原创

openvpn安装配置说明(windows系统)

openvpn是开源VPN软件,只需要简单的配置,就可以在企业搭建安全虚拟网络中使用,满足日常远程办公的需求。本篇文档为在windows服务器安装搭建openvpn记录,仅供参考。

一、openvpn软件下载

安装包可以在github下载,或者去官网下载:

https://github.com/OpenVPN/openvpn

https://openvpn.net/community-downloads/


二、服务端安装

openvpn软件服务端和客户端都是同一个安装包,本次使用的openvpn安装包为2.5.6版本。

1.安装的时候要选择Customize,勾选openvpn service和EasyRSA3 安装,用于服务端配置和证书生成使用。




2.安装完成后软件默认位置C:\Program Files\OpenVPN目录


三、证书生成

上一步我们已经安装了证书生成工具EasyRSA3,使用此工具即可生成所需证书。

1.进入EasyRSA shell 环境dos窗口

进入C:\Program Files\OpenVPN\easy-rsa目录,双击EasyRSA-Start.bat 进入EasyRSA shell 环境dos窗口中;


2.初始化证书生成程序

弹出的dos窗口中输入./easyrsa init-pki 初始化证书生成程序,初始化成功后会在C:\Program Files\OpenVPN\easy-rsa目录下新建文件夹kpi,如下图示:


3.生成ca证书

在dos窗口中输入./easyrsa build-ca nopass生成无密码CA证书,生成过程中会要求输入证书名称,随意输入即可,本次使用Open_CA作为名称,生成结束后会打印出证书所在目录easy-rsa\pki\ca.crt;


4.生成服务端证书

输入./easyrsa build-server-full server nopass 生成无密码服务端证书,生成后证书文件在C:\Program Files\OpenVPN\easy-rsa\pki\issued文件夹




5.生成客户端证书

输入./easyrsa build-client-full client nopass生成无密码客户端证书,生成后证书在C:\Program Files\OpenVPN\easy-rsa\pki\issued文件夹



6.生成DH密钥交换协议

输入./easyrsa gen-dh生成DH密钥交换协议文件,生成文件在C:\Program Files\OpenVPN\easy-rsa\pki目录下



7.目录C:\Program Files\OpenVPN\easy-rsa\pki\private下为证书key


四、服务器配置

服务端配置文件模板为server.ovpn ,在 C:\Program Files\OpenVPN\sample-config目录下:

1.修改服务端配置文件

复制server.ovpn文件至C:\Program Files\OpenVPN\config目录,修改如下选项:

a)端口:(公网需要对应开通此端口)port udp 1194
b)协议文件名:dh dh2048.pem修改为dh dh.pem
c)运行多用户使用同一客户端证书:;duplicate-cn取消注释(前面;号删除)修改为duplicate-cn
d)注释掉此行(前面加#号): tls-auth ta.key 0修改为#tls-auth ta.key 0


2.证书复制配置

将服务证书,服务key,ca证书,dh文件复制到文件夹C:\Program Files\OpenVPN\config下


3.连接

右键点击任务栏带锁小电脑图标,点击连接,连接成功后会变绿,系统提示分配ip


注:  因为VPN需要通过公网访问,需要在路由器中将udp 1194端口转发到内网服务器所在ip


五、客户端安装

1.安装

双击OpenVPN-2.5.6-I601-amd64.msi,点击Install Now安装客户端,安装完成后目录C:\Program Files\OpenVPN\


2.配置客户端文件

客户端配置文件client.ovpn,模板在C:\Program Files\OpenVPN\sample-config,复制该文件到C:\Program Files\OpenVPN\config目录下,修改客户端配置如下:

a)修改连接服务器地址: remote my-server-1 1194修改为remote 服务器公网ip 1194
b)注释掉此行(前面加#号): tls-auth ta.key 1修改为# tls-auth ta.key 1


3.证书复制

将客户端证书,客户端key,ca证书复制到该目录下C:\Program Files\OpenVPN\config


4.连接

右键点击任务栏带锁小电脑图标,点击连接,连接成功后系统分配ip,小电脑变绿


至此openvpn环境便搭建完成了。


扩展资料:

1.tls-auth ta.key 配置为防御 DoS,UDP 淹没等恶意攻击行为的选项,如配置需要生成ta.key证书,生成方式:跳转到openvpn软件的bin目录下,在dos窗口中输入:openvpn.exe --genkey --secret ta.key ,便在bin目录下生成ta.key证书了,复制到配置文件目录即可。

2.证书时间等参数可以在vars文件中设置,设置后重新启动EasyRSA-Start即可加载新配置。

3.;client-to-client为客户端之间是否能直接访问的配置,去掉注释后生效。

4.;push "redirect-gateway def1 bypass-dhcp" 配置开启后客户端所有流量将路由至服务器,需要在访问端服务器上配置路由转发后才可以访问公网。

5.开启第4步后,可在客户端配置文件中增加route 192.168.1.0 255.255.255.0 net_gateway配置,使该网段不通过openvpn路由

正文到此结束
温馨提示:
本文最后更新于 2024年03月31日,已超过 15 天没有更新。若文章内的图片失效(无法正常加载),请留言反馈或直接联系我
本文目录