July's Blog

cat /dev/net/tun

cat: /dev/net/tun: File descriptor in bad state

aptitude install openvpn

cp -R /usr/share/doc/openvpn/examples/easy-rsa/ /etc/openvpn
 
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/
 
cd /etc/openvpn
 
gzip -d server.conf.gz

cd easy-rsa/2.0
 
source vars
 
./clean-all
 
./build-ca // 这里会问你很多问题，都回车默认就行了

./build-key-server server

./build-key client

./build-dh

vi /etc/openvpn/server.conf

;local a.b.c.d
local YOUR.IP.ADDRESS  // 这行是服务器的外网 IP 地址
 
port 1194 // 端口，客户端配置文件和服务器保持一致就行了，想玩狠一点就放在 53 上
 
;proto tcp
proto udp // 这两个二选一，默认是 udp，同样客户端和服务器端保持一致，但是我用 tcp 的时候非常慢，所以推荐使用 udp
 
;dev tap
dev tun // 使用默认 tun （tunnel）模式
 
ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt
cert /etc/openvpn/easy-rsa/2.0/keys/server.crt
key /etc/openvpn/easy-rsa/2.0/keys/server.key  # This file should be kept secret
dh /etc/openvpn/easy-rsa/2.0/keys/dh1024.pem // 证书和 dh 文件的位置
 
server 10.8.0.0 255.255.255.0 // 给客户端分配的 IP 段，千万不要和现有网段冲突
 
push "redirect-gateway def1 bypass-dhcp" // 把 openvpn 服务器作为网关
 
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4" // 推送 Google DNS 服务器到客户端
 
;duplicate-cn  // 每个用户只允许一个链接
 
;max-clients 100 // 最多客户端数
 
;user nobody
;group nogroup // 启动所用用户组
 
log         openvpn.log
;log-append  openvpn.log // 单独的日志，会出现在 /etc/openvpn ，第二种是追加模式

for each in /proc/sys/net/ipv4/conf/*
do
echo 0 > $each/accept_redirects
echo 0 > $each/send_redirects
done
 
vi /etc/sysctl.conf
修改 net.ipv4.ip_forward = 1
sysctl -p

iptables --table nat --append POSTROUTING --jump MASQUERADE

cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf ~
 
vi ~/client.conf

remote SERVER.IP.ADDRESS 1194  // IP 和 端口按照服务器实际情况填写
ca ca.crt
cert client.crt
key client.key //后面两个要根据实际证书文件名修改

/etc/openvpn/easy-rsa/2.0/keys/ca.crt
/etc/openvpn/easy-rsa/2.0/keys/client.crt
/etc/openvpn/easy-rsa/2.0/keys/client.key
~/client.conf

/etc/init.d/openvpn start