新睿云

> 虚拟专网VPN > 想通过云服务器搭建自己VPN的小伙伴请看这里

想通过云服务器搭建自己VPN的小伙伴请看这里

作者/来源:新睿云小编 发布时间:2019-08-13

您应该设置自己的VPN服务器的原因

您希望负责数据:当您使用VPN服务时您的数据保持私密性和安全性,您可以很好的访问自己的公司内部重要数据而且不会被跟踪。但是有的小伙伴不喜欢在使用别人的VPN来访问,毕竟这样属于受制于人。而您使用新睿云的云服务器搭建自己的VPN则会变为首选。

您有一个小型企业,您希望远程访问安全的本地网络:许多企业都有公司网络来存储重要文件并在员工之间进行通信。出于安全原因,您通常只希望公司场所的计算机可以访问此网络。当您希望员工能够远程访问此网络时,VPN技术可提供安全的解决方案。

大型组织可以聘请IT公司设计定制的VPN服务器来保护远程登录。但是,规模较小的公司可能需要更多地依赖临时解决方案。在办公室中设置自己的VPN服务器是一种可以保护远程访问公司网络的方法,而不需要花费大量资金。

如果你想通过云服务器搭建VPN,切记新睿云且系统要做成CentOS 7版本,本文是针对此版本的教程。如果您不知道如何获取新睿云的云服务器您可以阅读《1.1新睿云宝塔建站系列教程(搭建宝塔)含视频教程》来获取相应内容。

1. 确保已配置epel软件源

yum -y install epel-release && yum makecache

2. 安装OpenVPN、easy-rsa

easy-rsa可以帮助我们快速配置openvpn所需要的服务端和客户端证书

yum -y install openvpn easy-rsa

3. 配置OpenVPN

将样例配置文件复制到

/etc/openvpncp /usr/share/doc/openvpn-2.4.6/sample/sample-config-files/server.conf /etc/conf

修改配置文件,取消如下几行的注释

push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 208.67.222.222" push "dhcp-option DNS 208.67.220.220" user nobody group nobody comp-lzo

其中DNS可根据实际需要更改

4. 生成所需证书及密钥

进入easy-rsa配置目录,推荐拷贝一份出来

cp -R /usr/share/easy-rsa ~ && cd ~/easy-rsa/3

easy-rsa生成证书所需环境如下,建议写到脚本文件中直接source

export KEY_COUNTRY="JP" export KEY_PROVINCE="TK" export KEY_CITY="Tokyo" export KEY_ORG="key.org" export KEY_EMAIL="root@example.com" export KEY_CN=your.host.name export KEY_NAME=server export KEY_OU=server export KEY_SIZE=2048

初始化easy-rsa证书环境

./easyrsa init-pki

生成CA密钥及证书,其中需要输入加密密钥

./easyrsa build-ca

生成服务端密钥及证书,其中需要输入加密密钥

./easyrsa build-server-full server

生成Diffie Hellman Key Exchange文件

./easyrsa gen-dh

生成TLS认证所需的密钥文件

openvpn --genkey --secret /etc/openvpn/ta.key

生成客户端密钥及证书,其中需要输入加密密钥

./easyrsa build-client-full client

将生成的服务端证书及密钥拷贝至/etc/openvpn

cp pki/dh.pem pki/ca.crt pki/private/server.key pki/issued/server.crt /etc/openvpn && cd /etc/openvpn mv dh.pem dh2048.pem

将pki/ca.crt、pki/private/client.key、pki/issued/client.crt、/etc/openvpn/ta.key

拷贝至客户端

5. 启动服务

配置路由转发,编辑/etc/sysctl.conf

net.ipv4.ip_forward = 1

使转发生效

sysctl -p

防火墙添加允许的服务

firewall-cmd --add-service openvpn firewall-cmd --permanent --add-service openvpn

启动OpenVPN,需要使用systemd-tty-ask-password-agent输入服务端加密密钥

# systemctl start openvpn@server Broadcast message from root@localhost (Sun 2018-08-12 13:18:00 UTC): Password entry required for 'Enter Private Key Password:' (PID 7238). Please enter password with the systemd-tty-ask-password-agent tool! systemd-tty-ask-password-agent Enter Private Key Password: ********

6. 配置客户端

编辑client.ovpn文件,并导入到任一平台、任一OpenVPN客户端中,即可连接

client dev tun proto udp remote your.host.name 1194 resolv-retry infinite nobind persist-key persist-tun comp-lzo verb 3 ca ca.crt cert client.crt key client.key tls-auth ta.key 1

热门标签
免费领云产品

免费用

立即领取
联系客服
在线客服   
反馈意见
返回顶部
{{item.description}}

—您的烦恼我们已经收到—

我们会将处理结果发送至您的手机

请耐心等待