1.openvpn版本 OpenVPN 2.3.2 系统:ubuntu14.04.5
2.修改openvpn的配置
- vim /etc/openvpn/server.conf 添加如下内容
- client-config-dir /etc/openvpn/ccd
#介绍一下这个选项,这个选项是为制定的登录名使用单独的配置,比如制定固定的IP,本文就用到了这个配置,在这个目录下,创建一个用户名文件,然后写入你的需求配置
3.固定用户ip地址
vim /etc/openvpn/ccd/client1 添加如下内容:
ifconfig-push 10.10.10.5 10.10.10.6
这是因为openvpn只支持255.255.255.252 的子网,而且252的子网只有两个IP,一个分配给客户端,一个留给服务器用.因此只能ccd目录下面的文件内容只能是:
4.iptables实现点对点访问
sudo iptables -A FORWARD -s 10.10.10.5/32 -d 192.168.100.11/32 -j DROP ##禁止访问
or
sudo iptables -A FORWARD -s 10.10.10.5/32 -d 192.168.100.122/32 -j ACCEPT
sudo iptables -I FORWARD -s 10.10.10.5/32 -j DROP
5.拓展
openvpn审计功能 squid缓存功能
daloradius+freeradius+openvpn 实现详细化管理openvpn
#########配置防火墙
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -F
iptables -t nat -F
iptables -X
iptables -t nat -X
/etc/rc.d/init.d/iptables save
/etc/rc.d/init.d/iptables restart
iptables -t nat -A PREROUTING -d 10.0.0.0/32 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3389
iptables -t nat -A POSTROUTING -s 10.7.0.0/16 ! -d 10.7.0.0/16 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.8.0.0/16 ! -d 10.8.0.0/16 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.9.0.0/16 ! -d 10.9.0.0/16 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.10.0.0/16 ! -d 10.10.0.0/16 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.11.0.0/16 ! -d 10.11.0.0/16 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.12.0.0/16 ! -d 10.12.0.0/16 -j MASQUERADE
iptables -t nat -A OUTPUT -d 10.7.0.1/32 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3389
iptables -t nat -A OUTPUT -d 10.8.0.1/32 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3389
iptables -t nat -A OUTPUT -d 10.9.0.1/32 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3389
iptables -t nat -A OUTPUT -d 10.10.0.1/32 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3389
iptables -t nat -A OUTPUT -d 10.11.0.1/32 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3389
iptables -t nat -A OUTPUT -d 10.12.0.1/32 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3389
/sbin/iptables -I INPUT -p tcp --dport 8888 -j ACCEPT
/sbin/iptables -I INPUT -p tcp --dport 5000 -j ACCEPT
/sbin/iptables -I INPUT -p tcp --dport 555 -j ACCEPT
/sbin/iptables -I INPUT -p udp --dport 1812 -j ACCEPT
/sbin/iptables -I INPUT -p udp --dport 1813 -j ACCEPT
/sbin/iptables -I INPUT -p udp --dport 1814 -j ACCEPT
/sbin/iptables -I INPUT -p tcp --dport 8080 -j ACCEPT
/sbin/iptables -I INPUT -p udp --dport 138 -j ACCEPT
/sbin/iptables -I INPUT -p udp --dport 137 -j ACCEPT
/sbin/iptables -I INPUT -p tcp --dport 138 -j ACCEPT
/sbin/iptables -I INPUT -p tcp --dport 137 -j ACCEPT
/sbin/iptables -I INPUT -p tcp --dport 53 -j ACCEPT
/sbin/iptables -I INPUT -p tcp --dport 524 -j ACCEPT
/sbin/iptables -I INPUT -p tcp --dport 1026 -j ACCEPT
/sbin/iptables -I INPUT -p tcp --dport 8081 -j ACCEPT
/sbin/iptables -I INPUT -p tcp --dport 180 -j ACCEPT
/sbin/iptables -I INPUT -p tcp --dport 53 -j ACCEPT
/sbin/iptables -I INPUT -p tcp --dport 351 -j ACCEPT
/sbin/iptables -I INPUT -p tcp --dport 366 -j ACCEPT
/sbin/iptables -I INPUT -p tcp --dport 443 -j ACCEPT
/sbin/iptables -I INPUT -p tcp --dport 440 -j ACCEPT
/sbin/iptables -I INPUT -p tcp --dport 3389 -j ACCEPT
/sbin/iptables -I INPUT -p tcp --dport 3311 -j ACCEPT
/sbin/iptables -I INPUT -p tcp --dport 3322 -j ACCEPT
/sbin/iptables -I INPUT -p tcp --dport 3333 -j ACCEPT
/sbin/iptables -I INPUT -p tcp --dport 3344 -j ACCEPT
/sbin/iptables -I INPUT -p tcp --dport 3355 -j ACCEPT
/sbin/iptables -I INPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables -I INPUT -p tcp --dport 1194 -j ACCEPT
iptables -t nat -A OUTPUT -d 192.168.255.1/32 -p tcp -j REDIRECT --to-ports 3389