這一集的重點為config 的檔設定,看起來應該比較簡單一點,比較繁複的作業,在前面大致上都完成了..
Logo Ref Open VPN Project
前情提要:OpenVPN 建置筆記(第4集)
首先由OpenVPN預先設計好的設定檔,server.conf 開始做修改。有一個sample 檔放在/usr/share/doc/openvpn-2.1_rc7/sample-config-files 這個目錄下。先複製到/etc/openvpn 下。
[root@openvpn ~]#cp /usr/share/doc/openvpn-2.1_rc7/sample-config-files/server.conf /etc/openvpn/server.conf
接著去做一個ta key, 去防Dos 及 UDP port flooding 攻擊。
[root@openvpn ~]#openvpn --genkey --secret ta.key
接著編輯一下 server.conf 這個設定檔!
port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt
cert /etc/openvpn/easy-rsa/2.0/keys/server.crt
key /etc/openvpn/easy-rsa/2.0/keys/server.key
dh /etc/openvpn/easy-rsa/2.0/keys/dh2048.pem
server 10.8.0.0 255.255.255.0
#這個puch route 主要是要走100的網段到小瑞的袐密花園
push "route 192.168.100.0 255.255.255.0"
tls-auth ta.key 0
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
以上是小瑞的OpenVPN Server 端的設定檔。這個檔弄好,就可以啟動 VPN Server 囉。
[root@openvpn ~]#service openvpn start
這時候,執行一下ifconfig ,會看到多一個網路介面出來。
[root@openvpn ~]#ifconfig
tun0 Link encap:UNSPEC HWaddr
inet addr:10.8.0.1 P-t-P:10.8.0.2 Mask:255.255.255.255
接著來做一些防火牆的設定。先把樣版的firewall 複製到/etc/openvpn 下,來修改。
[root@openvpn ~]#cp /usr/share/doc/openvpn-2.1_rc7/sample-config-files/firewall.sh /etc/openvpn/.
對 firewall 做一些修改。(有加的及改的才有列出,其它的保留原來的寫法)
#!/bin/bash
echo "1" > /proc/sys/net/ipv4/ip_forward
PRIVATE=192.168.100.0/24
# Anything coming from the Internet should have a real Internet address
#iptables -A FORWARD -i eth0 -s 192.168.0.0/16 -j DROP
#iptables -A FORWARD -i eth0 -s 172.16.0.0/12 -j DROP
#iptables -A FORWARD -i eth0 -s 10.0.0.0/8 -j DROP
#iptables -A INPUT -i eth0 -s 192.168.0.0/16 -j DROP
#iptables -A INPUT -i eth0 -s 172.16.0.0/12 -j DROP
#iptables -A INPUT -i eth0 -s 10.0.0.0/8 -j DROP# Check source address validity on packets going out to internet
#iptables -A FORWARD -s ! $PRIVATE -i eth1 -j DROP# Masquerade local subnet
# iptables -t nat -A POSTROUTING -s $PRIVATE -o eth0 -j MASQUERADE
改好後,執行這個scripts
[root@openvpn ~]#./firewall
目前server 端應該是OK 了,接著要來設定一下Client 端。
小瑞使用的client 端是Winxp Service Pack 2 ,請注意, “暈倒XP” 至少要在Service Pack2 以上的版本,才不會有問題。
先下載Windows 上使用的OpenVPN GUI 軟體,可以在http://openvpn.se/files/install_packages/上下載,小瑞使用的是openvpn-2.0.9-gui-1.0.3-install.exe ,看起來比較新一點。
下載後,執行安裝。安裝完後,會產生一張,TAP-WIN32 的網路介面卡,我把它改名字為OpenVPN_Tap。這個會後面的設定檔中,會用到這個名字。
軟體裝完後,在工具列的右下方,會出現一個OpenVPN GUI 的小圖示。
接著到 C:\Program Files\OpenVPN\config 下面的建立一個nuface_client1 的目錄。
將Server 上的幾個Key File 下載到client端,ca.crt / client1.crt / client1.key / client1.csr / ta.key
最好使用安全的方式,FTP 到小瑞的電腦,請參考 各項網路服務 + SSL 應用,不過目前都在內網中,所以小瑞偷懶,就直接FTP 捉下來,放到C:\Program Files\OpenVPN\config\nuface_client1 目錄下
接著在該目錄下,建立一個nuface_client1.ovpn 檔案,內容如下:
client
dev tun
dev-node OpenVPN_Tap
proto udp
remote 192.168.2.198 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
ns-cert-type server
tls-auth ta.key 1
comp-lzo
verb 3
接著就可以在右下角的OpenVPN 小圖示上,按右鍵,選擇connect
連線過程的畫面
連線成功的畫面
目前己經跟OpenVPN Server 成功建立連線,也取得IP
於Dos命令列模式 下使用route print 檢視一下routing table,查看,要往192.168.100.0/24 網段的封包。目前會走到10.8.0.6,由OpenVPN_Tap這張卡送出,也就是走VPN 的連線。
到此大致搞定,接著要來設定小瑞的另一台袐密花園,這個留到下一集再來說吧!待續囉! ^_^
[…] 前情提要:OpenVPN 建置筆記(第5集) […]
[…] OpenVPN 建置筆記(第5集) […]