搜索到
8
篇与
的结果
-
centos7搭建openvpn实现科学上网 关闭selinux[root@localhost ~]# sed -i '/^SELINUX/s/enforcing/disabled/g' /etc/selinux/config[root@localhost ~]# setenforce 0安装epel仓库和openvpn, Easy-RSA[root@localhost ~]# yum -y install epel-release && yum -y install openvpn easy-rsa配置EASY-RSA 3.0在/etc/openvpn文件夹下面创建easy-rsa文件夹,并把相关文件复制进去(此处可能版本会不同,根据实际情况进行复制)[root@localhost ~]# cp -r /usr/share/easy-rsa/3/* /etc/openvpn/easy-rsa/[root@localhost ~]# cp -p /usr/share/doc/easy-rsa-3.0.6/vars.example /etc/openvpn/easy-rsa/vars创建OpenVPN相关的密钥我们将创建CA密钥,server端、client端密钥,DH和CRL PEM, TLS认证钥匙ta.key。[root@localhost easy-rsa]# cd /etc/openvpn/easy-rsa/初始化并建立CA证书创建服务端和客户端密钥之前,需要初始化PKI目录[root@localhost easy-rsa]# ./easyrsa init-pki[root@localhost easy-rsa]# ./easyrsa build-ca nopass创建服务器密钥创建服务器密钥名称为 server1.key[root@localhost easy-rsa]# ./easyrsa gen-req server1 nopass添加nopass 选项,是指不需要为密钥添加密码。用CA证书签署server1密钥[root@localhost easy-rsa]# ./easyrsa sign-req server server1创建客户端密钥创建客户端密钥名称为 client1.key[root@localhost easy-rsa]# ./easyrsa gen-req client1 nopass用CA证书签署client1密钥[root@localhost easy-rsa]# ./easyrsa sign-req client client1创建DH密钥根据在顶部创建的vars配置文件生成2048位的密钥[root@localhost easy-rsa]# ./easyrsa gen-dh创建TLS认证密钥[root@localhost easy-rsa]# openvpn --genkey --secret /etc/openvpn/easy-rsa/ta.key生成 证书撤销列表(CRL)密钥CRL(证书撤销列表)密钥用于撤销客户端密钥。如果服务器上有多个客户端证书,希望删除某个密钥,那么只需使用./easyrsa revoke NAME这个命令撤销即可。生成CRL密钥:[root@localhost easy-rsa]# ./easyrsa gen-crl复制证书文件复制ca证书,ta.key和server端证书及密钥到/etc/openvpn/server文件夹里[root@localhost easy-rsa]# cp -p pki/ca.crt /etc/openvpn/server/[root@localhost easy-rsa]# cp -p pki/issued/server1.crt /etc/openvpn/server/[root@localhost easy-rsa]# cp -p pki/private/server1.key /etc/openvpn/server/[root@localhost easy-rsa]# cp -p ta.key /etc/openvpn/server/复制ca证书,ta.key和client端证书及密钥到/etc/openvpn/client文件夹里[root@localhost easy-rsa]# cp -p pki/ca.crt /etc/openvpn/client/[root@localhost easy-rsa]# cp -p pki/issued/client1.crt /etc/openvpn/client/[root@localhost easy-rsa]# cp -p pki/private/client1.key /etc/openvpn/client/[root@localhost easy-rsa]# cp -p ta.key /etc/openvpn/client/复制dh.pem , crl.pem到/etc/openvpn/client文件夹里[root@localhost easy-rsa]# cp pki/dh.pem /etc/openvpn/server/[root@localhost easy-rsa]# cp pki/crl.pem /etc/openvpn/server/修改OpenVPN配置文件复制模板到主配置文件夹里面[root@localhost server]# cp -p /usr/share/doc/openvpn-2.4.8/sample/sample-config-files/server.conf /etc/openvpn/server/修改后的内容如下[root@localhost server]# cat server.conf |grep '^1'port 1194proto udpdev tunca ca.crtcert server1.crtkey server1.key # This file should be kept secretdh dh.pemcrl-verify crl.pemserver 10.8.0.0 255.255.255.0ifconfig-pool-persist ipp.txtpush "redirect-gateway def1 bypass-dhcp"push "dhcp-option DNS 114.114.114.114"duplicate-cnkeepalive 10 120tls-auth ta.key 0 # This file is secretcipher AES-256-CBCcompress lz4-v2push "compress lz4-v2"max-clients 100user nobodygroup nobodypersist-keypersist-tunstatus openvpn-status.loglog-append openvpn.logverb 3explicit-exit-notify 1开启转发修改内核模块[root@localhost server]# echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf[root@localhost server]# sysctl -pnet.ipv4.ip_forward = 1修改防火墙[root@localhost server]# firewall-cmd --permanent --add-service=openvpnsuccess[root@localhost server]# firewall-cmd --permanent --add-interface=tun0success[root@localhost server]# firewall-cmd --permanent --add-masqueradesuccess[root@localhost server]# firewall-cmd --permanent --direct --passthrough ipv4 -t nat -A POSTROUTING -s 10.8.0.0/24 -o ens33 -j MASQUERADEsuccess[root@localhost server]# firewall-cmd --reloadsuccess启动服务并开机启动[root@localhost server]# systemctl enable openvpn-server@server[root@localhost server]# systemctl start openvpn-server@server检查一下服务是否启动[root@localhost server]# netstat -tlunp[root@localhost server]# systemctl status openvpn-server@serverOpenVPN 客户端安装在openvpn服务器端操作,复制一个client.conf模板到/etc/openvpn/client文件夹下面。然后编辑该文件/etc/openvpn/client/client.conf[root@localhost openvpn]# cp -p /usr/share/doc/openvpn-2.4.8/sample/sample-config-files/client.conf /etc/openvpn/client/修改后的内容如下[root@localhost client]# cat client.conf |grep '^1'clientdev tunproto udpremote 192.168.43.138 1194resolv-retry infinitenobindpersist-keypersist-tunca ca.crtcert client1.crtkey client1.keyremote-cert-tls servertls-auth ta.key 1cipher AES-256-CBCverb 3更改client.conf文件名为client.ovpn,然后把/etc/openvpn/client文件夹打包压缩:更改client.conf文件名为client.ovpn[root@localhost openvpn]# mv client/client.conf client/client.ovpn安装lrzsz工具,通过sz命令把 client.tar.gz传到客户机上面[root@localhost openvpn]# yum -y install lrzsz打包client文件夹[root@localhost openvpn]# tar -zcvf client.tar.gz client/使用sz命令,把client.tar.gz传到客户机上面[root@localhost openvpn]# sz client.tar.gz在windows 10客户机连接测试客户机安装openvpn-install-2.4.8-I602-Win10该软件包,安装完成之后解压刚才的client.tar.gz压缩包,把里面的文件复制到C:\Program Files\OpenVPN\config需要把client.conf的名字改成client.ovpn,然后点击桌面上的OpenVPN GUI运行电脑右下角有一个小电脑右键点击连接,连接成功之后小电脑变成绿色。注意事项做实验时在测试环境做的。如果在真实环境操作,请在出口防火墙添加端口映射,开放openvpn的端口1194 tcp和udp协议的。证书文件整合ca.crt | client1.crt | client1.csr | client1.key | client.ovpn 合并成一个文件:把ca.crt证书放入client.ovpn配置文件如果你有好几个网站的openvpn配置你可以在config目录下为每一个网站建一个文件夹,也可以都放在config目录下,不过是不是有很多.crt和.key文件很烦人呀,其实你可以把它们都删除了,只需要把他们放入client.ovpn配置文件。用写字板打开各个client.ovpn文件在最后面添加key-direction 1用记事本打开ca.crt把文件内容复制到和的中间,用记事本打开client.crt把文件内容复制到和的中间,用记事本打开client.key把文件内容复制到和的中间,用记事本打开ta.key把文件内容复制到和的中间,(ca.crt、client.crt、client.key、ta.key这些文件不一定全都与,有那些就修改那些;这些文件的名字不一定都是这样,可以在.ovpn配置文件里搜索ca、cert、key、tls-auth看他们所对应的文件名)修改完成后删除类似tls-auth ta.key 1ca ca.crtcert client.crtkey client.key的那几行,然后保.ovpn文件即可删除那些.crt和.key文件而正常使用了。对了,若有ddns或者IP映射和固定域名,记得修改.ovpn文件中的remote 属性remote 192.168.3.122 1194win10客户端连接过程中会提示2个警告信息警告1:Fri May 08 00:19:05 2020 WARNING: --ns-cert-type is DEPRECATED. Use --remote-cert-tls instead.解决:win客户端修改配置文件注释一个和添加一个;ns-cert-type serverremote-cert-tls server警告2:Fri May 08 00:19:06 2020 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this解决:win10客户端配置文件添加auth-nocache#|^; ↩ -
-
树莓派kali系统安装宝塔搭建环境排雷 宝塔一键安装安装之前一定要清空系统环境,如果使用的kali img镜像直接烧录使用的系统,一般都是自带环境的,必须要先卸载干净php、mysql、nginx、apache等环境,在进行安装宝塔面板wget -O install.sh http://download.bt.cn/install/install-ubuntu.sh && sudo bash install.sh一般来说安装是不会出现报错的,如果发生报错请移步www.bt.cn论坛发帖咨询,很快会有工作人员为你解答,但一般都会劝你换系统。。。。mysql错误排查宝塔安装好后,我这里直接一键安装lnmp环境,nginx、ftp和phpmyadmin安装成功,mysql和php没有显示,查看安装日志,首先重装一遍mysql,然后输入以下指令cat /tmp/panelExec.log安装到78突然就断片了从来没碰到过这样的问题,按理来说不应该出现这种情况,因为我之前用树莓派装过宝塔,搭过环境,因为tf卡满了,换了个大容量的卡,重装遍除了kali版本不同,其他也没什么值得怀疑的点。在连续几天的排查以后,我终于找到了问题所在,原因是内存不足,导致c++被kill了,只要增加swap交换分区就可以解决问题我一开始没往这方面想,怎么说我的树莓派也是4G的内存,安装个环境绰绰有余的吧,没想到加了8G swap分区立马就安装成功了添加swap分区添加swap分区的方法如下:如果没分过swap分区的话,下面应该是0或者没有,我这里已经分好了。1.先创建一个交换文件存放的目录。我在根目录下创建名叫swap的目录mkdir /swap然后进入目录cd /swap创建自己希望的交换分区文件的大小需要注意dd命令消耗CPU性能较多,影响2分钟左右,如果生产环境,建议业务低谷操作。sudo dd if=/dev/zero of=swapfile bs=1M count=2k(创建2G的swap, 这步比较慢 创建分区的大小就= bs count,我是直接上了24,反正新换的tf卡容量够大)成功后会有提示,这时候查看swap文件夹下会多一个交换文件(swapfile),文件名字你可以自己定义在上面创建命令里。然后输入命令 mkswap swapfile挂载交换分区:swapon swapfile如果想卸载的话输入:swapoff swapfile 卸载后可以删除这个文件,然后重新根据你新的需要创建和调整交换文件大小6.最后可以查看空间大小:free -hswap项后面的大小就是你设定交换文件的大小如果不为0就说明挂载成功了。自动挂在交换文件(交换分区)sudo gedit /etc/fstab 在最后添加/swap/swapfile swap swap defaults 0 0问题完美解决,然而当我继续安装php7.2的时候,再次出现了问题,如下这下我彻底麻了,发帖去bt问,结果一句kali没测过换系统,我心态再次一崩。我尝试安装了7.0居然成功了,但是我原来的网站用的是php7.2,换了7.0直接给我报错,没办法到最后也没搞明白为啥php7.2安装不上,由于php7.0问题比较多,后来我干脆换了php7.4,重新找了个主题重新开始
