linux open***

 一 服務器端

(1)執行如下命令，並把該命令增長到/etc/rc.d/net/ipv4/ip_forward

(2)安裝openssl-devel，open***要用的

yum –y install openssl-devel

     (3)   安裝lzo和lzo-devel lzo用於***服務器與***客戶端之間進行數據時對數據進行壓縮

rpm -ivh lzo-*

rpm –ivh lzo-devel*

(4)下載open***，去官網下載個人版本是open***-2.1_rcl5

(5)解壓編譯安裝  tar –zxvf open***-2.1_rcl5.tar.gz   ./configure     make   make install

(6)  編譯變量定義文件。在open***源碼包解壓後的easy-ras/2.0/vars  修改key_country等參數根據實際狀況

(7)生成ca證書                                                                                                                 

cd open***-2.1/easy-rsa/2.0     

source ./vars  

./clean-all      *註釋：清楚open***全部的證書相關的值* 

./build-ca       *生成ca證書*  須要輸入相關信息   除了在common name 輸入***服務器的FQDN外一直默認

(8) 生成服務器證書密鑰

cd open***-2.1/easy-rsa/2.0

./build-key-server server

須要輸入信息參數，除了在common name 輸入***服務器的FQDN外一直默認

(9)爲客戶端生成證書和密鑰

cd open***-2.1/easy-rsa/2.0

       ./build-key client             //客戶端的名字能夠任意起

須要輸入信息一直默認

(10)建立Diffie-hellman參數

cd open***-2.1/easy-rsa/2.0

       ./build-dh

(11)爲了防止惡意***，生成一個HMAC firewall(加密認證吧不太清楚)

cd open***-2.1/easy-rsa/2.0 

open*** –genkey –secret keys/ta.key

(12)創建/etc/open***/keys目錄

將剛剛生成open***的相關密鑰複製到該目錄

open***-2.1/easy-key/2.0/keys/下的

ca.crt  server.crt   server.key  dh1024.pem   ta.key

(13)在/etc/open***/目錄創建open***配置文件server.conf

模板文件  /open***-2.1/sample-config-files/server.conf

修改內容：

#偵聽客戶端***請求的ip地址

local 202.206.197.174

#偵聽客戶端***請求的端口

port 1194  //可變

#偵聽客戶端***請求接口的協議

proto tcp

dev tun                        //tap是二層設備，支持鏈路層協議，tun是ip層的點對點協議

#制定ca信任證書的所在路徑

ca /etc/open***/keys/ca.crt

#指定使用***服務器證書所在路徑

cert /etc/open***/keys/server.crt

#指定使用diffie-hellman文件所在路徑

dh /etc/open***/keys/dh1024.pem

 

 

server 192.168.10.0 255.255.255.0            //#***服務器分配給***客戶端的ip地址範圍,最好與實際的內網不在一個網段

 

client-to-client             //#***客戶端之間能夠通訊

 

keepalive 10 120    //每10秒ping一次，120秒未收到封包確認客戶端短線

push 「route 192.168. 0.0 255.255. 255.0」      //由於分配的ip不跟內網一個段，因此要添加路由~~

#啓動網絡傳輸壓縮

comp-lzo

#指定客戶端最大鏈接數

max-clients 20

 

persist-key    //當keepalive超時，從新啓動，不從新讀取私鑰，保留第一次使用的私鑰

persist-tun    //當keepalive超時，從新啓動 ，一直保持tun或者tap設備是鏈接的，不然先斷開後鏈接

 

status open***-status.log

log open***.log

 

tls-auth /etc/open***/keys/ta.key

 

#指定日誌文件冗餘

verb 4

 

(14)製做啓動服務，並設置自啓

cp open***-2.1/sample-script/open***,init   /etc/rc.d/init.d/open***

chkconfig –add open***

service open*** restart

chkconfig open*** on

二   客戶端的設置

下載Windows版open***

安裝

複製open***服務器上的相關文件和證書文件到  安裝目錄的 config文件夾

 

keys目錄下 ca.crt      client.crt        client.key              ta.key

雙擊ca.crt  client.crt 安裝證書

config目錄下新建文件client.o***

內容：

client

dev tun

proto tcp

remote 202.206.197.174            //open***服務器地址

persist-key

persist-tun

ca ca.crt

cert client.crt

key client.key

ns-cert-type server

tls-auth  ta.key 1

comp-lzo

verb 3

客戶端右擊open***圖標鏈接便可

 

 

 

server.conf   經過push 「。。。。」來配置分配給客戶端的一些參數

好比  push 「dhcp-option DNS 202.206. 192.33」

 

若是對一些客戶端單獨配置能夠經過 client-config-dir參數指定一個配置文件目錄

eg：ccd  即 /etc/open***/ccd 目錄

在該目錄中以客戶端的FQDN喂名稱創建單獨的配置文件

若是有一個客戶端 jason 不想讓open***服務器分配ip能夠

在ccd目錄下 新建jason文件  加入內容 ifconfig-push 192.168.10.10

 

 

三 吊 銷證書配置

cd open***-2.1/easy-rsa/2.0     

source ./vars

./revoke-full client

 

以後再keys目錄下生成一個crl.pem文件其中包括吊銷的名單

將crl.pem複製到 /etc/open***/中

在server.conf 加入 crl-verfy /etc/open***/crl.pem