同步操作将从 haoxiangru/Linux-Tutorial 强制同步,此操作会覆盖自 Fork 仓库以来所做的任何修改,且无法恢复!!!
确定后同步将在后台操作,完成时将刷新页面,请耐心等待。
VPN 分类有很多,这里主要讲 PPTPD 和 L2TPD、OpenVPN
查看是否已安装:
CentOS:rpm -qa | grep pptpd
Ubuntu:dpkg -l | grep pptpd
先安装依赖包:
CentOS 6:sudo yum -y install ppp
Ubuntu:sudo apt-get install -y ppp
安装:
CentOS 6:sudo yum -y install pptpd
Ubuntu:sudo apt-get install -y pptpd
sudo netstat -apnl | grep 1723
sudo vim /etc/pptpd.conf
option /etc/ppp/options.pptpd
#配置文件中有一行这样的参数,如果没有自己添加上去,正常默认是有的。同时也有可能是这样的一句话:option /etc/ppp/pptpd-options
,具体你自己看下你的配置文件里面是什么内容。logwtmp
#默认这个是没有被注释的,这里要进行注释localip 172.31.0.1
#本机服务器的内网IP地址,建议你的内网IP一般不要用常见网段,默认这个被注释,取消注释remoteip 192.168.0.10-200
#客户端的IP地址范围,默认这个被注释,取消注释sudo vim /etc/ppp/options.pptpd
或是 sudo vim /etc/ppp/pptpd-options
ms-dns 8.8.8.8
#配置DNS,如果是境外服务器最好改为google的,国内的看情况ms-dns 8.8.4.4
#配置DNS,如果是境外服务器最好改为google的,国内的看情况sudo vim /etc/sysctl.conf
net.ipv4.ip_forward=1
# 默认是注释掉的,要取消注释,也有出现是没有注释,但是默认是0:net.ipv4.ip_forward=0
sudo sysctl -p
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
sudo vim /etc/rc.local
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
sudo vim /etc/ppp/chap-secrets
mytest1 pptpd 123456 *
#该格式分别表示:登录名、登录协议、密码、该连接上的客户端用什么 IP(* 表示随机一个 IP)sudo service pptpd restart
查看是否已安装:
CentOS:rpm -qa | grep xl2tpd
Ubuntu:dpkg -l | grep xl2tpd
安装:
CentOS 6:XXXXXXXXXXXXXXXXXXXXXXXX
Ubuntu:sudo apt-get install -y xl2tpd ppp openswan
sudo netstat -apnl | grep 1701
sudo vim /etc/ipsec.conf
sudo vim /etc/ipsec.secrets
sudo vim /etc/xl2tpd/xl2tpd.conf
ipsec saref = yes
require chap = yes
refuse pap = yes
require authentication = yes
ppp debug = yes
length bit = yes
ip range = 192.168.1.10-192.168.1.200 #这是客户端连接本机的IP端限制
local ip = 172.31.201.255 #这是本机服务器端的内网 IP
pppoptfile = /etc/ppp/options.xl2tpd #指定本机的 PPP 配置文件地址,如果你的 PPP 配置文件地址不是这里那就改下
sudo vim /etc/ppp/options.xl2tpd
(如果没有这个文件自己创建)refuse-mschap-v2
refuse-mschap
ms-dns 8.8.8.8 #配置DNS,如果是境外服务器最好改为google的,国内的看情况
ms-dns 8.8.4.4 #配置DNS,如果是境外服务器最好改为google的,国内的看情况
asyncmap 0
auth
lock
hide-password
local
name l2tpd
proxyarp
lcp-echo-interval 30
lcp-echo-failure 4
refuse
refuse
refuse
sudo vim /etc/sysctl.conf
sudo sysctl -p
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
sudo vim /etc/rc.local
sudo vim /etc/ppp/chap-secrets
sudo service l2tpd restart
cat /dev/net/tun
,如果出现:cat: /dev/net/tun: File descriptor in bad state
,则表示支持。如果现实的是:cat: /dev/net/tun: No such device
,则不支持yum install -y gcc make rpm-build autoconf.noarch openssl openssl-devel lzo lzo-devel pam pam-devel automake pkgconfig
yum install -y openvpn easy-rsa
vim /etc/selinux/config
SELINUX=enforcing
改为 SELINUX=disabled
使用 easy-rsa 的脚本产生证书
修改vars文件
cd /usr/share/easy-rsa/2.0
,后面关于证书的操作都是在这个目录下
vim vars
export KEY_COUNTRY="CN"
export KEY_PROVINCE="GuangDong"
export KEY_CITY="GuangZhou"
export KEY_ORG="YouMeekOrganization"
export KEY_EMAIL="admin@youmeek.com"
export KEY_OU="YouMeekOrganizationalUnit"
初始化环境变量
source vars
清除keys目录下所有与证书相关的文件,下面步骤生成的证书和密钥都在 /usr/share/easy-rsa/2.0/keys 目录里
./clean-all
生成根证书 ca.crt 和根密钥 ca.key(会有好几个提示,你都不需要输入什么内容,一路按回车即可,除非你懂原理)
./build-ca
为服务端生成证书和密钥(也会有好几个提示,你都不需要输入什么内容,一路按回车即可,直到提示需要输入y/n时,输入y再按回车继续走)
其中:server,这个名字别改,照着来,等下那些就可以直接使用。
./build-key-server server
每一个登陆的VPN客户端需要有一个证书,每个证书在同一时刻只能供一个客户端连接,下面语句是建立2份demo,你可以只输入第一个即可。
为客户端生成证书和密钥(一路按回车,直到提示需要输入y/n时,输入y再按回车,一共两次)
其中:client1,这个名字别改,照着来,等下那些就可以直接使用,除非你会。
./build-key client1
./build-key client2
创建迪菲·赫尔曼密钥,会在 keys 目录里面生成dh2048.pem文件(生成过程比较慢,在此期间不要去中断它,我这边花的时间是:2分钟)
./build-dh
复制一份服务器端配置文件模板server.conf到/etc/openvpn/
其中,我这边现在的版本是:2.3.11,所以我这边是填这个,你的不一定就跟我一样,所以你先到 doc 目录下,看下你具体是哪个版本,改下下面这句命令即可。
cp /usr/share/doc/openvpn-2.3.11/sample/sample-config-files/server.conf /etc/openvpn/
编辑 server.conf,把下面的内容替换到已有的文件中,记得去掉后面的注释,我这样写只是为了方便解释对应的内容含义:
vim /etc/openvpn/server.conf
port 1194 # 端口一般我们不改
proto udp # 默认使用udp,如果使用HTTP Proxy,改成tcp,必须使用tcp协议,还需要注意的是:需要与客户端配置保持一致,等下客户端配置会说道
dev tun
ca /usr/share/easy-rsa/2.0/keys/ca.crt # 这一行默认值为:ca ca.crt
cert /usr/share/easy-rsa/2.0/keys/server.crt # 这一行默认值为:cert server.crt
key /usr/share/easy-rsa/2.0/keys/server.key # 这一行默认值为:key server.key
dh /usr/share/easy-rsa/2.0/keys/dh2048.pem # 这一行默认值为:dh dh2048.pem
server 10.192.170.0 255.255.255.0 # 给客户的分配的局域网IP段,默认虚拟局域网网段,不要和实际的局域网冲突即可,这个10.192.170.0跟下面还有一个地方配置也有关联,需要注意
ifconfig-pool-persist ipp.txt # 启用了ipp.txt作为客户端和virtual IP的对应表,以方便客户端重新连接可以获得同样的IP;
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log # OpenVPN的状态日志,默认为/etc/openvpn/openvpn-status.log
log openvpn.log # OpenVPN的运行日志,默认为/etc/openvpn/openvpn.log
log-append openvpn.log
verb 3
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DOMAIN-SEARCH ap-northeast-1.compute.internal"
push "dhcp-option DOMAIN-SEARCH ec2.drawbrid.ge"
sed -i '/net.ipv4.ip_forward/s/0/1/' /etc/sysctl.conf
sudo sysctl -p
辨别你的 VPS 是属于那种虚拟方式,主流有:Xen KVM OpenVZ,方法:
sudo yum install -y virt-what
,virt-what是一个判断当前环境所使用的虚拟技术的脚本,常见的虚拟技术基本上都能正常识别出来
sudo virt-what
,我这边 Vultr 输出的结果是:KVM配置防火墙
iptables -A INPUT -p udp --dport 1194 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
设置IP转发,若你的 VPS 虚拟方案是:Xen 或 KVM的请输入:(eth0要根据具体的网卡标示来,可以通过ifconfig查看),其中:10.192.170.0/16 表示客户端连接上去后从这个区间中分配给客户端的IP地址
iptables -t nat -A POSTROUTING -s 10.192.170.0/16 -o eth0 -j MASQUERADE
若你的 VPS 虚拟方案是:OpenVZ 的请输入:(45.32.90.22是你VPS的IP)
iptables -t nat -A POSTROUTING -s 10.192.170.0/16 -j SNAT --to-source 45.32.90.22
保存防火墙配置
service iptables save
service iptables restart
service openvpn start
chkconfig openvpn on
下载 Windows 客户端: https://openvpn.net/index.php/download/community-downloads.html
Mac 用户下载这个 tunnelblick(该地址需要开穿越): http://code.google.com/p/tunnelblick/
/usr/share/easy-rsa/2.0/keys/ca.crt
/usr/share/easy-rsa/2.0/keys/client1.crt
/usr/share/easy-rsa/2.0/keys/client1.key
到你本地的电脑上(window电脑在安装好OpenVPN软件后可以把如上证书拷贝到如下文件夹里:C:\Program Files\OpenVPN\config )
从服务器找到这个文件:/usr/share/doc/openvpn-2.3.11/sample/sample-windows/sample.ovpn,下载到本地电脑这个目录下:C:\Program Files\OpenVPN\config 然后把这个文件改名字为:client1.ovpn 文件内如如下, 其他不用改只要把SERVER-IP 改成你服务器的 IP
client #这个client不是自定义名称 不能更改
dev tun #要与前面server.conf中的配置一致。
proto udp #要与前面server.conf中的配置一致。
remote 45.32.90.22 1194 #将45.32.90.22替换为你VPS的IP,端口也与前面的server.conf中配置一致。
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt #具体名称以刚下载的为准
cert client1.crt #具体名称以刚下载的为准
key client1.key #具体名称以刚下载的为准
comp-lzo
verb 3
此处可能存在不合适展示的内容,页面不予展示。您可通过相关编辑功能自查并修改。
如您确认内容无涉及 不当用语 / 纯广告导流 / 暴力 / 低俗色情 / 侵权 / 盗版 / 虚假 / 无价值内容或违法国家有关法律法规的内容,可点击提交进行申诉,我们将尽快为您处理。