Debian 7(Wheezy)下配置Open*** 系統環境:Debian 7 Open***版本:2.2.1 1.安裝open*** # apt-get install open*** 2.將/usr/share/doc/open***/examples/easy-rsa目錄拷貝到/etc/open***/目錄下 # cp -a /usr/share/doc/open***/examples/easy-rsa /etc/open*** //如果是以二進制包的方式安裝的,則應將整個easy-rsa目錄拷貝到/etc/open***目錄,以便將來升級open***包時不至於抹掉現有的配置 3.編輯/etc/open***/easy-rsa/2.0/vars文件,根據實際情況,修改以下字段: export KEY_COUNTRY="US" export KEY_PROVINCE="CA" export KEY_CITY="SanFrancisco" export KEY_ORG="Fort-Funston" export KEY_EMAIL="[email protected]" 4.當修改/etc/open***/easy-rsa/2.0/vars文件後,必須使用source命令使其中的配置立即生效 # cd /etc/open***/easy-rsa/2.0 # source ./vars #./clean-all //clean-all命令會清除keys目錄下的所有證書及密鑰文件,並不是每次都需要執行./clean-all命令 5.設置自己的Certificate Authority (CA) # ./build-ca 6.爲Open*** Server生成證書及密鑰 # ./build-key-server server 7.爲Open*** Client生成證書及密鑰 # ./build-key client1 8.爲Open*** Server生成Diffie Hellman parameters # ./build-dh 9.將/usr/share/doc/open***/examples/sample-config-files/server.conf.gz文件複製到/etc/open***目錄,並解壓 # cp /usr/share/doc/open***/examples/sample-config-files/server.conf.gz /etc/open*** # gzip -d /etc/open***/server.conf.gz 10.編輯/etc/open***/server.conf文件 A.將ca、cert、key和dh的路徑都設爲絕對路徑 B.設置Open***的子網,如10.9.8.0/24 server 10.9.8.0 255.255.255.0 C.添加以下三行: push "redirect-gateway def1" //重定向客戶端的網關爲Open***服務器的網關 push "dhcp-option DNS 8.8.8.8" //推送8.8.8.8作爲客戶端的DNS push "dhcp-option DNS 8.8.4.4" //推送8.8.4.4作爲客戶端的備份DNS D.開啓Open***的日誌 log-append open***.log E.增強安全性,去掉指令user、group前的分號";" ;user nobody ;group nogroup 11.開啓ipv4的包轉發功能 # echo 1 > /proc/sys/net/ipv4/ip_forward //立即生效,重啓後失效 編輯/etc/sysctl.conf文件,將net.ipv4.ip_forward的值設爲1 //重啓系統後永久生效 12.在iptables的INPUT鏈中開啓UDP的1194端口 # iptables -A INPUT -m state --state NEW -p udp --dport 1194 -j ACCEPT 13.允許Open***的子網訪問服務器的tun0端口 # iptables -A INPUT -s 10.9.8.0/24 -j ACCEPT 14.轉發Open***子網的所有數據 # iptables -I FORWARD 1 -s 10.9.8.0/24 -j ACCEPT # iptables -I FORWARD 2 -d 10.9.8.0/24 -j ACCEPT # iptables -I FORWARD 3 -j LOG --log-prefix "FORWARD-LOG " # iptables -I FORWARD 4 -j DROP 15.對Open*** Client的IP地址進行網絡地址轉換 # iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE 16.Windows客戶端的配置 將 /etc/open***/easy-rsa/2.0/keys目錄下的ca.crt、client1.crt、client1.key文件下載到 windows open***的安裝目錄下的config目錄下,並將windows open***安裝目錄下的sample-config目錄下的client.o***文件也複製到config目錄中,之後編輯client.o*** 文件中的remote my-server-1 1194、client.crt和client.key三項即可。 備註: 1.每次創建客戶端證書和密鑰時都必須先執行. ./vars,但不用每次都執行./clean-all 2.如果Open*** clinet訪問是是tun0的網絡,則會經過filter表的INPUT鏈,如果訪問的是Internet,則會經過filter表的FORWARD鏈及nat表的POSTROUTING鏈 |
Debian 7(Wheezy)下配置Open***
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.