CentOS 7 OpenVpn install

1. OpenVPN,esay-rsa  설치

 

-  openvpn 설치를 위한 epel 저장소 추가

#  yum install epel-release

- openvpn 설치

#  yum install openvpn

- OpenVPN 인증을 위한shell 기반 CA 유틸 easy-rsa 설치

#  yum install  esay-rsa

 - OpenVPN sample config file 복사 후 수정

# cp /usr/share/doc/openvpn-2.4.3/sample/sample-config-files/server.conf /etc/openvpn

2. OpenVPN 설정 

 

-  server.conf  설정 내용

# vi /etc/openvpn/server.conf

## Start of server.conf##
## openvpn 포트
port 1194
## Protocol 종류(Tcp/Udp 지원)
proto udp
## 터널링시 os상 생성 될 interface 이름
dev tun
 
## Client 연결될 사설 대역
server 10.1.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
 
## Client 연결 후Client os 상에서 추가될 라우틸 테이블
push "route 10.1.0.0 255.255.255.0 "
push "route 192.168.0.0 255.255.255.0 "
 
## 만약 Client 가 모든 트래픽을 openvpn 으로 보낸다면 아래와 같이 설정
#push "redirect-gateway def1"
 
## Ca Key 위치
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
 
comp-lzo
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
 
status /var/log/openvpn-status.log
verb 3
 
## 세션 종료 및 상태를 확인 하기 위한 management 포트 설정
management localhost 10921
 
## 서비스 로그 설정
log-append /var/log/openvpn/openvpn.log
log /var/log/openvpn/openvpn.log
 
## 기본적으로 openvpn인증을 pam 인증 하기 위한 모듈 위치 지정
plugin /usr/lib64/openvpn/plugins/openvpn-plugin-auth-pam.so login
 
client-cert-not-required
username-as-common-name
 
##End of server.conf##
   

3. esay-rsa  설정 및key 생성

 

- 설정 편의를 위해 openvpn 디렉토리에 easy-rsa 이동

# mkdir -p /etc/openvpn/easy-rsa/keys
# cp -rf /usr/share/easy-rsa/ /etc/openvpn/easy-rsa

- key 생성시 기본 설정 값 수정

# vi  /etc/openvpn/easy-rsa/vars
...생략...
export KEY_COUNTRY="KR"
export KEY_PROVINCE="NA"
export KEY_CITY="Seoul"
export KEY_ORG="mobigen.com"
export KEY_EMAIL="cyyoon@mobigen.com"
export KEY_OU="Community"
 
...생략...

 

- key 생성 (끝에 나오는 질문에 대해 y를 쳐줘야 커밋)

#cd /etc/openvpn/easy-rsa
#source ./vars
#./clean-all

 

- ca key 빌드  (끝에 나오는 질문에 대해 y를 쳐줘야 커밋)

#./build-ca

 

-서버 key 빌드  (끝에 나오는 질문에 대해 y를 쳐줘야 커밋)

#./build-key-server server

 

- dh 빌드  (끝에 나오는 질문에 대해 y를 쳐줘야 커밋)

#./build-dh

 

- client 빌드  (끝에 나오는 질문에 대해 y를 쳐줘야 커밋)

# ./build-key client
#  cd /etc/openvpn/easy-rsa/keys/
# cp dh2048.pem ca.crt server.crt server.key /etc/openvpn

 

4. OpenVpn 서비스 등록 및 확인

 

-systemclt 등록 및 실행

# systemctl -f enable openvpn@server.service
# systemctl start openvpn@server.service

-터널링 인터페이스 활성화 확인

# ifconfig tun0
tun0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST>  mtu 1500
        inet 10.1.0.1  netmask 255.255.255.255  destination 10.1.0.2
        unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  txqueuelen 100  (UNSPEC)
…

-매니지먼트 포트 접속 후 상태 확인

# telnet localhost 10921
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
>INFO:OpenVPN Management Interface Version 1 -- type 'help' for more info
status
OpenVPN CLIENT LIST
Updated,Mon Jul 24 13:01:37 2017
Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since
ROUTING TABLE
Virtual Address,Common Name,Real Address,Last Ref
GLOBAL STATS
Max bcast/mcast queue length,0
END

-client 접속을 위한 일반 계정 설정

# useradd test
# passwd test

-client의 서버 접속을 위한ovpn 파일 생성

# vi /etc/openvpn/client.ovpn
 
client
remote 218.233.105.58
proto udp
dev tun
port 1194
tls-client
 
ca  ca.crt
cert client.crt
key client.key
 
comp-lzo
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
 
auth-user-pass
 

-서버에서 client key , ovpn 파일등을 clinet 로 이동 (아래 파일 참고)

/etc/openvpn/easy-rsa/keys/ca.crt
/etc/openvpn/easy-rsa/keys/client.crt
/etc/openvpn/easy-rsa/keys/client.key
/etc/openvpn/client.ovpn

-서버에서 받은 파일을 아래 경로로 이동

Windows : C:\Program Files\OpenVPN\config

. 

 

-openvpn 관리자 계정으로 실행 후 useradd 로 설정한 아이디와 패스워드 입력 

 

 

-openvpn server로 사설망 통신 확인 및 로그 확인

 

 

 

-서버 매니지먼트상 접속 확인

# telnet localhost 10921
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
>INFO:OpenVPN Management Interface Version 1 -- type 'help' for more info
status
OpenVPN CLIENT LIST
Updated,Mon Jul 24 13:35:14 2017
Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since
test, 서버 접속 아이피 :포트 ,13809,5082,Mon Jul 24 13:33:13 2017
ROUTING TABLE
Virtual Address,Common Name,Real Address,Last Ref
10.1.0.6,tms,203.236.3.235:46280,Mon Jul 24 13:33:45 2017
GLOBAL STATS
Max bcast/mcast queue length,0
END