搭建背景:从网上了解到openvpn,在win10搭建的资料太少了,找了很久才找到一小部分,所以目前整理一下自己搭建的成功经历,希望可以帮助到别人,也记录一下备忘。
家里是动态公网ip,使用了ddns服务,openvpn部署在win10电脑上。
自己使用安卓端的时候,发现不支持Tap模块,所以win10服务端使用了tun模块
名称 | IP |
win10服务端 | 192.168.0.14 |
win10 VPN服务端 | 10.8.0.1 |
安卓客户端 | 10.8.0.2 |
首先,介绍一下openvpn的安装
下载地址:
官网安装包下载地址(各系统版本):
第三方安装包下载地址(各系统版本):https://www.techspot.com/downloads/5182-openvpn.html
清华大学镜像地址(Linux版本)?https://mirrors-i.tuna.tsinghua.edu.cn/linuxbrew-bottles/bottles/openvpn-2.4.9.x86_64_linux.bottle.tar.gz
选中顶层openvpn
?下方会出现安装路径选择,建议D盘,其他盘也可
安装完成,软件位置D:\OpenVPN\open\目录
Cmd管理员运行,然后进入D:\OpenVPN\open\easy-rsa目录下运行EasyRSA-Start.bat 进入EasyRSA Shell命令模式
复制同目录(D:\OpenVPN\open\easy-rsa)下vars.example并重命名为vars,然后找到并修改部分参数为如下
打开vars,找到并修改如下
set_var EASYRSA_REQ_COUNTRY "CN" #国家
set_var EASYRSA_REQ_PROVINCE "JS" #省
set_var EASYRSA_REQ_CITY "SZ" #城市
set_var EASYRSA_REQ_ORG "TESTORG" #组织名称,比如公司名等
set_var EASYRSA_REQ_EMAIL "TEST@TEST12312.NET"
set_var EASYRSA_REQ_OU "TESTVPN" #组织单元
set_var EASYRSA_KEY_SIZE 2048 #密钥长度2048
set_var EASYRSA_CA_EXPIRE 1460 #ca有效期,单位为天
set_var EASYRSA_CERT_EXPIRE 825 #生成的服务端和客户端证书有效期
? ? 初始化成功后会在easy-rsa目录下新建文件夹kpi
./easyrsa init-pki #初始化目录
./easyrsa build-ca nopass #nopass参数为CA不加密码,如果要加密码则去掉nopass
????????生成过程中会要求输入证书名称,随意输入即可,本次使用CA作为名称,生成结束后会打印出证书所在目录D:\OpenVPN\open\easy-rsa\pki\ca.crt。
????????输入./easyrsa build-server-full server nopass 生成名称为server的无密码服务端证书,生成后证书文件D:\OpenVPN\open\easy-rsa\pki\issued文件夹。
????????输入./easyrsa build-client-full client nopass生成名称为client的无密码客户端证书,生成后证书在D:\OpenVPN\open\easy-rsa\pki\issued文件夹。
????????后续如果想添加其他客户端,只需双击打开EasyRSA-Start.bat批处理文件,直接输入./easyrsa build-client-full client2 nopass,client2为自定义客户端名无需做其他操作。
????????输入./easyrsa gen-dh生成DH密钥交换协议文件,生成文件在D:\OpenVPN\open\easy-rsa\pki目录下
????????TLS认证密钥?为DODS,猜解等,可生成ta.key ,cmd管理员运行进入到D:\OpenVPN\open\bin执行
openvpn --genkey --secret "D:\OpenVPN\open\config\ta.key" #路径自定义
按照上面命令生成的ta.key就在config目录下
在开启端口映射后的Windows电脑上搭建,端口是openvpn监听的端口,可在配置文件中修改,本次示范为电脑上搭建。
将生成的ca.crt、dh.pem、server.crt、server.key ta.key 具体文件名以自己定义为准
服务端配置文件模板为server.ovpn ,在D:\OpenVPN\open\sample-config目录下。复制server.ovpn文件至D:\OpenVPN\open\config目录下,用windows自带的记事本打开修改为如下配置:
?#server.ovpn文件内容参数解释,注意代码前的; #都是注释掉的意思,该语句不生效
#################################################
# Sample OpenVPN 2.0 config file for ? ? ? ? ? ?#
# open up this port on your firewall.
port 27118?#监听端口,自定义
# TCP or UDP server?
proto tcp? #协议,可tcp或者udp
# "dev tun" will create a routed IP tunnel,
# "dev tap" will create an ethernet tunnel.
# the firewall for the TUN/TAP interface.
dev tun # 本文使用tun模式,因为安卓端目前看并不支持Tap
ca ca.crt?#ca位置,如果和server.ovpn同目录,直接写文件名即可,如果不是同目录,那么写绝对路径也可以
cert server.crt
key server.key ?# This file should be kept secret
dh dh.pem
ifconfig-pool-persist ipp.txt
server 10.8.0.0 255.255.252.0 定义的vpn虚拟ip网段,最好不跟192重复,我使用的是10段
push "route 192.168.0.0 255.255.255.0"? #推送路由,即这些目的地走VPN,其实好像tun模式这个语句不生效
push "dhcp-option DNS 114.114.114.114"
push "dhcp-option DNS 223.5.5.5"
#client-config-dir ccd
# 重中之重
route 192.168.0.0 255.255.255.0 10.8.0.2? 将客户端的ip与服务端内网ip做路由,这个很重要
# 分配固定ip地址段
client-config-dir ccd
route 10.8.0.0 255.255.255.0
#push "redirect-gateway def1 bypass-dhcp"
client-to-client? #允许客户端和客户端连接,默认情况下客户端只能与服务器相连接
duplicate-cn #多客户端使用同一个证书
keepalive 10 120
tls-auth ta.key 0 # This file is secret?TLS认证密钥 防止DODS等,UDP淹没等恶意gongji,服务器端配置为0 客户端配置为1
cipher AES-256-CBC
comp-lzo?#开启vpn连接压缩,如果服务器端开启,客户端也必须开启
;user openvpn
;group openvpn
persist-key
persist-tun
status openvpn-status.log
;log ? ? ? ? openvpn.log
;log-append ?openvpn.log; 为日志文件设置适当的冗余级别(0~9)。冗余级别越高,输出的信息越详细。
; 0 表示静默运行,只记录致命错误。
; 4 表示合理的常规用法。
; 5 和 6 可以帮助调试连接错误。
; 9 表示极度冗余,输出非常详细的日志信息。
verb 6
explicit-exit-notify 1
更:
防火墙注意端口放行
route 192.168.0.0 255.255.255.0 10.8.0.2?
route 10.8.0.0 255.255.255.0
注意这两个配置,上面是配置固定ip时所用,同时需要配置client文件
下面则不需要配置client文件,直接这一条命令即可
这边可能受环境影响,所以你们部署时如果出现问题,那就三个一起加上去准好!!!
哈哈哈 ,我也懵,我这边时之前配置半天穿透不成功,加了上面那条语句就好了,结果现在吧client和上面的都注释了,留下面的竟然还可以,你们测试测试吧,可以多交流
config目录下创建一个ccd文件夹,在文件夹下创建无后缀文件,文件名与客户端证书名一一对应,文件内输入子网段及指定隧道ip如下图所示:?
只配置ifconfig即可
在客户端电脑config目录下创建client.ovpn 名字可自定义
以下为参数
client
dev tun
proto tcp
remote 域名或ip 27118 #服务器端IP或者ddns域名 端口
resolv-retry infinite
nobind #不绑定本机发起端口,配置了即使用随机端口作为源端口
;user nobody
;group nobody
persist-key
persist-tun
cipher AES-256-CBC
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
mute-replay-warnings
ca ca.crt #配置ca,如果文件和配置文件在同一个目录,则直接写文件名,不在同目录,则对应改掉。
cert client.crt #客户端证书 如上解释
key client.key #如上解释
auth-nocache #;不缓存用户名密码
;ns-cert-type server
tls-auth ta.key 1 ##TLS认证密钥 防止DODS gongji,UDP淹没等恶意gongji,服务器端配置为0 客户端配置为1
remote-cert-tls server
comp-lzo
verb 3
开启网络共享,保证可使用服务端ip192进行访问,将网络共享至tap虚拟网卡即可,这样就可以使用电脑的内网ip进行访问端口的服务。
? ? ? ? 最后要确认ip路由转发是否成功开启,在cmd里执行ipconfig/all命令确认路由转发是否开启,编辑注册表来开启路由转发。客户端就不仅可以使用openvpn-tap的ip地址访问服务器资源,也可以使用物理网卡的ip进行访问。
????????举例:服务器的本地ip是192.168.0.11,安装openvpn后虚拟tap网卡出来,openvpn的server-ip是10.11.12.0/24,默认服务器openvpn使用10.8.0.1,客户端比如自动分配的是10.8.0.2,那么在客户端可以使用192.168.0.11访问alist,如果不开启路由转发,是不可以使用192.168.0.11访问的,只可以使用10.8.0.1访问
windows默认是没有开启IP转发的,因此需要编辑注册表来开启
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
选择下面的项目:IPEnableRouter,默认是0,改为1启用,然后重启系统,在ipconfig/all可以看到否变成了是。
客户端所需证书,下列证书都在easy-rsa目录下,将其打包即可,分发到安卓端,安卓app是选中所有的证书进行安装
最后,最关键的一点,运行openvpn使用管理员方式运行,切记。
总结:本次历程是一个菜鸡新手想要搞一搞这方面的内容,所以初步进行了尝试,踩了很多坑,迷迷糊糊,所以记录一下成功过程,有错误的地方还望大佬们指正,谢谢!?
部分内容参考来源 :?
openvpn2.5.x最新版本在windows下部署服务端支持IPV6(仅技术学习记录)_木子燚的技术博客_51CTO博客OpenVPN Windows 平台安装部署教程 - 枫叶落