通过主机建立jsp虚拟空间我们需要注意些什么?
本文阐述使用新睿云云服务器搭建jsp虚拟空间一些常见注意事项!
使用云主机制作VPN服务器其实并不困难,由于VPN隧道始终是加密的,因此您不必再担心使用不安全的网络。您可以连接到任何公共WiFi热点,例如进行网上银行,没有任何风险。想要搭建VPN服务器首先您需要获取到云云服务器。具体应该使用双核CPU和2GBRAM的CentOS 7.6系统版本的云服务器。在安装之前,请运行常规系统更新,以确保所有软件包都已升级到其最新版本。
一、安装OPENVPN
1、安装过程非常简单。由于OpenVPN不能从标准的CentOS存储库中获得,因此第一步是安装EPEL并刷新可用包列表:
yum install epel-release
yum update
您现在可以安装OpenVPN:
yum install openvpn
我们还将安装EasyRSA,这是一种简化服务器上内部证书颁发机构(CA)和SSL密钥生成的工具。该软件包也可以在EPEL存储库中找到,可以使用yum轻松安装:
yum install easy-rsa
2、配置OPENVPN
Open VPN有许多配置选项,可能非常复杂。幸运的是,提供了一个示例配置文件,其中包含解释每行功能的注释。将其复制到默认配置文件夹,并将其用作您自己的设置文件的基础:
cp /usr/share/doc/openvpn-2.4.6/sample/sample-config-files/server.conf /etc/openvpn
使用您喜欢的文本编辑器打开文件;我们将在这个例子中使用vim。由于vim的默认配色方案使得注释难以阅读,因此您可以切换到另一个(使用如下命令:colorscheme desert):
vim /etc/openvpn/server.conf
3、首先将默认端口和协议更改为443 tcp:
port 443
proto tcp
4、接下来,您必须修改服务器将使用的证书的位置:
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key
dh /etc/openvpn/easy-rsa/pki/dh.pem
5、必须取消注释的下两行是:
topology subnet
server 10.8.0.0 255.255.255.0
这些将创建一个子网,为客户端计算机分配地址。服务器将使用子网中的第一个地址(10.8.0.1),而第一个客户端将分配IP 10.8.0.2。
6、必须取消注释的最重要的一行是这一行:
push “redirect-gateway def1 bypass-dhcp”
它基本上指示客户端计算机通过VPN重定向所有流量,而不是本地网关。由于使用此路由将忽略本地网络的DNS服务器,因此必须定义新的DNS服务器。在此示例中,我们将使用Google和Cloudflare提供的最受欢迎的公共DNS服务器:
push “dhcp-option DNS 8.8.8.8”
push “dhcp-option DNS 1.1.1.1”
为了提高安全性并遵循官方OpenVPN准则,请启用TLS身份验证。注释以tls-auth开头的行,并定义一个您使用您选择的名称生成的加密密钥(在此示例中为mykey.tls):
;tls-auth ta.key 0
tls-crypt mykey.tls
7、添加此行将进一步加强安全检查:
remote-cert-eku “TLS Web Client Authentication”
8、您还可以通过取消注释以下两个选项来启用压缩:
compress lz4-v2
push “compress lz4-v2”
最后,将OpenVPN配置为与用户和组nobody一起运行,因此该服务在启动后没有任何权限。必须取消注释的行是:
user nobody
group nobody
9、还必须更改文件的最后一行,因为此选项与TCP协议不兼容:
explicit-exit-notify 0
您现在具有可靠的基本配置,因此请保存文件并退出。由于文件中的所有指令都有很好的记录,因此您可以根据需要调整其他参数。
不要忘记通过执行以下命令生成静态加密密钥:
openvpn –genkey –secret /etc/openvpn/mykey.tls
10、生成SSL密钥和证书
虽然可以通过多种方式生成密钥和证书,但EasyRSA安装的脚本使此任务非常简单。
创建一个文件夹以存储将生成的密钥和证书:
mkdir -p /etc/openvpn/easy-rsa
将EasyRSA脚本从其初始位置复制到此文件夹:
cp -r /usr/share/easy-rsa/3.0/* /etc/openvpn/easy-rsa
导航到配置文件夹并运行脚本以初始化新PKI并构建证书颁发机构(CA):
cd /etc/openvpn/easy-rsa
./easyrsa init-pki
./easyrsa build-ca
要构建CA,您必须为服务器输入PEM密码短语和公用名(CN),或者只需按Enter键即可输入默认值。确保您记住PEM密码,因为稍后您将需要它。
下一步是生成实际OpenVPN服务器的密钥和证书,在本例中我们将使用“server”作为文件名。签名请求脚本需要PEM密码:
./easyrsa gen-req server nopass
./easyrsa sign-req server server
在与客户端的TLS握手期间使用的DH参数由以下命令生成,这需要一些时间才能完成:
./easyrsa gen-dh
每个客户端还需要一个证书才能连接到服务器。保证此证书安全并且不与他人共享非常重要,以避免巨大的安全风险。如果您想允许其他人使用您的OpenVPN服务器,请使用相同的过程为他们生成单独的证书。
11、在此示例中,我们将为client1生成密钥和证书,再次需要PEM密码:
./easyrsa gen-req client1
./easyrsa sign-req client client1
恭喜,所有证书都已生成。您需要以下四个文件才能配置VPN的客户端:
/etc/openvpn/easy-rsa/pki/ca.crt
/etc/openvpn/easy-rsa/pki/issued/client1.crt
/etc/openvpn/easy-rsa/pki/private/client1.key
/etc/openvpn/mykey.tls
二、系统配置
为了启用路由,必须定义一些防火墙规则。我们将在此示例中使用firewalld,但其他防火墙(如CSF或基本iptables)也可以使用。
1、将openvpn服务添加到受信任区域列表中,并检查它是否正确包含:
firewall-cmd –zone=trusted –add-service openvpn
firewall-cmd –zone=trusted –add-service openvpn –permanent
firewall-cmd –list-services –zone=trusted
2、在当前实例上永久配置伪装:
firewall-cmd –add-masquerade
firewall-cmd –permanent –add-masquerade
3、创建一个变量,然后使用它在主网络接口上添加永久路由规则:
VAR=$(ip route get 8.8.8.8 | awk ‘NR==1 {print $(NF-2)}’)
firewall-cmd –permanent –direct –passthrough ipv4 -t nat -A POSTROUTING -s 10.8.0.0/24 -o $VAR -j MASQUERADE
4、最后一步是重新加载firewalld以实现所有这些更改:
firewall-cmd –reload
5、在CentOS中,默认情况下禁用数据包转发,但您可以通过编辑文件/etc/sysctl.conf并添加以下行来轻松启用它:
net.ipv4.ip_forward=1
6、执行以下命令以使用新规则重新启动网络:
sysctl –p
systemctl restart network
7、启动服务
现在一切都已配置,是时候启动服务并启用它,因此每次系统重新启动时它都会自动加载:
systemctl start openvpn@server.service
systemctl enable openvpn@server.service
8、检查一切是否正常,命令输出应该是活动的(运行):
systemctl status openvpn@server.service
9、配置WINDOWS客户端
假设您的本地桌面/笔记本电脑运行Window,您将需要设置客户端以连接到您的VPN服务器。
从OpenVPN的网站下载并执行安装程序,该应用程序必须以管理员权限运行。
默认配置文件夹是/ Program Files / OpenVPN / config,将四个文件(ca.crt,client1.crt,client1.key和mykey.tls)复制到那里。
在同一文件夹中创建一个名为client.ovpn的新文件,其中包含以下内容(将IP替换为OpenVPN服务器的实际IP地址):
client
tls-client
remote <IP> 443
proto tcp
resolv-retry infinite
route-delay 2
pull
dev tun
nobind
ca ca.crt
cert client1.crt
key client1.key
tls-crypt mykey.tls
remote-cert-eku “TLS Web Client Authentication”
topology subnet
pull
user nobody
group nobody
在说明应用程序后,OpenVPN GUI图标位于系统托盘中。右键单击它并单击“连接”以开始使用该服务。
三、从其他操作系统连接
如果你拥有一台Mac,有几个VPN客户端可用,我们推荐一款名为Tunnelblick的免费软件。从App Store安装它,然后从服务器复制相同的四个文件,并创建一个与Windows相同的client.ovpn。
确保所有这些文件都在同一文件夹中,然后打开应用程序,导航到该文件夹并单击client.ovpn文件。现在已安装VPN,您只需单击Connect即可使用它。
如果Linux是您的首选操作系统,请使用您的发行版本机包管理器安装openvpn客户端。该软件包在某些发行版的默认存储库中不可用,因此您可能必须启用其他软件包(例如RedHat OS系列中的EPEL)。
就像在Windows和Mac中一样,您需要来自服务器的四个文件,以及具有相同内容的client.ovpn文件。
使用root用户或sudo权限从命令行运行应用程序,确保包含.ovpn文件的完整路径:
openvpn –config client.ovpn
连接后,使用显示您的公共IP的网站(百度搜索“我的IP”便能看到自己IP),以检查互联网流量现在是否通过VPN正确路由。
转载请注明:小猪云服务器租用推荐 » 通过主机搭建Openvpn服务器