Black-Xstar's Blog » gfw

在CentOS的VPS下安装OpenVPN

Black-Xstar — Fri, 20 Nov 2009 15:20:00 +0000

上回介绍了在CentOS下安装PPTP的VPN的方法，由于PPTP对环境的要求很高，大多数的VPS都是基于OpenVZ虚拟化技术的，所以无法安装。

这回介绍另一种VPN——OpenVPN，能在绝大多数VPS上安装，而且功能更加强大，比如能穿透中国移动的cmwap代理实现cmnet的功能等等。

不过OpenVPN有一个致命缺点，就是绝大多数移动设备不支持，电脑上使用需要安装复杂的客户端。

网上有很多的教程，但大都不适合VPS或者不完善，我根据我自己安装的经验，记录下来以便查阅。

以下所有命令我都加了下划线，即加下划线的一定是在类似[root@vps ~]#的提示符下输入。

SSH登陆VPS，我的系统是32的CentOS 5.4，如果用别的Linux发行版也差不多，有些命令需要修改下就是了。

OpenVPN需要TUN支持，大多数VPS默认都没有开启，你可以用这个命令检测：cat /dev/net/tun

如果返回信息为：cat: /dev/net/tun: File descriptor in bad state 说明正常，否则发个ticket给VPS公司让他们帮忙开吧。

另外如果你需要连上OpenVPN后能访问互联网，还需要iptables_nat模块支持，用这个命令检测：iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o venet0 -j MASQUERADE

如果返回信息为：iptables: Unknown error 4294967295 说明正常，否则同样需要发个ticket让VPS公司帮忙开通。

环境准备好之后，我们正式开始安装OpenVPN了。网上的教程绝大多数都是用源代码编译方式安装的，但我觉得这种方式不便于以后升级维护，这里我们使用yum来安装。

默认情况下centos的yum源没有OpenVPN的，先安装EPEL这个东西，使用命令：rpm -Uvh http://download.fedora.redhat.com/pub/epel/5/i386/epel-release-5-3.noarch.rpm

成功后yum源里面就有OpenVPN了，直接使用命令yum -y install openvpn

这里就体现了yum安装的好处，比如OpenVPN需要lzo支持，安装的时候会检测系统，没有的组件会自动安装进去。

我们来找一下安装到哪去了，使用命令：locate easy-rsa

找出来了原来在这里：/usr/share/openvpn/easy-rsa 大家应该都是一样的。

我们把easy-rsa这个文件夹移出来，用命令：cp -R /usr/share/openvpn/easy-rsa /etc/openvpn/

然后cd /etc/openvpn/easy-rsa/2.0进入，生成OpenVPN需要的证书。

用vi vars来编辑环境变量，这里涉及到编辑器vi的用法，不会用就自己google一下。

把最后几行根据实际情况修改：

export KEY_COUNTRY="CN"
export KEY_PROVINCE="GD"
export KEY_CITY="GZ"
export KEY_ORG="Black-Xstar Net Empire"
export KEY_EMAIL="webmaster [at] black-xstar.com"

保存后运行. vars设置生效。

接下来运行./build-ca server创建证书颁发机构。

Generating a 1024 bit RSA private key
........................++++++
....++++++
writing new private key to 'ca.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [CN]:回车
State or Province Name (full name) [GD]:回车
Locality Name (eg, city) [GZ]:回车
Organization Name (eg, company) [Black-Xstar Net Empire]:回车
Organizational Unit Name (eg, section) []:回车
Common Name (eg, your name or your server's hostname) [Black-Xstar Net Empire CA]:回车
Name []:回车
Email Address [webmaster@black-xstar.com]:回车

注意红色的地方，需要按回车的。

创建CA之后来生成服务器证书，输入./build-key-server server

Generating a 1024 bit RSA private key
...++++++
...............++++++
writing new private key to 'server.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [CN]:回车
State or Province Name (full name) [GD]:回车
Locality Name (eg, city) [GZ]:回车
Organization Name (eg, company) [Black-Xstar Net Empire]:回车
Organizational Unit Name (eg, section) []:回车
Common Name (eg, your name or your server's hostname) [server]:回车
Name []:回车
Email Address [webmaster@black-xstar.com]:回车

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:回车
An optional company name []:回车
Using configuration from /etc/openvpn/easy-rsa/2.0/openssl.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName           RINTABLE:'CN'
stateOrProvinceName   RINTABLE:'GD'
localityName          RINTABLE:'GZ'
organizationName      RINTABLE:'Black-Xstar Net Empire'
commonName            RINTABLE:'server'
emailAddress          :IA5STRING:'webmaster@black-xstar.com'
Certificate is to be certified until Nov 18 17:25:15 2019 GMT (3650 days)
Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

同样注意红色字的部分，是需要人工输入的。

服务器证书生成完了，我们来生成客户端证书，理论上每个OpenVPN用户都有独立的证书，我们先来生成一个试试。

输入命令：./build-key client1，这里的client1是客户端名称，如果第二个就是client2了。

Generating a 1024 bit RSA private key
.......++++++
.........++++++
writing new private key to 'client1.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [CN]:回车
State or Province Name (full name) [GD]:回车
Locality Name (eg, city) [GZ]:回车
Organization Name (eg, company) [Black-Xstar Net Empire]:回车
Organizational Unit Name (eg, section) []:回车
Common Name (eg, your name or your server's hostname) [client1]:回车
Name []:回车
Email Address [webmaster@black-xstar.com]:回车

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:回车
An optional company name []:回车
Using configuration from /etc/openvpn/easy-rsa/2.0/openssl.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName           RINTABLE:'CN'
stateOrProvinceName   RINTABLE:'GD'
localityName          RINTABLE:'GZ'
organizationName      RINTABLE:'Black-Xstar Net Empire'
commonName            RINTABLE:'client1'
emailAddress          :IA5STRING:'webmaster@black-xstar.com'
Certificate is to be certified until Nov 18 17:31:21 2019 GMT (3650 days)
Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

注意红色字的部分，和上面生成服务器证书差不多。

最后生成Diffie Hellman参数：./build-dh，这个需要一点时间的。

完成上面的过程后，把/etc/openvpn/2.0/keys里面的东西下载回来。

接下来我们开始配置OpenVPN了，我的配置文件只是一个参考，可以根据实际情况修改。

首先cd ..回到上一级目录，然后vi server.conf新建一个配置文件，输入下面内容：

port 443
proto tcp
dev tun
ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt
cert /etc/openvpn/easy-rsa/2.0/keys/server.crt
key /etc/openvpn/easy-rsa/2.0/keys/server.key
dh /etc/openvpn/easy-rsa/2.0/keys/dh1024.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
client-to-client
keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 3

其中DNS服务器地址可以换成主机商的，也可以和我一样用opendns。另外我有了tcp协议和443端口，是为了方便我在cmwap下使用，也可以换别的。

到这里为止OpenVPN就配置好了，接下来我们设置外网访问。

输入vi /etc/sysctl.conf开始编辑，找到net.ipv4.ip_forward = 0改成net.ipv4.ip_forward = 1保存。然后执行sysctl -p这个命令。

输入iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT --to-source 1.2.3.4添加规则，注意最后1.2.3.4改成你的VPS的IP地址。

完成后用/etc/init.d/iptables save保存iptables设置，然后/etc/init.d/iptables restart重新启动下。

把OpenVPN添加到开机启动，用vi /etc/rc.local进入编辑，在后面加入/usr/sbin/openvpn --config /etc/openvpn/server.conf &这一行。

需要在服务器上完成的操作到这里就结束了，输入openvpn --config /etc/openvpn/server.conf &启动。

和PPTP不一样，OpenVPN需要安装客户端才行，在http://www.openvpn.net/index.php/open-source/downloads.html下载最新版本的Windows Installer安装。

然后在下载回来keys文件夹里面找到ca.crt、client1.crt和client1.key这三个文件，放到C:\Program Files\OpenVPN\config里面。

同时在这里面新建一个名字为“client1.ovpn”的文本文件，输入下面内容：

client
dev tun
proto tcp
remote 1.2.3.4 443
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
ns-cert-type server
comp-lzo
verb 3

把第四行的1.2.3.4换成VPS的IP地址，然后保存。

在开始菜单里面找到OpenVPN GUI并运行，Vista和Win7下需要管理员身份运行。点Connect后等一下，是不是成功连上去了？

打开youtube或twitter（follow我@billzhong）试试，爽吧！

最后广告一下，我的PPTP VPN服务： http://pptp.us 可能将会提供OpenVPN服务哦。

参考文章：

http://www.xiaohui.com/dev/server/20070514-install-openvpn.htm

http://rashost.com/blog/centos-openvpn-install

http://yemaosheng.com/?p=938

在CentOS下安装PPTP的VPN

Black-Xstar — Sat, 24 Oct 2009 08:00:37 +0000

最近买了个基于xen的VPS玩玩，安装LAMP没啥意思。国内网络环境不好，干脆安装个VPN试试。

对于Linux其实我什么都不会的，在google老师的帮助下，总算给我安装好了，记录下来以便查阅。

VPN常用有两种，一种是openvpn，另一种PPTP。前者开源跨平台功能强大，后者简单方便Windows下无需安装客户端。而且从安装上看，PPTP比openvpn简单一点，所以决定安装这个试试看。

这里罗嗦一下VPS吧，常见也两种，一种是基于openvz，另一种基于xen的。区别不多说了，自己问google吧。这里要说的是openvz的绝大多数不能安装PPTP，而xen的没有限制，两个都可以。

以下所有命令我都加了下划线，即加下划线的一定是在类似-bash-3.2#的提示符下输入。

SSH登陆VPS，我的系统是64的CentOS 5.4，绝大多数VPS都提供CentOS系统供选择。可以使用这个命令查询：cat /etc/issue

检查内核是否包含mppe，基本上CentOS都有的，输入这个命令，如果是ok就可以：modprobe ppp-compress-18 && echo ok

安装PPTP需要ppp和iptables这两个软件支持，这里用yum来安装，输入这个命令：yum install -y ppp iptables

然后进入tmp目录，需要把pptp软件下载回来，用这个命令：cd /tmp

去poptop官方网站，如果你和我系统一样，直接下载rpm包：wget http://poptop.sourceforge.net/yum/stable/packages/pptpd-1.3.4-1.rhel5.1.x86_64.rpm

×××如果上面命令无效，安装wget吧：yum install -y wget

接下来安装刚刚下载回来的rpm包，输入命令：rpm -ivh pptpd-1.3.4-1.rhel5.1.x86_64.rpm

×××如果上面命令无效，安装perl吧：yum install -y perl

接下来我们开始配置PPTP了，需要用到linux下的vi命令，如果不熟悉建议先google一下。

×××提示一下，编辑完成后按Esc键，然后输入:wq即可保存并退出。

输入vi /etc/ppp/options.pptpd开始编辑，输入以下内容：

name pptpd
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
proxyarp
lock
nobsdcomp
novj
novjccomp
nologfd
ms-dns 208.67.222.222
ms-dns 208.67.220.220

最后两行是dns服务器地址，这里用opendns，你也可以用主机商的dns。编辑完成后保存退出。

输入vi /etc/pptpd.conf开始编辑，输入以下内容：

option /etc/ppp/options.pptpd
logwtmp
localip 192.168.8.1
remoteip 192.168.8.2-40

最后两行是vpn的ip地址分配，如果你不熟悉就别改了。编辑完成后保存退出。

输入vi /etc/ppp/chap-secrets开始编辑，输入以下内容：

username1 pptpd password1 *

username2 pptpd password2 *

username3 pptpd password3 *

这个文件用来配置vpn的登陆用户和密码，一行一个。编辑完成后保存退出。

把username和password分别改成你需要的用户名密码即可，其他别改了。

输入vi /etc/sysctl.conf开始编辑，这个文件和上面不同，里面已经有内容：

找到

net.ipv4.ip_forward = 0

改成

net.ipv4.ip_forward = 1

保存并退出，然后执行sysctl -p这个命令。

这时，PPTP基本上配置好了，输入service pptpd start启动。

下面来配置iptables，首先输入service iptables start启动。

然后分别输入下面四条命令，每天输完后要记得按回车：

iptables -A INPUT -p tcp --dport 1723 -j ACCEPT

iptables -A INPUT -p tcp --dport 47 -j ACCEPT

iptables -A INPUT -p gre -j ACCEPT

iptables -t nat -A POSTROUTING -s 192.168.8.0/24 -o eth0 -j MASQUERADE

完成后输入/etc/init.d/iptables save保存，并且输入/etc/init.d/iptables restart重新启动。

如果你需要服务器启动时候自动启动VPN服务，还需要输入chkconfig pptpd on和chkconfig iptables on这两条命令。

这个时候，PPTP的VPN就已经全部配置好了，由于内容太多，就不截图了，说明已经很详细。

在Windows下新建一个VPN连接，输入服务器ip、用户名和密码，如无意外就能连上去了。

打开youtube或twitter（follow我@billzhong）试试，爽吧！

参考文章：

http://blog.s135.com/pptp_vpn/

http://rashost.com/blog/centos5-pptpd-vpn

http://taiwanwolf.blogspot.com/2009/01/centos-v52-pptp-server.html

提供ghs.google.com服务

Black-Xstar — Fri, 22 May 2009 14:22:00 +0000

众所周知的原因，google提供自定义域名服务的cname记录ghs.google.com在中国大陆一直不好用。

虽然大家找到了很多代替ghs.google.com的ip地址，但也经常失灵，每次失灵了都要换新的，很多条记录都要替换，很烦很烦。

我曾经想过拿出一个子域名指向可用的ip地址，然后其他的cname到这个子域名，每次只要更新子域名的ip地址就可以了，很方便的。

网上有很多朋友提供了此类服务，大都都坚持不久。我google了一下，他们不是没有保持更新就是域名已经过期，用这些还不如直接用ip呢。

据我观察，目前为止坚持最久和用的人比较多的有TanCee的google.dns.tancee.com和behindgfw的ghs.behindgfw.com。推荐一下。

最近终于把ripn的ru域名给搞定了，突然想到何不用终身免费ru域名来做一个ghs.google.com服务呢？根据ripn的说法，只要dns不失效，域名永久有效。

我本身就要大量使用ghs.google.com服务，所以干脆维护一个自己的给自己用也方便下大家。每次失效了我都会更新的，自己的用着要舒服多了，哈哈。

短一点好记一点的域名几乎都被人注册了，我搜索了好久终于找到个自认为好记的：cname.pp.ru

域名的dns用的是zoneedit，非常老牌的专业dns服务商，那个bit.ly就是用它的服务。

综合性能上看非常不错的，完整支持所有dns协议，生效速度也非常快，绝对不是国内那些免费甚至付费的dns可以比的。

本想直接拿根域名做ghs.google.com服务的，但考虑到以后可能还有类似的用途，所以决定用个二级域名，同样很好记：

ghs.cname.pp.ru

只需要把需要cname指向ghs.google.com的地方换成ghs.cname.pp.ru就可以了！

一般情况下，我会在域名上绑定多个可用ip，模仿ghs.google.com那样达到负载平衡。

遇到ip失效，我会尽可能第一时间修复成可用ip。如果当前无法找到可用ip，我会临时把ghs.cname.pp.ru恢复指向ghs.google.com。并时刻观察最新情况，找到新的ip马上换上。

这样应该能一定程度上解决的ghs.google.com在中国大陆不好用的问题了。

我本来并不打算公开的，但想想自己花了精力去搞，一个人用可惜了，就分享出来给有需要的朋友吧。

当然你也可以用别人的，或者每次自己替换可用ip。我的ghs.cname.pp.ru没有任何优势，纯粹是自己用着舒服就行为原则，呵呵。

如果哪天我决定不搞了，或者遇到我无法解决的问题，也一定会给大家一个交代，所以完全可以放心。

PS：我利用一个闲置ru域名做了一个tinyurl服务，也一起分享出来，不要滥用哦：http://tiny.pp.ru