linux open***

 一 服务器端

(1)执行如下命令，并把该命令增长到/etc/rc.d/net/ipv4/ip_forward

(2)安装openssl-devel，open***要用的

yum –y install openssl-devel

     (3)   安装lzo和lzo-devel lzo用于***服务器与***客户端之间进行数据时对数据进行压缩

rpm -ivh lzo-*

rpm –ivh lzo-devel*

(4)下载open***，去官网下载个人版本是open***-2.1_rcl5

(5)解压编译安装  tar –zxvf open***-2.1_rcl5.tar.gz   ./configure     make   make install

(6)  编译变量定义文件。在open***源码包解压后的easy-ras/2.0/vars  修改key_country等参数根据实际状况

(7)生成ca证书                                                                                                                 

cd open***-2.1/easy-rsa/2.0     

source ./vars  

./clean-all      *注释：清楚open***全部的证书相关的值* 

./build-ca       *生成ca证书*  须要输入相关信息   除了在common name 输入***服务器的FQDN外一直默认

(8) 生成服务器证书密钥

cd open***-2.1/easy-rsa/2.0

./build-key-server server

须要输入信息参数，除了在common name 输入***服务器的FQDN外一直默认

(9)为客户端生成证书和密钥

cd open***-2.1/easy-rsa/2.0

       ./build-key client             //客户端的名字能够任意起

须要输入信息一直默认

(10)建立Diffie-hellman参数

cd open***-2.1/easy-rsa/2.0

       ./build-dh

(11)为了防止恶意***，生成一个HMAC firewall(加密认证吧不太清楚)

cd open***-2.1/easy-rsa/2.0 

open*** –genkey –secret keys/ta.key

(12)创建/etc/open***/keys目录

将刚刚生成open***的相关密钥复制到该目录

open***-2.1/easy-key/2.0/keys/下的

ca.crt  server.crt   server.key  dh1024.pem   ta.key

(13)在/etc/open***/目录创建open***配置文件server.conf

模板文件  /open***-2.1/sample-config-files/server.conf

修改内容：

#侦听客户端***请求的ip地址

local 202.206.197.174

#侦听客户端***请求的端口

port 1194  //可变

#侦听客户端***请求接口的协议

proto tcp

dev tun                        //tap是二层设备，支持链路层协议，tun是ip层的点对点协议

#制定ca信任证书的所在路径

ca /etc/open***/keys/ca.crt

#指定使用***服务器证书所在路径

cert /etc/open***/keys/server.crt

#指定使用diffie-hellman文件所在路径

dh /etc/open***/keys/dh1024.pem

 

 

server 192.168.10.0 255.255.255.0            //#***服务器分配给***客户端的ip地址范围,最好与实际的内网不在一个网段

 

client-to-client             //#***客户端之间能够通讯

 

keepalive 10 120    //每10秒ping一次，120秒未收到封包确认客户端短线

push “route 192.168. 0.0 255.255. 255.0”      //由于分配的ip不跟内网一个段，因此要添加路由~~

#启动网络传输压缩

comp-lzo

#指定客户端最大链接数

max-clients 20

 

persist-key    //当keepalive超时，从新启动，不从新读取私钥，保留第一次使用的私钥

persist-tun    //当keepalive超时，从新启动 ，一直保持tun或者tap设备是链接的，不然先断开后链接

 

status open***-status.log

log open***.log

 

tls-auth /etc/open***/keys/ta.key

 

#指定日志文件冗余

verb 4

 

(14)制做启动服务，并设置自启

cp open***-2.1/sample-script/open***,init   /etc/rc.d/init.d/open***

chkconfig –add open***

service open*** restart

chkconfig open*** on

二   客户端的设置

下载Windows版open***

安装

复制open***服务器上的相关文件和证书文件到  安装目录的 config文件夹

 

keys目录下 ca.crt      client.crt        client.key              ta.key

双击ca.crt  client.crt 安装证书

config目录下新建文件client.o***

内容：

client

dev tun

proto tcp

remote 202.206.197.174            //open***服务器地址

persist-key

persist-tun

ca ca.crt

cert client.crt

key client.key

ns-cert-type server

tls-auth  ta.key 1

comp-lzo

verb 3

客户端右击open***图标链接便可

 

 

 

server.conf   经过push “。。。。”来配置分配给客户端的一些参数

好比  push “dhcp-option DNS 202.206. 192.33”

 

若是对一些客户端单独配置能够经过 client-config-dir参数指定一个配置文件目录

eg：ccd  即 /etc/open***/ccd 目录

在该目录中以客户端的FQDN喂名称创建单独的配置文件

若是有一个客户端 jason 不想让open***服务器分配ip能够

在ccd目录下 新建jason文件  加入内容 ifconfig-push 192.168.10.10

 

 

三 吊 销证书配置

cd open***-2.1/easy-rsa/2.0     

source ./vars

./revoke-full client

 

以后再keys目录下生成一个crl.pem文件其中包括吊销的名单

将crl.pem复制到 /etc/open***/中

在server.conf 加入 crl-verfy /etc/open***/crl.pem