引言
OpenVPN能方便我们打通内网以及保障服务的安全,但是官方部署openvpn的方式较为繁琐。
在github找到了一个star最多的openvpn部署脚本,十分便捷,特此记录。
安装
使用 github.com/angristan/o… 的openvpn安装脚本来快速部署openvpn服务器,同时他还集成了证书签发、撤销以及卸载功能。
curl -O https://raw.githubusercontent.com/angristan/openvpn-install/master/openvpn-install.sh
chmod +x openvpn-install.sh
./openvpn-install.sh
执行后会打开交互终端,询问你一些相关信息,用于生成配置:
- 首先是IP配置,如果你是配置在云服务器上,并且有公网IP,此处改成公网IP。
- 一般不需要IPv6支持,此处选否
- 此处按需选择OpenVPN服务端口,一般保持默认即可
- 选择传输层协议,一般使用UDP,除非你的网络不支持
- 选择DNS,如果没有特殊需要,保持默认即可
- 可选是否进行数据包压缩,官方貌似不推荐,选否
- 选择是否定制加密选项,默认的即可,除非有特殊需求
之后就会开始安装OpenVPN,并进行相关配置
安装完成后生成客户端证书,会询问你客户端名,我们填写client;由于我们采用用户管理的方式,所以不需要客户端密码
到此OpenVPN服务端架设完毕,同时证书也生成在Home目录,拷贝给客户端使用即可。
多用户管理
用户较多时我们通常使用多用户单证书的方式管理客户端,此时客户端与服务端都需要修改配置。
服务端
- 创建密码文件
/etc/openvpn/psw-file,用户名密码空格隔开,如user 123456
echo user 123456 > /etc/openvpn/psw-file
- 创建一个用户登录脚本
/etc/openvpn/checkpsw.sh,里面的内容是官方提供的 openvpn.se/files/other…
PASSFILE="/etc/openvpn/psw-file"
LOG_FILE="/var/log/openvpn-password.log"
TIME_STAMP=`date "+%Y-%m-%d %T"`
if [ ! -r "${PASSFILE}" ]; then
echo "${TIME_STAMP}: Could not open password file "${PASSFILE}" for reading." >> ${LOG_FILE}
exit 1
fi
CORRECT_PASSWORD=`awk '!/^;/&&!/^#/&&$1=="'${username}'"{print $2;exit}' ${PASSFILE}`
if [ "${CORRECT_PASSWORD}" = "" ]; then
echo "${TIME_STAMP}: User does not exist: username="${username}", password="${password}"." >> ${LOG_FILE}
exit 1
fi
if [ "${password}" = "${CORRECT_PASSWORD}" ]; then
echo "${TIME_STAMP}: Successful authentication: username="${username}"." >> ${LOG_FILE}
exit 0
fi
echo "${TIME_STAMP}: Incorrect password: username="${username}", password="${password}"." >> ${LOG_FILE}
exit 1
- 编辑
/etc/openvpn/server.conf加入以下内容
auth-user-pass-verify /etc/openvpn/checkpsw.sh via-env
client-cert-not-required
username-as-common-name
script-security 3 # 必须设为3,否则密码不会传递给checkpsw.sh
最后重启OpenVPN systemctl restsart openvpn
客户端
打开 client.ovpn ,加入一行 auth-user-pass 即可。
连接时会询问你用户名和密码,证书输入后便可登录。
