OpenVPN-基础部署

**相关链接：**
---
- OpenVPN：
	- 官网：https://openvpn.net/
	- 文档：https://openvpn.net/community-resources/how-to/
	- GitHub：https://github.com/OpenVPN/openvpn
	- 客户端下载：https://openvpn.net/client/
- Easy-RSA：
	- 文档：https://easy-rsa.readthedocs.io/en/latest/
	- GitHub：https://github.com/OpenVPN/easy-rsa

## 服务器配置

```bash
apt install -y openvpn git  # 安装所需软件
cd /etc/openvpn  # OpenVPN 配置目录

######################### 服务器配置(生成证书后) ########################
nano /etc/openvpn/server.conf  # 编辑OpenVPN配置文件

openvpn --config /etc/openvpn/server.conf  # 手动启动,前台运行,用于测试
systemctl start openvpn@server  # 启动openvpn服务(server为server.conf 省略拓展名)
systemctl enable openvpn@server  # 设置openvpn自启(disable 关闭自启)

######################### 服务器(路由转发) ########################
# 临时-启用路由转发(允许内部访问必须开启)
sysctl -w net.ipv4.ip_forward=1  # 临时开启 IPv4 路由转发
sysctl -w net.ipv6.conf.all.forwarding=1  # 临时开启 IPv6 路由转发

# 永久-启用路由转发
echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf  # 写入开启 IPv4 路由转发
echo "net.ipv6.conf.all.forwarding = 1" >> /etc/sysctl.conf  # 写入开启 IPv6 路由转发
sysctl -p  # 应用配置

######################### 客户端证书相关导出 ########################
# 导出客户端相关证书文件
cd /easyrsa/pki && tar -czvf cert.tar.gz ca.crt issued/client.crt private/client.key dh.pem  # 进入证书所在文件夹并打包
scp -P 22 root@<主机名称>:/easyrsa/pki/cert.tar.gz .  # 下载打包的证书到本地
```
若要允许访问服务器内部其它设备，必须 `启用路由转发`+ [`配置 iptables 规则`](/doc/756/)

### 使用 Easy-RSA 生成证书
```bash
# 准备 Easy-RSA 环境
cd /  # 存放在根目录下(EasyRSA项目路径为:/easyrsa)
wget https://git.918178.xyz/https://github.com/OpenVPN/easy-rsa/releases/download/v3.1.7/EasyRSA-3.1.7.tgz -O EasyRSA.tgz && tar -xzvf EasyRSA.tgz  # 下载 EasyRSA 并解压
mv EasyRSA-* easyrsa && cd easyrsa  # 修改 EasyRSA 文件夹名称并进入

# 初始化
./easyrsa init-pki  # 初始化
./easyrsa build-ca  # 创建CA根证书
# ./easyrsa build-ca nopass  # 可添加 nopass 不进行加密,创建证书时也不会进行验证
  Enter New CA Key Passphrase:  # 设置密码(用于ca对之后生成的server和client证书签名时使用)
  Re-Enter New CA Key Passphrase:  # 重复输入密码
  # 其他提示内容直接回车即可

# 创建 Diffie-Hellman文件
./easyrsa gen-dh

################################# 一步创建(证书) #################################
./easyrsa build-server-full server nopass  # 创建名为 server 的server类型的证书并签名
./easyrsa build-client-full client nopass  # 创建名为 client 的client类型的证书并签名

################################# 分步创建(证书) #################################
# 创建证书_Server 端
./easyrsa gen-req server nopass  # 创建名为server的证书和私钥文件(nopass不加密,否则每次启动服务器都需要输入密码验证)
  # 提示内容直接回车即可
./easyrsa sign server server  # 使用server类型为名为server的证书进行签名
  Confirm request details:  # 输入 yes
  Enter pass phrase for /easyrsa/pki/private/ca.key:  # 创建CA根证书设置的密码

# 创建证书_Client 端
./easyrsa gen-req client nopass  # 创建名为client的证书和私钥文件(nopass不加密,否则每次启动客户端都需要输入密码验证)
  # 提示内容直接回车即可
./easyrsa sign client client  # 使用client类型为名为client的证书进行签名
  Confirm request details:  # 输入 yes
  Enter pass phrase for /easyrsa/pki/private/ca.key:  # 创建CA根证书设置的密码

# 其它命令
tree  # 检查是否有ca根证书、客户端/服务端证书、客户端/服务端私钥
openvpn --genkey --secret /easyrsa/ta.key  # 创建TLS认证密钥(可选)
./easyrsa revoke <证书名称>  # 吊销证书
nano /easyrsa/vars  # 修改证书有效期(需要重新初始化 Easy-RSA,并重新创建证书)
  set_var EASYRSA_CERT_EXPIRE 3650  # 一般默认10年
export EASYRSA_CERT_EXPIRE=123  # 环境变量方式设置证书有效期(断开后清除)
  export  # 查看全部环境变量
  echo $<环境变量名>  # 查看指定环境变量
  unset <环境变量名>  # 清除指定环境变量
```

### 证书认证形式
`/etc/openvpn/server.conf` 服务器端配置文件
```bash
# 指定 OpenVPN 使用的协议和端口
;local 192.168.100.233  # 监听的本地IP地址
port 1194  # 默认端口是 1194
proto udp  # tcp/udp
proto udp6  # tcp6/udp6
dev tun  # 指定使用的设备类型,三层路由IP隧道(tun)二层以太网隧道(tap)

# 指定证书和密钥的位置
ca /easyrsa/pki/ca.crt  # ca证书的位置# ca证书的位置
cert /easyrsa/pki/issued/server.crt  # 服务端公钥的位置
key /easyrsa/pki/private/server.key  # 服务端私钥的位置
dh /easyrsa/pki/dh.pem  # 证书校验算法

# 指定 OpenVPN 使用的虚拟内网地址和子网掩码
server 10.8.0.0 255.255.255.0  # 给客户端分配的地址池
ifconfig-pool-persist ip.txt  # 指定用于持久化存储客户端分配的 IP 地址的文件

# 推送给客户端的选项,例如将默认网关设置为 VPN 服务器
push "route 192.168.100.0 255.255.255.0"  # 允许客户端访问的内网网段
;push "redirect-gateway def1 bypass-dhcp"  # 默认网关设置为 VPN 服务器
;push "dhcp-option DNS 223.5.5.5"  # 推送给客户端的 DNS 服务器
;push "dhcp-option DNS 1.1.1.1"
client-to-client  # 允许客户端与客户端之间通信

# 保持连接活动的选项
keepalive 10 120  # 存活时间,10秒ping一次,120秒如果未收到响应则视为断开
max-clients 100  # 最多允许100个客户端连接

# OpenVPN 日志
status openvpn-status.log  # OpenVPN 连接状态文件
verb 3  # 设置 OpenVPN 的日志详细级别

# 持久化 TUN/TAP 设备和密钥
persist-key  # 通过keepalive检测超时后,重新启动VPN,不重新读取
persist-tun  # 检测超时后,重新启动VPN,一直保持tun是linkup的,否则网络会先linkdown然后再linkup
duplicate-cn  # 允许使用相同证书(禁用则需要每个客户端都要单独生成一个证书)
comp-lzo  # 启用 LZO 压缩(兼容旧版客户端压缩,双方必须一致)
```
`client.ovpn` 客户端配置文件
```bash
client                    # 指定为客户端模式
dev tun                   # 指定使用的设备类型
proto udp                 # 使用UDP协议，也可以选择tcp
remote blynk.space 1194   # OpenVPN服务器的域名/IP地址和端口号

resolv-retry infinite     # 断开连接后自动重连，特别在网络不稳定时有用
;persist-key              # 如果使用keepalive检测到超时，则重新启动VPN，使用第一次生成的keys
;persist-tun              # 检测超时后,重新启动VPN,一直保持tun是linkup的,否则网络会先linkdown然后再linkup
;nobind                   # 大多数客户端不需要绑定到特定的本地端口号

# 指定证书和密钥的位置，也可直接将证书和密钥的内容插入配置文件
ca ca.crt                 # CA证书的位置，<ca>...</ca>
cert client.crt           # 客户端证书的位置，<cert>...</cert>
key client.key            # 客户端私钥的位置，<key>...</key>

comp-lzo                  # 启用 LZO 压缩（兼容旧版客户端压缩,双方必须一致）
verb 3                    # 设置 OpenVPN 的日志详细级别

;auth-user-pass           # 启用用户名密码认证，如果服务端配置了此项
;route-nopull             # 取消从服务器拉取路由，手动指定路由信息
;route 192.168.100.0 255.255.255.0  # 自定义路由，确保与服务端配置相匹配

script-security 2         # 启用脚本安全性，通常设置为2即可(不启用可能会无法访问服务器本机IP)
# reneg-sec 0             # 设置用于重新协商密钥的时间间隔
# cipher AES-256-CBC      # 设置加密算法为AES-256-CBC
# auth SHA512             # 设置认证算法为SHA512
```

### 帐号认证形式
`/etc/openvpn/server.conf` 服务器端配置文件
```bash
# 指定 OpenVPN 使用的协议和端口
;local 192.168.100.233  # 监听的本地IP地址
port 1194  # 默认端口是 1194
proto udp  # tcp/udp
proto udp6  # tcp6/udp6
dev tun  # 指定使用的设备类型,三层路由IP隧道(tun)二层以太网隧道(tap)

# 指定证书和密钥的位置
ca /easyrsa/pki/ca.crt  # ca证书的位置# ca证书的位置
cert /easyrsa/pki/issued/server.crt  # 服务端公钥的位置
key /easyrsa/pki/private/server.key  # 服务端私钥的位置
dh /easyrsa/pki/dh.pem  # 证书校验算法

# 指定 OpenVPN 使用的虚拟内网地址和子网掩码
server 10.8.0.0 255.255.255.0  # 给客户端分配的地址池
ifconfig-pool-persist ip.txt  # 指定用于持久化存储客户端分配的 IP 地址的文件

# 推送给客户端的选项,例如将默认网关设置为 VPN 服务器
push "route 192.168.100.0 255.255.255.0"  # 允许客户端访问的内网网段
;push "redirect-gateway def1 bypass-dhcp"  # 默认网关设置为 VPN 服务器
;push "dhcp-option DNS 223.5.5.5"  # 推送给客户端的 DNS 服务器
;push "dhcp-option DNS 1.1.1.1"
client-to-client  # 允许客户端与客户端之间通信

# 保持连接活动的选项
keepalive 10 120  # 存活时间,10秒ping一次,120秒如果未收到响应则视为断开
max-clients 100  # 最多允许100个客户端连接

# OpenVPN 日志
status openvpn-status.log  # OpenVPN 连接状态文件
verb 3  # 设置 OpenVPN 的日志详细级别

# 持久化 TUN/TAP 设备和密钥
persist-key  # 通过keepalive检测超时后,重新启动VPN,不重新读取
persist-tun  # 检测超时后,重新启动VPN,一直保持tun是linkup的,否则网络会先linkdown然后再linkup
duplicate-cn  # 允许使用相同证书(禁用则需要每个客户端都要单独生成一个证书)
comp-lzo  # 启用 LZO 压缩(兼容旧版客户端压缩,双方必须一致)

# 启用用户验证
auth-user-pass-verify /etc/openvpn/checkpsw.sh via-env  # 开启密码验证脚本
username-as-common-name  # 使用客户提供的UserName作为Common Name
verify-client-cert none  # 不进行客户端证书验证(仅需CA证书即可)
;client-cert-not-required  # 只使用用户密码方式验证登录(禁用则需要证书+用户名密码双重验证登录)
script-security 3  # 该指令提供对OpenVPN使用外部程序和脚本的策略级别的控制
  # 0- 完全不调用外部程序
  # 1- （默认）仅调用内置可执行文件，例如ifconfig，ip，route或netsh
  # 2- 允许调用内置的可执行文件和用户定义的脚本
  # 3- 允许通过环境变量将密码传递给脚本（可能不安全）
  # 特别注意如果没有这个配置项会导致服务端校验密码时无法获取到密码，导致校验失败
```
`/etc/openvpn/check.sh` 登录验证脚本 `chmod +x /etc/openvpn/check.sh` 增加执行权限
```bash
#!/bin/bash
PASSFILE="/etc/openvpn/openvpn-user.txt"   # 密码文件，包含用户名和密码明文
LOG_FILE="/etc/openvpn/openvpn-password.log"  # 记录用户登录情况的日志文件
TIME_STAMP=`date "+%Y-%m-%d %T"`  # 时间
# 检查密码文件是否可读
if [ ! -r "${PASSFILE}" ]; then
    echo "${TIME_STAMP}: 无法读取密码文件 \"${PASSFILE}\"." >> ${LOG_FILE}
    exit 1
fi
# 从密码文件中获取正确的密码
CORRECT_PASSWORD=`awk '!/^;/&&!/^#/&&$1=="'${username}'"{print $2;exit}' ${PASSFILE}`
# 检查用户是否存在
if [ "${CORRECT_PASSWORD}" = "" ]; then
    echo "${TIME_STAMP}: 用户不存在：用户名=\"${username}\"，密码=\"${password}\"." >> ${LOG_FILE}
    exit 1
fi
# 检查密码是否正确
if [ "${password}" = "${CORRECT_PASSWORD}" ]; then
    echo "${TIME_STAMP}: 认证成功：用户名=\"${username}\"." >> ${LOG_FILE}
    exit 0
fi
# 记录密码错误情况
echo "${TIME_STAMP}: 密码错误：用户名=\"${username}\"，密码=\"${password}\"." >> ${LOG_FILE}
exit 1
```
`/etc/openvpn/openvpn-user.txt`  OpenVPN 用户，空格为分隔符
```bash
<用户1> <密码(明码)>
<用户2> <密码(明码)>
```
`client.ovpn` 客户端配置文件
```bash
client                    # 指定为客户端模式
dev tun                   # 指定使用的设备类型
proto udp                 # 使用UDP协议，也可以选择tcp
remote blynk.space 1194   # OpenVPN服务器的域名/IP地址和端口号

resolv-retry infinite     # 断开连接后自动重连，特别在网络不稳定时有用
;persist-key              # 如果使用keepalive检测到超时，则重新启动VPN，使用第一次生成的keys
;persist-tun              # 检测超时后,重新启动VPN,一直保持tun是linkup的,否则网络会先linkdown然后再linkup
;nobind                   # 大多数客户端不需要绑定到特定的本地端口号。

# 指定证书和密钥的位置，也可直接将证书和密钥的内容插入配置文件
ca ca.crt                 # CA证书的位置，<ca>...</ca>
;cert client.crt          # 客户端证书的位置，<cert>...</cert>  # 用户验证无需
;key client.key           # 客户端私钥的位置，<key>...</key>  # 用户验证无需

comp-lzo                  # 启用 LZO 压缩（兼容旧版客户端压缩,双方必须一致）
verb 3                    # 设置 OpenVPN 的日志详细级别

auth-user-pass            # 启用用户名密码认证，如果服务端配置了此项
;route-nopull             # 取消从服务器拉取路由，手动指定路由信息
;route 192.168.100.0 255.255.255.0  # 自定义路由，确保与服务端配置相匹配

script-security 2         # 启用脚本安全性，通常设置为2即可(不启用可能会无法访问服务器本机IP)
;reneg-sec 0              # 设置用于重新协商密钥的时间间隔
;cipher AES-256-CBC       # 设置加密算法为AES-256-CBC
;auth SHA512              # 设置认证算法为SHA512
```

## 常见问题
```bash
# ERROR: Cannot open TUN/TAP dev /dev/net/tun: No such file or directory (errno=2)
mkdir -p /dev/net
mknod /dev/net/tun c 10 200
chmod 600 /dev/net/tun
  cat /dev/net/tun  # 测试TUN/TAP设备是否可用：
    # 如果您收到消息cat: /dev/net/tun: File descriptor in bad state您的 TUN/TAP 设备已准备好使用
    # 如果您收到消息cat: /dev/net/tun: No such device the TUN/TAP 设备未成功创建```
# 还有可能就是使用docker创建的，创建容器时增加
  --cap-add=NET_ADMIN --device=/dev/net/tun
# 在PVE下部署的话需要
nano /etc/pve/lxc/<CT的ID>.conf  # PVE主机Shell运行,修改或添加下列内容
  lxc.mount.entry: /dev/net dev/net none bind,create=dir
  lxc.cgroup2.devices.allow: c 10:200 rwm  # 10:200 表示 net这个设备
    # ls -l /dev/<设备名>  # 可以查看指定设备的 主设备号:次设备号(*:* 全部设备)
chown 100000:100000 /dev/net/tun  # 允许非特权容器使用

# 安装了 openvpn 运行提示 "未找到命令"，下列方式任选一个
/usr/sbin/openvpn --config /etc/openvpn/server.conf  # 使用完整路径(临时)
sudo ln -s /usr/sbin/openvpn /usr/local/bin/openvpn  # 使用软链接修复(永久)
export PATH=$PATH:/usr/sbin  # 将/usr/sbin添加到$PATH(重新加载配置文件或重新启动终端后再试)(永久)
```

**相关教程：**
[centos7部署easyrsa打通内网](https://www.cnblogs.com/forlive/p/16850177.html)
[OpenVPN使用故障收录(含高阶使用)](https://developer.aliyun.com/article/976278)
[CentOS 搭建 OpenVPN 服务，一次性成功！收藏了](https://cloud.tencent.com/developer/article/2315269)
[OpenVPN_Docker_北京元枢](https://metahubs.cn/openvpn)