大家好,欢迎来到IT知识分享网。
Openv**
1.需求
由于公司做登保三,做系统渗透需要登录内网的机器
如下:10网段用来做外网IP
172网段用来做内网IP
| 机器 | 内网IP | 外网IP |
|---|---|---|
| vpn1 | 172.16.1.11 | 10.0.0.11 |
| vpn2 | 172.16.1.12 | 10.0.0.12(搭建完成后,会if down掉进行测试) |
2.实现过程
服务端
1.使用easy-rsa秘钥生成工具生成证书
[root@m01 ~]# yum install easy-rsa -y
2.生成秘钥证书前,需要准备vars文件
[root@m01 ~]# mkdir /opt/easy-rsa
[root@m01 ~]# cd /opt/easy-rsa/
[root@m01 easy-rsa]# /usr/bin/cp -a /usr/share/easy-rsa/3.0.8/* ./
[root@m01 easy-rsa]# /usr/bin/cp -a /usr/share/doc/easy-rsa-3.0.8/vars.example ./vars
[root@m01 easy-rsa]# vim vars
if [ -z "$EASYRSA_CALLER" ]; then
echo "You appear to be sourcing an Easy-RSA 'vars' file." >&2
echo "This is no longer necessary and is disallowed. See the section called" >&2
echo "'How to use this file' near the top comments for more details." >&2
return 1
fi
set_var EASYRSA_DN "cn_only"
set_var EASYRSA_REQ_COUNTRY "CN"
set_var EASYRSA_REQ_PROVINCE "Beijing"
set_var EASYRSA_REQ_CITY "Shanghai"
set_var EASYRSA_REQ_ORG "ols"
set_var EASYRSA_REQ_EMAIL "xuliangwei@foxmail.com"
set_var EASYRSA_NS_SUPPORT "yes"
3.初始化生成证书
#1.初始化,在当前目录创建PKI目录,用于存储证书
[root@m01 easy-rsa]# ./easyrsa init-pki
#2.创建根证书,会提示设置密码,用于ca对之后生成的server和client证书签名时使用,其他可默认
[root@m01 easy-rsa]# ./easyrsa build-ca
#3.创建server端证书和私钥文件,nopass表示不加密私钥文件,其他可默认
[root@m01 easy-rsa]# ./easyrsa gen-req server nopass
#4.给server端证书签名,首先是对一些信息的确认,可以输入yes,然后创建ca根证书时设置的密码
[root@m01 easy-rsa]# ./easyrsa sign server server
#5.创建Diffie-Hellman文件,秘钥交换时的DiffieHellman算法
[root@m01 easy-rsa]# ./easyrsa gen-dh
#6.创建client端证书和私钥文件,nopass表示不加密私钥文件,其他可默认
[root@m01 easy-rsa]# ./easyrsa gen-req client nopass
#7.给client端证书签名,首先是对一些信息的确认,可以输入yes,然后创建ca根证书时设置的密码
[root@m01 easy-rsa]# ./easyrsa sign client client
4.安装openvpn服务
[root@m01 ~]# yum install openvpn -y
注意:一定要调时间,与当前时间一致!!!!
时间问题解决:
date -R
ln -sf /usr/share/zoneinfo/Asia/Shanghai /etc/localtime
ntpdate ntp1.aliyun.com
#这三步应该就可以解决
5.配置openvpn服务
[root@m01 ~]# cp /usr/share/doc/openvpn-2.4.9/sample/sample-config-files/server.conf /etc/openvpn/
[root@web01 openvpn]# vim server.conf
port 1194 #端口
proto udp #协议
dev tun #采用路由隧道模式tun
ca ca.crt #ca证书文件位置
cert server.crt #服务端公钥名称
key server.key #服务端私钥名称
dh dh.pem #交换证书
server 10.8.0.0 255.255.255.0 #给客户端分配地址池,注意:不能和VPN服务器内网网段有相同
push "route 172.16.1.0 255.255.255.0" #允许客户端访问内网172.16.1.0网段
ifconfig-pool-persist ipp.txt #地址池记录文件位置
keepalive 10 120 #存活时间,10秒ping一次,120 如未收到响应则视为断线
max-clients 100 #最多允许100个客户端连接
status openvpn-status.log #日志记录位置
verb 3 #openvpn版本
client-to-client #客户端与客户端之间支持通信
log /var/log/openvpn.log #openvpn日志记录位置
persist-key #通过keepalive检测超时后,重新启动VPN,不重新读取keys,保留第一次使用的keys。
persist-tun #检测超时后,重新启动VPN,一直保持tun是linkup的。否则网络会先linkdown然后再linkup
duplicate-cn
6.根据配置需要文件中定义,需要拷贝openvpnServer端用到 的证书至/etc/openvpn目录中
[root@vpn easy-rsa]#cd /etc/openvpn/
[root@vpn openvpn]# cp /opt/easy-rsa/pki/ca.crt ./
[root@vpn openvpn]# cp /opt/easy-rsa/pki/issued/server.crt ./
[root@vpn openvpn]# cp /opt/easy-rsa/pki/private/server.key ./
[root@vpn openvpn]# cp /opt/easy-rsa/pki/dh.pem ./
7.开启内核转发功能。否则会出现无法启动openvpn请求
[root@m01 ~]# echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
[root@m01 ~]# systemctl restart network
8.启动openvpn服务并加入开机自启
[root@m01 ~]# systemctl -f enable openvpn@server.service #设置启动文件
[root@m01 ~]# systemctl start openvpn@server.service #启动openvpn服务
客户端
Linux客户端:
1.首先在linux端安装openvpn
[root@openvpn-client ~]# yum install openvpn -y
2.下载服务端上的客户端公钥与私钥以及Ca证书至客户端
[root@openvpn-client ~]# cd /etc/openvpn/
[root@openvpn-client openvpn]# scp root@172.16.1.61:/opt/easy-rsa/pki/ca.crt ./
[root@openvpn-client openvpn]# scp root@172.16.1.61:/opt/easyrsa/pki/issued/client.crt ./
[root@openvpn-client openvpn]# scp root@172.16.1.61:/opt/easyrsa/pki/private/client.key ./
3.客户端有了公钥和私钥后,还需要准备对应的客户端配置 文件
[root@openvpn-client openvpn]# vim /etc/openvpn/clinet.ovpn
client #指定当前VPN是客户端
dev tun #使用tun隧道传输协议
proto udp #使用udp协议传输数据
remote 10.0.0.201 1194 #openvpn服务器IP地址端口号
resolv-retry infinite #断线自动重新连接,在网络不稳定的情况下非常有用
nobind #不绑定本地特定的端口号
ca ca.crt #指定CA证书的文件路径
cert client.crt #指定当前客户端的证书文件路径
key client.key #指定当前客户端的私钥文件路径
verb 3 #指定日志文件的记录详细级别,可选0-9,等级越高日志内容越详细
persist-key #通过keepalive检测超时后,重新启动VPN,不重新读取keys,保留第一次使用的keys
persist-tun #检测超时后,重新启动VPN,一直保持tun是linkup的。否则网络会先linkdown然后再linkup
4.启动Linux的openvpn客户端
[root@openvpn-client ~]# openvpn --daemon --cd /etc/openvpn --config client.ovpn --logappend /var/log/openvpn.log
# --daemon:openvpn以daemon方式启动。
# --cd dir:配置文件的目录,openvpn初始化前,先切换到此目录。
# --config file:客户端配置文件的路径。
# --log-append file:日志文件路径,如果文件不存在会自动创建。
Windows客户端:
1.首先在Windows端安装openvpn
2.下载服务端生成的客户端密钥文件和ca文件至windows指定 C:\Program Files\OpenVPN\config 目录中
[root@openvpn ~]# cd /etc/openvpn/
[root@openvpn openvpn]# sz /opt/easyrsa/pki/ca.crt
[root@openvpn openvpn]# sz /opt/easyrsa/pki/issued/client.crt
[root@openvpn openvpn]# sz /opt/easyrsa/pki/private/client.key
3.在C:\Program Files\OpenVPN\config 创建一个客户端配置 文件,名称叫client.ovpn,内容如下
client #指定当前VPN是客户端
dev tun #使用tun隧道传输协议
proto udp #使用udp协议传输数据
remote 10.0.0.201 1194 #openvpn服务器IP地址端口号
resolv-retry infinite #断线自动重新连接,在网络不稳定的情况下非常有用
nobind #不绑定本地特定的端口号
ca ca.crt #指定CA证书的文件路径
cert client.crt #指定当前客户端的证书文件路径
key client.key #指定当前客户端的私钥文件路径
verb 3 #指定日志文件的记录详细级别,可选0-9,等级越高日志内容越详细
persist-key #通过keepalive检测超时后,重新启动VPN,不重新读取keys,保留第一次使用的keys
persist-tun #检测超时后,重新启动VPN,一直保持tun是linkup的。否则网络会先linkdown然后再linkup
4.双击运行openvpn,然后连接即可
5.查看openvpn服务推送过来的路由信息
#windows查看推送过来的路由信息
# route print -4
6.如果客户端是MacOS,则进行如下操作
#https://www.jianshu.com/p/a5fd8dc95ad4
#如果是mac电脑,需要将所有的文件放入一个文件夹中,然后将文件夹的名称修改为tblk
3.5.OpenVPN访问内网网段
- 抓包分析数据包能抵达openvpn的内网地址,但无法与 OpenVPN服务同内网网段主机进行通信,因为后端主机没有 回10.8.0.0的路由,所以会导致无法ping通,可以在后端主机 增加一条抵达10.8.0.0的路由.
[root@web01 ~]# ping 172.16.1.7
Request timeout for icmp_seq 0
Request timeout for icmp_seq 1
#在后端的主机上抓包分析,发现能接收到数据包,但没有回去的路由所以还是无法通信
[root@web01 ~]# tcpdump -i eth1
01:12:29.394601 IP 10.8.0.6 > web01: ICMP
echo request, id 61147, seq 107, length 64
01:12:30.298996 IP 10.8.0.6 > web01: ICMP
echo request, id 61147, seq 108, length 64
解决办法一:在后端主机添加抵达去往10.8.0.0网段的走 openvpn 的内网地址即可
#指定添加去往10.8.0.0网段走openvpn内网
[root@web01 ~]# route add -net 10.8.0.0/24 gw 172.16.1.201
#添加完路由后在抓包查看
[root@web01 ~]# tcpdump -i eth1
17:51:36.053959 IP 172.16.1.7 > 10.8.0.10:
ICMP echo reply, id 1, seq 420, length 40
17:51:37.057545 IP 10.8.0.10 > 172.16.1.7:
ICMP echo request, id 1, seq 421, length 40
PS:如上的配置需要在所有后端主机添加,如果机器量过多,那 么添加起来非常的麻烦,建议使用firewalld防火墙的NAT转发 功能(也叫ip地址伪装)
解决办法二:在vpn服务器上配置防火墙转发规则
[root@m01 ~]# systemctl start firewalld
[root@m01 ~]# firewall-cmd –addservice=openvpn –permanent
[root@m01 ~]# firewall-cmd –add-masquerade –permanent
[root@m01 ~]# firewall-cmd –reload
4.OpenVPN双重认证方式
- OpenVPN秘钥+用户名密码双重验证登录
- 为什么使用“OpenVPN秘钥+用户名密码双重验证登录”
- 因为很多人使用密匙和证书,公司员工离职,不能吊销证书,其仍然可以登服务器,会造成安全隐患。那么,以我们就 需要秘钥加用户名密码,这样就可以多个用户使用同一个证 书,使用不同的用户名和密码。新用户加入的时候,只需要添加一个用户名和密码,如果有 人不需要VPN的时候,直接删除用户名和密码就可以。
首先需要确保能使用秘钥成功连接OpenVPN服务,然后在配 置秘钥+用户名密码验证登录方式。
配置如下:
1.修改Server端配置文件(server.conf),添加以下三行代码,使其服务端支 持密码认证方式
script-security 3 #允许使用自定义脚本
auth-user-pass-verify /etc/openvpn/check.sh via-env
username-as-common-name #用户密码登陆方式验证
#注:如果加上client-cert-not-required则代表只使用用户名密码方式验证登录,如果不加,则代表需要证书和用户名密码双重验证登录!
2.在/etc/openvpn/目录下创建check.sh文件,直接复制粘贴以 下代码也可以
[root@m01 ~]# vim /etc/openvpn/check.sh
#!/bin/sh
###########################################################
PASSFILE="/etc/openvpn/openvpnfile"
LOG_FILE="/var/log/openvpn-password.log"
TIME_STAMP=`date "+%Y-%m-%d %T"`
if [ ! -r "${PASSFILE}" ]; then
echo "${TIME_STAMP}: Could not open password file \"${PASSFILE}\" for reading." >> ${LOG_FILE}
exit 1
fi
CORRECT_PASSWORD=`awk '!/^;/&&!/^#/&&$1=="'${username}'"{print $2;exit}' ${PASSFILE}`
if [ "${CORRECT_PASSWORD}" = "" ]; then
echo "${TIME_STAMP}: User does not exist: username=\"${username}\", password=\"${password}\"." >> ${LOG_FILE}
exit 1
fi
if [ "${password}" = "${CORRECT_PASSWORD}" ]; then
echo "${TIME_STAMP}: Successful authentication: username=\"${username}\"." >> ${LOG_FILE}
exit 0
fi
echo "${TIME_STAMP}: Incorrect password: username=\"${username}\", password=\"${password}\"." >> ${LOG_FILE}
exit 1
#记得给脚本添加可执行权限
[root@m01 ~]# chmod +x /etc/openvpn/check.sh
3.创建check.sh脚本中定义openvpn需要使用的用户和密码认 证文件
[root@m01 ~]# cat /etc/openvpn/openvpnfile
old 123456 #前面是用户名称,后面是密码(格式严谨)
4.重启OpenVPN服务,客户端测试登陆
[root@m01 ~]# systemctl restart openvpn@server
5.修改客户端配置文件client.ovpn,添加如下代码
auth-user-pass #用户密码认证
6.使用客户端登陆测试是否需要密码认证
7.用户登陆后,可通过日志查看什么时间登陆,什么用户
[root@openvpn ~]# tail -f /var/log/openvpn-password.log
2019-01-19 18:24:30: Successful
authentication: username="old".
2019-01-19 18:26:58: User does not exist:
username="old", password="123456"
Ansible实现openvpn(未测试过)
#ansible实现openvpn
- name: YUM INSATLL easy
yum:
name: "{{ item }}"
state: present
loop:
- openvpn
- easy-rsa
- pexpect
- name: Create Openvpn Key Directory
file:
path: /opt/easy-rsa
state: directory
- name: Copy Easyrsa All Configure
copy:
remote_src: yes
src: /usr/share/easy-rsa/3/
dest: /opt/easy-rsa
- name: configure vars
template:
src: '{{ item.src }}'
dest: '{{ item.dest }}'
loop:
- { src: vars.j2, dest: /opt/easy-rsa/vars }
- { src: openvpn_server.conf.j2, dest: /etc/openvpn/server.conf }
- name: Easyrsa Init-pki
expect:
command: ./easyrsa init-pki
chdir: /opt/easy-rsa/
responses:
(?i)Confirm removal: "\n"
- name: Easyrsa build-ca
expect:
command: ./easyrsa build-ca
chdir: /opt/easy-rsa/
responses:
(?i)Enter New CA: "123456\n"
(?i)Re-Enter New CA: "123456\n"
(?i)Common Name: "\n"
- name: Easyrsa gen-req server nopass
expect:
command: ./easyrsa gen-req server nopass
chdir: /opt/easy-rsa/
responses:
(?i)Common Name: "\n"
(?i)Overwrite: "\n"
- name: Easyrsa sign server
expect:
command: ./easyrsa sign server server
chdir: /opt/easy-rsa/
responses:
(?i)Confirm request details: "yes\n"
(?i)Enter pass phrase: "123456\n"
- name: Easyrsa gen-dh
expect:
command: ./easyrsa gen-dh
chdir: /opt/easy-rsa/
responses:
(?i) Overwrite?: "\n"
timeout: null
- name: Easyrsa gen-req client nopass
expect:
command: ./easyrsa gen-req client nopass
chdir: /opt/easy-rsa/
responses:
(?i)Common Name : "\n"
(?i)overwrite: "\n"
- name: Easyrsa sign client client
expect:
command: ./easyrsa sign client client
chdir: /opt/easy-rsa/
responses:
(?i)Confirm request details: "yes\n"
(?i)Overwrite: "\n"
(?i)Enter pass phrase: "123456\n"
- name: COPY openvpn
copy:
src: "/opt/easy-rsa/pki/{{ item }}"
dest: /etc/openvpn
remote_src: yes
loop:
- ca.crt
- dh.pem
- private/server.key
- issued/server.crt
- name: Create backup
file:
path: /backup
state: directory
- name: COPY openvpn
copy:
src: "{{ item.src }}"
dest: /backup
remote_src: yes
loop:
- {src: /opt/easy-rsa/pki/private/client.key }
- {src: /opt/easy-rsa/pki/issued/client.crt }
- {src: /opt/easy-rsa/pki/ca.crt }
- name: systemd openvpn
systemd:
name: openvpn@server.service
state: started
enabled: yes
- name: systemd firewalld
systemd:
name: firewalld
state: started
- name: add openvon_server
firewalld:
port: 1194/udp
permanent: yes
immediate: yes
state: enabled
- name: OPen firewalld
firewalld:
masquerade: yes
state: enabled
permanent: yes
immediate: yes
zone: public
免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://yundeesoft.com/33251.html
