Ubuntu 16.04下OpenVPN安装与客户端网关配置指南

在当今的分布式网络环境中，VPN（虚拟专用网络）技术已成为保障数据传输安全与实现远程访问的重要手段。OpenVPN作为一款开源的VPN解决方案，以其高度的灵活性和安全性受到了广泛青睐。本文将详细介绍如何在Ubuntu 16.04系统上安装和配置OpenVPN服务器，并使得客户端能够作为网关连接子网，实现跨网络的资源访问。

一、环境准备

在开始配置之前，确保你的Ubuntu 16.04系统已经安装了必要的软件包，并具备基本的网络配置知识。此外，你需要有一台可访问互联网的Ubuntu 16.04服务器作为OpenVPN服务器，以及一个或多个客户端设备用于测试连接。

二、安装OpenVPN

1. 更新软件包列表

首先，通过以下命令更新系统的软件包列表：

sudo apt-get update

2. 安装OpenVPN和Easy-RSA

OpenVPN依赖于Easy-RSA来管理SSL证书。使用以下命令安装这两个软件包：

sudo apt-get install openvpn easy-rsa

三、配置OpenVPN服务器

1. 创建证书颁发机构（CA）

使用Easy-RSA创建CA，这是生成服务器和客户端证书的基础。

make-cadir ~/openvpn-ca
cd ~/openvpn-ca

编辑vars文件，设置CA的相关信息（如国家、省份、城市等）。

nano vars

初始化PKI（公钥基础设施）并创建CA证书：

./vars
./clean-all
./build-ca

2. 生成服务器证书和密钥

./build-key-server server

按照提示输入相关信息，生成服务器证书和密钥。

3. 生成Diffie-Hellman参数

./build-dh

4. 生成TLS认证密钥

openvpn --genkey --secret keys/ta.key

5. 配置OpenVPN服务器

将示例配置文件复制到/etc/openvpn/server.conf：

sudo cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/
sudo gzip -d /etc/openvpn/server.conf.gz

编辑/etc/openvpn/server.conf，根据实际情况修改以下关键参数：

• cert和key：指向之前生成的服务器证书和密钥。
• dh：指向Diffie-Hellman参数文件。
• tls-auth：启用TLS认证，并指定密钥文件。
• push "redirect-gateway def1 bypass-dhcp"：使客户端流量通过VPN。
• push "dhcp-option DNS 8.8.8.8"：指定DNS服务器。

6. 启动OpenVPN服务

sudo systemctl start openvpn@server
sudo systemctl enable openvpn@server

四、配置客户端作为网关连接子网

1. 生成客户端证书和配置文件

在CA目录下，为客户端生成证书：

./build-key client1

创建客户端配置文件（client1.ovpn），内容如下：

client
dev tun
proto udp
remote <服务器IP> 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
verb 3
<ca>
# 粘贴CA证书内容
</ca>
<cert>
# 粘贴客户端证书内容
</cert>
<key>
# 粘贴客户端密钥内容
</key>
<tls-auth>
# 粘贴TLS认证密钥内容
</tls-auth>
key-direction 1

2. 客户端路由配置

为了使客户端作为网关连接子网，需要在客户端上配置路由规则。这通常通过OpenVPN的up和down脚本实现，或者直接在客户端操作系统上配置静态路由。

方法一：使用OpenVPN的up脚本

在客户端配置文件中添加：

script-security 2
up /etc/openvpn/up.sh
down /etc/openvpn/down.sh

创建/etc/openvpn/up.sh脚本，内容如下（根据实际情况调整）：

#!/bin/sh
/sbin/ip route add <子网IP>/<子网掩码> via <VPN网关IP> dev tun0

创建/etc/openvpn/down.sh脚本，用于删除路由：

#!/bin/sh
/sbin/ip route del <子网IP>/<子网掩码> via <VPN网关IP> dev tun0

确保脚本有执行权限：

sudo chmod +x /etc/openvpn/up.sh /etc/openvpn/down.sh

方法二：手动配置静态路由

在客户端操作系统上，使用route add命令添加静态路由（Windows使用route add，Linux使用ip route add）。

3. 防火墙和NAT配置

在OpenVPN服务器上，确保防火墙允许UDP 1194端口的流量，并配置NAT以允许客户端访问子网。

Ubuntu防火墙配置（UFW）

sudo ufw allow 1194/udp
sudo ufw enable

NAT配置

编辑/etc/sysctl.conf，启用IP转发：

net.ipv4.ip_forward=1

应用更改：

sudo sysctl -p

配置iptables规则：

sudo iptables -t nat -A POSTROUTING -s <VPN子网> -o eth0 -j MASQUERADE
sudo iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
sudo iptables -A FORWARD -i eth0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT

为了使iptables规则在重启后仍然有效，可以安装iptables-persistent：

sudo apt-get install iptables-persistent
sudo netfilter-persistent save

五、测试与验证

在客户端上连接OpenVPN，并验证是否能够访问子网资源。可以使用ping、traceroute等命令测试网络连通性。

六、总结与优化

通过上述步骤，你已经在Ubuntu 16.04系统上成功安装和配置了OpenVPN服务器，并使得客户端能够作为网关连接子网。为了进一步提高系统的安全性和性能，可以考虑以下优化措施：

• 定期更新OpenVPN和Easy-RSA软件包，以修复已知的安全漏洞。
• 使用更强的加密算法和密钥长度。
• 实施访问控制策略，限制特定客户端的访问权限。
• 监控VPN连接日志，及时发现并处理异常行为。

通过不断的学习和实践，你将能够更加熟练地掌握OpenVPN的配置和管理技巧，为企业的网络安全保驾护航。