在你安裝了 0penVPN 之后，是時(shí)候配置它了。

0penVPN 在兩點(diǎn)之間建立一條加密的隧道，阻止第三方訪問你的網(wǎng)絡(luò)流量。通過設(shè)置你的 “虛擬專用網(wǎng)絡(luò)” 服務(wù)，你就成為你自己的 “虛擬專用網(wǎng)絡(luò)” 供應(yīng)商。許多流行的 “虛擬專用網(wǎng)絡(luò)” 服務(wù)已支持 0penVPN，所以當(dāng)你可以掌控自己的網(wǎng)絡(luò)時(shí)，為什么還要將你的網(wǎng)絡(luò)連接綁定到特定的提供商呢？

本系列中的 第一篇展示了如何安裝和配置一臺(tái)作為你的 0penVPN 服務(wù)器的 Linux 計(jì)算機(jī)。，第二篇演示了如何安裝和配置 0penVPN 服務(wù)器軟件。這第三篇文章演示了如何在認(rèn)證成功的情況下啟動(dòng) 0penVPN。

要設(shè)置一個(gè) 0penVPN 服務(wù)器，你必須：

創(chuàng)建一個(gè)配置文件。使用 sysctl設(shè)置net.ipv4.ip_forward = 1以啟用路由。為所有的配置和認(rèn)證文件設(shè)置適當(dāng)?shù)乃袡?quán)，以便使用非 root 賬戶運(yùn)行 0penVPN 服務(wù)器守護(hù)程序。設(shè)置 0penVPN 加載適當(dāng)?shù)呐渲梦募?dòng)。配置你的防火墻。配置文件

你必須在 /etc/openvpn/server/中創(chuàng)建一個(gè)服務(wù)器配置文件。如果你想的話，你可以從頭開始，0penVPN 包括了幾個(gè)配置示例示例文件，可以以此作為開始。看看 /usr/share/doc/openvpn/sample/sample-config-files/就知道了。

如果你想手工建立一個(gè)配置文件，可以從 server.conf或roadwarrior-server.conf開始（視情況而定），并將你的配置文件放在/etc/openvpn/server中。這兩個(gè)文件都有大量的注釋，所以請(qǐng)閱讀注釋并根據(jù)你的情況作出決定。

你可以使用我預(yù)先建立的服務(wù)器和客戶端配置文件模板和 sysctl文件來打開網(wǎng)絡(luò)路由，從而節(jié)省時(shí)間和麻煩。這個(gè)配置還包括自定義記錄連接和斷開的情況。它在 0penVPN 服務(wù)器的/etc/openvpn/server/logs中保存日志。

如果你使用我的模板，你需要使用你的 IP 地址和主機(jī)名編輯它們。

要使用我的預(yù)建配置模板、腳本和 sysctl來打開 IP 轉(zhuǎn)發(fā)，請(qǐng)下載我的腳本：

$curl\https://www.dgregscott.com/ovpn/OVPNdownloads.sh>\OVPNdownloads.sh

閱讀該腳本，了解它的工作內(nèi)容。下面是它的運(yùn)行概述：

在你的 0penVPN 服務(wù)器上創(chuàng)建適當(dāng)?shù)哪夸洀奈业木W(wǎng)站下載服務(wù)器和客戶端的配置文件模板下載我的自定義腳本，并以正確的權(quán)限把它們放到正確的目錄中下載 99-ipforward.conf并把它放到/etc/sysctl.d中，以便在下次啟動(dòng)時(shí)打開 IP 轉(zhuǎn)發(fā)功能為 /etc/openvpn中的所有內(nèi)容設(shè)置了所有權(quán)

當(dāng)你確定你理解了這個(gè)腳本的作用，就使它可執(zhí)行并運(yùn)行它：

$chmodxOVPNdownloads.sh$sudo./OVPNdownloads.sh

下面是它復(fù)制的文件（注意文件的所有權(quán)）：

$ls-al-R/etc/openvpn/etc/openvpn:total12drwxr-xr-x.4openvpnopenvpn34Apr620:35.drwxr-xr-x.139rootroot8192Apr620:35..drwxr-xr-x.2openvpnopenvpn33Apr620:35clientdrwxr-xr-x.4openvpnopenvpn56Apr620:35server/etc/openvpn/client:total4drwxr-xr-x.2openvpnopenvpn33Apr620:35.drwxr-xr-x.4openvpnopenvpn34Apr620:35..-rw-r--r--.1openvpnopenvpn1764Apr620:35OVPNclient2020.ovpn/etc/openvpn/server:total4drwxr-xr-x.4openvpnopenvpn56Apr620:35.drwxr-xr-x.4openvpnopenvpn34Apr620:35..drwxr-xr-x.2openvpnopenvpn59Apr620:35ccddrwxr-xr-x.2openvpnopenvpn6Apr620:35logs-rw-r--r--.1openvpnopenvpn2588Apr620:35OVPNserver2020.conf/etc/openvpn/server/ccd:total8drwxr-xr-x.2openvpnopenvpn59Apr620:35.drwxr-xr-x.4openvpnopenvpn56Apr620:35..-rwxr-xr-x.1openvpnopenvpn917Apr620:35client-connect.sh-rwxr-xr-x.1openvpnopenvpn990Apr620:35client-disconnect.sh/etc/openvpn/server/logs:total0drwxr-xr-x.2openvpnopenvpn6Apr620:35.drwxr-xr-x.4openvpnopenvpn56Apr620:35..

下面是 99-ipforward.conf文件：

#TurnonIPforwarding.OpenVPNserversneedtodoroutingnet.ipv4.ip_forward=1

編輯 OVPNserver2020.conf和OVPNclient2020.ovpn以包括你的 IP 地址。同時(shí)，編輯OVPNserver2020.conf以包括你先前的服務(wù)器證書名稱。稍后，你將重新命名和編輯OVPNclient2020.ovpn的副本，以便在你的客戶電腦上使用。以***?開頭的塊顯示了你要編輯的地方。

文件所有權(quán)

如果你使用了我網(wǎng)站上的自動(dòng)腳本，文件所有權(quán)就已經(jīng)到位了。如果沒有，你必須確保你的系統(tǒng)有一個(gè)叫 openvpn的用戶，并且是openvpn組的成員。你必須將/etc/openvpn中的所有內(nèi)容的所有權(quán)設(shè)置為該用戶和組。如果你不確定該用戶和組是否已經(jīng)存在，這樣做也是安全的，因?yàn)閡seradd會(huì)拒絕創(chuàng)建一個(gè)與已經(jīng)存在的用戶同名的用戶：

$sudouseraddopenvpn$sudochown-Ropenvpn.openvpn/etc/openvpn防火墻

如果你在步驟 1 中啟用 firewalld 服務(wù)，那么你的服務(wù)器的防火墻服務(wù)可能默認(rèn)不允許 “虛擬專用網(wǎng)絡(luò)” 流量。使用 firewall-cmd 命令，你可以啟用 0penVPN 服務(wù)，它可以打開必要的端口并按需路由流量：

$sudofirewall-cmd--add-serviceopenvpn--permanent$sudofirewall-cmd--reload

沒有必要在 iptables 的迷宮中迷失方向!

啟動(dòng)你的服務(wù)器

現(xiàn)在你可以啟動(dòng) 0penVPN 服務(wù)器了。為了讓它在重啟后自動(dòng)運(yùn)行，使用 systemctl的enable子命令：

systemctlenable--nowopenvpn-server@OVPNserver2020.service最后的步驟

本文的第四篇也是最后一篇文章將演示如何設(shè)置客戶端，以便遠(yuǎn)程連接到你的 0penVPN。

本文基于 D.Greg Scott 的博客，經(jīng)許可后重新使用。

via: https://opensource.com/article/21/7/openvpn-firewall

作者：D. Greg Scott選題：lujun9972譯者：geekpi校對(duì)：turbokernel

本文由 LCTT原創(chuàng)編譯，Linux中國(guó)榮譽(yù)推出