2011年1月31日星期一

[GFW BLOG(功夫网与翻墙)] OpenVZ VPS CentOS 下安装OpenVPN

来源:http://www.hefeiba.co.cc/?p=6

2011年你在网上混,神马都是浮云,翻墙才是硬道理!
网上免费的VPN一大堆,但是大多限制很多,限制不多的一定很垃圾,很慢,总之免费的东西只能让你偿个鲜,应个急,不能从根本上解决问题。
幸好有VPS这个神奇的东西!
下订单+交钱+等待开通,就这样一个属于自已的VPS到手了!
于是激动人心一刻也就开始了。。。。。。。。。
对于Linux VPS 我真的是一窍不通啊,更别说安装OpenVPN!于是找Baidu、找教程。。。。。。。。。。

第一步:检查 OpenVPN 所需环境
1、检测虚拟网卡(TUN/TAP)支持(代码如下)

cat /dev/net/tun

如果返回信息为:cat: /dev/net/tun: File descriptor in bad state 说明正常
2、检测iptables_nat模块(代码如下)

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o venet0 -j MASQUERADE

如果返回信息为:iptables: Unknown error 4294967295 说明正常
说明:如果上面两步,返回信息有一个不正常,那么你需要发个ticket让VPS公司帮忙开通。因为没有环境神马都是浮云!
第二步:安装 OpenVPN
环境准备好之后,我们正式开始安装OpenVPN了。网上的教程绝大多数都是用源代码编译方式安装的,但我这种方式不便于以后升级维护,最重要的是操作过程复杂,不适合像亿旭这样的新手,所以亿旭这里使用yum来安装。
1、默认情况下centos的yum源没有OpenVPN的,先安装EPEL这个东西(代码如下)

wget http://www.eexu.com/uploads/201101/09_115143_epelrelease54.noarch.rpm
rpm -Uvh 09_115143_epelrelease54.noarch.rpm

2、成功后yum源里面就有OpenVPN了,直接使用命令安装

yum install openvpn

说明:这里就体现了yum安装的好处,比如OpenVPN需要lzo支持,安装的时候会检测系统,没有的组件会自动安装进去。
3、找一下安装到哪去了,命令如下:

find / -name easy-rsa

找出来了原来在这里:/usr/share/openvpn/easy-rsa 大家应该都是一样的
第三步:配置 OpenVPN
1、把easy-rsa这个文件夹移出来(代码如下)

cp -R /usr/share/openvpn/easy-rsa /etc/openvpn/

2、进入然后/etc/openvpn/easy-rsa/2.0目录,用vi vars来编辑环境变量。(代码如下)

cd /etc/openvpn/easy-rsa/2.0
vi vars

根据实际情况修改,保存。这里涉及到编辑器vi的用法,不会用就自己在亿旭网上找一下。

export KEY_COUNTRY="CN"
export KEY_PROVINCE="SX"
export KEY_CITY="SX"
export KEY_ORG="eexu.com"
export KEY_EMAIL="admin@eexu.com"

3、保存后把. vars设置生效。(代码如下)

./clean-all
source ./vars

第四步、生成证书
1、创建证书颁发机构(系统出现提示操作时,直接全部回车)

./build-ca server

2、创建CA之后来生成服务器证书(系统出现提示操作时,前面直接全部回车 最后2个按y)

./build-key-server server

3、服务器证书生成完了,我们来生成客户端证书,理论上每个OpenVPN用户都有独立的证书,这里亿旭是先来生成一个作了试验。(系统出现提示操作时,前面直接全部回车 最后2个按y)

./build-key eexu

说明:这里的eexu是客户端名称,如果你再生成第二个随便换成别的名子就可以如:./build-key eexu02)
4、最后生成Diffie Hellman参数,这个需要一点时间的

./build-dh

第五步、设置OpenVPN参数
1、新建 server.conf

vi /etc/openvpn/server.conf

2、放入如下内容:(port 1194 是监听端口 proto udp 可以是 udp 或 tcp)

port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt
cert /etc/openvpn/easy-rsa/2.0/keys/server.crt
key /etc/openvpn/easy-rsa/2.0/keys/server.key
dh /etc/openvpn/easy-rsa/2.0/keys/dh1024.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
client-to-client
keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 3

第六步、启用 ipv4 转发
1、输入编辑/etc/sysctl.conf

vi /etc/sysctl.conf

2、找到net.ipv4.ip_forward = 0改成net.ipv4.ip_forward = 1保存
3、让更改生效

sysctl -p

说明:如果此时出现错误 error: "Operation not permitted" setting key "net.ipv4.tcp_syncookies" ,就编辑 /etc/sysctl.conf,注释掉 net.ipv4.tcp_syncookies 那一行
4、配置 iptables

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT �to-source 你的服务器IP地址
/etc/init.d/iptables save
/etc/init.d/iptables restart

第七步、启动 OpenVPN
1、启动 OpenVPN

service openvpn start

2、检查 OpenVPN

netstat -anup | grep 1194

如出现如下字样表示成功,OpenVPN已经打开

udp 0 0 0.0.0.0:1194 0.0.0.0:*
3907/openvpn

3、设置OpenVPN 开机启动

chkconfig openvpn on

第八步:OpenVPN 客户端
1、下载客户端: http://www.eexu.com/uploads/201101/09_144626_openvpn.zip
2、 使用SFTP软件把客户端所需文件下载到本地,服务器路径为:/etc/openvpn/easy-rsa/2.0/keys 中5个文件的:

eexu.crt
eexu.csr
eexu.key
ca.crt
ca.key

将上述5个文件下载到 C:\Program Files\OpenVPN\config
3、C:\Program Files\OpenVPN\config 文件夹下,新建 eexu.ovpn,输入以下内容

client
dev tun
proto udp
remote 服务器IP地址 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert eexu.crt
key eexu.key
ns-cert-type server
comp-lzo
verb 3

第九步:恭喜你大功告成
1在开始菜单里面找到OpenVPN GUI并运行,Vista和Win7下需要管理员身份运行。点Connect后等一下,出现本地连接2,搞定!
2、在服务器上你可以用 service openvpn start | stop | restart 来控制

―――――――――――――――――――――――――――――――――――――――――

需要翻墙利器赛风? 请阅读和关注中国数字时代

推特用户请点击这里免翻墙上推特

请点击这里下载翻墙软件

更多翻墙方法请发电邮(最好用Gmail)到:fanqiang70ma@gmail.com

请阅读和关注中国数字时代翻墙技术博客GFW BLOG(免翻墙)

请使用Google Reader订阅中国数字时代中文版http://chinadigitaltimes.net/chinese/feed),阅读最有价值的中文信息;以及GFW BLOG(功夫网与翻墙)http://feeds2.feedburner.com/chinagfwblog,获取最新翻墙工具和翻墙技巧信息。




--
Posted By GFW BLOG 功夫网与翻墙 to GFW BLOG(功夫网与翻墙) at 1/31/2011 02:19:00 AM

--
1、我们的订阅地址:http://feeds2.feedburner.com/chinagfwblog。2、发一封标题为GFW的邮件到fanqiang70ma@gmail.com,就可获取翻墙利器赛风新地址。附《数字时代》赠阅版。3、本站热烈欢迎各位朋友投稿或推荐文章,请发邮件至chinagfwblog[at]gmail.com。
停止订阅,请发邮件到
gfw-blog+unsubscribe@googlegroups.com

没有评论:

发表评论