零投入 教你搭建属于自己的加密VPN4

零投入 教你搭建属于自己的加密VPN4

　首先，我们需要为OpenVPN创建一个配置目录。使用root帐号创建目录/etc/openvpn，下面有两个子目录/etc/openvpn/certs和/etc/openvpn/keys。

　　~ # mkdir /etc/openvpn

　　~ # mkdir /etc/openvpn/certs /etc/openvpn/keys

　　接下来，拷贝服务器的证书(server.crt)和CA的证书(ca.crt)到/etc/openvpn/certs下。同样，拷贝服务器密钥(server.key)到/etc/openvpn/keys目录下。服务器密钥需保密，锁定它的访问权限：

　　~ # chmod -R 600 /etc/openvpn/keys/

　　接下来，我们需要创建e-Hellman密钥一致和交换参数。之后，拷贝DH参数(dh2048.pem)到/etc、openvpn目录下。

　　~ $ openssl dhparam -out dh2048.pem 2048

　　OpenVPN最强大的功能之一就是能够“推送”特定配置到不同的客户端。这一点对于具有多个客户端的VPN网络的创建和管理来说，是有很大帮助的。

　　要完成这个推送，我们还需要在OpenVPN服务器上建立客户端配置目录，包含连接到该服务器的每一个客户端的简短配置文件。当一个客户连接时，服务器首先查看与它具有相同通用名称的配置文件，作为该客户端的证书，并在那个文件中执行任何配置参数。

　　创建/etc/openvpn/client-configs目录，并在它下面创建一个与客户端网络具有相同通用名称的文件(在这个例子中是remote_office)。

　　~ # mkdir /etc/openvpn/client-configs

　　~ # touch /etc/openvpn/client-configs/remote_office

　　使用你熟悉的文本编辑工具打开remote_office，并输入如下配置：

　　iroute 192.168.1.0 255.255.255.0

　　push "route 10.1.1.0 255.255.255.0 vpn_gateway"

　　iroute命令在OpenVPN服务器上建立一条内部路由，这样它就知道通过remote_office对所有通向网络192.168.1.0/24的数据进行路由。推送路由10.1.1.0/24，允许客户端广播服务器网络到客户端。