部署open***
open***虚拟专用通道
认证方式:证书认证
实验环境:
open***_server 2块网卡 redhat6.5 内网:192.168.1.10
外网:172.16.16.172
局域网内主机 redhat6.5 ip:192.168.1.100
open***_client win7 ip:172.16.16.173 gateway:172.16.16.172
确保安装openssl-devel pam-devel(redhat6.5光盘中有)
lzo(准备软件包并安装)
lzo:致力于解压速度的加密 ,用于实现连接***
准备open***包(open***-2.3.5.tar.gz):open***_server
easyrsa(easy-rsa-2.2.0_master.tar.gz):提供ca证书,服务端证书和客户端证书
winscp(winscp416setup.exe):用于实现linux和win7系统之间下载文件
***客户端(open***-install-2.3.5-I601-x86_64.exe):open***_client
1.编译安装open***
2.解压easyrsa,移动到open***目录下
3.vi vars
根据实际情况修改,这里只改了邮箱。
4.创建根证书
Common Name 填写***_server的FQDN名
生成dh文件
5.创建服务器证书
6.创建客户端证书
Common Name填写客户端名,必须唯一。
7.打包ca证书和客户端证书
8.利用样例文件生成主配置文件,并修改主配置文件
修改主配置文件
dev tun:使用tun借口建立隧道,Open××× 可以使用 TUN 或者 TAP 接口建立隧道,TUN 接口创建的是三层路由隧道,建立方便,TAP 是二层网卡桥接隧道,即创建一个以太网桥接,相对复杂。
server:是分发给***_client的IP地址
push "route 192.168.1.0 255.255.255.0":给***_client到内网的路由
9.在***_server上关闭iptables和selinux
vim /etc/sysconfig/selinux
10.启动路由功能
11.启动***并查看
ctrl+c终止
后台运行
查看监听状态
12.下载并安装***客户端:open***-install-2.3.5-I601-x86_64.exe
13.把打包的ca证书和客户端证书移动到win7上
在客户端上安装winscp
14. 把keys.tar.gz解压到安装目录下的config里
15. 把sample-config里的client.o***复制到config里
16. 修改client.o***
保存并退出
17.双击open***GUI连接,右击图标connect,连接成功
18.测试内网主机,注意内网防火墙。
19.吊销客户端证书
当我们需要取消某个***客户端权限时,我们只需要吊销客户端证书
查看keys,生成一个 crl.pem 文件,这个文件中包含了吊销证书的名单
查看keys/index.txt可以看到吊销的证书
在/etc/server.conf中加入如下一行,使证书失效。
重启open***,客户端不能连接。
转载于:https://blog.51cto.com/yangwang/1743790