OpenVPN 2.2.1 之后期维护

一、Openvpn 用户注销

　　每个公司都会用员工离职，因此注销vpn用户也就成了运维人员日常工作的一部分。 其实Openvpn在设计的时候也想到了这点，我们可以使用 revoke-full shell脚本来注销用户。

　　命令如下：

　　　　1.#source ./vars （不执行此命令，有时会报错，提示先执行此命令）

　　　　2.#./revoke-full 用户证书名 （如：./revoke-full client1）　　　　　　

　　　　　　Using configuration from /usr/local/src/openvpn-2.2.1/easy-rsa/2.0/openssl-1.0.0.cnf
　　　　　　ERROR:Already revoked, serial number 03
　　　　　　Using configuration from /usr/local/src/openvpn-2.2.1/easy-rsa/2.0/openssl-1.0.0.cnf
　　　　　　client1.crt: C = CN, ST = BJ, L = Beijing, O = openvpn, CN = client1, emailAddress = client1@openvpn.com
　　　　　　error 23 at 0 depth lookup:certificate revoked

　　　　如果有 error 23字样，表示client1 用户注销成功。  注意：生成的证书并没有删除，只是在 keys 目录下生成了一个 crl.pem  文件。里面就是注销掉的证书。

　　　　3.vim /etc/openvpn/server.conf    ：

　　　　　　crl-verify /usr/local/src/openvpn-2.2.1/easy-rsa/2.0/keys/crl.pem  （添加一行）

　　　　4.添加后需要重启Openvpn服务。　之后你会发现client1 用户，已经无法登陆。

二、openvpn服务器的key文件设置

　　　　1、自动生成key文件存放路径设置　　

　　　　　　　vim /usr/local/src/openvpn-2.2.1/easy-rsa/2.0/vars

　　　　　　　　　export EASY_RSA="`pwd`"     修改EASY_RSA的变量值来修改路径

　　　　2、key 文件的有效期

　　　　　　系统默认client 用户key值得有效期为10年，即3650天。

　　　　　　vim /usr/local/src/openvpn-2.2.1/easy-rsa/2.0/vars

　　　　　　　　# In how many days should the root CA key expire?

　　　　　　　　export CA_EXPIRE=

　　　　　　　　# In how many days should certificates expire?

　　　　　　　　export KEY_EXPIRE=3650    （修改为自己期望的有效时长。单位：天）

三、防火墙配置

　　如果需要开启防火墙，需要对防火前进行配置。

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s  -j ACCEPT     （IP：VPN虚拟隧道IP）
iptables -A FORWARD -j REJECT
iptables -t nat -A POSTROUTING -s  -o eth0 -j MASQUERADE   （接口：服务器物理接口）

四、Openvpn服务器的负载均衡

　　　　保证多台Openvpn服务器上的配置和生成的证书 实时同步。

　　　　使用LVS、F5等功能实现负载。