前言:
open***是一個***工具,用於創建虛擬專用網絡(Virtual Private Network)加密通道的免費開源軟件,提供證書驗證功能,也支持用戶名密碼認證登錄方式,當然也支持兩者合一,爲服務器登錄和連接提供更加安全的方式,可以在不同網絡訪問場所之間搭建類似於局域網的專用網絡通道,配合特定的代理服務器,可用於訪問特定受限網站(你懂得)或者突破內部網絡限制. 在企業運維管理人員手中,我們通常用來在跳板機上安裝***工具,連接上以管理內部服務器,方便的同時又增加了安全性!
安裝
實驗環境:centos6系列系統
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 | # 關閉selinux setenforce 0 sed -i '/^SELINUX=/c\SELINUX=disabled' /etc/selinux/config #把官方源備份整理,然後摒棄 cd /etc/yum.repos.d/ mkdir yum.bak mv CentOS-* yum.bak/ # 安裝epel源,因爲資源比較全 #這是6系列系統的源 rpm -Uvh http://mirrors.kernel.org/fedora-epel/6/i386/epel-release-6-8.noarch.rpm #這是7系列系統的源 #rpm -Uvh http://mirrors.kernel.org/fedora-epel/7Server/x86_64/e/epel-release-7-8.noarch.rpm #安裝163源,和epel互補,速度也較快 #這是6系列系統的源 wget命令可以用本地yum安裝 yum -y install wget wget http://mirrors.163.com/.help/CentOS6-Base-163.repo #這是7系列系統的源 #wget http://mirrors.163.com/.help/CentOS7-Base-163.repo yum makecache # 安裝openssl和lzo,lzo用於壓縮通訊數據加快傳輸速度 yum -y install openssl openssl-devel lzo # 安裝open***和easy-rsa yum -y install open*** easy-rsa |
其實也可以源碼編譯,不過費時費力,倒是效果一樣,而且版本不同並不影響太多功能,內部系統要求也不至於那麼高,所以直接yum安裝也是夠用的了.
配置
一般來說,open***需要配置證書來使用,假如你只使用用戶名密碼來認證登錄,也不是不可以,只是安全性稍微打了一些折扣,下面來看看配證書.
先找到製作證書的工具easy-rsa存放的位置,一般yum安裝的軟件大多數都是這個路徑/usr/share
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 | #先確認位置 find / -name easy-rsa /usr/share/easy-rsa /usr/share/doc/easy-rsa #修改vars文件 cd /usr/share/easy-rsa/2.0/ vim vars #修改註冊信息,比如公司地址、公司名稱、部門名稱等。 爲了實驗的方便,你可以只修改CN國家,或者不作修改,沒有影響 export KEY_COUNTRY="CN" 國家 export KEY_PROVINCE="GD" 省份 export KEY_CITY="canton" 城市 export KEY_ORG="XXX.com" 域名 export KEY_EMAIL="[email protected]" 郵箱 export KEY_OU="XXX.com" 組織單位 #保存退出,然後加載一下,注意當前文件夾路徑,後續操作暫時不能更換文件夾路徑,不然會報錯 source vars # 清除keys目錄下所有與證書相關的文件 # 下面步驟生成的證書和密鑰都在/usr/share/easy-rsa/keys目錄裏 ./clean-all # 生成根證書ca.crt和根密鑰ca.key(一路按回車即可) ./build-ca # 爲服務端生成證書和私鑰(一路按回車,直到提示需要輸入y/n時,輸入y再按回車,一共兩次) ./build-key-server server # 每一個登陸的***客戶端需要有一個證書,每個證書在同一時刻只能供一個客戶端連接,下面建立2份 # 爲客戶端生成證書和私鑰(一路按回車,直到提示需要輸入y/n時,輸入y再按回車,一共兩次) ./build-key test1 ./build-key test2 # 創建迪菲·赫爾曼密鑰,會生成dh2048.pem文件(生成過程比較慢,在此期間不要去中斷它) ./build-dh # 生成ta.key文件(防DDos***、UDP淹沒等惡意***) open*** --genkey --secret keys/ta.key |
證書已經生成完畢了,來看看證書存放的目錄keys,就在當前文件夾目錄裏面(所以叫你別換文件夾路徑),
[root@localhost keys]# ls
01.pem ca.key index.txt.attr.old server.crt test1.crt test2.csr
02.pem dh2048.pem index.txt.old server.csr test1.csr test2.key
03.pem index.txt serial server.key test1.key
ca.crt index.txt.attr serial.old ta.key test2.crt
[root@localhost keys]# pwd
/etc/open***/keys
好了,證書準備完畢,就開始正式配置服務端了,要定義配置文件
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 | #在open***的配置目錄下新建一個keys目錄 mkdir /etc/open***/keys # 將需要用到的open***證書和密鑰複製一份到剛創建好的keys目錄中 cp /usr/share/easy-rsa/keys/* /etc/open***/keys/ #編輯server.conf,有些版本有模板,有些版本沒有,只能自建 vim /etc/open***/server.conf #定義端口號,默認是1194,不想被"特殊照顧",那就改一下吧 port 11194 # 改成tcp,默認使用udp,如果使用HTTP Proxy,必須使用tcp協議 proto tcp #路由模式,橋接模式用dev tap dev tun # 路徑前面加keys,全路徑爲/etc/open***/keys/ca.crt ca keys/ca.crt cert keys/server.crt key keys/server.key # This file should be kept secret dh keys/dh2048.pem # 默認虛擬局域網網段,不要和實際的局域網衝突即可,路由模式,橋接模式用server-bridge server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt # 10.0.0.0/8是我這臺***服務器所在的內網的網段,讀者應該根據自身實際情況進行修改 push "route 10.0.0.0 255.0.0.0" # 可以讓客戶端之間相互訪問直接通過open***程序轉發,根據需要設置 client-to-client # 如果客戶端都使用相同的證書和密鑰連接***,一定要打開這個選項,否則每個證書只允許一個人連接*** duplicate-cn keepalive 10 120 tls-auth keys/ta.key 0 # This file is secret comp-lzo persist-key persist-tun # Open***的狀態日誌,默認爲/etc/open***/open***-status.log status open***-status.log # Open***的運行日誌,默認爲/etc/open***/open***.log log-append open***.log #日誌等級,看你需求,5就看多一些調試信息,3就簡單些 verb 3 ###--加入腳本處理,如用密碼驗證 script-security 3 ###指定只用的認證腳本 auth-user-pass-verify /etc/open***/checkpsw.sh via-env ###不請求客戶的CA證書,使用User/Pass驗證,如果同時啓用證書和密碼認證,註釋掉該行 #client-cert-not-required ### 使用客戶提供的UserName作爲Common Name username-as-common-name #保存退出,其他配置請看最後列出的配置說明 |
然後就是密碼認證的腳本了,需要自己創建,放在open***的控制目錄,和keys文件夾同一個文件夾(不是放keys裏面)就可以了,server.conf配置文件裏可以體現.
checkpsw.sh 需要加x權限 chmod +x /etc/open***/checkpsw.sh
12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 | #先看看腳本 cat /etc/open***/checkpsw.sh #!/bin/bash ########################################################### # checkpsw.sh (C) 2004 Mathias Sundman <mathias@open***.se> # # This script will authenticate Open*** users against # a plain text file. The passfile should simply contain # one row per user with the username first followed by # one or more space(s) or tab(s) and then the password. PASSFILE="/etc/open***/psw-file" LOG_FILE="/var/log/open***-password.log" TIME_STAMP=`date "+%Y-%m-%d %T"` ########################################################### if [ ! -r "${PASSFILE}" ]; then echo "${TIME_STAMP}: Could not open password file \"${PASSFILE}\" for reading." >> ${LOG_FILE} exit 1 fi CORRECT_PASSWORD=`awk '!/^;/&&!/^#/&&$1=="'${username}'"{print $2;exit}' ${PASSFILE}` if [ "${CORRECT_PASSWORD}" = "" ]; then echo "${TIME_STAMP}: User does not exist: username=\"${username}\", password=\"${password}\"." >> ${LOG_FILE} exit 1 fi if [ "${password}" = "${CORRECT_PASSWORD}" ]; then echo "${TIME_STAMP}: Successful authentication: username=\"${username}\"." >> ${LOG_FILE} exit 0 fi echo "${TIME_STAMP}: Incorrect password: username=\"${username}\", password=\"${password}\"." >> ${LOG_FILE} exit 1
#當然了,還要建議個記錄用戶名和密碼的文件,腳本標記的文件是psw-file,前面是用戶名.空格後是密碼 cat /etc/open***/psw-file admin admin1234 |
配置寫完了,最後來看看系統還要做一些東西
1 2 3 4 5 6 7 8 9 10 11 12 13 | #開啓路由轉發功能,在/etc/sysctl.conf裏添加更改 sed -i '/net\.ipv4\.ip\_forward/c\net\.ipv4\.ip\_forward\=1' /etc/sysctl.conf #有些可能沒有這個設置,那就在這個文件最後加入 echo "net\.ipv4\.ip\_forward\=1" >> /etc/sysctl.conf #重載一下這個文件的參數 sysctl -p # 配置防火牆,別忘記保存 iptables -I INPUT -p tcp --dport 11194 -m comment --comment "open***" -j ACCEPT iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j MASQUERADE service iptables save #啓動open***並設置爲開機啓動 service open*** start 注意,如果啓動失敗,請查看當前目錄的open***.log,分析錯誤問題解決,如果連log都沒有,肯定是你的server.conf文件有錯誤 可以使用open*** /etc/open***/server.conf 沒有顯示則無問題 如果你是複製粘貼我的命令,可以會出現字符集錯誤導致系統識別失敗,具體請看open***的日誌文件。 netstat -anput | grep 11194 可以看到open***正在運行中…… 啓動成功後,ifconfig一下,我們可以看到出來了一個虛擬網卡,IP是我們定義的虛擬地址範圍內的。 |
下面我們還要配置客戶端文件,這個是需要應用到客戶端裏面的
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 | # 編輯client.o***,也是有些版本有模板,有些版本沒有,只能自建 vim client.o*** client # 路由模式 dev tun # 改爲tcp proto tcp # Open***服務器的外網IP和端口 remote 外網IP 11194 resolv-retry infinite nobind persist-key persist-tun ca ca.crt # test1的證書 cert test1.crt # test1的密鑰 key test1.key ns-cert-type server tls-auth ta.key 1 comp-lzo verb 3 #密碼認證相關 auth-user-pass |
最後,準備客戶端的配置文件,
1 2 3 4 5 6 7 8 | #先創建一個config文件夾, mkdir config #將剛剛編輯好的client.o***和keys文件夾裏面的ca.crt、test1.crt、test1.key、ta.key拷貝進去. cp -ar client.o*** config/ cd keys cp -ar ca.crt test1.crt test1.key ta.key config/ #壓縮 tar zcf config.tar.gz config |
最後把config.tar.gz拷貝出來備用,最後在客戶端裏面使用
使用客戶端
上面的都是服務端的操作,下面是客戶端的操作,一般而言,windows和linux都可以,當然了,大部分人辦公還是windows爲主,我們也是以這個來說
首先,當然是要下載了,各位可以自行下載open***客戶端,因爲是開源,所以是免費的,不用註冊,不用給錢,直接下載就可以了,不過官網在牆外,比較悲劇,下面是我上傳的地址,可以去這裏下載,版本是2.3.12.
http://down.51cto.com/data/2254112
windows的客戶端怎麼安裝我就不多說了,直接點exe下一步就行,不用註冊也不用你搞什麼破解什麼的事,直到安裝完就是,期間唯一比較特別的也就是提示你安裝個虛擬網卡,允許就ok了.
然後還記得最後下載的config.tar.gz麼?請先找到客戶端的安裝目錄,
對的,把config.tar.gz的文件全部解壓,放到客戶端安裝目錄的config文件夾裏面
這個時候,你就可以雙擊桌面上的open***圖標進行測試了,雙擊後再通知欄會有這個灰色的東西
然後鼠標右鍵點擊conect開始連接
彈出登錄框,輸入你的用戶名密碼
正確通過認證後,看到小框變綠色就完成了
最後我們來測試下,能ping通,那就是完成了
配置文件詳解
Server使用的配置文件server.conf
—————————–
#申明本機使用的IP地址,也可以不說明
;local a.b.c.d
#申明使用的端口,默認1194
port 1194
#申明使用的協議,默認使用UDP,如果使用HTTP proxy,必須使用TCP協議
;proto tcp
proto udp
#申明使用的設備可選tap和tun,tap是二層設備,支持鏈路層協議。
#tun是ip層的點對點協議,限制稍微多一些,本人習慣使用TAP設備
dev tap
;dev tun
#Open***使用的ROOT CA,使用build-ca生成的,用於驗證客戶是證書是否合法
ca ca.crt
#Server使用的證書文件
cert server.crt
#Server使用的證書對應的key,注意文件的權限,防止被盜
key server.key # This file should be kept secret
#CRL文件的申明,被吊銷的證書鏈,這些證書將無法登錄
crl-verify ***crl.pem
#上面提到的生成的Diffie-Hellman文件
dh dh1024.pem
#這是一條命令的合集,如果你是Open***的老用戶,就知道這條命令的來由
#這條命令等效於:
# mode server #Open***工作在Server模式,可以支持多client同時動態接入
# tls-server #使用TLS加密傳輸,本端爲Server,Client端爲tls-client
#
# if dev tun: #如果使用tun設備,等效於以下配置
# ifconfig 10.8.0.1 10.8.0.2 #設置本地tun設備的地址
# ifconfig-pool 10.8.0.4 10.8.0.251 #說明Open***使用的地址池(用於分配給客戶),分別是起始地址、結束地址
# route 10.8.0.0 255.255.255.0 #增加一條靜態路由,省略下一跳地址,下一跳爲對端地址,這裏是: 10.8.0.2
# if client-to-client: #如果使用client-to-client這個選項
# push “route 10.8.0.0 255.255.255.0″ #把這條路由發送給客戶端,客戶連接成功後自動加入路由表,省略了下一跳地址: 10.8.0.1
# else
# push “route 10.8.0.1″ #否則發送本條路由,這是一個主機路由,省略了子網掩碼和下一跳地址,分別爲: 255.255.255.255 10.8.0.1
#
# if dev tap: #如果使用tap設備,則等效於以下命令
# ifconfig 10.8.0.1 255.255.255.0 #配置tap設備的地址
# ifconfig-pool 10.8.0.2 10.8.0.254 255.255.255.0 #客戶端使用的地址池,分別是起始地址、結束地址、子網掩碼
# push “route-gateway 10.8.0.1″ #把環境變量route-gateway傳遞給客戶機
#
server 10.8.0.0 255.255.255.0 #等效於以上命令
#用於記錄某個Client獲得的IP地址,類似於dhcpd.lease文件,
#防止open***重新啓動後“忘記”Client曾經使用過的IP地址
ifconfig-pool-persist ipp.txt
#Bridge狀態下類似DHCPD的配置,爲客戶分配地址,由於這裏工作在路由模式,所以不使用
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
#通過*** Server往Client push路由,client通過pull指令獲得Server push的所有選項並應用
;push “route 192.168.10.0 255.255.255.0″
;push “route 192.168.20.0 255.255.255.0″
#***啓動後,在*** Server上增加的路由,***停止後自動刪除
;route 10.9.0.0 255.255.255.252
#Run script or shell command cmd to validate client
#virtual addresses or routes. 具體查看manual
;learn-address ./script
#其他的一些需要PUSH給Client的選項
#
#使Client的默認網關指向***,讓Client的所有Traffic都通過***走
;push “redirect-gateway”
#DHCP的一些選項,具體查看Manual
;push “dhcp-option DNS 10.8.0.1″
;push “dhcp-option WINS 10.8.0.1″
#如果可以讓*** Client之間相互訪問直接通過open***程序轉發,
#不用發送到tun或者tap設備後重新轉發,優化Client to Client的訪問效率
client-to-client
#如果Client使用的CA的Common Name有重複了,或者說客戶都使用相同的CA
#和keys連接***,一定要打開這個選項,否則只允許一個人連接***
;duplicate-cn
#NAT後面使用***,如果***長時間不通信,NAT Session可能會失效,
#導致***連接丟失,爲防止之類事情的發生,keepalive提供一個類似於ping的機制,
#下面表示每10秒通過***的Control通道ping對方,如果連續120秒無法ping通,
#認爲連接丟失,並重新啓動***,重新連接
#(對於mode server模式下的open***不會重新連接)。
keepalive 10 120
#上面提到的HMAC防火牆,防止DOS***,對於所有的控制信息,都使用HMAC signature,
#沒有HMAC signature的控制信息不予處理,注意server端後面的數字肯定使用0,client使用1
tls-auth ta.key 0 # This file is secret
#對數據進行壓縮,注意Server和Client一致
comp-lzo
#定義最大連接數
;max-clients 100
#定義運行open***的用戶
user nobody
group nobody
#通過keepalive檢測超時後,重新啓動***,不重新讀取keys,保留第一次使用的keys
persist-key
#通過keepalive檢測超時後,重新啓動***,一直保持tun或者tap設備是linkup的,
#否則網絡連接會先linkdown然後linkup
persist-tun
#定期把open***的一些狀態信息寫到文件中,以便自己寫程序計費或者進行其他操作
status open***-status.log
#記錄日誌,每次重新啓動open***後刪除原有的log信息
log /var/log/open***.log
#和log一致,每次重新啓動open***後保留原有的log信息,新信息追加到文件最後
;log-append open***.log
#相當於debug level,具體查看manual
verb 3
#########################################################################
接下來配置客戶端的配置文件client.conf:
Linux或Unix下使用擴展名爲.conf Windows下使用的是.o***,並把需要使用的keys複製到配置文件所在目錄ca.crt elm.crt elm.key ta.key
———————————-
# 申明我們是一個client,配置從server端pull過來,如IP地址,路由信息之類“Server使用push指令push過來的”
client
#指定接口的類型,嚴格和Server端一致
dev tap
;dev tun
# Windows needs the TAP-Win32 adapter name
# from the Network Connections panel
# if you have more than one. On XP SP2,
# you may need to disable the firewall
# for the TAP adapter.
;dev-node MyTap
# 使用的協議,與Server嚴格一致
;proto tcp
proto udp
#設置Server的IP地址和端口,如果有多臺機器做負載均衡,可以多次出現remote關鍵字
remote 61.1.1.2 1194
;remote my-server-2 1194
# 隨機選擇一個Server連接,否則按照順序從上到下依次連接
;remote-random
# 始終重新解析Server的IP地址(如果remote後面跟的是域名),
# 保證Server IP地址是動態的使用DDNS動態更新DNS後,Client在自動重新連接時重新解析Server的IP地址
# 這樣無需人爲重新啓動,即可重新接入***
resolv-retry infinite
# 在本機不邦定任何端口監聽incoming數據,Client無需此操作,除非一對一的***有必要
nobind
# 運行open***用戶的身份,舊版本在win下需要把這兩行註釋掉,新版本無需此操作
user nobody
group nobody
#在Client端增加路由,使得所有訪問內網的流量都經過***出去
#當然也可以在Server的配置文件裏頭設置,Server配置裏頭使用的命令是
# push “route 192.168.0.0 255.255.255.0″
route 192.168.0.0 255.255.0.0
# 和Server配置上的功能一樣如果使用了chroot或者su功能,最好打開下面2個選項,防止重新啓動後找不到keys文件,或者nobody用戶沒有權限啓動tun設備
persist-key
persist-tun
# 如果你使用HTTP代理連接*** Server,把Proxy的IP地址和端口寫到下面
# 如果代理需要驗證,使用http-proxy server port [authfile] [auth-method]
# 其中authfile是一個2行的文本文件,用戶名和密碼各佔一行,auth-method可以省略,詳細信息查看Manual
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
# 對於無線設備使用***的配置,看看就明白了
# Wireless networks often produce a lot
# of duplicate packets. Set this flag
# to silence duplicate packet warnings.
;mute-replay-warnings
# Root CA 文件的文件名,用於驗證Server CA證書合法性,通過easy-rsa/build-ca生成的ca.crt,和Server配置裏的ca.crt是同一個文件
ca ca.crt
# easy-rsa/build-key生成的key pair文件,上面生成key部分中有提到,不同客戶使用不同的keys修改以下兩行配置並使用他們的keys即可。
cert elm.crt
key elm.key
# Server使用build-key-server腳本什成的,在x509 v3擴展中加入了ns-cert-type選項
# 防止*** client使用他們的keys + DNS hack欺騙*** client連接他們假冒的*** Server
# 因爲他們的CA裏沒有這個擴展
ns-cert-type server
# 和Server配置裏一致,ta.key也一致,注意最後參數使用的是1
tls-auth ta.key 1
# 壓縮選項,和Server嚴格一致
comp-lzo
# Set log file verbosity.
verb 4