一、安装open微皮恩服务

1.安装epel-release

yum -y install epel-release

2.安装open微皮恩

yum -y install open微皮恩

3.下载easy-rsa
easy-rsa 是构建和管理 PKI CA 的 CLI 实用程序。用外行的话说，这意味着创建根证书颁发机构，并请求和签署证书，包括中间 CA 和证书吊销列表 （CRL）。

git clone https://github.com/Open微皮恩/easy-rsa.git

或者直接访问网址下载

4.创建 /etc/open微皮恩/ 目录
4.1创建目录，并复制easy-rsa 目录

mkdir -p /etc/open微皮恩/
cp -a easy-rsa /etc/open微皮恩/

2.配置，编辑vars文件，修改vars模板

cd /etc/open微皮恩/easy-rsa/easyrsa3
cp vars.example vars
vim vars

在配置文件底部添加以下内容

set_var EASYRSA_REQ_COUNTRY     "CN"
set_var EASYRSA_REQ_PROVINCE    "Beijing"
set_var EASYRSA_REQ_CITY        "Beijing"
set_var EASYRSA_REQ_ORG         "baozao"
set_var EASYRSA_REQ_EMAIL       "baozao@163.com"
set_var EASYRSA_REQ_OU          "My Open微皮恩"

图例

5. 创建服务端证书和key文件
5.1 初始化

cd /etc/open微皮恩/easy-rsa/easyrsa3/
./easyrsa init-pki

5.2 创建根证书

./easyrsa build-ca

5.3 创建服务器端证书

./easyrsa gen-req server nopass

5.4 签约服务端证书

./easyrsa sign server server

5.5 创建Diffie-Hellman，确保key穿越不安全网络的命令

./easyrsa gen-dh

6.创建客户端证书（一台主机上做）
6.1 回到/usr/local/src/创建客户端证书

cd /usr/local/src/
mkdir client
cp -a /etc/open微皮恩/easy-rsa /usr/local/src/client/
cd /usr/local/src/client/easy-rsa/easyrsa3/

6.2 初始化

./easyrsa init-pki

6.3 创建客户端key及生成证书（记住生成是自己客户端登录输入的密码）

./easyrsa gen-req baozao

6.4 将的到的baozao.req导入然后签约证书

cd /etc/open微皮恩/easy-rsa/easyrsa3/
./easyrsa import-req /usr/local/src/client/easy-rsa/easyrsa3/pki/reqs/baozao.req baozao

签约证书

./easyrsa sign client baozao

7.把服务器端必要文件放到etc/open微皮恩/ 目录下

ca的证书、服务端的证书、秘钥

cp /etc/open微皮恩/easy-rsa/easyrsa3/pki/ca.crt /etc/open微皮恩/
cp /etc/open微皮恩/easy-rsa/easyrsa3/pki/private/server.key /etc/open微皮恩/
cp /etc/open微皮恩/easy-rsa/easyrsa3/pki/issued/server.crt /etc/open微皮恩/
cp /etc/open微皮恩/easy-rsa/easyrsa3/pki/dh.pem /etc/open微皮恩/

8.把客户端必要文件放到/usr/local/src/client/目录下

客户端的证书、秘钥

cp /etc/open微皮恩/easy-rsa/easyrsa3/pki/ca.crt /usr/local/src/client/
cp /etc/open微皮恩/easy-rsa/easyrsa3/pki/issued/baozao.crt /usr/local/src/client/
cp /usr/local/src/client/easy-rsa/easyrsa3/pki/private/baozao.key /usr/local/src/client/

9.为服务端编写配置文件

查看open微皮恩配置文件所在位置

rpm -ql open微皮恩 |grep server.conf

复制到/etc/open微皮恩

cp /usr/share/doc/open微皮恩-2.4.9/sample/sample-config-files/server.conf /etc/open微皮恩

修改配置文件

vim /etc/open微皮恩/server.conf

local 0.0.0.0     #监听地址
port 1194     #监听端口
proto tcp     #监听协议
dev tun     #采用路由隧道模式
ca /etc/open微皮恩/ca.crt      #ca证书路径
cert /etc/open微皮恩/server.crt       #服务器证书
key /etc/open微皮恩/server.key  # This file should be kept secret 服务器秘钥
dh /etc/open微皮恩/dh.pem     #密钥交换协议文件
server 192.168.100.0 255.255.255.0     #给客户端分配地址池，注意：不能和V微皮恩服务器内网网段有相同
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"      #给网关
push "dhcp-option DNS 8.8.8.8"        #dhcp分配dns
client-to-client       #客户端之间互相通信
keepalive 10 120       #存活时间，10秒ping一次,120 如未收到响应则视为断线
comp-lzo      #传输数据压缩
max-clients 100     #最多允许 100 客户端连接
user open微皮恩       #用户
group open微皮恩      #用户组
persist-key
persist-tun
status /var/log/open微皮恩/open微皮恩-status.log
log         /var/log/open微皮恩/open微皮恩.log
verb 3

创建日志目录并授权

mkdir /var/log/open微皮恩
chown -R open微皮恩.open微皮恩 /var/log/open微皮恩/
chown -R open微皮恩.open微皮恩 /etc/open微皮恩/*

10.iptables 设置nat 规则和打开路由转发
自己内网ip网段如192.168.59.0

iptables -t nat -A POSTROUTING -s xx.xx.xx.x/24 -j MASQUERADE
iptables -vnL -t nat
vim /etc/sysctl.conf //打开路由转发
net.ipv4.ip_forward = 1
sysctl -p

11.开启open微皮恩 服务

open微皮恩 /etc/open微皮恩/server.conf

后台运行

open微皮恩 /etc/open微皮恩/server.conf &

检查端口是否存在如果没有就是开启失败，查询日志排错

ss -nutl |grep 1194

二、客户端连接
1.下载open微皮恩客户端
链接：https://pan.baidu.com/s/16TZ9MUVtVb6nDzOU_OJYrA
提取码：d19k

2.写一个client.o微皮恩配置文件

cd /usr/local/src/client/
vim client.o微皮恩

client
dev tun
proto tcp
remote 192.168.59.144 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert baozao.crt
key baozao.key
comp-lzo
verb 3

导出这四个证书key还有配置文件