【干货】ECS服务器OPENVPN搭建,方便管理所有内网服务器
使用场景 一台有外网的ECS服务器+N台无外网的ECS服务器,使用OPENVPN管理全部的ECS服务器(包括无外网的ECS服务器).
鉴于ECS服务器的带宽成本比较高的问题,撸主采用的是SLB(外网,据说最近计费方式变多了)+N台ECS服务器集群(包括一台2M外网ECS)+内网RDS服务来提供线上服务,但是客服沟通过得到的答案是只能在控制台用VNC来管理(客服MM确认可以自行搭建VPN来管理),对于熟悉习惯使用SSH的人来说使用管理控制台的那个VNC非常蛋疼,BUT关于内网服务器集群管理的方面的教程阿里没提供完整的配置文档,论坛也只是零星的帖子,这个教程是撸主花了2天时间汇总整理出来的教程,确保能正常使用,旨在方便有这方面需求的兄弟少走弯路.
最后吐槽一下云监控竟然不支持内网ECS服务器.....
引用#1.安装基础包
引用yum install openssl-devel pam-devel gcc -y
引用wget http://www.openssl.org/source/openssl-1.0.1g.tar.gz
tar xvfz openssl-1.0.1g.tar.gz
cd openssl-1.0.1g
./config --prefix=/usr/local
make && make installs
引用#2.安装lzo 软件包
引用wget http://www.oberhumer.com/opensource/lzo/download/lzo-2.06.tar.gz
tar zxvf lzo-2.06.tar.gz
cd lzo-2.06
./configure --prefix=/usr/local
make && make install
引用#3.安装openvpn服务端
引用openvpn的下载地址已被墙,安装包自行解决下载(本文采用的是openvpn-2.3.4.tar.gz)
tar xvfz openvpn-2.3.4.tar.gz
cd openvpn-2.3.4
./configure --prefix=/usr/local/openvpn
make && make install
引用#4.openvpn服务端配置
引用下载easy-rsa 附上gihub(https://github.com/OpenVPN/easy-rsa)
解压zip到 /usr/loacal下
cd /usr/local/easy-rsa-master/easyrsa3
mv vars.example vars
vim vars
修改如下内容(请填写自己的信息):
set_var EASYRSA_REQ_COUNTRY "CN"
set_var EASYRSA_REQ_PROVINCE "Shanghai"
set_var EASYRSA_REQ_CITY "Shanghai"
set_var EASYRSA_REQ_ORG "Chogic Co"
set_var EASYRSA_REQ_EMAIL "xxxxx@xxxx.cn"
set_var EASYRSA_REQ_OU "System Admin"
引用#5.初始化配置
引用./easyrsa init-pki
如果成功的话,会在当前目录下创建pki/{reqs,private}目录,用于保存证书文件。
引用6.7.8.9步会让频繁输入密码,请自行记录
引用#6.创建根证书
引用./easyrsa build-ca
创建过程中需要输入根证书的密码以及`Common Name`。如果创建成功,则会在`pki/private/`目录下创建`ca.key`私钥文件以及`pki/`目录下创建`ca.crt`证书文件。
引用#7.创建服务器证书
引用./easyrsa build-server-full server
创建过程和根证书创建类似,需要输入证书的密码以及上一个步骤创建根证书的密码。
如果创建成功,则会在`pki/private`目录创建`server.key`私钥文件。在`pki/issued`目录创建`server.crt`证书文件。
引用#8.创建dh证书
引用./easyrsa gen-dh
DH parameters of size 2048 created at /usr/local/easy-rsa-master/easyrsa3/pki/dh.pem
引用#9.创建客户端证书
引用./easyrsa build-client-full yourclientname (你的用户名)
引用前面两次是输入你的用户密码,第三次是输入ca证书的密码(第#6步的密码)
引用#10.配置服务端
引用cd /usr/local/openvpn/
mkdir keys
cd keys
#把上述步骤创建的ca.crt,server.crt,server.key,dh.pem拷贝到keys目录
cp /usr/local/easy-rsa-master/easyrsa3/pki/ca.crt .
cp /usr/local/easy-rsa-master/easyrsa3/pki/issued/server.crt .
cp /usr/local/easy-rsa-master/easyrsa3/pki/private/server.key .
cp /usr/local/easy-rsa-master/easyrsa3/pki/dh.pem .
创建或者编辑/usr/local/openvpn/server.conf文件,内容如下:
vim /usr/local/openvpn/server.conf
##openvpn的server.config
#local 是阿里ECS的外网IP
local 你的外网ECS服务器地址(ifconfig eth1对应的IP地址)
port 1194
proto udp
dev tun
#修下下面的4个文件路径
ca /usr/local/openvpn/keys/ca.crt
cert /usr/local/openvpn/keys/server.crt
key /usr/local/openvpn/keys/server.key
dh /usr/local/openvpn/keys/dh.pem
#openvpn的地址
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-to-client
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
#这个日志目录需要手创建
log /data/logs/openvpn/openvpn.log
verb 3
#重要,保证客户端的连接能正常的访问10.162.*.*网段 ,下面的网段请自行根据自己的内网服务器所在的网段添加
push "route 10.162.59.0 255.255.255.0"
push "route 10.162.91.0 255.255.255.0"
引用#11.Centos系统配置修改
引用#打开服务器的路由功能
vim /etc/sysctl.conf
修改以下内容:
net.ipv4.ip_forward = 1
# 然后使内核参数生效:
sysctl -p
引用#添加NAT 10.8.0.0/24是OPENVPN的地址 10.162.xxx.xxx是阿里ECS的内网地址(ifconfig eth0)
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT --to-source 10.162.xxx.xxx
#保存iptables
service iptables save
引用#启动openvpn
引用/usr/local/openvpn/sbin/openvpn --daemon --config /usr/local/openvpn/server.conf
###################附加客户端配置文件#####################
请自行根据各自的操作系统及对应的OPENVPN客户端来处理,但是无论什么客户端配置文件应该是一致的。
客户端需要使用easyrsa生成的 ca.crt,gair.key以及gair.crt文件。
###################客户端配置###################
配置文件config.ovpn
client
dev tun
proto udp
remote 218.244.147.198 1194
remote-cert-tls server
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert yourclientname.crt 这里修改为上面输入的名字
key yourclientname.key 这里修改为上面输入的名字
;ns-cert-type server # 该行需注释,不然服务端有报错 TLS: Initial packet from
comp-lzo
verb 3