*** 注意是 V皮嗯，命令行要注意自己替换，在此表示抗议。

一、open***原理

open***通过使用公开密钥（非对称密钥，加密解密使用不同的key，一个称为Publice key，另外一个是Private key）对数据进行加密的。这种方式称为TLS加密

open***使用TLS加密的工作过程是，首先*** Sevrver端和*** Client端要有相同的CA证书，双方通过交换证书验证双方的合法性，用于决定是否建立***连接。

然后使用对方的CA证书，把自己目前使用的数据加密方法加密后发送给对方，由于使用的是对方CA证书加密，所以只有对方CA证书对应的Private key才能解密该数据，这样就保证了此密钥的安全性，并且此密钥是定期改变的，对于窃听者来说，可能还没有破解出此密钥，***通信双方可能就已经更换密钥了。

二、安装open***和easy-rsa

yum -y install open*** libssl-dev openssl easy-rsa

安装完成后，可以查下open***版本

[root@Open*** open***]# open*** --version | head -2Open*** 2.4.4 x86_64-redhat-linux-gnu [Fedora EPEL patched] [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Sep 26 2017library versions: OpenSSL 1.0.1e-fips 11 Feb 2013, LZO 2.03

我们可以看到open***目前的版本为2.4.4。这个版本号，建议记住。

可以用 rpm -ql open*** 和 rpm -ql easy-rsa  查看安装的文件

三、制作相关证书

1、制作CA证书

[root@Open*** open***]# mkdir -p /etc/open***/easy-rsa/keys[root@Open*** open***]# cp -rf /usr/share/easy-rsa/2.0/* /etc/open***/easy-rsa[root@Open*** open***]# ls easy-rsabuild-ca  build-inter  build-key-pass    build-key-server  build-req-pass  inherit-inter  list-crl           openssl-0.9.8.cnf  pkitool      sign-req  whichopensslcnfbuild-dh  build-key    build-key-pkcs12  build-req         clean-all       keys           openssl-0.9.6.cnf  openssl-1.0.0.cnf  revoke-full  vars

设置自动应答变量,修改vars文件

vi /etc/open***/easy-rsa/varsexport KEY_COUNTRY="CN"export KEY_PROVINCE="CA"export KEY_CITY="Beijing"export KEY_ORG="babyshen"export KEY_EMAIL="455416841@qq.com"export KEY_OU="babyshen"...export KEY_NAME="babyshen"

其中export KEY_NAME="babyshen"这个要记住下，我们下面在制作Server端证书时，会使用到。

cd /etc/open***/easy-rsa# 加载变量source ./vars# 清理可之前的留存证书，并生成我们的证书颁发机构./clean-all#构建证书颁发机构，只需按ENTER键即可./build-ca

[root@Open*** easy-rsa]# ll keystotal 12-rw-r--r-- 1 root root 1712 Nov 13 12:18 ca.crt-rw------- 1 root root 1708 Nov 13 12:18 ca.key-rw-r--r-- 1 root root    0 Nov 13 12:17 index.txt-rw-r--r-- 1 root root    3 Nov 13 12:17 serial

会看到已经生成了ca.crt和ca.key两个文件，其中ca.crt就是我们所说的CA证书。如此，CA证书制作完毕。

把该CA证书的ca.crt文件复制到open***的启动目录/etc/open***下

cp keys/ca.crt /etc/open***/

2、制作server端证书

# 生成私钥和证书。按ENTER键以使用您的默认值。最后，回答Y（是）提交更改。./build-key-server babyshen

ll keys

已经生成了babyshen.crt、babyshen.key和babyshen.csr三个文件。其中babyshen.crt和babyshen.key两个文件是我们要使用的。

现在再为服务器生成加密交换时的Diffie-Hellman文件

./build-dh

将服务器密钥和证书全部复制到Open***目录中。

cd /etc/open***/easy-rsa/keyscp dh2048.pem babyshen.crt babyshen.key /etc/open***

3、制作client端证书

cd /etc/open***/easy-rsa./build-key client

client名字可以自己修改

如果你想快速生成用户证书不需要手工交互的话，可以使用如下命令：

./build-key --batch client

生成的三个文件中，client.crt和client.key两个文件是我们要使用的。

四、配置server端

复制示例server.conf文件作为我们自己的配置文件，然后修改

cp /usr/share/doc/open***-*/sample/sample-config-files/server.conf /etc/open***

[root@Open*** open***]# cat server.conf dev tunport 9000                      # 监听端口proto udp                      # 协议local 172.16.18.187            # 本地监听地址mode serverserver 10.9.0.0 255.255.240.0  # ***地址池cd /etc/open***ca ca.crtcert babyshen.crt              # 相关证书key babyshen.key  dh dh2048.pem                  # Diffie-Hellman文件;ifconfig-pool-persist ipp.txtkeepalive 10 120cipher AES-256-CBCpersist-keypersist-tunstatus /tmp/open***.statustmp-dir /tmpmlockverb 0                   # 日志级别 0-9 ，默认是3compress lz4-v2                      # 启用数据压缩功能，之前的 comp-lzo 开始弃用;push "compress lz4-v2"               # 推送给客户端explicit-exit-notify 1daemonmax-clients 500writepid /var/run/open***.pidauth-nocache;auth-user-pass-verify /etc/open***/script/checkpsw.sh via-env;client-cert-not-required;username-as-common-namescript-security 3;push "redirect-gateway def1 bypass-dhcp" # 告诉客户端通过我们的Open***重定向所有流量push "route 172.16.0.0 255.240.0.0"push "dhcp-option DNS 219.141.136.10"

duplicate-cn  # 如果客户端使用相同的证书登录则打开，否则一个证书只能一个人连接client-to-client # 连接***之后，允许局域网之间互相访问

启动opvn*** 

/usr/sbin/open*** --config /etc/open***/server.conf # 或者使用/etc/init.d/open*** start

五、配置windows client 端

安装open*** for windows客户端，我们可以从这个地址下载，如下：http://build.open***.net/downloads/releases/

注意：下载的客户端版本号一定要与服务器端open***的版本一直，否则可能会出现无法连接服务器的现象。

我们现在服务器端的open***版本是2.4.4，所以客户端也建议使用2.4.4的版本

把CA证书，还有client.crt和client.key 通过sftp将这三个文件导出放到windows open***的任意安装目录，建议在config目录下新建一个文件夹，将这三个文件放进去

在刚才和ca证书相同的目录下新建文件 client.o*** 

内容如下

clientdev tunproto udpremote 172.16.18.187 9000  # 和server端一致resolv-retry infinite cipher AES-256-CBCnobindpersist-keypersist-tunca ca.crtcert client.crtkey client.key;auth-user-passauth-nocacheremote-cert-tls servercompress lz4-v2verb 3

到此所有配置已完成。

linux上开启路由转发

echo 1 > /proc/sys/net/ipv4/ip_forward或者sed -ri 's/(net.ipv4.ip_forward = ).*/\11/' /etc/sysctl.confsysctl -p

开启地址NAT转换

iptables -t nat -I POSTROUTING -s 10.0.0.0/8 -o eth0 -j MASQUERADE

注：如果想把推送的路由文件单独提取出来放到一个文件，可以用两次--config 即可

例：

/usr/sbin/open*** --config /etc/open***/server.conf --config /etc/open***/route.rl# cat route.rlpush "route 172.16.0.0 255.240.0.0"push "route 1.1.1.0 255.255.255.0"

六、配置 linux client 客户端

创建配置文件  client.conf，复制 client.crt，client.key 到当前配置目录下

内容如下：

clientdev tunproto udpremote 172.16.18.187 9000resolv-retry infinitecipher AES-256-CBCnobindpersist-keypersist-tuncd /gunzlab/etc/open***ca ca.crtcert client.crtkey client.key;auth-user-passdaemonauth-nocacheremote-cert-tls serververb 3

执行 

/usr/sbin/open*** --config /etc/open***/client.conf

如果多台服务器都需要部署open***，那么也不用一台一台安装。

很简单，将上面的open***执行文件还有/etc/open*** 目录直接复制到需要部署的服务器即可使用，但是可能会少一些库文件，可以用ldd查看，然后从安装的服务器传过去即可。

1) 附件会包含open***执行文件，还有所需要的库文件，放到 /usr/lib64 下 。

2) 附件会包含easy-rsa目录，便于大家生成证书文件，免去安装过程

3) 附件会包含open*** for windows客户端安装包，（因为多种原因build.open***.net会打不开）

附件下载地址：

链接: https://pan.baidu.com/s/1mh9acdE 密码: 5mu3