openvpn☞安装

阅读量: zyh 2018-03-22 09:34:44
Categories: Tags:

前言

openvpn 一般用于小公司远程连接公司办公网络环境,此脚本需要一个linux系统的主机。
至于土豪公司,可以无视。
文档包含安装脚本,创建用户脚本,删除用户脚本。使用的时候,安装脚本和创建用户脚本,需要自行修改一些变量。

需要注意的是,发现移动网络连接其它运营商网络的时候,不稳定。
比如我这边,移动网络连接电信网络(openvpn所在网络),就容易丢包。

安装

💥以下命令需逐行执行,不能复制批量执行,因为中间需要自行添加变量,以及手动输入一些信息

yum install docker
docker pull kylemanna/openvpn
OVPN_DATA="/root/ovpn-data"
IP="服务器主网卡ip"  # 自行修改
PORT=  # 容器映射的宿主机端口
mkdir ${OVPN_DATA}
docker run -v ${OVPN_DATA}:/etc/openvpn --rm kylemanna/openvpn ovpn_genconfig -u tcp://${IP}
docker run -v ${OVPN_DATA}:/etc/openvpn --rm -it kylemanna/openvpn ovpn_initpki
docker run -v ${OVPN_DATA}:/etc/openvpn --rm -it kylemanna/openvpn easyrsa build-client-full CLIENTNAME nopass
docker run -v ${OVPN_DATA}:/etc/openvpn --rm kylemanna/openvpn ovpn_getclient CLIENTNAME > ${OVPN_DATA}/CLIENTNAME.ovpn
docker run --name openvpn -v ${OVPN_DATA}:/etc/openvpn -d -p ${PORT}:1194 --privileged kylemanna/openvpn

容器生成的服务器主配置

/root/ovpn-data/openvpn.conf

下面是一个改后的示例配置

server 192.168.255.0 255.255.255.0
verb 3
# 变更为容器里默认生成的
key /etc/openvpn/pki/private/<修改我>.key
ca /etc/openvpn/pki/ca.crt
# 变更为容器里默认生成的
cert /etc/openvpn/pki/issued/<修改我>.crt
dh /etc/openvpn/pki/dh.pem
tls-auth /etc/openvpn/pki/ta.key
key-direction 0
keepalive 10 60
persist-key
persist-tun

proto tcp
# Rely on Docker to do port mapping, internally always 1194
port 1194
dev tun0
status /tmp/openvpn-status.log

user nobody
group nogroup
comp-lzo no

### Route Configurations Below
route 192.168.254.0 255.255.255.0

### Push Configurations Below
push "block-outside-dns"
push "comp-lzo no"
### 开启 DNS 推送
push "dhcp-option DNS 223.5.5.5"
push "dhcp-option DNS 114.114.114.114"
### 添加 DNS 的路由
push "route 223.5.5.5 255.255.255.255"
push "route 114.114.114.114 255.255.255.255"
### 添加客户端需要通过openvpn访问的网络
push "route 10.100.0.0 255.255.0.0"

服务端dns推送与客户端全局路由的关系

如果客户端删除了全局路由 redirect-gateway def1;则服务端要么关闭 dns 推送,要么开启 dns 推送的同时,开启 dns 的相关路由。

如果客户端开启了全局路由 redirect-gateway def1;则服务端最好开启 dns 推送,但无需开启 dns 路由。

示例,客户仅部分网络需要走openvpn,其余网络走本地,且需要通过公司dns解析域名。

服务端配置:开启 dns 推送和 dns 路由

push "dhcp-option DNS 公司dns地址"
push "dhcp-option DNS 114.114.114.114"
push "route 公司dns地址 255.255.255.255"
push "route 114.114.114.114 255.255.255.255"
push "route 需要走openvpn的网段和掩码"

客户端配置:关闭全局路由

# redirect-gateway def1

创建用户脚本

需要注意的是,下列脚本中,是需要自行修改ip的。

#!/bin/bash
# 如果是nat后的内网ip,则需要修改配置文件里的ip为外网ip
# bash xxx.sh <用户名>
[[ -z $1 ]] && exit
CLIENTNAME=$1
OVPN_DATA="/root/ovpn-data"
docker run -v ${OVPN_DATA}:/etc/openvpn --rm -it kylemanna/openvpn easyrsa build-client-full ${CLIENTNAME} nopass
docker run -v ${OVPN_DATA}:/etc/openvpn --rm kylemanna/openvpn ovpn_getclient $CLIENTNAME > ${OVPN_DATA}/${CLIENTNAME}.ovpn
sed -i '1a comp-lzo' ${OVPN_DATA}/${CLIENTNAME}.ovpn
sed -i '2a tun-mtu 1500' ${OVPN_DATA}/${CLIENTNAME}.ovpn
sed -i '3a auth-nocache' ${OVPN_DATA}/${CLIENTNAME}.ovpn
sed -i "s/1194/<外网端口>/" ${OVPN_DATA}/${CLIENTNAME}.ovpn # 修改我
sed -i "s/<服务器内网IP>/<客户端连接的外网IP>/" ${OVPN_DATA}/${CLIENTNAME}.ovpn  # 修改我
read -p '是否关闭全局路由,(y)关闭全局路由,仅当客户端匹配下发路由时才走openvpn.[确保服务端没有开启DNS推送,若开启则添加对应的DNS路由];(n)开启>全局路由,客户端所有流量均走openvpn.[确保服务端开启了DNS推送]:' yn
[[ $yn == 'y' ]] && sed -i '/redirect-gateway def1/d' ${OVPN_DATA}/${CLIENTNAME}.ovpn
mkdir -pv ${OVPN_DATA}/users/${CLIENTNAME}
mv /root/ovpn-data/pki/private/${CLIENTNAME}.key ${OVPN_DATA}/users/${CLIENTNAME}
mv /root/ovpn-data/pki/issued/${CLIENTNAME}.crt ${OVPN_DATA}/users/${CLIENTNAME}
mv ${OVPN_DATA}/${CLIENTNAME}.ovpn ${OVPN_DATA}/users/${CLIENTNAME}
cd ${OVPN_DATA}/users/
tar zcf ${CLIENTNAME}.tar.gz ${CLIENTNAME}
echo "`pwd`/${CLIENTNAME}.tar.gz"
echo "################################################"
cat ${OVPN_DATA}/users/${CLIENTNAME}/${CLIENTNAME}.ovpn
#sz ${CLIENTNAME}.tar.gz

删除用户脚本

#!/bin/bash
# bash xxx.sh <用户名>
[[ -z $1 ]] && exit
CLIENTNAME=$1
#read -p '输入用户名(字母组成):' CLIENTNAME
OVPN_DATA="/root/ovpn-data"
rm -rf /root/ovpn-data/pki/private/${CLIENTNAME}.key*
rm -rf /root/ovpn-data/pki/reqs/${CLIENTNAME}.req
rm -rf /root/ovpn-data/pki/issued/${CLIENTNAME}.crt
sed -i "/${CLIENTNAME}/d" /root/ovpn-data/pki/index.txt
cd /root/ovpn-data/users
rm -rf ${CLIENTNAME}
rm -f ${CLIENTNAME}.tar.gz