Debian 7(Wheezy)下配置Open***

Debian 7(Wheezy)下配置Open***
系統環境：Debian 7
Open***版本：2.2.1
1.安裝open***
# apt-get install open***
2.將/usr/share/doc/open***/examples/easy-rsa目錄拷貝到/etc/open***/目錄下
# cp -a /usr/share/doc/open***/examples/easy-rsa /etc/open***
//如果是以二進制包的方式安裝的，則應將整個easy-rsa目錄拷貝到/etc/open***目錄，以便將來升級open***包時不至於抹掉現有的配置
3.編輯/etc/open***/easy-rsa/2.0/vars文件，根據實際情況，修改以下字段：
export KEY_COUNTRY="US"
export KEY_PROVINCE="CA"
export KEY_CITY="SanFrancisco"
export KEY_ORG="Fort-Funston"
export KEY_EMAIL="[email protected]"
4.當修改/etc/open***/easy-rsa/2.0/vars文件後，必須使用source命令使其中的配置立即生效
# cd /etc/open***/easy-rsa/2.0
# source ./vars
#./clean-all
//clean-all命令會清除keys目錄下的所有證書及密鑰文件，並不是每次都需要執行./clean-all命令
5.設置自己的Certificate Authority (CA)
# ./build-ca
6.爲Open*** Server生成證書及密鑰
# ./build-key-server server
7.爲Open*** Client生成證書及密鑰
# ./build-key client1
8.爲Open*** Server生成Diffie Hellman parameters
# ./build-dh
9.將/usr/share/doc/open***/examples/sample-config-files/server.conf.gz文件複製到/etc/open***目錄，並解壓
# cp /usr/share/doc/open***/examples/sample-config-files/server.conf.gz /etc/open***
# gzip -d /etc/open***/server.conf.gz
10.編輯/etc/open***/server.conf文件
A.將ca、cert、key和dh的路徑都設爲絕對路徑
B.設置Open***的子網，如10.9.8.0/24
server 10.9.8.0 255.255.255.0
C.添加以下三行：
push "redirect-gateway def1"       //重定向客戶端的網關爲Open***服務器的網關
push "dhcp-option DNS 8.8.8.8"    //推送8.8.8.8作爲客戶端的DNS
push "dhcp-option DNS 8.8.4.4"    //推送8.8.4.4作爲客戶端的備份DNS
D.開啓Open***的日誌
log-append   open***.log
E.增強安全性，去掉指令user、group前的分號";"
;user nobody
;group nogroup
11.開啓ipv4的包轉發功能
# echo 1 > /proc/sys/net/ipv4/ip_forward   
//立即生效，重啓後失效
編輯/etc/sysctl.conf文件，將net.ipv4.ip_forward的值設爲1
//重啓系統後永久生效
12.在iptables的INPUT鏈中開啓UDP的1194端口
# iptables -A INPUT -m state --state NEW -p udp --dport 1194 -j ACCEPT
13.允許Open***的子網訪問服務器的tun0端口
# iptables -A INPUT -s 10.9.8.0/24 -j ACCEPT
14.轉發Open***子網的所有數據
# iptables -I FORWARD 1 -s 10.9.8.0/24 -j ACCEPT
# iptables -I FORWARD 2 -d 10.9.8.0/24 -j ACCEPT
# iptables -I FORWARD 3 -j LOG --log-prefix "FORWARD-LOG "
# iptables -I FORWARD 4 -j DROP
15.對Open*** Client的IP地址進行網絡地址轉換
# iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
16.Windows客戶端的配置
將 /etc/open***/easy-rsa/2.0/keys目錄下的ca.crt、client1.crt、client1.key文件下載到 windows open***的安裝目錄下的config目錄下，並將windows open***安裝目錄下的sample-config目錄下的client.o***文件也複製到config目錄中，之後編輯client.o*** 文件中的remote my-server-1 1194、client.crt和client.key三項即可。
備註：
1.每次創建客戶端證書和密鑰時都必須先執行. ./vars，但不用每次都執行./clean-all
2.如果Open*** clinet訪問是是tun0的網絡，則會經過filter表的INPUT鏈，如果訪問的是Internet，則會經過filter表的FORWARD鏈及nat表的POSTROUTING鏈