环境介绍
cat /etc/redhat-release
uname -r
配置 *** 服务器时间同步,若不同配置后面链接会报错,并将时间同步命令添加到定时任务中
/usr/sbin/ntpdate pool.ntp.org
echo '#time sync' >> /var/spool/cron/root
echo '*/5 * * * * /usr/sbin/ntpdate pool.ntp.org > /dev/null 2>&1' >> /var/spool/cron/root
crontab -l
创建一个专门存放 open*** 软件的目录
mkdir -p /home/yueliang/tools/open***
安装 lrzsz 软件,方便后面安装包以及文件的上传和下载
yum -y install lrzsz
需要上传 lzo,openvon 两个软件,直接拖拽就ok了
cd /home/yueliang/tools/open***/
ls
安装 lzo 软件,用于后面文件的压缩
tar zxf lzo-2.06.tar.gz
cd lzo-2.06
./configure && make && make install
通过 yum 安装 openssl,openssl-devel 两个软件,没有它俩 open*** 的安装就会报错
yum -y install openssl openssl-devel
安装 open*** 软件
tar zxf open***-2.2.2.tar.gz
cd open***-2.2.2
./configure --with-lzo-headers=/usr/local/include --with-lzo-lib=/usr/local/lib
make
make install
检查 open*** 是否安装成功,并且查看其版本
which open***
open*** --version
备份 var 文件,并且修改模板
cd /home/yueliang/tools/open***/open***-2.2.2/easy-rsa/2.0
cp vars vars.bak
vim vars
export KEY_COUNTRY="CN"
export KEY_PROVINCE="BJ"
export KEY_CITY="BJ"
export KEY_ORG="YUCI"
export KEY_EMAIL="yuci@test.com"
export KEY_EMAIL=yuci@test.com
export KEY_CN=CN
export KEY_NAME=yuci
export KEY_OU=yuciexport PKCS11_MODULE_PATH=changeme
export PKCS11_PIN=1234
执行 source 命令使配置文件生效
source vars
./clean-all
创建 CA 证书,一路回车
./build-ca
生成服务器端证书和秘钥文件,输入两次y,一路回车
./build-key-server server
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
生成客户端证书和 key 文件(用户user1)
./build-key user1
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
生成传输进行秘钥交换时用到的交换秘钥协议文件
./build-dh
生成一个防止恶意***的文件(效果似乎一般)
open*** --genkey --secret keys/ta.key
创建 open*** 目录,用于存放配置文件
mkdir /etc/open***
拷贝2.0目录下的 keys 目录,并切换目录拷贝 server.conf client.conf 文件
cp -ap keys/ /etc/open***/
cd /home/yueliang/tools/open***/open***-2.2.2/sample-config-files/
cp client.conf server.conf /etc/open***/
编辑 open*** 的配置文件,在操作前养成好习惯,先进行备份
cd /etc/open***
cp server.conf server.conf.bak
可以通过 grep 命令过滤查看配置文件,并通过一个临时文件将过滤后的结果再次导入 server.conf
grep -vE "^;|^#|^$" server.conf > tmp.log
cat tmp.log > server.conf
编辑过滤后的 server.conf 文件
vim server.conf
port 1194#为了安全端口可以更改,这里为默认proto tcp#修改为 tcp 协议dev tun
ca /etc/open***/keys/ca.crt #给出绝对路径cert /etc/open***/keys/server.crt#绝对路径dh /etc/open***/keys/dh1024.pem #绝对路径key /etc/open***/keys/server.key#添加server端的key文件log /var/log/open***.log#指定log文件的位置server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
persist-key
persist-tun
status open***-status.log
verb 3
打开路由转发功能
vim /etc/sysctl.conf
启动 open*** 服务并放入后台运行
/usr/local/sbin/open*** --config /etc/open***/server.conf &
执行以上的启动命令,open*** 似乎没有正常启动,那么继续操作,添加启动服务
cp /home/yueliang/tools/open***/open***-2.2.2/sample-scripts/open***.init /etc/init.d/open***
chmod 700 /etc/init.d/open***
chkconfig --add open***
通过脚本启动依旧报错
/etc/init.d/open*** start
查看脚本发现,因为启动脚本是 *.conf 文件,而 keys 目录下有俩个 .conf 文件,所以出错
vim /etc/init.d/open***
修改为 server.conf 文件
使用 pkill 命令杀死 open*** 进程
pkill open***
继续尝试启动 open*** 文件,OK了
/etc/init.d/open*** start
到此位置 open*** 的服务端就算是配置完成了。