centos7 搭建属于你自己的open***

华风

　　现在企业大一点都会分布很多办公点，为了更好的访问内部资源，***是一个很好的选择，今天分享一下在centos7 下安装open***的过程和一些踩的坑，有时间写个脚本，让安装从此简单。
centos7 open*** 安装
安装基础使用的工具
yum install ntpdate  wget -y
同步时间：
ntpdate time.windows.com
配置iptables路由转发：
echo "net.ipv4.ip_forward = 1" >>/etc/sysctl.d/test.conf && sysctl -p
一定要先同步时间 在生产证书：
出现这个错误就是没有同步时间就开始生产证书导致的，删除证书，重新同步时间，生产证书，重启服务即可解决。
VERIFY ERROR: depth=1, error=self signed certificate in certificate chain:
配置epel源：
wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo
yum install open***  openssl openssl-devel   -y
下载easy-rsa包：
wget  https://github.com/Open***/easy-rsa/releases/download/2.2.2/EasyRSA-2.2.2.tgz
tar -zxf EasyRSA-2.2.2.tgz
mv  EasyRSA-2.2.2 easy-rsa
cp -r easy-rsa /etc/open***
cd /etc/open***/easy-rsa
修改vars：
[root@open*** easy-rsa]# cat vars |grep -v ^#|grep -v ^$
export EASY_RSA="pwd"
export OPENSSL="openssl"
export PKCS11TOOL="pkcs11-tool"
export GREP="grep"
export KEY_CONFIG=$EASY_RSA/whichopensslcnf $EASY_RSA
export KEY_DIR="$EASY_RSA/keys"
echo NOTE: If you run ./clean-all, I will be doing a rm -rf on $KEY_DIR
export PKCS11_MODULE_PATH="dummy"
export PKCS11_PIN="dummy"
export KEY_SIZE=2048
export CA_EXPIRE=3650
export KEY_EXPIRE=3650
export KEY_COUNTRY="CN"
export KEY_PROVINCE="SC"
export KEY_CITY="CHENGDU"
export KEY_ORG="CEIEC"
export KEY_EMAIL="ADMIN@ADMIN.COM"
export KEY_OU="MyOrganizationalUnit"
export KEY_NAME="EasyRSA"
　　source ./vars
./clean-all
生成证书
Name [EasyRSA] 那一项写ca
　　./build-ca
生成服务器密钥和证书
在challenge password和optional company name处留空
Name [EasyRSA] 那一项写server
两个y选项选择y
　　./build-key-server server
./build-dh
生成客户端密钥和证书
在challenge password和optional company name处留空
Name [EasyRSA] 那一项写client
两个y选项选择y
　　./build-key client
　　修改配置文件
cp /usr/share/doc/open***-2.4.5/sample/sample-config-files/server.conf  /etc/open***
　　[root@open*** open***]# cat /etc/open***/server.conf |grep -v ^#|grep -v ^$|grep -v ^";"
port 1194
proto tcp
dev tun
ca /etc/open***/easy-rsa/keys/ca.crt
cert /etc/open***/easy-rsa/keys/server.crt
key /etc/open***/easy-rsa/keys/server.key  # This file should be kept secret
dh /etc/open***/easy-rsa/keys/dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 10.8.0.0 255.255.255.0"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
client-to-client
duplicate-cn
keepalive 10 120
cipher AES-256-CBC
comp-lzo
persist-key
persist-tun
status open***-status.log
log         /var/log/open***/open***.log
log-append  /var/log/open***/open***.log
verb 3
　　创建日志目录：
mkdir /var/log/open***/
启动
systemctl start open***@server.service
　　开启路由转发：
由于centos7 没有iptables 命令，所以需要 yum install iptables-services -y 安装。
iptables -A INPUT -p TCP --dport 1194 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j MASQUERADE
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
　　客户端安装：
下载地址：http://build.open***.net/downloads/releases/ 所有安装文件都在这里可以找到
　　http://build.open***.net/downloads/releases/open***-2.2.2-install.exe ##我们下载windows版本
将 C:\Program Files\Open***\sample-config 下 client.o*** 文件拷贝到 C:\Program Files\Open***\config 目录
　　将server端生成的 ca.crt  client.crt client.key 文件拷贝到 C:\Program Files\Open***\config
　　配置文件见附件
　　参考：
http://blog.运维网.com/noodle/1775744
https://chchc.me/2016/06/23/CentOS7-%E6%90%AD%E5%BB%BAOpen***/
https://renwole.com/archives/471
https://my.oschina.net/liucao/blog/862930
　　常见问题：
现象 客户端隔几分钟就开始重新连接，日志如下
Fixing Open*** "Authenticate/Decrypt packet error: cipher final failed"
将服务端的cipher
cipher AES-256-CBC 配置到client端配置文件即可。
参看文件：
http://matthewcasperson.blogspot.com/2015/03/fixing-open***-authenticatedecrypt.html
　　一定要先同步时间 在生成证书：
出现这个错误就是没有同步时间就开始生成证书导致的，删除证书，重新同步时间，生成证书，重启服务即可解决。
VERIFY ERROR: depth=1, error=self signed certificate in certificate chain:
　　最后提醒一下，出了问题不要着急，一定是先看日志，一步一步拍错，都是很简单的。
　　附上成功的截图：

这个变成绿色，表示你的***客户端已经连接server端。

***内网段已经通了。
到此为止属于你的open***已经搭建好了。