侧边栏壁纸
博主头像
落叶人生博主等级

走进秋风,寻找秋天的落叶

  • 累计撰写 130562 篇文章
  • 累计创建 28 个标签
  • 累计收到 9 条评论
标签搜索

目 录CONTENT

文章目录
主机运维

tomato配置openvpn服务

2023-11-10 星期五 / 0 评论 / 0 点赞 / 30 阅读 / 4415 字

tomato配置openvpn服务还是有点小复杂的,要多翻墙google。 1.win系统安装openvpn,生成证书 a)本地安装openvpn,自己是win7系统,建议默认安装C盘改成D盘等,免得

tomato配置openvpn服务还是有点小复杂的,要多翻墙google。

1.win系统安装openvpn,生成证书

a)本地安装openvpn,自己是win7系统,建议默认安装C盘改成D盘等,免得权限问题。

b)用管理员权限运行cmd

c)进入D:/Program Files/OpenVPN/easy-rsa

#生成证书的主要步骤,参考https://openvpn.net/index.php/open-source/documentation/howto.html#security#注意用管理员权限运行cmdinit-configvarsclean-all

init-config后,vars.bat是初始变量,为了方便调试,我对参数做了一些调整,关键是home(避免指令错误)和dir(方便调试),以及一些默认参数进行调整。

@echo offrem Edit this variable to point torem the openssl.cnf file includedrem with easy-rsa.set HOME=D:/Program Files/OpenVPN/easy-rsaset KEY_CONFIG=openssl-1.0.0.cnfrem Edit this variable to point torem your soon-to-be-created keyrem directory.remrem WARNING: clean-all will dorem a rm -rf on this directoryrem so make sure you definerem it correctly!set KEY_DIR=d:/keysrem Increase this to 2048 if yourem are paranoid.  This will slowrem down TLS negotiation performancerem as well as the one-time DH parmsrem generation process.set KEY_SIZE=1024rem These are the default values for fieldsrem which will be placed in the certificate.rem Change these to reflect your site.rem Don't leave any of these parms blank.set KEY_COUNTRY=CNset KEY_PROVINCE=SFset KEY_CITY=CSset KEY_ORG=OpenVPNset [email protected] KEY_CN=OpenVPN-CAset KEY_NAME=OpenVPNset KEY_OU=OpenVPNset PKCS11_MODULE_PATH=changemeset PKCS11_PIN=1234

d)分别生成证书和密钥

build-dh  build-key-server server  build-key test1  build-key test2  build-key test3                       //创建3个key供3个用户上网  ../bin/openvpn --genkey --secret ta.key  //生成ta.key

2.路由端配置

a)基础设置

注意,本地配置的默认是开启了tls认证,按照openvpn官网的说法,路由端要设置流入(0)。设置这个保存,密钥设置就多一个“静态密钥”

.

In the server configuration, add:

. 
tls-auth ta.key 0
.

In the client configuration, add:

. 
tls-auth ta.key 1
. .

 b)密钥设置。建议用notepad++打开对应文件,复制相应的内容到路由。

静态密钥=>ta.key;

证书颁发机构=>ca.crt;

服务端证书=>server.crt。注意从“-----BEGIN CERTIFICATE-----”开始复制。

服务端密钥=>server.key

赫尔曼参数=>dh1024.pem

c)高级设置,修改加密算法。本地配置的文件,默认是ase-256-cbc,这个主要和本地一致就可以了。

3.客户端本地配置

a)建立一个用户文件夹client,复制D:/Program Files/OpenVPN/sample-config,里面的client.ovpn进去

同时复制ca.crt ;  ta.key;  test1.crt;  test1.key;进去目录,其中test1是之前build-key test1,生成的用户证书和密钥。

b)修改client.ovpn,可以改文件名为自己喜欢的。然后修改里面的内容

remote my-server-1 1194##my-server-1 改成路由ip或者ddns地址ca ca.crtcert test1.crt  #build-key test1,如果生成不同名字,请做对应修改。key test1.keycomp-lzo #结尾段,打开comp-lzo压缩功能,删除注释

3)最后把配置好的client文件夹,复制到openvpn的config目录内,就可以连接了。

=====

后记

这个配置,比gargoyle路由直接生成的openvpn配置文件,麻烦很多。特别是一开始生成证书的权限和目录问题,搞了很久。生成ta.key的指令,以及对服务端(路由)tls验证设置"流入",也是重点。

赞一下 返回首页
本文链接: https://www.qiuyue.org/internet/devops/75366.html
广告 广告

评论区