统中的OpenVPN安装目录的config文件夹中，最后我们在config文件夹中将会看到以下内容；

连接测试

在Windows客户端系统中双击打开OpenVPN GUI图标，，然后鼠标右键点击任务栏右下角的OpenVPN网络图标，并选择“connect”进行连接；

查看OpenVPN连接状态，确认连接成功；

OpenVPN连接成功后，我们尝试从Windows客户端系统使用VNC Viewer工具远程连接“内网测试机100.200.1.3”测试；