centos7 搭建屬於你本身的open***

如今企業大一點都會分佈不少辦公點，爲了更好的訪問內部資源，***是一個很好的選擇，今天分享一下在centos7 下安裝open***的過程和一些踩的坑，有時間寫個腳本，讓安裝今後簡單。
centos7 open*** 安裝
安裝基礎使用的工具
yum install ntpdate wget -y
同步時間：
ntpdate time.windows.com
配置iptables路由轉發：
echo "net.ipv4.ip_forward = 1" >>/etc/sysctl.d/test.conf && sysctl -p
必定要先同步時間 在生產證書：
出現這個錯誤就是沒有同步時間就開始生產證書致使的，刪除證書，從新同步時間，生產證書，重啓服務便可解決。
VERIFY ERROR: depth=1, error=self signed certificate in certificate chain:
配置epel源：
wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo
yum install open*** openssl openssl-devel -y
下載easy-rsa包：
wget https://github.com/Open×××/easy-rsa/releases/download/2.2.2/EasyRSA-2.2.2.tgz
tar -zxf EasyRSA-2.2.2.tgz
mv EasyRSA-2.2.2 easy-rsa
cp -r easy-rsa /etc/open***
cd /etc/open***/easy-rsa
修改vars：
[root@open*** easy-rsa]# cat vars |grep -v ^#|grep -v ^$
export EASY_RSA="pwd"
export OPENSSL="openssl"
export PKCS11TOOL="pkcs11-tool"
export GREP="grep"
export KEY_CONFIG=$EASY_RSA/whichopensslcnf $EASY_RSA
export KEY_DIR="$EASY_RSA/keys"
echo NOTE: If you run ./clean-all, I will be doing a rm -rf on $KEY_DIR
export PKCS11_MODULE_PATH="dummy"
export PKCS11_PIN="dummy"
export KEY_SIZE=2048
export CA_EXPIRE=3650
export KEY_EXPIRE=3650
export KEY_COUNTRY="CN"
export KEY_PROVINCE="SC"
export KEY_CITY="CHENGDU"
export KEY_ORG="CEIEC"
export KEY_EMAIL="ADMIN@ADMIN.COM"
export KEY_OU="MyOrganizationalUnit"
export KEY_NAME="EasyRSA"

source ./vars
./clean-all

生成證書

Name [EasyRSA] 那一項寫ca

./build-ca

生成服務器密鑰和證書

在challenge password和optional company name處留空

Name [EasyRSA] 那一項寫server

兩個y選項選擇y

./build-key-server server
./build-dh

生成客戶端密鑰和證書

在challenge password和optional company name處留空

Name [EasyRSA] 那一項寫client

兩個y選項選擇y

./build-key client

修改配置文件
cp /usr/share/doc/open***-2.4.5/sample/sample-config-files/server.conf /etc/open***

[root@open*** open***]# cat /etc/open***/server.conf |grep -v ^#|grep -v ^$|grep -v ^";"
port 1194
proto tcp
dev tun
ca /etc/open***/easy-rsa/keys/ca.crt
cert /etc/open***/easy-rsa/keys/server.crt
key /etc/open***/easy-rsa/keys/server.key # This file should be kept secret
dh /etc/open***/easy-rsa/keys/dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 10.8.0.0 255.255.255.0"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
client-to-client
duplicate-cn
keepalive 10 120
cipher AES-256-CBC
comp-lzo
persist-key
persist-tun
status open***-status.log
log /var/log/open***/open***.log
log-append /var/log/open***/open***.log
verb 3

建立日誌目錄：
mkdir /var/log/open***/
啓動
systemctl start open***@server.service

開啓路由轉發：
因爲centos7 沒有iptables 命令，因此須要 yum install iptables-services -y 安裝。
iptables -A INPUT -p TCP --dport 1194 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j MASQUERADE
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

客戶端安裝：
下載地址：http://build.open***.net/downloads/releases/ 全部安裝文件都在這裏能夠找到

http://build.open***.net/downloads/releases/open***-2.2.2-install.exe ##咱們下載windows版本
將 C:\Program Files\Open×××\sample-config 下 client.o*** 文件拷貝到 C:\Program Files\Open×××\config 目錄

將server端生成的 ca.crt client.crt client.key 文件拷貝到 C:\Program Files\Open×××\config

配置文件見附件

參考：
https://blog.51cto.com/noodle/1775744
https://chchc.me/2016/06/23/CentOS7-%E6%90%AD%E5%BB%BAOpen×××/
https://renwole.com/archives/471
https://my.oschina.net/liucao/blog/862930

常見問題：
現象 客戶端隔幾分鐘就開始從新鏈接，日誌以下
Fixing Open××× "Authenticate/Decrypt packet error: cipher final failed"
將服務端的cipher
cipher AES-256-CBC 配置到client端配置文件便可。
參看文件：
http://matthewcasperson.blogspot.com/2015/03/fixing-open***-authenticatedecrypt.html

必定要先同步時間 在生成證書：
出現這個錯誤就是沒有同步時間就開始生成證書致使的，刪除證書，從新同步時間，生成證書，重啓服務便可解決。
VERIFY ERROR: depth=1, error=self signed certificate in certificate chain:

最後提醒一下，出了問題不要着急，必定是先看日誌，一步一步拍錯，都是很簡單的。

附上成功的截圖：

這個變成綠色，表示你的***客戶端已經鏈接server端。
***內網段已經通了。到此爲止屬於你的open***已經搭建好了。