本文主要參考的博客文章鏈接 https://www.fandenggui.com/post/centos7-install-openvpn.html

網(wǎng)上多數(shù)的Openvpn例子都是基于客戶端密鑰認證的，多個客戶那就要多個密鑰唇敞，這樣配置服務端或者客戶端都非常麻煩。這里使用賬號密碼認證來配置疆柔，可以輕松實現(xiàn)多人登錄使用VPN。

1. 軟件版本

• Centos - 7.4
• easy-rsa - 3.0.6
• OpenVPN - 2.4.7

2. 安裝

本文使用yum來安裝openvpn旷档，openvpn及其依賴的一些包在epel源上，首先先安裝epel源鞋屈。

#安裝epel源
yum install -y epel-release
#安裝依賴包
yum install -y openssl lzo pam openssl-devel lzo-devel pam-devel
yum install -y easy-rsa
#安裝openvpn
yum install -y openvpn

3. 配置

上面我們已經(jīng)安裝好了openvpn了，下面我們對openvpn進行配置厂庇。

3.1 使用路由還是橋接？

建議使用路由权旷，除非你有一些需要橋接的特定場景替蛉，例如:

• VPN需要能夠處理非ip協(xié)議躲查，如IPX
• 通過VPN運行應用程序，該VPN依賴于網(wǎng)絡廣播(如局域網(wǎng)游戲)
• 希望允許跨VPN瀏覽Windows文件共享译柏，而無需設置Samba或WINS服務器

3.2 確定私有子網(wǎng)

Server 與 Client 的VPN通道子網(wǎng)，不要與已有環(huán)境的網(wǎng)絡沖突即可鄙麦。

默認：10.8.0.0/16

3.3 配置證書密鑰

我們通過yum方式安裝的 easy-rsa 版本是3.0.6，直接從安裝路徑copy一份工具出來胯府。這里用默認的 easy-rsa 3.0.6 來配置生成證書密鑰。

#復制easy-rsa工具
cp -rf /usr/share/easy-rsa/3.0.6 /etc/openvpn/server/easy-rsa
cd /etc/openvpn/server/easy-rsa
#生成證書密鑰
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa build-server-full server nopass
#下面這步可能要幾分鐘
./easyrsa gen-dh
openvpn --genkey --secret ta.key

3.4 配置 Server 端

3.4.1 創(chuàng)建使用的目錄

# 日志存放目錄
mkdir -p /var/log/openvpn/
# 用戶管理目錄
mkdir -p /etc/openvpn/server/user
# 配置權限
chown -R openvpn:openvpn /var/log/openvpn

3.4.2 創(chuàng)建Server配置文件

編輯/etc/openvpn/server/server.conf文件盟劫，并寫入以下內(nèi)容:
(也可以復制一份模板文件進行改寫与纽，模板文件路徑 /usr/share/doc/openvpn-2.4.7/sample/sample-config-files/server.conf)

port 55555
proto tcp
dev tun
user openvpn
group openvpn

#配置證書信息
ca /etc/openvpn/server/easy-rsa/pki/ca.crt
cert /etc/openvpn/server/easy-rsa/pki/issued/server.crt
key /etc/openvpn/server/easy-rsa/pki/private/server.key
dh /etc/openvpn/server/easy-rsa/pki/dh.pem
tls-auth /etc/openvpn/server/easy-rsa/ta.key 0

#配置賬號密碼的認證方式
auth-user-pass-verify /etc/openvpn/server/user/checkpsw.sh via-env
script-security 3
verify-client-cert none
username-as-common-name
client-to-client
duplicate-cn

#配置網(wǎng)絡信息
server 10.8.0.0 255.255.255.0
push "dhcp-option DNS 223.5.5.5"
push "dhcp-option DNS 114.114.114.114"
push "route 192.168.1.0 255.255.255.0"
push "route 192.168.2.0 255.255.255.0"

compress lzo
cipher AES-256-CBC
keepalive 10 120
persist-key
persist-tun
verb 3

log /var/log/openvpn/server.log
log-append /var/log/openvpn/server.log
status /var/log/openvpn/status.log

3.4.3 創(chuàng)建用戶密碼文件

格式是用戶 密碼以空格分割即可

echo 'mytest mytestpass' >> /etc/openvpn/server/user/psw-file
chmod 600 /etc/openvpn/server/user/psw-file
chown openvpn:openvpn /etc/openvpn/server/user/psw-file

3.4.4 創(chuàng)建密碼檢查腳本

新建一個shell文件/etc/openvpn/server/user/checkpsw.sh塘装，內(nèi)容如下：

#!/bin/sh

PASSFILE="/etc/openvpn/server/user/psw-file"
LOG_FILE="/var/log/openvpn/password.log"
TIME_STAMP=`date "+%Y-%m-%d %T"`

if [ ! -r "${PASSFILE}" ]; then
  echo "${TIME_STAMP}: Could not open password file \"${PASSFILE}\" for reading." >>  ${LOG_FILE}
  exit 1
fi
CORRECT_PASSWORD=`awk '!/^;/&&!/^#/&&$1=="'${username}'"{print $2;exit}' ${PASSFILE}`
if [ "${CORRECT_PASSWORD}" = "" ]; then
  echo "${TIME_STAMP}: User does not exist: username=\"${username}\", password=
\"${password}\"." >> ${LOG_FILE}
  exit 1
fi
if [ "${password}" = "${CORRECT_PASSWORD}" ]; then
  echo "${TIME_STAMP}: Successful authentication: username=\"${username}\"." >> ${LOG_FILE}
  exit 0
fi
echo "${TIME_STAMP}: Incorrect password: username=\"${username}\", password=
\"${password}\"." >> ${LOG_FILE}
exit 1

賦予可執(zhí)行的權限

chmod 700 /etc/openvpn/server/user/checkpsw.sh
chown openvpn:openvpn /etc/openvpn/server/user/checkpsw.sh

3.4.5 防火墻配置

需要配置一條NAT的規(guī)則影所，這里我使用的是iptables，下面也有firewalld的示例：

• iptables

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

• firewalld

firewall-cmd --permanent --add-masquerade
firewall-cmd --permanent --add-service=openvpn
# 或者添加自定義端口
# firewall-cmd --permanent  --add-port=1194/tcp
firewall-cmd --permanent --direct --passthrough ipv4 -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
firewall-cmd --reload

3.4.6 啟動服務

nohup openvpn /etc/openvpn/server/server.conf >/dev/null 2>&1 &

3.5 配置客戶端

客戶端我們同樣使用2.4.7的版本猴娩，下載點我

因為我們前面配置的是賬號密碼認證，所以我們只需要下載ca.crt卷中、ta.key文件即可，從server上將生成的ca.crt蟆豫、ta.key下載到客戶端的安裝目錄 config下。
在config目錄下新建一個文件 client.ovpn十减，文件內(nèi)容如下：

client
proto tcp
dev tun
auth-user-pass
remote your.domain.com 55555
ca ca.crt
tls-auth ta.key 1
remote-cert-tls server
cipher AES-256-CBC
auth-nocache
persist-tun
persist-key
compress lzo
verb 3
mute 10

保存退出之后，我們啟動openvpn的客戶端帮辟，然后輸入賬號密碼即可登錄速址。