阿里雲+OpenWRT+OPEN***搭建遠程運維平臺

Open***組網步驟
一、基於ubuntu 16.04的open***的搭建
（1）服務端防火牆配置
打開1194端口
（2）easy-rsa安裝
sudo apt-get -y install easy-rsa
（3）Open***的安裝與配置
sudo apt-get -y install open*** libssl-dev openssl
詳見雲服務器 /etc/openvpcn/server.conf(建議與原版的server.conf 對比查看即可，原版有備份在同級目錄下)
（4）證書的製作與註銷
製作
1.sudo mkdir /etc/open***/easy-rsa/

2.複製 提供的 keys 包 到目錄 /etc/open***/easy-rsa/

3.source vars

4.執行vars.txt 內部的指令

5.在 /etc/open***/easy-rsa/ 下執行 ./build-key user1(用戶名)
（一路回車 最後2個選項按y，表示授權）

6.在keys下面會生成 user1.crt user1.key

7.將這2個證書放在客戶端配置後，可以查看服務器的日誌確定 這個用戶有沒有上線
cat /etc/open***/open***.log

SENT CONTROL [user1]: 'PUSH_REPLY,route 10.8.0.0 255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5' (status=1)

吊銷
1.cd /etc/open***/easy-rsa/

2.source vars

3.執行vars.txt 內部的指令

4../revoke-full nnn（客戶端證書名字）

5.在服務端的配置文件 server.conf 中，加入這樣一行：
crl-verify /etc/open***/easy-rsa/keys/crl.pem

6./etc/init.d/open*** restart

包含以下內容的分類製作過程：
1、一證多用（網關設備），一證一用（運維人員）；
網關設備用 ***csy ,因爲人員自行參考上述證書製作

2、根據用戶需求可製作動態IP地址和固定IP地址的網關設備；
默認都是動態ip

靜態ip設置方法
server.conf 加上配置
client-config-dir /etc/open***/ccd

進入/etc/open***/ccd 目錄，然後編輯證書名字同名的文件

然後加入一段 ifconfig-push 10.8.0.13 10.8.0.14
重啓***服務器

3、對於運維人員的一證一用，隨時製作，隨時註銷；
參考上述證書製作 吊銷
二、基於Openwrt的編譯固件的製作
（1）編譯固件步驟
1.打開 network->***->open***-openssl
2.打開 luci->applicatio->luci-app-open***
3.修改files/open***文件

config open*** 'custom_config'
option config '/etc/open***/my-***.conf'
option dev 'tun'
option nobind '1'
option client '1'
option port '1194'
option remote 'server_ip'
option proto 'tcp'
option keepalive '10 120'
option compress 'lzo'
option status '/tmp/open***-status.log'
option persist_key '1'
option persist_tun '1'
option verb '3'
option user 'nobody'
option group 'nogroup'
option ca '/lib/uci/upload/cbid.open***.custom_config.ca'
option dh '/lib/uci/upload/cbid.open***.custom_config.dh'
option cert '/lib/uci/upload/cbid.open***.custom_config.cert'
option key '/lib/uci/upload/cbid.open***.custom_config.key'

config open*** 'sample_server'
option port '1194'
option dev 'tun'
option remote 'server_ip'
option keepalive '10 120'
option compress 'lzo'
option persist_key '1'
option persist_tun '1'
option user 'nobody'
option group 'nogroup'
option status '/tmp/open***-status.log'
option verb '3'
option proto 'tcp'
option client '1'
option dev_type 'tun'
option ca '/lib/uci/upload/cbid.open***.sample_server.ca'
option dh '/lib/uci/upload/cbid.open***.sample_server.dh'
option enabled '1'
option cert '/lib/uci/upload/cbid.open***.sample_server.cert'
option key '/lib/uci/upload/cbid.open***.sample_server.key'

4.修改makefile文件添加內容：

$(INSTALL_DATA) \
    files/open***.options \
    $(1)/usr/share/open***/open***.options
mkdir -p $(1)/lib/uci/upload
$(INSTALL_DATA) \
    files/cert/ca.crt \
    $(1)/lib/uci/upload/cbid.open***.sample_server.ca
$(INSTALL_DATA) \
    files/cert/dh2048.pem \
    $(1)/lib/uci/upload/cbid.open***.sample_server.dh
$(INSTALL_DATA) \
    files/cert/***csy.crt \
    $(1)/lib/uci/upload/cbid.open***.sample_server.cert
$(INSTALL_DATA) \
    files/cert/***csy.key \
    $(1)/lib/uci/upload/cbid.open***.sample_server.key

$(INSTALL_CONF) files/open***.config \
    $(1)/etc/config/open***

（2）內網映射及防火牆配置
在web端添加
iptables -t nat -A PREROUTING -i tun0 -p tcp -m tcp --dport 8888 -j DNAT --to-destination 192.168.1.41:8000

刪除
iptables -t nat -D PREROUTING -i tun0 -p tcp -m tcp --dport 8888 -j DNAT --to-destination 192.168.1.41:8000

三、windows客戶端的聯網
將證書複製到指定位置 修改o***文件即可
 
四、openwrt的客戶端聯網
1、動態Ip的設備聯網
使用 ***csy證書 獲得的是動態ip
2、固定Ip地址的設備聯網
參考 靜態ip設置方法