李珍宝的blog

李珍宝的BLOG
  IT博客 :: 首页 :: 联系 :: 聚合  :: 管理
  51 Posts :: 1 Stories :: 160 Comments :: 0 Trackbacks
成功搭建OpenVpn服务器

由于是gprs包月上网,只能cmwap,所以很多限制,连symantec杀毒软件也升级不了,所以只好想办法突破。用OpenVpn是一个不错的办法,不过速度不怎么样,可能因为我做的OpenVpn服务器是电信IP的缘故。
现将搭建OpenVpn的过程记录如下:

一、OpenVpn服务器端配置过程
修改  OpenVPN\easy-rsa\vars.bat.sample

set KEY_COUNTRY=CN
set KEY_PROVINCE=AnHui
set KEY_CITY=HeFei
set KEY_ORG=lizhenbao
set KEY_EMAIL=aa@aa.com


打开 cmd或command进入 OpenVPN\easy-rsa,运行以下命令

init-config

vars

clean-all

build-ca  **这个命令用于创建根证书
Country Name (2 letter code) [CN]:
State or Province Name (full name) [AnHui]:
Locality Name (eg, city) [HeFei]:
Organization Name (eg, company) [lizhenbao]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:rootcr
Email Address [aaa@aa.com]:

build-dh

build-key-server server  **创建服务器证书,server为机器名
Country Name (2 letter code) [CN]:
State or Province Name (full name) [AnHui]:
Locality Name (eg, city) [HeFei]:
Organization Name (eg, company) [lizhenbao]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:server
Email Address [lizhenbao@gmail.com]:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:password
An optional company name []:


build-key client  **创建客户端证书,client为用户名
Country Name (2 letter code) [CN]:
State or Province Name (full name) [AnHui]:
Locality Name (eg, city) [HeFei]:
Organization Name (eg, company) [lizhenbao]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:client
Email Address [lizhenbao@gmail.com]:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:password
An optional company name []:

openvpn --genkey --secret keys/ta.key

将ca.crt,dh1024.pem,server.crt,server.key,ta.key复制到 OpenVPN\config目录下


拷贝server.ovpn到config目录下,修改后,用OpenVPN GUI启动服务器

至此OpenVpn服务器配置成功。如果想要OpenVpn服务器自动启动,则找到OpenVpn服务,将其启动方式设置为“自动”。

 


二、OpenVpn 客户端配置过程
将ca.crt client.crt client.key ta.key复制到 OpenVPN\config目录下

拷贝client.ovpn到config目录下,修改后,用OpenVPN GUI启动客户端

 

三、Openvpn 服务器端发放证书方法
启动cmd或command
进入easy-rsa目录
vars
build-key username  **其中username为用户名  ,注意各证书的Common Name不能相同(http://www.cnitblog.com/lizhenbao)

 


为方便需要的朋友,将配置文件放到网络供下载。下载地址 http://www.bibidu.com/fileview-302845.html 

posted on 2006-10-24 18:39 李珍宝 阅读(50823) 评论(50)  编辑 收藏 引用 所属分类: 软件

Feedback

# re: 成功搭建OpenVpn服务器 2006-10-26 16:20 戴尔网站
试试,支持  回复  更多评论
  

# re: 成功搭建OpenVpn服务器 2006-11-01 15:49 小辉
请教:
基本情况:
VPN服务器:采用公司局域网内的一台电脑作为VPN服务器(不是局域网的主机哦),公司局域网内的电脑是由主机分配IP,自动获得,不过该台作为VPN服务器的主机已设定获得固定IP。
客户端机:笔记本
CLINET.OVPN如下:
client
;dev tap
dev tun
;dev-node MyTap
;proto tcp
proto udp
remote 192.168.*.* 1194 #隐去具体IP
;remote 192.168.*.* 1194 #隐去具体IP
;remote-random
resolv-retry infinite
nobind
;user nobody
;group nobody
persist-key
persist-tun
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
;mute-replay-warnings
ca ca.crt
cert client.crt
key client.key
;ns-cert-type server
;tls-auth ta.key 1
;cipher x
comp-lzo
verb 3
;mute 20
测试过程:用笔记本接入宽带(与VPN服务器处同一局域网),连接服务器成功,并获得IP:10.8.0.6. 可把宽带接入断开,采用手机(诺记的)WAP拔号连接,却连接不上;
提示如下:


Wed Nov 01 12:38:41 2006 OpenVPN 2.0.5 Win32-MinGW [SSL] [LZO] built on Nov 2 2005
Wed Nov 01 12:38:41 2006 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Wed Nov 01 12:38:41 2006 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Wed Nov 01 12:38:41 2006 LZO compression initialized
Wed Nov 01 12:38:41 2006 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Wed Nov 01 12:38:41 2006 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Nov 01 12:38:41 2006 Local Options hash (VER=V4): '41690919'
Wed Nov 01 12:38:41 2006 Expected Remote Options hash (VER=V4): '530fdded'
Wed Nov 01 12:38:41 2006 UDPv4 link local: [undef]
Wed Nov 01 12:38:41 2006 UDPv4 link remote: 192.168.0.9:1194
Wed Nov 01 12:39:41 2006 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Nov 01 12:39:41 2006 TLS Error: TLS handshake failed
Wed Nov 01 12:39:41 2006 TCP/UDP: Closing socket
Wed Nov 01 12:39:41 2006 SIGUSR1[soft,tls-error] received, process restarting
Wed Nov 01 12:39:41 2006 Restart pause, 2 second(s)
请帮忙,感激不尽

有没有可能是主机局域网主机服务器的防火墙设置的问题  回复  更多评论
  

# re: 成功搭建OpenVpn服务器 2006-11-05 10:37 李珍宝
192.168.*.* 是保留IP地址,只能用于局域网,在Internet上是不可见的。
你的OpenVpn服务器要有一个公网IP才行。  回复  更多评论
  

# re: 成功搭建OpenVpn服务器 2006-12-30 06:55
这样做是不是笔记本在野外可以用cmwap和自己家里的电脑做隧道上网?家里电脑是个虚拟路由?
这样做可以饶过移动的那个10.0.0.172?  回复  更多评论
  

# re: 成功搭建OpenVpn服务器 2006-12-30 08:27 李珍宝
如果是用GPRS的CMWAP接入点上网,不能绕过10.0.0.172,数据还是通过这个网关出去。
家里电脑有公网IP的话,可以连到家里电脑,只是GPRS速度比较慢,恐怕不实用。  回复  更多评论
  

# re: 成功搭建OpenVpn服务器 2007-01-05 04:59 一般帅
你好,我的服务器也是这样,用一个网段的机器连能上,但是用WAP拨号就会报tcp port read failed on recv(): connection reset by peer一直都连不上,但是我用具有公网IP的电脑连也能连上,也就是说我的服务器是架设成功的,是不是移动有限制?  回复  更多评论
  

# re: 成功搭建OpenVpn服务器 2007-01-05 08:31 李珍宝
是的,可能是移动的限制。可以试试用“乾坤大挪移”这个软件。  回复  更多评论
  

# re: 成功搭建OpenVpn服务器 2007-04-13 13:47 yoky
你好,我按你的方法服务器端连接不上,好像提示什么DH 什么错误!!我的服务器是Win2K服务器版,双网卡,一块连接内网,一块连接外网,内网通过NAT可以访问外网,没有开启DHCP服务。  回复  更多评论
  

# re: 成功搭建OpenVpn服务器 2007-04-13 14:14 李珍宝
把具体的错误贴上来看看。  回复  更多评论
  

# re: 成功搭建OpenVpn服务器 2007-04-30 11:11 vpn Fan
按楼主的方法安装成功!在创建客户端证书文件的时候成功创建了客户端证书client.src,但发现输入的时候输入错误了几个选项,想重新创建这个证书的时候,创建不成功并提示:
Certificate is to be certified until Apr 27 03:05:2
Sign the certificate? [y/n]:y
failed to update database
TXT_DB error number 2
找不到 C:\Program Files\OpenVPN\easy-rsa\keys\*.old

请楼主指点下如何删除一个客户端证书,重新创建呢 ?  回复  更多评论
  

# re: 成功搭建OpenVpn服务器 2007-05-09 08:34 李珍宝
把原有的证书文件先删除了再创建试试。  回复  更多评论
  

# re: 成功搭建OpenVpn服务器 2007-06-18 11:16 VPN
你好!我想请教下有关openvpn 的问题:
我的网络环境是:内部有两个子网分别为:192.168.33.0/24和192.168.34.0/24,外部通过一个ADSL连接上网,两个子网通过一台双网卡的装有linux做路由的笔记本连接,其中192.168.33.0/24子网直接连接到一个路由器再通过MODEM连接internet.
我的openvpn服务器端装在IP地址为192.168.33.61装有win2003系统的电脑上,openvpn客户端装在IP地址为192.168.34.50的电脑上.连接上openvpn时服务器端的虚拟IP地址为10.8.0.1、客户端的虚拟IP地址为10.8.0.6 。并且客户端与服务器端能够正常通过openvpn连接。

现在的问题是:如何在 openvpn服务器端做端口映射实现两个功能:1、使得其它网络上的用户要想与openvpn客户端的电脑通信时只需要连接到openvpn服务器的电脑,然后openvpn服务就会进行端口映射把网络上的用户所发的信息通过openvpn转发给openvpn客户端的电脑。2、而openvpn客户端的电脑与其它网络通信时,也是先通过openvpn连接到openvpn服务器端的电脑,然后openvpn服务器再把客户端的通信信息转发出去。

请问如何才能实现这种功能?谢谢!  回复  更多评论
  

# re: 成功搭建OpenVpn服务器 2007-06-18 11:26 李珍宝
没理解你的意思。
1、用了openvpn,所有客户端都在一个网段,可以随意通讯。
2、如果想要在windows平台进行端口映射,可以用PortMap或porttunnel软件。
  回复  更多评论
  

# re: 成功搭建OpenVpn服务器 2007-06-18 12:18 VPN
我的其它网络上的用户并不是openvpn客户端,是其它internet上的用户。  回复  更多评论
  

# re: 成功搭建OpenVpn服务器 2007-06-18 15:12 李珍宝
你的OpenVPN装在内网,外部Internet连不进来。  回复  更多评论
  

# re: 成功搭建OpenVpn服务器 2007-06-19 09:20 VPN
可以吧....我在连接MODEM的那个路由器上做端口映射到openvpn服务器上不就行了?  回复  更多评论
  

# re: 成功搭建OpenVpn服务器 2007-06-19 11:31 李珍宝
做端口映射可以。  回复  更多评论
  

# re: 成功搭建OpenVpn服务器 2007-06-19 14:36 VPN
嗯,知道...在路由器上做端口映射到openvpn服务器上,然后openvpn服务器就把进来的对应的数据包通过vpn转到openvpn客户机上.我不知道在openvpn服务器上如何实现把对应的数据包通过vpn转到openvpn客户机?

我上面提的问题主要就是在这里,请问如何实现呢?  回复  更多评论
  

# re: 成功搭建OpenVpn服务器 2007-06-19 17:57 李珍宝
在OpenVPN服务器上装端口映射软件,映射到指定的VPN客户端机器。  回复  更多评论
  

# re: 成功搭建OpenVpn服务器 2007-06-19 19:25 VPN
好的..我试试..
谢谢啦  回复  更多评论
  

# re: 成功搭建OpenVpn服务器[未登录] 2007-07-16 16:28 呵呵
你好 我是个菜鸟 有点小问题想请教一下
就是我按照上面的一步一步下来
到了 build-hd 这步 输入后就 就不会跳出下面的那些了
我想问问这要怎么弄 谢谢了   回复  更多评论
  

# re: 成功搭建OpenVpn服务器 2007-07-16 16:39 李珍宝
下面的 build-key-server server 也是要输入的。  回复  更多评论
  

# re: 成功搭建OpenVpn服务器[未登录] 2007-07-17 10:40 呵呵
你好 我就是输入 build-hd后,就不会跳出下面的那些了呀。
您有MSN或者QQ吗 方便在上面指点1.2吗  回复  更多评论
  

# re: 成功搭建OpenVpn服务器 2007-07-17 10:42 李珍宝
可以通过email联系我。 lizhenbao at gmail.com,at用@代替  回复  更多评论
  

# re: 成功搭建OpenVpn服务器[未登录] 2007-07-17 11:04 呵呵
我已经把截图发到你的信箱里了
麻烦你帮我看看
谢谢了哦  回复  更多评论
  

# re: 成功搭建OpenVpn服务器 2007-08-22 11:43 Obea
我运行build-ca.bat 这一步
提示 'openssl' 不是内部或外部命令,也不是可运行的程序或批处理文件。
这个问题怎么解决 还有 大建vpn服务器是不是必须要这一步  回复  更多评论
  

# re: 成功搭建OpenVpn服务器 2007-08-22 12:13 李珍宝
在运行命令时,先要进入 OpenVPN\easy-rsa 目录。
  回复  更多评论
  

# re: 成功搭建OpenVpn服务器 2007-10-26 15:01 海中鱼
能留个msn什么的即时联系方式啊
lvdong_7683@163.com  回复  更多评论
  

# re: 成功搭建OpenVpn服务器 2008-01-19 13:32 user
我编写的server.opvn 怎么总是出错
如果有可能,加我QQ:1519957,以便请教,谢谢  回复  更多评论
  

# re: 成功搭建OpenVpn服务器 2008-01-22 10:10 李珍宝
已共享我的配置文件,请到 http://www.bibidu.com/fileview-302845.html 下载。  回复  更多评论
  

# re: 成功搭建OpenVpn服务器 2008-01-29 23:34 Joey
你好,刚开始用openvpn,你的帖子对我有非常大的帮助
按照你的配制方法,我成功的使我本本连到了公司的openvpn 服务器上,但有以下两个问题,想请教:

1: 在基本上完全没有更改你题共的配置文件下,我笔记本得到了 169.254.254.6 这个ip,同时gateway变成 169.254.254.5,可是,事实上我根本无法ping 到169.254.254.5 这个网关,服务器本身的ip显示为169.254.254.1

2: 这台服务器只有一张网卡,拥有一个固定的真实IP地址,我该如何使我的笔记本通过连到openvpn后,实现通过openvpn服务器上网浏览?是不是还需要作一些网络设定?
请指教,谢谢  回复  更多评论
  

# re: 成功搭建OpenVpn服务器 2008-01-30 09:30 李珍宝
要想客户端能正常上网,需要服务器端开启透明代理,客户端得到的路由、DNS都正确。
服务器端的透明代理可以用sygate软件。
客户端连接上以后,用 route print 看一下默认网关是否正确
用ipconfig /all 看一下DNS是否正确

server.ovpn文件中有一行
push "dhcp-option DNS 10.138.8.104"
是我这边的网络环境,在你那边不适用,需要注释掉或根据实际情况修改。

ping不通网关,可能是服务器装了防火墙。  回复  更多评论
  

# re: 成功搭建OpenVpn服务器 2008-01-30 18:59 Joey
问题已经解决,需要在 remote and routing 里把物理网卡和虚拟网卡NAT起来
不过,还是谢谢你的帮助 ^^  回复  更多评论
  

# re: 成功搭建OpenVpn服务器 2008-12-11 23:04 JTCJH
我在配置openvpn的过程中遇到了一些问题,麻烦能帮助我解决,谢谢。

  系统为windows,公网服务器Ip为119.127.202.10,能24 小时上网,外网也能访问它。我把它设置为openvpn服务器。但119.127.202.2 ---- 119.127.202.8 为公司内部服务器,不能上互联网,只能在局域网内访问,外网也不能访问它们。我需要将这些服务器设置为家在单位外的职工能回家访问。内网ip段10.1.121.0----10.1.121.255为空闲网段,他们能在内网随意访问这些服务器,因此,我将虚拟ip设置为10.1.121。

  我配置的Server.cvpn如下

port 443
proto tcp-server
dev tap
server 10.1.121.0 255.255.255.0
push "route 0.0.0.0 0.0.0.0"
keepalive 20 180
ca "C:\\Program Files\\OPENVPN\\config\\ca.crt"
cert "C:\\Program Files\\OPENVPN\\config\\server.crt"
key "C:\\Program Files\\OPENVPN\\config\\server.key"
dh "C:\\Program Files\\OPENVPN\\config\\dh1024.pem"
push "redirect-gateway def1"

mode server
tls-server
status "C:\\OPENVPN\\log\\openvpn-status.log"
comp-lzo
verb 4


  我配置的client.ovpn如下



client
dev tap
proto tcp-client
remote 119.127.202.10 443

resolv-retry infinite
nobind

mute-replay-warnings

ca "C:\\Program Files\\OPENVPN\\KEY\\ca.crt"

cert "C:\\Program Files\\OPENVPN\\KEY\\cjh.crt"

key "C:\\Program Files\\OPENVPN\\KEY\\cjh.key"

comp-lzo

verb 4

status openvpn-status.log


  配置以后,在外网运行client.ovpn能成功获取ip10.1.121. ,也能ping通10.1.121.1,也能访问10.1.121.1上所有资源(也就是119.127.202.10 上的资源),但不能访问其他服务器119.127.202.2 ---- 119.127.202.8 上的任何资源。并且在客户端运行期间只能访问http://10.1.121.1 上的资源,不能访问其他任何互联网资源,包括http://119.127.202.10

  不知是什么原因,安装的是openvpn-2.1_rc15-install.exe程序。

  望能给予我帮助。

  再次表示感谢! 
  回复  更多评论
  

# re: 成功搭建OpenVpn服务器 2008-12-16 08:46 李珍宝
很久不弄了,早忘了。
push "route 0.0.0.0 0.0.0.0" 这一句可能有问题。

另外,可以参考本贴往上数4楼和2楼Joey网友的解决办法,联系一下他。
“问题已经解决,需要在 remote and routing 里把物理网卡和虚拟网卡NAT起来
不过,还是谢谢你的帮助”  回复  更多评论
  

# re: 成功搭建OpenVpn服务器[未登录] 2009-02-24 22:57 阿超
对于OPENVPN的安装配置及局域网如何免费获取公网IP,可参考以下文章:
http://www.phpcoding.cn/2009/02/24/vpn好帮手-hotspot-shield-launchvpn好帮手-hotspot-shield-launch/

  回复  更多评论
  

# re: 成功搭建OpenVpn服务器 2009-05-26 10:03
自己架设VPN服务器错误,不知道,该整么办!
cannot load DH parameters from C:\Program: error:0906D06CEM
  回复  更多评论
  

# re: 成功搭建OpenVpn服务器 2009-05-26 10:08 李珍宝
楼上的可能是目录中有空格的问题。  回复  更多评论
  

# re: 成功搭建OpenVpn服务器 2009-05-26 10:24
老大!哪个目录有空格!我都弄了一天了!能不能弄个视频教程!谢谢!  回复  更多评论
  

# re: 成功搭建OpenVpn服务器 2009-05-26 12:48 李珍宝
cannot load DH parameters from C:\Program: error:0906D06CEM  回复  更多评论
  

# re: 成功搭建OpenVpn服务器 2009-05-26 16:41 weijiang008
安装OPENVPN服务器的问题!
安装在默认目录没有问题可以启动OPENVPN软件,照网上的配置方法,出现以上错误!软件安装在c盘下,出现如图的错误, 不能启动启动OPENVPN软件!
http://www.51wuxian.com/bbs/thread-57526-1.html
郁闷!求楼主弄个视频教程!  回复  更多评论
  

# re: 成功搭建OpenVpn服务器 2009-05-27 09:10
谢谢!已经解决了!安装必须在默认路径!KEY文件夹及文件,不要放在默认路径里,配置server.opvn和client.opvn文件里路径也要跟改!  回复  更多评论
  

# re: 成功搭建OpenVpn服务器 2009-06-24 06:38 kill
启动openvpn gui后提示 connecting to server has failed
Tue Jun 23 20:33:54 2009 OpenVPN 2.1_rc18 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Jun 7 2009
Tue Jun 23 20:33:54 2009 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x. Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
Tue Jun 23 20:33:54 2009 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Tue Jun 23 20:33:54 2009 Diffie-Hellman initialized with 1024 bit key
Tue Jun 23 20:33:54 2009 Cannot load certificate file server.crt: error:02001002:system library:fopen:No such file or directory: error:20074002:BIO routines:FILE_CTRL:system lib: error:140AD002:SSL routines:SSL_CTX_use_certificate_file:system lib
Tue Jun 23 20:33:54 2009 Exiting
望赐教  回复  更多评论
  

# re: 成功搭建OpenVpn服务器 2009-07-16 21:06 Rinkey
Thu Jul 16 21:00:23 2009 us=902837 client/202.127.207.101:11566 MULTI: bad source address from client [202.127.207.101], packet dropped
链接的时候提示这个问题,client链接后可以正常上网,但是访问不到内网。内网在 服务器开启OpenVPN后 就PING不通外网。怎么解决?
邮件:limling2002@yahoo.com.cn  回复  更多评论
  

# re: 成功搭建OpenVpn服务器 2010-01-13 10:59 haoshaolin
你好 ! 我想用自己的电脑测试openvpn-gui
客户端 服务端用自己电脑!但不知道怎么配置ovpn文件
请教  回复  更多评论
  

# re: 成功搭建OpenVpn服务器 2010-04-06 12:55 dissertation writing service
The extra buy thesis is wanted by people in the whole world but everytime I require the dissertation service or entirely length of dissertation just like this good topic.   回复  更多评论
  

# essay writers 2010-09-10 02:10 vikojhons@gmail.com
I admit, I have not been on this webpage in a long time... however it was another joy to see It is such an important topic and ignored by so many, even professionals. I thank you to help making people more aware of possible issues.

  回复  更多评论
  

# re: 成功搭建OpenVpn服务器 2010-09-10 11:26 cosplay
The extra buy thesis is wanted by people in the whole world but everytime I require the dissertation service or entirely length of dissertation just like this good topic[url=http://www.weddingsale.ca]evening dresses[/url]  回复  更多评论
  

# re: 成功搭建OpenVpn服务器 2013-01-25 15:04 die
下载地址 http://www.bibidu.com/fileview-302845.html 建议大家别下载,是exe文件,不可信。  回复  更多评论
  

只有注册用户登录后才能发表评论。