在Ubuntu14.04上搭建自己的OpenVPN服务器并通过它上网

背景

学校宿舍端口可以配置静态IP连校内网，也可以连到实验室的服务器；实验室的服务器可以连外网；但宿舍要连外网就要花钱买PPPoE账号了。作为壮哉我大计院的一员，本着发扬专(neng)业(sheng)精(jiu)神(sheng)的原则，决定自己动手“引网入室”，省钱且网速又快，岂不美哉？

准备工作

1. EasyRSA 2.x  用于生成密钥。注意3.x与2.x差异极大，不适用本文，下载时请认准2.x。

2. OpenVPN  Windows/Linux上的VPN软件，既可做服务器端又可做客户端。

3. Tunnelblick MacOS客户端，官方网站下载最新稳定版。

4. OpenVPN for Android  Android客户端。选择latest stable即可。

iOS不了解，相信有更好的VPN客户端可供选择。

总体流程

安装OpenVPN => 生成密钥 => 配置server-conf => 配置路由转发规则 => 配置客户端=> 愉快地上网！

具体步骤

Step 1  安装OpenVPN

服务器端（Ubuntu14.04）：sudo apt-get openvpn 走起！虽然版本可能不是最新，但是能用就行，比自己下载编译安装省事多了。

Windows、Android、MacOS客户端的安装，就不消说了吧，常规安装包……

Step 2  生成密钥

将下载的EasyRSA包解压，cd进入，然后输入

vi vars

按自己的喜好修改如下部分：

set KEY_COUNTRY=CN 【国家】

set KEY_PROVINCE=SiChuan 【省份】

set KEY_CITY=ChengDu 【城市】

set KEY_ORG=University 【组织名】

set KEY_EMAIL=xxxxxxx@gmail.com 【邮箱】

随后输入命令

source ./vars

提示执行./clean-all将删除keys下的文件，也就是旧的证书、密钥等。执行之：

./clean-all

接下来生成一系列证书和密钥，都在keys/目录下。

1.执行

./build-ca

生成ca.crt证书文件

2.执行

./build-key-server server

生成server.crt、server.csr、server.key三个文件，是服务器端的证书和密钥。

3. 执行
./build-dh

生成一个dh1024.pem或dh2048.pem文件。

4. 执行

./build-key client

生成client.crt、client.csr、client.key三个文件，是客户端的证书和密钥。

[5]. 为了进一步加强传输加密，建议开启TSL扩展，因此输入

openvpn --genkey --secret keys/ta.key

生成一个ta.key文件。

最后，在/etc目录下创建一个名为openvpn的目录，把ca.crt、三个server.*文件、dh1024.pem（或2048）、ta.key这6个文件复制到/etc/openvpn目录下。

Step 3  配置server-conf

客户端的安装目录下，有一个sample子目录，把里面的server.conf（不同版本的目录结构略有区别，但肯定能找到这个文件）复制到服务器上/etc/openvpn目录下，然后sudo vi打开，将如下选项行首的分号去掉，并根据实际情况作相应修改，其他选项保持默认即可：

local 192.168.4.112 #填写本地IP地址

port 1194 #监听端口号

proto udp #采用UDP协议;根据代理服务器的协议而定，若HTTP proxy,则使用TCP协议

;dev tap #基于桥接的隧道

dev tun #基于路由的隧道

ca ca.crt&nbsp#证书文件路径

cert server.crt#服务器证书路径

server.key #服务器私有密钥路径

dh dh1024.pem #加密文件路径

push "route 0.0.0.0 0.0.0.0" #作用不详，就这样设置吧

push "redirect-gateway def1 bypass-dhcp" # 允许客户端重定向穿越VPN到外网

push "dhcp-option DNS 202.120.222.1" # 配置主要和备用DNS地址

push "dhcp-option DNS 8.8.8.8"

duplicate-cn #允许同一个证书和密钥在多个客户端登录，以便手机电脑能同时上网

tls-auth ta.key 0 #TLS密钥文件

server 10.8.0.0 255.255.255.0 #指定VPN子网段,10.8.0.1为服务端IP,其余分配给客户端

配置完成后，就可以启动服务了，输入命令

openvpn --daemon --config /etc/openvpn/server.conf

检测服务端是否已开启：
netstat –ln

若检测未开启服务，则说明服务端配置参数有误，去掉–daemon运行参数，执行：
openvpn –config /etc/openvpn/server.conf

即可看到运行的错误提示信息，根据信息更改server.conf文件
若成功运行，执行ifconfig命令会多出一个tun0，即VPN的虚拟网卡。

Step 4  配置路由转发规则

这一步比较简单，新建一个iptables-init.sh文件，将下列代码粘贴进去并保存：

iptables -t nat -A POSTROUTING -s  -o eth0 -j MASQUERADE
iptables -A INPUT -i lo -p all -j ACCEPT
iptables -A INPUT -p all -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport  -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport  -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport  -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport  -j ACCEPT
iptables -A INPUT -p udp --dport  -j ACCEPT
iptables -A INPUT -s  -p all -j ACCEPT
iptables -A FORWARD -d  -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport  -j ACCEPT

然后执行之即可。这里要注意一下第一行，博主的服务器上主网卡名不叫eth0，而是em1，因此做了相应的修改。输入ifconfig即可看到本机的情况。

Step 5  配置客户端

这一步需要把ca.crt、client.crt、client.key以及ta.key这四个文件复制到客户端。

Windows

首先，把上述四个文件复制到OpenVPN安装目录的config子目录下；

随后，把sample里的client.ovpn复制到config子目录下，然后设置下列项：

client #指明这是客户端

dev tun #基于路由的隧道

proto udp #采用UDP协议

remote 192.168.4.112 1194 #服务端IP及端口号

ca ca.crt #证书及密钥们

cert client.crt

key client.key

nobind #客户端不绑定特定端口

remote-cert-tls server #TLS加密

tls-auth ta.key 1 #TLS密钥，1表示客户端

redirect-gateway def1 #使客户端中所有流量经过VPN

就算大功告成了，打开OpenVPN，右击任务栏的小图标，点connect即可连服务器。

Mac OS端

Mac电脑上使用的客户端是Tunnelblick，配置方式也很简单。

首先，去官方网站下载最新稳定版并安装（笔者所用的版本是 3.7.0_build_4790）；

随后，创建一个文件夹，譬如命名为VPNconfig，把.ovpn文件连同四个证书/密钥文件都放进去，.ovpn配置内容与Windows一样；

接下来，把文件夹重命名为以.tblk结尾，形如VPNconfig.tblk，于是文件夹变成了一个单一文件（包）。双击之，便导入了Tunnelblick中；

最后在Tunnelblick的小图标上右击点击“连接VPNconfig”（或者进入程序主界面点击“连接”），这样就可以连接服务器上网啦！

Android客户端

安卓上用的客户端是OpenVPN for Android，要稍微麻烦些，因为可能是程序的bug，无法直接导入ovpn或conf配置文件，所以要自己创建一个。笔者版本号是0.6.65，不同版本界面略有差别，但大同小异。

首先，把客户端需要的证书、密钥都拷贝到手机上任意一个好找的文件夹下。

随后，在OpenVPN界面，点击圆圈里一个+号的符号，输入client.conf，点击“确定”，开始创建配置文件。

接下来你会看到几个选项卡，依次说明：

BASIC

是否启用了LZO压缩算法根据实际情况设置，按本文是没有启用的，所以不要勾选。

Type选择“证书”，CA Certificate选择ca.crt，Client Certificate选择client.crt，Client Certificate Key……你猜对了，client.key。

服务器列表

当然是填服务器的IP地址和端口号（本文为1194）。

IP AND DNS

把“无本地绑定”和“Override DNS Settings by Server"勾上，下面清空searchDomain，并自己填写DNS服务器地址。

AUTHENTICATION/ENCRYPTION

勾选“需要TLS服务器证书”，去掉“证书主机名检查”，打开"Use TLS Authentication"，下面的TLS Auth File选择ta.key文件，加密算法写“AES-256-CBC"

其他选项卡保持默认配置。

Done。点一下返回键，你会看到首页多了一个client.ovpn栏，点击就开始连接服务器了~

开始愉快的上网吧！