部署open***
open***虛擬專用通道
認證方式:證書認證
實驗環境:
open***_server 2塊網卡 redhat6.5 內網:192.168.1.10
外網:172.16.16.172
局域網內主機 redhat6.5 ip:192.168.1.100
open***_client win7 ip:172.16.16.173 gateway:172.16.16.172
確保安裝openssl-devel pam-devel(redhat6.5光盤中有)
lzo(準備軟件包並安裝)
lzo:致力於解壓速度的加密 ,用於實現連接***
準備open***包(open***-2.3.5.tar.gz):open***_server
easyrsa(easy-rsa-2.2.0_master.tar.gz):提供ca證書,服務端證書和客戶端證書
winscp(winscp416setup.exe):用於實現linux和win7系統之間下載文件
***客戶端(open***-install-2.3.5-I601-x86_64.exe):open***_client
1.編譯安裝open***
2.解壓easyrsa,移動到open***目錄下
3.vi vars
根據實際情況修改,這裏只改了郵箱。
4.創建根證書
Common Name 填寫***_server的FQDN名
生成dh文件
5.創建服務器證書
6.創建客戶端證書
Common Name填寫客戶端名,必須唯一。
7.打包ca證書和客戶端證書
8.利用樣例文件生成主配置文件,並修改主配置文件
修改主配置文件
dev tun:使用tun藉口建立隧道,Open*** 可以使用 TUN 或者 TAP 接口建立隧道,TUN 接口創建的是三層路由隧道,建立方便,TAP 是二層網卡橋接隧道,即創建一個以太網橋接,相對複雜。
server:是分發給***_client的IP地址
push "route 192.168.1.0 255.255.255.0":給***_client到內網的路由
9.在***_server上關閉iptables和selinux
vim /etc/sysconfig/selinux
10.啓動路由功能
11.啓動***並查看
ctrl+c終止
後臺運行
查看監聽狀態
12.下載並安裝***客戶端:open***-install-2.3.5-I601-x86_64.exe
13.把打包的ca證書和客戶端證書移動到win7上
在客戶端上安裝winscp
14. 把keys.tar.gz解壓到安裝目錄下的config裏
15. 把sample-config裏的client.o***複製到config裏
16. 修改client.o***
保存並退出
17.雙擊open***GUI連接,右擊圖標connect,連接成功
18.測試內網主機,注意內網防火牆。
19.吊銷客戶端證書
當我們需要取消某個***客戶端權限時,我們只需要吊銷客戶端證書
查看keys,生成一個 crl.pem 文件,這個文件中包含了吊銷證書的名單
查看keys/index.txt可以看到吊銷的證書
在/etc/server.conf中加入如下一行,使證書失效。
重啓open***,客戶端不能連接。