前段时间公司有个项目需要数以千计的客户端都连入一个vpn下,并且有一部分需要获得固定的ip地址。
思路:简单的openvpn服务器部署起来并不难,但是大量的用户,如果采用简单的证书方式,批量生成客户证书不难,但是如此大量的证书如何分发给客户也是个问题。所以经过考虑采用用户名密码的验证方式,然后批量生成连续的用户名和密码,客户端分发可以给与客户端一个用户名密码段,由客户自行分发。
第一部分:openvpn安装
1、下载openvpn。我用的是2.2.1版本的。openvpn官网天朝是访问不了的需翻墙。
openvpn依赖于openssl库且使用lzo进行压缩,安装前请执行yum install openssl* 和 yum install lzo*
3、在/etc下建立openvpn文件夹以便于集中管理openvpn配置文件以及证书和key文件
daemon /etc/openvpn/server.conf
5、客户端设置
客户端要安装openvpn gui工具(这个找起来还挺麻烦,还是翻墙去官网下载比较靠谱)用2.09版本的可以。
安装客户端,将对应的文件(ca证书、client证书、client key)拷贝至客户端安装目录下的config目录,客户端可将安装目录下的sample-config文件夹下的client.ovpn拷贝至openv-gui安装目录下的config,修改将remote my-server 1194中的my-server改为自己服务器的ip地址即可。
注意:win7环境下客户端配置文件还需增加两条配置
route-method exe
route-delay 2
这样才能正确的在机器中添加路由,否则会在Log文件中看到类似的信息:
ROUTE: route addition failed using CreateIpForwardEntry: 至少有一个参数不正确。最后一个法宝:在部署过程中不可能一帆风顺,有错误看日志:server端日志的存储位置在server.conf里可以指定,,client端日志右击openvpn GUI软件可以查看。
至此,基本的基于证书认证的vpn功能是可以实现了。下一篇将记录给客户端指定用户IP地址、批量生成用户名密码。
即使没有收获的希望也心平气和的继续。
