2016-08-18完善VPN

judasn · judasn · commit 08773185a98f · 2016-08-18T16:12:53.000+08:00
diff --git a/Bash-Other-Bash.md b/Bash-Other-Bash.md
@@ -12,6 +12,10 @@
 		- `rpm -qa | grep jdk`，查看 jdk 是否被安装
 	- 卸载
 		- `rpm -e jdk`，卸载 jdk（一般卸载的时候都要先用 rpm -qa 看下整个软件的全名）
+- 查看某个配置文件，排除掉里面以 # 开头的注释内容：
+    - `grep '^[^#]' /etc/openvpn/server.conf`
+- 查看某个配置文件，排除掉里面以 # 开头和 ; 开头的注释内容：
+    - `grep '^[^#;]' /etc/openvpn/server.conf`
 
 ## 资料
 
diff --git a/Bash.md b/Bash.md
@@ -82,6 +82,7 @@
 - `cp 源文件 目标文件`，复制文件
 	- `cp -r 源文件夹 目标文件夹`，复制文件夹
 	- `cp -r -v 源文件夹 目标文件夹`，复制文件夹(显示详细信息，一般用于文件夹很大，需要查看复制进度的时候)
+	- `cp /usr/share/easy-rsa/2.0/keys/{ca.crt,server.{crt,key},dh2048.pem,ta.key} /etc/openvpn/keys/`，复制同目录下花括号中的文件
 - `tar cpf - . | tar xpf - -C /opt`，复制当前所有文件到 /opt 目录下，一般如果文件夹文件多的情况下用这个更好，用 cp 比较容易出问题
 - `mv 文件 目标文件夹`，移动文件到目标文件夹
 	- `mv 文件`，不指定目录重命名后的名字，用来重命名文件
diff --git a/VPN.md b/VPN.md
@@ -2,7 +2,7 @@
 
 ## VPN 介绍
 
-VPN 分类有很多，这里主要讲 PPTPD 和 L2TPD
+VPN 分类有很多，这里主要讲 PPTPD 和 L2TPD、OpenVPN
 
 ## PPTPD 安装
 
@@ -32,8 +32,8 @@ VPN 分类有很多，这里主要讲 PPTPD 和 L2TPD
     - `ms-dns 8.8.8.8`           #配置DNS，如果是境外服务器最好改为google的，国内的看情况
     - `ms-dns 8.8.4.4`           #配置DNS，如果是境外服务器最好改为google的，国内的看情况
 - 开启系统转发（记得先备份）：`sudo vim /etc/sysctl.conf`
- - 修改配置信息：
-    - `net.ipv4.ip_forward=1` #默认是注释掉的，要取消注释，也有出现是没有注释，但是默认是这样的：`net.ipv4.ip_forward=0`
+ - 修改配置信息该值改为 1：
+    - `net.ipv4.ip_forward=1` # 默认是注释掉的，要取消注释，也有出现是没有注释，但是默认是0：`net.ipv4.ip_forward=0`
  - 刷新配置：`sudo sysctl -p`
 - 设置 iptables 转发：
  - 追加 iptables 规则：`sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE`
@@ -43,6 +43,7 @@ VPN 分类有很多，这里主要讲 PPTPD 和 L2TPD
  - 在文件尾巴添加如下配置信息：
     - `mytest1 pptpd 123456 *` #该格式分别表示：登录名、登录协议、密码、该连接上的客户端用什么 IP（* 表示随机一个 IP）
 - 重启服务：`sudo service pptpd restart`
+- Windows 连接 VPN 方法：<http://www.cnblogs.com/yuzeren48/p/4123879.html>
 
 ## L2TPD 安装
 
@@ -63,33 +64,41 @@ VPN 分类有很多，这里主要讲 PPTPD 和 L2TPD
  - 172.31.201.255 %any:    PSK"adc123456"  #在文件最后一行补充：（格式是：本机内网IP，后面是配置密钥。密钥不配置也可以但是建议配上去）
 - 编辑 L2TPD 配置文件介绍（记得先备份）：`sudo vim /etc/xl2tpd/xl2tpd.conf`
  - 修改配置信息：
-    - ipsec saref = yes           
-    - require chap = yes   
-    - refuse pap = yes   
-    - require authentication = yes  
-    - ppp debug = yes  
-    - length bit = yes
-    - ip range = 192.168.1.10-192.168.1.200              #这是客户端连接本机的IP端限制
-    - local ip = 172.31.201.255        #这是本机服务器端的内网 IP
-    - pppoptfile = /etc/ppp/options.xl2tpd        #指定本机的 PPP 配置文件地址，如果你的 PPP 配置文件地址不是这里那就改下
+
+``` bash 
+ipsec saref = yes           
+require chap = yes   
+refuse pap = yes   
+require authentication = yes  
+ppp debug = yes  
+length bit = yes
+ip range = 192.168.1.10-192.168.1.200              #这是客户端连接本机的IP端限制
+local ip = 172.31.201.255        #这是本机服务器端的内网 IP
+pppoptfile = /etc/ppp/options.xl2tpd        #指定本机的 PPP 配置文件地址，如果你的 PPP 配置文件地址不是这里那就改下
+```
+
 - 编辑 PPP 配置文件介绍（记得先备份）：`sudo vim /etc/ppp/options.xl2tpd` (如果没有这个文件自己创建)
  - 在文件尾巴添加如下配置信息：
-    - refuse-mschap-v2           
-    - refuse-mschap           
-    - ms-dns 8.8.8.8           #配置DNS，如果是境外服务器最好改为google的，国内的看情况
-    - ms-dns 8.8.4.4           #配置DNS，如果是境外服务器最好改为google的，国内的看情况
-    - asyncmap 0           
-    - auth           
-    - lock           
-    - hide-password           
-    - local           
-    - name l2tpd           
-    - proxyarp           
-    - lcp-echo-interval 30           
-    - lcp-echo-failure 4           
-    - refuse           
-    - refuse           
-    - refuse   
+
+``` bash
+refuse-mschap-v2           
+refuse-mschap           
+ms-dns 8.8.8.8           #配置DNS，如果是境外服务器最好改为google的，国内的看情况
+ms-dns 8.8.4.4           #配置DNS，如果是境外服务器最好改为google的，国内的看情况
+asyncmap 0           
+auth           
+lock           
+hide-password           
+local           
+name l2tpd           
+proxyarp           
+lcp-echo-interval 30           
+lcp-echo-failure 4           
+refuse           
+refuse           
+refuse   
+```
+
 - 在终端输入命令：sudo sh -c 'for each in /proc/sys/net/ipv4/conf/* do echo 0 > $each/accept_redirects echo 0 > $each/send_redirects done'
 - 开启系统转发（记得先备份）：`sudo vim /etc/sysctl.conf`
  - 修改配置信息：
@@ -103,10 +112,179 @@ VPN 分类有很多，这里主要讲 PPTPD 和 L2TPD
  - 在文件尾巴添加如下配置信息：
     - mytest1 l2tpd 123456 * #该格式分别表示：登录名、登录协议、密码、该连接上的客户端用什么 IP（* 表示随机一个 IP）
 - 重启服务：`sudo service l2tpd restart`
+- Windows 连接 VPN 方法：<http://www.cnblogs.com/yuzeren48/p/4123879.html>
+
+## OpenVPN 安装
+
+- 主要软件版本信息：
+ - OpenVPN：2.3.11-1.el6
+ - EasyRsa：2.2.2-1.el6
+- 检查系统环境是否支持：`cat /dev/net/tun`，如果出现：`cat: /dev/net/tun: File descriptor in bad state`，则表示支持。如果现实的是：`cat: /dev/net/tun: No such device `，则不支持
+- 需要先安装 EPEL 源，具体可以看这篇文章：[CentOS 源设置](https://github.com/judasn/Linux-Tutorial/blob/master/centos-settings/CentOS-Extra-Packages.md)
+- 安装：
+ - 安装依赖包：
+    - `yum install -y gcc make rpm-build autoconf.noarch openssl openssl-devel lzo lzo-devel pam pam-devel automake pkgconfig`
+ - 安装 OpenVPN：
+    - `yum install -y openvpn easy-rsa`
+
+## OpenVPN 服务配置
+
+### 禁用 selinux
+
+- 编辑配置文件：`vim /etc/selinux/config`
+- 把 `SELINUX=enforcing` 改为 `SELINUX=disabled`
+
+### 生成OpenVPN需要的服务器、客户端证书
+
+- 使用 easy-rsa 的脚本产生证书
+
+- 修改vars文件
+ - `cd /usr/share/easy-rsa/2.0`，后面关于证书的操作都是在这个目录下
+ - `vim vars`
+    - 需要修改的内容主要有下面这些信息（在文件 64 行）：注册信息，比如公司地址、公司名称、部门名称等。
+     - `export KEY_COUNTRY="CN"`
+     - `export KEY_PROVINCE="GuangDong"`
+     - `export KEY_CITY="GuangZhou"`
+     - `export KEY_ORG="YouMeekOrganization"`
+     - `export KEY_EMAIL="admin@youmeek.com"`
+     - `export KEY_OU="YouMeekOrganizationalUnit"`
+
+- 初始化环境变量
+ - `source vars`
+ 
+- 清除keys目录下所有与证书相关的文件，下面步骤生成的证书和密钥都在 /usr/share/easy-rsa/2.0/keys 目录里
+ - `./clean-all`
+ 
+- 生成根证书 ca.crt 和根密钥 ca.key（会有好几个提示，你都不需要输入什么内容，一路按回车即可，除非你懂原理）
+ - `./build-ca`
+ 
+- 为服务端生成证书和密钥（也会有好几个提示，你都不需要输入什么内容，一路按回车即可，直到提示需要输入y/n时，输入y再按回车继续走）
+ - 其中：server，这个名字别改，照着来，等下那些就可以直接使用。
+ - `./build-key-server server`
+ 
+- 每一个登陆的VPN客户端需要有一个证书，每个证书在同一时刻只能供一个客户端连接，下面语句是建立2份demo，你可以只输入第一个即可。
+- 为客户端生成证书和密钥（一路按回车，直到提示需要输入y/n时，输入y再按回车，一共两次）
+ - 其中：client1，这个名字别改，照着来，等下那些就可以直接使用，除非你会。
+ - `./build-key client1`
+ - `./build-key client2`
+ 
+- 创建迪菲·赫尔曼密钥，会在 keys 目录里面生成dh2048.pem文件（生成过程比较慢，在此期间不要去中断它，我这边花的时间是：2分钟）
+ - `./build-dh`
+ 
+### 设置OpenVPN服务端配置文件
+
+- 复制一份服务器端配置文件模板server.conf到/etc/openvpn/
+- 其中，我这边现在的版本是：2.3.11，所以我这边是填这个，你的不一定就跟我一样，所以你先到 doc 目录下，看下你具体是哪个版本，改下下面这句命令即可。
+ - `cp /usr/share/doc/openvpn-2.3.11/sample/sample-config-files/server.conf /etc/openvpn/`
+
+- 编辑 server.conf，把下面的内容替换到已有的文件中，记得去掉后面的注释，我这样写只是为了方便解释对应的内容含义：
+    - `vim /etc/openvpn/server.conf`
+
+``` bash
+port 1194 # 端口一般我们不改
+proto udp # 默认使用udp，如果使用HTTP Proxy，改成tcp，必须使用tcp协议，还需要注意的是：需要与客户端配置保持一致，等下客户端配置会说道
+dev tun
+ca /usr/share/easy-rsa/2.0/keys/ca.crt # 这一行默认值为：ca ca.crt
+cert /usr/share/easy-rsa/2.0/keys/server.crt # 这一行默认值为：cert server.crt
+key /usr/share/easy-rsa/2.0/keys/server.key  # 这一行默认值为：key server.key
+dh /usr/share/easy-rsa/2.0/keys/dh2048.pem  # 这一行默认值为：dh dh2048.pem
+server 10.192.170.0 255.255.255.0  # 给客户的分配的局域网IP段，默认虚拟局域网网段，不要和实际的局域网冲突即可，这个10.192.170.0跟下面还有一个地方配置也有关联，需要注意
+ifconfig-pool-persist ipp.txt # 启用了ipp.txt作为客户端和virtual IP的对应表，以方便客户端重新连接可以获得同样的IP；
+keepalive 10 120
+comp-lzo
+persist-key
+persist-tun
+status openvpn-status.log  # OpenVPN的状态日志，默认为/etc/openvpn/openvpn-status.log
+log openvpn.log # OpenVPN的运行日志，默认为/etc/openvpn/openvpn.log 
+log-append openvpn.log
+verb 3
+
+push "redirect-gateway def1 bypass-dhcp"
+push "dhcp-option DNS 8.8.8.8"
+push "dhcp-option DOMAIN-SEARCH ap-northeast-1.compute.internal"
+push "dhcp-option DOMAIN-SEARCH ec2.drawbrid.ge"
+```
+
+
+
+### 配置内核和防火墙，开启nat功能，启动服务
+
+- 开启路由转发功能
+    - 修改配置信息该值改为 1：
+        - `net.ipv4.ip_forward=1` # 默认是注释掉的，要取消注释，也有出现是没有注释，但是默认是0：`net.ipv4.ip_forward=0`
+        - 其他方式更改值：`sed -i '/net.ipv4.ip_forward/s/0/1/' /etc/sysctl.conf`
+    - 刷新配置：`sudo sysctl -p`
+
+辨别你的 VPS 是属于那种虚拟方式，主流有：Xen KVM OpenVZ，方法：
+- `sudo yum install -y virt-what`，virt-what是一个判断当前环境所使用的虚拟技术的脚本，常见的虚拟技术基本上都能正常识别出来
+    - `sudo virt-what`，我这边 Vultr 输出的结果是：KVM
+
+- 配置防火墙
+    - `iptables -A INPUT -p udp --dport 1194 -j ACCEPT`
+    - `iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT`
+
+- 设置IP转发，若你的 VPS 虚拟方案是：Xen 或 KVM的请输入：（eth0要根据具体的网卡标示来，可以通过ifconfig查看），其中：10.192.170.0/16 表示客户端连接上去后从这个区间中分配给客户端的IP地址
+    - `iptables -t nat -A POSTROUTING -s 10.192.170.0/16 -o eth0 -j MASQUERADE`
+
+- 若你的 VPS 虚拟方案是：OpenVZ 的请输入：（45.32.90.12是你VPS的IP）
+    - `iptables -t nat -A POSTROUTING -s 10.192.170.0/16 -j SNAT --to-source 45.32.90.12`
+- 保存防火墙配置
+    - `service iptables save`
+    - `service iptables restart`
+    - `chkconfig iptables on`
+
+ 
+### 启动openvpn并设置为开机启动
+
+- `service openvpn start`
+- `chkconfig openvpn on`
+
+
+### OpenVPN客户端配置
+
+下载 Windows 客户端：
+https://openvpn.net/index.php/download/community-downloads.html
+
+Mac 用户下载这个 tunnelblick（该地址需要开穿越）：
+http://code.google.com/p/tunnelblick/
+
+- 从服务器上下载证书文件到本地：
+    - `/usr/share/easy-rsa/2.0/keys/ca.crt`
+    - `/usr/share/easy-rsa/2.0/keys/client1.crt`
+    - `/usr/share/easy-rsa/2.0/keys/client1.key`
+
+到你本地的电脑上（window电脑在安装好OpenVPN软件后可以把如上证书拷贝到如下文件夹里：C:\Program Files\OpenVPN\config ）
+
+从服务器找到这个文件：/usr/share/doc/openvpn-2.3.11/sample/sample-windows/sample.ovpn，下载到本地电脑这个目录下：C:\Program Files\OpenVPN\config
+然后把这个文件改名字为：client1.ovpn 文件内如如下, 其他不用改只要把SERVER-IP 改成你服务器的 IP  
+
+``` bash
+client        #这个client不是自定义名称 不能更改
+dev tun       #要与前面server.conf中的配置一致。
+proto udp              #要与前面server.conf中的配置一致。
+remote 45.32.90.12 1194    #将45.32.90.12替换为你VPS的IP，端口也与前面的server.conf中配置一致。
+resolv-retry infinite
+nobind
+persist-key
+persist-tun
+ca ca.crt              #具体名称以刚下载的为准
+cert client1.crt              #具体名称以刚下载的为准
+key client1.key              #具体名称以刚下载的为准
+comp-lzo
+verb 3
+```
 
+- 打开 OpenVPN 客户端，连接试试看。
 
 ## VPN 资料
 
 - <http://www.jikexueyuan.com/course/1692_2.html?ss=1>
 - <http://gnailuy.com/linux/2011/07/04/pptp-vpn/>
+- <http://www.centoscn.com/CentosServer/test/2014/1120/4153.html>
+- <https://linux.cn/article-3706-1.html>
+- <http://www.bkjia.com/yjs/1041400.html>
+- <http://blog.liujason.com/1663.html>
+- <http://shit.name/openvpn-on-centos/>
+- <http://kunsland.github.io/blogs/2015/03/22/vps-openvpn/>
+- <http://neolee.com/web/centos-openvz-vps-configuration-openvpn/>
 - [Freeradius 服务（用于账号认证管理的工具，可以扩展到VPN的账号管理）](http://www.jikexueyuan.com/course/1692_4.html?ss=2)
