『壹』 如何使用OpenVPN和PrivacyIDEA搭建雙因素認證的遠程接入
第一種,使用PAM的privacyidea_pam.py模塊。OpneVPN使用PAM認證,PAM調用privacyidea_pam.py模塊和PrivacyIDEA做驗證。
第二種,直接集成OpenVPN和FreeRADIUS。OpenVPN使用radius認證,FreeRADIUS向PrivacyIDEA驗證。
第三種,在OpenVPN中使用RADIUS的PAM模塊。
『貳』 CentOS7上搭建openvpn
直接安裝證書即可
需要注意的是 安裝好軟體 能正常啟動服務後
需要在安全組規則中放通服務埠
系統中的防火牆也需要放通埠
『叄』 如何在Ubuntu上安裝OpenVPN
我理解,OpenVPN的配置根據實現分三種方式:
單機 - - 站點
站點 - - 站點
單機 - - 單機
本文的描述適合單機 - - 站點實現方式,也可以理解為移動用戶連回公司網路。
目錄
1. 安裝
2. 設置認真機構,產生證書
3. 配置Server端
4. 配置Client端
1. 安裝
Ubuntu中安裝OpenVPN極其簡單:
代碼: sudo apt-get install openvpn
在Windows中安裝則建議使用 OpenVPN GUI for Windows的Installation Package,其中包括了OpenVPN本身以及在Windows中使用方便的圖形界面。
2. 設置認真機構,產生證書
參考OpenVPN的Howto進行操作,一般不會有什麼問題。
在Ubuntu中大致這樣操作,將目錄 /usr/share/doc/openvpn/examples/easy-rsa/2.0 復制的你的家目錄,修改vars使其符合你的實際情況(國家、省份、城市、公司、機構、郵件地址),然後運行 代碼: ./vars
./clean-all
./build-ca
./build-key-server <servername>
./build-key <clientname>
./build-dh
注
意:這只是第一次產生證書的正確操作,其中 build-ca 創建根證書,若你沒有清除全部VPN
Server/Client的打算,你不應該再次運行此命令;創建的全部證書及私鑰都在當前目錄的 keys 下面,而命令 clean-all 將清除
keys 下面全部內容,因此 cliean-all 只在 build-ca 前運行一次。
隨後添加 Server 證書或 Client 證書只需運行 代碼: ./vars
./build-key-server <servername>
or
./build-key <clientname>
3. 配置Server端
從示例中解壓 server.conf 代碼: sudo cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/
sudo gzip -d /etc/openvpn/server.conf.gz
將相關證書、私匙拷貝的 /etc/openvpn
ca.crt
server.crt
server.key
dh1024.pem
修改 server.conf
關鍵一:取消注釋 push "route a.b.c.d 255.255.255.0",並將地址和掩碼替換為辦公網路的地址和掩碼
目
的是為客戶端加一條路由,這樣客戶端才有可能訪問到辦公網路中出VPN
Server之外的其它主機(有很多VPN客戶端直接添加默認路由,這樣客戶端的所有連接請求都被路由到 VPN
通道內,結果是客戶端此時不能訪問VPN,而此項添加指定地址的路由不會導致這一問題)
關鍵二:取消注釋 push "dhcp-option
DNS a.b.c.d" 和 push "dhcp-option WINS a.b.c.d", 並將地址替換為實際的 DNS 和 WINS
伺服器的地址,最好 DNS 伺服器能將外部域名的解析要求轉發的外部 DNS 伺服器
目的是客戶端連接VPN後仍能訪問Internet,(若推過來的DNS不能解析外部域名,則即使客戶端的路由配置正確,想通過域名訪問Internet也不可能)
Server端其它設置
配置伺服器,運行包轉發: 代碼: echo 1 | sudo tee /proc/sys/net/ipv4/ip_forward
關鍵三:若VPN Server不是辦公網路的默認網關,則想辦法在默認網關上添加到 10.8.0.0/24 的路由項目,網關為伺服器的內部 IP 地址。
關鍵一中的操作只是能夠讓客戶端知道去往公司網路的包如何路由,而關鍵三的操作是為了讓公司網路里的主機知道去往VPN Client的包如何路由。
對
於Netscreen 25(screenos 5.3.0r3.0),Network - Routing - Destination -
[trust-vr]New - IP/mask [10.8.0.0]/[24] - 選 [Gateway], Interface
[ethernet1], Gateway IP Address [Internal IP of VPN Server]
4. 配置Client端
在Ubuntu中,
4.1.1 從示例中拷貝client.conf 代碼: sudo cp //usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/
4.1.2 將相關證書、私鑰拷貝到/etc/openvpn:
ca.crt
client.crt
client.key
4.1.3 修改/etc/openvpn/client.conf:
在 remote my-server-1 1194 這一行,將 my-server-1 換成 VPN Server 的外部IP
關鍵四:在結尾添加兩行 代碼: up /etc/openvpn/update-resolv-conf
down /etc/openvpn/update-resolv-conf
目的是根據Server推過來的 dhcp-option 更新域名解析設置
4.1.4 其它設置:
關鍵五:安裝resolvconf軟體包 代碼: sudo apt-get install resolvconf 關鍵四中設置的腳本需要使用此軟體。
在Windows中,
4.2.1 將client.ovpn拷貝的config目錄
4.2.2 將證書和相關私匙拷貝到config目錄
ca.crt
client.crt
client.key
4.2.3 將client.ovpn中的my-server-1改為VPN Server的外部IP
『肆』 如何正確搭建OpenVPN雲免伺服器
Openvpn在各操作系統中的搭建大同小異,其實都是安裝軟體、製作證書、修改配置文件、啟動連接的過程,本文對具體的安裝步驟不再贅述,在網上都能找到詳細的安裝步驟,只對安裝過程中幾個重要的點進行說明
Ø 如果yum安裝的openvpn軟體不帶easy-rsa目錄,將不能進行證書製作及發放,需要再次手動安裝easy-rsa包,然後進行證書製作及發放
Ø 製作證書的過程中輸入的證書密碼一定要牢記,將來在客戶端連接的時候會用到
Ø 製作證書的過程一共需要以下證書
ca.crt 根證書
server.crt 伺服器證書
server.key 伺服器key文件
dh.pem 驗證文件(不同版本文件名可能不同如dh1024.pem)
client.crt 客戶端證書(名字可自定義)
client.key 客戶端key文件(名字可自定義)
Ø 每
一個版本的openvpn都提供了示例配置文件,在openvpn安裝目錄的/sample/sample-config-files下,伺服器端的示例
配置文件是server.conf,客戶端在windows下的示例配置文件是client.ovpn,需要將它們拷貝到對應的config目錄進行配
置,一定要注意server端和client端的配置文件一定要一致,如都配置tcp模式,網卡都配置tun模式等,如果不一致會出現連接不上的情況
Ø 伺服器端還要注意防火牆的控制,要放通對應的埠,一般默認的埠是1194
Ø Windows下安裝完後既可以作為server端也可以作為客戶端,一般都是windows作為客戶端。Windows客戶端需要根據操作系統版本進行選擇,32位和64位一定要選擇不同的客戶端,否則將會出現虛擬網卡驅動不能安裝創建不了虛擬網卡的情況
『伍』 如何禁止OpenVPN
這只是OpenVPN的客戶端,需要搭建伺服器端,然後把伺服器端里分配的證書,密鑰,放進客戶端里的config中,修改客戶端配置文件,才能有用。。
『陸』 Openvpn尚未啟用伺服器證書驗證
要是使用證書,就要開啟相應的服務的。
『柒』 如何在Windows環境下安裝並配置OpenVPN
Step 1 OpenVPN安裝配置
1.1 下載openvpn 並安裝
· 下載openvpn-2.0.5-gui-1.0.3版,地址 http://openvpn.se/files/install_packages/openvpn-2.0.5-gui-1.0.3-install.exe,安裝。(例如:安裝到F:\OPENVPN目錄下,下文舉例都用此目錄)
· 安裝完成後生成一個新網卡,並在網路連接里出現本地連接[X],把tcp/ip屬性改成手動配置,192.168.10.1(根據實際情況更改) ,255.255.255.0,其餘不填。
1.2 生成證書
· 修改F:\OpenVPN\easy-rsa\vars.bat.sample的以下部分
CODE:
set HOME=%ProgramFiles%\OpenVPN\easy-rsa
set KEY_COUNTRY=US
set KEY_PROVINCE=CA
set KEY_CITY=SanFrancisco
set KEY_ORG=FortFunston
set [email protected]
(請根據自身情況修改)改為
CODE:
set HOME=F:\OpenVPN\easy-rsa
set KEY_COUNTRY=CN
set KEY_PROVINCE=Hubei
set KEY_CITY=Wuhan
set KEY_ORG=51NB
set [email protected]
· 生成證書
o OpenVPN 有兩種安全模式,一種基於使用 RSA 證書和密鑰的 SSL/TLS,一種使用預先分享的靜態密鑰。本文採用SSL/TLS 模式。TLS模式的優點是安全,而且便於管理用戶。默認情況下證書和用戶是一對一的,多個用戶使用同一證書會被踢出。
o 開始-->運行-->鍵入cmd,回車,進入命令提示符-->進入F:\OpenVPN\easy-rsa目錄
QUOTE:
F:\OpenVPN\easy-rsa>
o 執行如下命令
CODE:
init-config
QUOTE:
F:\OpenVPN\easy-rsa>init-config
F:\OpenVPN\easy-rsa> vars.bat.sample vars.bat
已復制 1 個文件。
F:\OpenVPN\easy-rsa> openssl.cnf.sample openssl.cnf
已復制 1 個文件。
CODE:
vars
CODE:
clean-all
QUOTE:
F:\OpenVPN\easy-rsa>vars
F:\OpenVPN\easy-rsa>clean-all
系統找不到指定的文件。
已復制 1 個文件。
已復制 1 個文件。
CODE:
vars
build-ca
build-dh
QUOTE:
F:\OpenVPN\easy-rsa>vars
F:\OpenVPN\easy-rsa>build-ca #生成根證書
Loading 'screen' into random state - done
Generating a 1024 bit RSA private key
writing new private key to 'keys\ca.key'
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
Country Name (2 letter code) [CN]:
State or Province Name (full name) [Hubei]:
Locality Name (eg, city) [Wuhan]:
Organization Name (eg, company) [51NB]:
Organizational Unit Name (eg, section) []:CMWAP
Common Name (eg, your name or your server's hostname) []:fangzy #填自己的名字
Email Address [[email protected]]:
F:\OpenVPN\easy-rsa>build-dh #這個有點慢,估計要半分鍾
Loading 'screen' into random state - done
Generating DH parameters, 1024 bit long safe prime, generator 2
This is going to take a long time
CODE:
build-key-server server
QUOTE:
F:\OpenVPN\easy-rsa>build-key-server server #生成伺服器端的密鑰,server為伺服器名
Loading 'screen' into random state - done
Generating a 1024 bit RSA private key
writing new private key to 'keys\server.key'
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
Country Name (2 letter code) [CN]:
State or Province Name (full name) [Hubei]:
Locality Name (eg, city) [Wuhan]:
Organization Name (eg, company) [51NB]:
Organizational Unit Name (eg, section) []:CMWAP
Common Name (eg, your name or your server's hostname) []:server #填自己的名字
Email Address [[email protected]]:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:xxxx #輸入4位以上的密碼
An optional company name []:
Using configuration from openssl.cnf
Loading 'screen' into random state - done
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName :PRINTABLE:'CN'
stateOrProvinceName :PRINTABLE:'Hubei'
localityName :PRINTABLE:'Wuhan'
organizationName :PRINTABLE:'51NB'
organizationalUnitName:PRINTABLE:'CMWAP'
commonName :PRINTABLE:'server'
emailAddress :IA5STRING:'[email protected]'
Certificate is to be certified until Feb 1 05:30:29 2016 GMT (3650 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
CODE:
build-key client
QUOTE:
F:\OpenVPN\easy-rsa>build-key client #生成客戶端的密鑰,client為用戶名
Loading 'screen' into random state - done
Generating a 1024 bit RSA private key
writing new private key to 'keys\client.key'
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
Country Name (2 letter code) [CN]:
State or Province Name (full name) [Hubei]:
Locality Name (eg, city) [Wuhan]:
Organization Name (eg, company) [51NB]:
Organizational Unit Name (eg, section) []:CMWAP
Common Name (eg, your name or your server's hostname) []:client
Email Address [[email protected]]:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:xxxx
An optional company name []:
Using configuration from openssl.cnf
Loading 'screen' into random state - done
DEBUG[load_index]: unique_subject = "yes"
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName :PRINTABLE:'CN'
stateOrProvinceName :PRINTABLE:'Hubei'
localityName :PRINTABLE:'Wuhan'
organizationName :PRINTABLE:'51NB'
organizationalUnitName:PRINTABLE:'CMWAP'
commonName :PRINTABLE:'client'
emailAddress :IA5STRING:'[email protected]'
Certificate is to be certified until Feb 1 05:31:40 2016 GMT (3650 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
生成多個客戶端密鑰,執行build-key client1 …… build-key xyz。
復制證書文件
剛才生成的證書文件在F:\OpenVPN\easy-rsa\keys下,伺服器端需要的文件為ca.crt,dh1024.pem,server.crt,server.key ,客戶端需要的文件為:ca.crt client.crt client.key(xxx.crt xxx.key),配置.ovpn文件時需要用到。
1.3 配置server.ovpn文件
· 在\OpenVPN\config目錄下創建server.ovpn文件將ca.crt,dh1024.pem,server.crt,server.key復制到F:\OpenVPN\config目錄下
· 伺服器端文件示例:
server.ovpn
CODE:
port 1198
proto tcp-server
dev tun
server 192.168.10.0 255.255.255.0
keepalive 20 180
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
push "redirect-gateway def1"
push "dhcp-option DNS 192.168.10.1"
mode server
tls-server
status openvpn-status.log
comp-lzo
verb 4
1.4 客戶端安裝與配置
o 安裝OpenVPN,同1.1,但是不用更改本地連接設置。
o 配置OpenVPN
§ 在\OpenVPN\config目錄下創建client.ovpn文件,將ca.crt client.crt client.key 復制到 \OpenVPN\config
目錄下,這3個文件由伺服器端生成並發放。
§ 客戶端文件示例:
client.ovpn
CODE:
client
dev tun
proto tcp-client
remote jacky.10dig.com 1198 #這里填入remote server add,可用IP或者域名,
#若Server是動態IP,可到http://www.wingdns.com/注冊動態域名綁定動態IP。
#如Client所連接Server使用路由上網,則需要使用NAT將地址映射到Server端。
resolv-retry infinite
nobind
http-proxy 10.0.0.172 80 #這里填入你的代理伺服器地址和埠,沒有代理則不用這行
mute-replay-warnings
ca ca.crt
cert client.crt #這里改成每個客戶端相應的證書
key client.key #這里改成每個客戶端相應的證書
comp-lzo
verb 4
status openvpn-status.log
右擊openvpn-gui圖標,點connect,即可連接。
The End
Thank you for your reading...
『捌』 用openssl配置CA證書時報錯ca\ca-key.pem: No such file or directory,不知道在哪裡找CA文件
是ca的路徑不對
首先需要在整個openssl的文件夾下建立一個ca文件夾,就是可以看見bin文件夾的目錄下
或者是編譯好的,就是與out32dll同級的目錄下建立ca
輸入的時候把路徑改為../ca/ca-key.pem
『玖』 如何在 Linux OpenVPN 服務端吊銷客戶端證書
進入 OpenVPN 安裝目錄的 easy-rsa 子目錄。例如我的為 /openvpn-2.0.5/easy-rsa/:
cd /openvpn-2.0.5/easy-rsa
執行 vars 命令
. vars
使用 revoke-full 命令,吊銷客戶端證書。命令格式為:
revoke-full
是VPN 客戶端證書的用戶名稱。例如:
./revoke-full client1
這條命令執行完成之後, 會在 keys 目錄下面, 生成一個 crl.pem 文件,這個文件中包含了吊銷證書的名單。
成功注銷某個證書之後,可以打開keys/index.txt 文件,可以看到被注銷的證書前面,已標記為R.
確保服務端配置文件打開了 crl-verify 選項
在服務端的配置文件 server.conf 中,加入這樣一行:
crl-verify crl.pem
如果 server.conf 文件和 crl.pem 沒有在同一目錄下面,則 crl.pem 應該寫絕對路徑,例如:
crl-verify /openvpn-2.0.5/easy-rsa/keys/crl.pem
重啟 OpenVPN 服務。