Linux 搭建Open***服务器

huazhi

　　*** 注意是 V皮嗯，命令行要注意自己替换，在此表示抗议。
　　一、open***原理
　　open***通过使用公开密钥（非对称密钥，加密解密使用不同的key，一个称为Publice key，另外一个是Private key）对数据进行加密的。这种方式称为TLS加密
　　open***使用TLS加密的工作过程是，首先*** Sevrver端和*** Client端要有相同的CA证书，双方通过交换证书验证双方的合法性，用于决定是否建立***连接。
　　然后使用对方的CA证书，把自己目前使用的数据加密方法加密后发送给对方，由于使用的是对方CA证书加密，所以只有对方CA证书对应的Private key才能解密该数据，这样就保证了此密钥的安全性，并且此密钥是定期改变的，对于窃听者来说，可能还没有破解出此密钥，***通信双方可能就已经更换密钥了。
　　二、安装open***和easy-rsa
yum -y install open*** libssl-dev openssl easy-rsa　　安装完成后，可以查下open***版本

[root@Open*** open***]# open*** --version | head -2
Open*** 2.4.4 x86_64-redhat-linux-gnu [Fedora EPEL patched] [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Sep 26 2017
library versions: OpenSSL 1.0.1e-fips 11 Feb 2013, LZO 2.03　　我们可以看到open***目前的版本为2.4.4。这个版本号，建议记住。
　　可以用 rpm -ql open*** 和 rpm -ql easy-rsa  查看安装的文件
　　三、制作相关证书
　　1、制作CA证书

[root@Open*** open***]# mkdir -p /etc/open***/easy-rsa/keys
[root@Open*** open***]# cp -rf /usr/share/easy-rsa/2.0/* /etc/open***/easy-rsa
[root@Open*** open***]# ls easy-rsa
build-ca  build-inter  build-key-pass    build-key-server  build-req-pass  inherit-inter  list-crl           openssl-0.9.8.cnf  pkitool      sign-req  whichopensslcnf
build-dh  build-key    build-key-pkcs12  build-req         clean-all       keys           openssl-0.9.6.cnf  openssl-1.0.0.cnf  revoke-full  vars　　设置自动应答变量,修改vars文件
vi /etc/open***/easy-rsa/vars
export KEY_COUNTRY="CN"
export KEY_PROVINCE="CA"
export KEY_CITY="Beijing"
export KEY_ORG="babyshen"
export KEY_EMAIL="455416841@qq.com"
export KEY_OU="babyshen"
...
export KEY_NAME="babyshen"　　其中export KEY_NAME="babyshen"这个要记住下，我们下面在制作Server端证书时，会使用到。
cd /etc/open***/easy-rsa
# 加载变量
source ./vars
# 清理可之前的留存证书，并生成我们的证书颁发机构
./clean-all
#构建证书颁发机构，只需按ENTER键即可
./build-ca[root@Open*** easy-rsa]# ll keys
total 12
-rw-r--r-- 1 root root 1712 Nov 13 12:18 ca.crt
-rw------- 1 root root 1708 Nov 13 12:18 ca.key
-rw-r--r-- 1 root root    0 Nov 13 12:17 index.txt
-rw-r--r-- 1 root root    3 Nov 13 12:17 serial　　会看到已经生成了ca.crt和ca.key两个文件，其中ca.crt就是我们所说的CA证书。如此，CA证书制作完毕。
　　把该CA证书的ca.crt文件复制到open***的启动目录/etc/open***下
cp keys/ca.crt /etc/open***/　　2、制作server端证书
# 生成私钥和证书。按ENTER键以使用您的默认值。最后，回答Y（是）提交更改。
./build-key-server babyshenll keys　　已经生成了babyshen.crt、babyshen.key和babyshen.csr三个文件。其中babyshen.crt和babyshen.key两个文件是我们要使用的。
　　现在再为服务器生成加密交换时的Diffie-Hellman文件
./build-dh　　将服务器密钥和证书全部复制到Open***目录中。
cd /etc/open***/easy-rsa/keys
cp dh2048.pem babyshen.crt babyshen.key /etc/open***　　3、制作client端证书
cd /etc/open***/easy-rsa
./build-key client　　client名字可以自己修改
　　如果你想快速生成用户证书不需要手工交互的话，可以使用如下命令：
./build-key --batch client　　生成的三个文件中，client.crt和client.key两个文件是我们要使用的。
　　四、配置server端
　　复制示例server.conf文件作为我们自己的配置文件，然后修改
cp /usr/share/doc/open***-*/sample/sample-config-files/server.conf /etc/open***[root@Open*** open***]# cat server.conf
dev tun
port 9000                      # 监听端口
proto udp                      # 协议
local 172.16.18.187            # 本地监听地址
mode server
server 10.9.0.0 255.255.240.0  # ***地址池
cd /etc/open***
ca ca.crt
cert babyshen.crt              # 相关证书
key babyshen.key  
dh dh2048.pem                  # Diffie-Hellman文件
;ifconfig-pool-persist ipp.txt
keepalive 10 120
cipher AES-256-CBC
persist-key
persist-tun
status /tmp/open***.status
tmp-dir /tmp
mlock
verb 0                   # 日志级别 0-9 ，默认是3
compress lz4-v2                      # 启用数据压缩功能，之前的 comp-lzo 开始弃用
;push "compress lz4-v2"               # 推送给客户端
explicit-exit-notify 1
daemon
max-clients 500
writepid /var/run/open***.pid
auth-nocache
;auth-user-pass-verify /etc/open***/script/checkpsw.sh via-env
;client-cert-not-required
;username-as-common-name
script-security 3
;push "redirect-gateway def1 bypass-dhcp" # 告诉客户端通过我们的Open***重定向所有流量
push "route 172.16.0.0 255.240.0.0"
push "dhcp-option DNS 219.141.136.10"duplicate-cn  # 如果客户端使用相同的证书登录则打开，否则一个证书只能一个人连接
client-to-client # 连接***之后，允许局域网之间互相访问　　启动opvn***
/usr/sbin/open*** --config /etc/open***/server.conf
# 或者使用
/etc/init.d/open*** start　　五、配置windows client 端
　　安装open*** for windows客户端，我们可以从这个地址下载，如下：http://build.open***.net/downloads/releases/
　　注意：下载的客户端版本号一定要与服务器端open***的版本一直，否则可能会出现无法连接服务器的现象。
　　我们现在服务器端的open***版本是2.4.4，所以客户端也建议使用2.4.4的版本
　　把CA证书，还有client.crt和client.key 通过sftp将这三个文件导出放到windows open***的任意安装目录，建议在config目录下新建一个文件夹，将这三个文件放进去
　　在刚才和ca证书相同的目录下新建文件 client.o***
　　内容如下
client
dev tun
proto udp
remote 172.16.18.187 9000  # 和server端一致
resolv-retry infinite
cipher AES-256-CBC
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
;auth-user-pass
auth-nocache
remote-cert-tls server
compress lz4-v2
verb 3　　到此所有配置已完成。
　　linux上开启路由转发
echo 1 > /proc/sys/net/ipv4/ip_forward
或者
sed -ri 's/(net.ipv4.ip_forward = ).*/\11/' /etc/sysctl.conf
sysctl -p　　开启地址NAT转换

iptables -t nat -I POSTROUTING -s 10.0.0.0/8 -o eth0 -j MASQUERADE　　注：如果想把推送的路由文件单独提取出来放到一个文件，可以用两次--config 即可
　　例：
/usr/sbin/open*** --config /etc/open***/server.conf --config /etc/open***/route.rl
# cat route.rl
push "route 172.16.0.0 255.240.0.0"
push "route 1.1.1.0 255.255.255.0"　　六、配置 linux client 客户端
　　创建配置文件  client.conf，复制 client.crt，client.key 到当前配置目录下
　　内容如下：
client
dev tun
proto udp
remote 172.16.18.187 9000
resolv-retry infinite
cipher AES-256-CBC
nobind
persist-key
persist-tun
cd /gunzlab/etc/open***
ca ca.crt
cert client.crt
key client.key
;auth-user-pass
daemon
auth-nocache
remote-cert-tls server
verb 3　　执行
/usr/sbin/open*** --config /etc/open***/client.conf　　如果多台服务器都需要部署open***，那么也不用一台一台安装。
　　很简单，将上面的open***执行文件还有/etc/open*** 目录直接复制到需要部署的服务器即可使用，但是可能会少一些库文件，可以用ldd查看，然后从安装的服务器传过去即可。
　　1) 附件会包含open***执行文件，还有所需要的库文件，放到 /usr/lib64 下 。
　　2) 附件会包含easy-rsa目录，便于大家生成证书文件，免去安装过程
　　3) 附件会包含open*** for windows客户端安装包，（因为多种原因build.open***.net会打不开）
　　附件下载地址：

　　链接: https://pan.baidu.com/s/1mh9acdE 密码: 5mu3