openvpn配置使用静态密钥

已于 2024-02-25 22:19:53 修改
阅读量3.1k 收藏 27
点赞数 25
分类专栏: linux ssl通信 文章标签: 网络 openvpn 静态密钥
于 2024-02-25 15:07:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hacker_lpy/article/details/136280529
版权
本文探讨了OpenVPN中使用静态密钥的原理,包括其在SSL连接中的作用,以及静态密钥的优势(如简化配置)和局限性(如安全性低和单客户端限制)。还介绍了如何在Linux和Android客户端中配置静态密钥并处理兼容性问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

        openvpn客户端在和服务端建立连接时,一般建立ssl通信,流量都需要经过加密。正常建立ssl连接的时候,流程是很复杂的,需要握手信息,需要验证证书,需要协商和交换对称加密密钥。这个对称加密密钥是用来做什么的呢?其实ssl在建立连接前期的协商步骤中使用非对称加密算法(一般为RSA算法),是为了交换某些生成后续对称加密密钥所必须的信息,避免在网络中明文传输对称加密的密钥。一旦协商完成,对称密钥也就交换完成,后续的通信,都是使用对称加密来通信。为什么不能全程都使用非对称加密来加解密数据?因为非对称加密的效率比较低,所以在对称加密密钥协商完成后,后续通信都用这个对称加密密钥进行对称加密。这里说的比较笼统,感兴趣的可以自行去谷歌ssl连接建立的过程。

        oponvpn支持配置静态密钥,也就是说不用协商密钥,默认通信的双方都知道是用哪个对称加密密钥来加解密。这在某些场景下还是很有用的,每种技术都有它特定的应用场景。当然,用静态密钥本身安全性就不高,一旦别人拿到这个静态密钥,那整个通信过程就相当于明文通信了。正是因为不安全,所以openvpn官方强烈不推荐使用,可能在某些新版本中都禁用了这个功能。使用静态密钥还有一个局限性,就是只能有一个服务端,一个客户端,不能多个客户端端同时连接openvpn服务器。

        openvpn使用静态密钥也有一个优点,就是配置会特别简单,不需要ca证书,服务端客户端证书,私钥这些,只需要一个对称加密密钥。

静态密钥生成

        在linux下,使用openvpn的命令生成静态密钥:

openvpn –genkey –secret static.key

生成的static.key,服务端和客户端共用

服务端配置(centos)

        如果还不懂openvpn怎么搭建的,可以参考我前面的文章:openvpn组网技术原理及配置过程(centos服务器/安卓客户端/linux客户端)-CSDN博客

        服务端配置文件server.conf如下:

################################################
# Sample OpenVPN 2.0 config file for            #
# multi-client server.                          #
#                                               #
# This file is for the server side              #
# of a many-clients <-> one-server              #
# OpenVPN configuration.                        #
#                                               #
# OpenVPN also supports                         #
# single-machine <-
最低0.47元/天 解锁文章
OpenVPN静态秘钥连接
to_be_better_wen的博客
01-07 1832
OpenVPN静态秘钥连接方式介绍
OpenVPN非加密连接
to_be_better_wen的博客
01-06 1399
OpenVPN非加密模式
(二)在ubuntu20.04安装VPN服务
07-14 3510
1.在公网IP地址上安装frp,例如ubuntu等等,可以执行tar-zxvffrp.xxx.tar.gz,然后配置frps.iniPORT为指定PORT。/usr/share/doc/openvpn/examples/sample-config-files/client.conf更名而来的。上接(一)在ubuntu20.04上利用frp,vpn以及软转发实现外网访问内网功能。但实际上可能还是不通的,因为没有公网IP地址。安装完毕后,右键属性,选择兼容性,修改如下。......
Centos 部署OpenVP* 证书+密码认证
友人A的博客
12-21 6841
一、实验环境 主机 内网IP 外网IP 系统 备注 OpenVPN 10.5.10.202 NAT映射外网访问 Centos7 OpenVPN服务端 PC1 10.5.10.122 Windows7 x64 客户端 PC2 10.5.10.123 Windows10
一看就懂的保姆级教程:open vn设置 (亲测通过)
热门推荐
♀我爱摇滚,更爱金属乐♀
10-07 8万+
在安装openvpn的时候之前,大概说下它的结构,整个安装流程涉及以下4个部分:Server / Client 服务器端程序Easyrsa 证书生成程序Server端配置文件Client 端配置文件观察上图,其实OpenVPN的服务器端和客户端是合二为一的,并没有采用独立的服务器端程序或者客户端程序来区分其角色,它是通过配置文件来实现功能差异的。因此无论服务器端还是客户端,启动程序都相同,Linux下为openvpn,在windows下则为openvpn.exe。
【OpenVP* 】Centos 部署OpenVP* 证书+多客户端+密码认证
恋上、小幸福的博客
03-23 1万+
一、实验环境 主机 内网IP 外网IP 系统 备注 OpenVPN 10.5.10.202 NAT映射外网访问 Centos7 OpenVPN服务端 PC1 10.5.10.122 内网用户 Windows7 x64 客户端 PC2 10.5.10.123 内网用户 Windows10 客户端
使用 OpenVPN, Easy RSA 配置虚拟专用网络
还没想好昵称的新建p的博客
07-12 1581
本文大致介绍了如何使用 OpenVPN, Easy RSA 等配置虚拟专用网络. 本文为教育目的, 请遵守相关法律.
OpenVPN 安装与使用
Shawn的个人博客
02-29 6673
可以添加、删除、查看等,网段默认是10.8.0.x,按照客户端启动顺序给予分配ip,同时客户端可以访问server端所在的内网(可以使用route命令查看,原因是转发到vpn网卡的流量全部进行了转发)都提示success代表安装成功,然后根据上图底部的提示路径把ovpn文件下载下来,对于管理客户端,就再次执行。参数表示可以添加路由的条数,默认只允许添加100条路由,如果少于100条路由可不加这个参数。默认不配置是全量转发,如果有多个内网网卡,可以设置选择性转发,在配置文件增加对应配置即可。
企业级VPN服务OpenVPN
weixin_38753143的博客
10-21 3159
官方脚本下载/bin/shif [!/&&!/^#/&&$1$2;thenexit 1fithenexit 0fiexit 1#增加执行权限。
openvpn原理
qq_31532979的博客
04-11 1842
然后使用对方的CA证书,把自己目前使用的数据加密方法加密后发送给对方,由于使用的是对方CA证书加密,所以只有对方CA证书对应的Private key才能解密该数据,这样就保证了此密钥的安全性,并且此密钥是定期改变的,对于窃听者来说,可能还没有破解出此密钥,VPN通信双方可能就已经更换密钥了。末尾插入一行,内容为: block-outside-dns。crl-verify /usr/share/doc/openvpn-2.2.2/easy-rsa/2.0/keys/crl.pem #注销用户用的文件。
openvpn证书生成教程
完颜振江
02-14 3844
这些步骤可以帮助您生成OpenVPN所需的证书和密钥。请根据您的具体需求和环境进行相应调整。
OpenVPN实现安全的内网互通
qq_53058639的博客
06-04 1778
[在这里插入图片描述](https://img-维基百科是这么介绍的:OpenVPN是一个用于创建虚拟私人网络加密通道的软件包,最早由JamesYonan编写。OpenVPN允许创建的VPN使用公开密钥、电子证书、或者用户名/密码来进行身份验证。它大量使用了OpenSSL加密库中的SSL/TLS协议函数库。OpenVPN 项目 / OpenVPN Inc: 2.6.9 (2024年2月13日;稳定版本);VPN。
配置openvpn基于证书+密码认证(二)
yjun89的博客
06-23 3492
注意:这里的pam_mysql.so是调用/usr/lib64/security/目录下的pam_mysql.so如果编译安装pam_mysql时放在其他目录下会导致认证失败。先创建OpenVPN需要使用到的数据库和连接数据库的用户,数据库名称设置为openvpn,连接数据库的用户为vpn,用户密码设置为。通告分配给客户端的网络,还需要通告内网的网段,如果不通告内网网段,那么客户端接入后将无法访问内网中的主机。我们这里基于密码认证使用pam认证,需要使用到MySQL,下面下来安装MySQL。
启用tls的情况下openvpn配置文件合并到ovpn文件
littlebird4的博客
10-08 1831
openvpn
OPNsense OpenVPN配置
不一样的精彩
11-03 2278
OPNsense OpenVPN配置
openvpn搭建访问路由器摄像头
coderYJ的博客
06-21 1392
openvpn搭建技术博客。
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 2574
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
Windows OpenVPN的安装之服务器自动启动连接
pcplayer的博客
06-14 4132
1. 概念:OpenVPN 安装了一个服务叫做 OpenVPNService,可以在 Windows 系统的服务里面看到;这个服务需要的配置文件放在 config-auto 目录下;配置文件的名称可以是任意文件名,后缀是 .ovpn 就说明它是 OpenVPN配置文件。2. 如果上述两个条件(1. 服务自动运行;2. 配置文件在正确目录下),仍然不行,应该去看 log 目录底下的 log 文件,看看问题在哪里。
ubuntu openvpn
最新发布
02-20
### 安装和配置OpenVPN #### 准备工作 为了顺利安装并配置OpenVPN,在Ubuntu 22.04系统环境下,需准备如下资源[^1]: - 至少拥有一台带有sudo权限非root用户的Ubuntu 22.04服务器; - 配置好防火墙规则以允许必要的网络流量; - 另外设置一台独立运行的Ubuntu 22.04机器充当私人证书授权中心(CA)。 #### OpenVPN安装过程 执行以下命令来更新软件包列表以及安装OpenVPN及其依赖项: ```bash sudo apt update && sudo apt install openvpn easy-rsa -y ``` #### 创建私钥基础设施(PKI) 进入`/usr/share/easy-rsa`目录,并初始化PKI环境: ```bash cd /usr/share/easy-rsa/ cp vars.example vars vi vars ``` 编辑vars文件中的参数以匹配个人需求。之后构建CA及生成服务器密钥对: ```bash ./easyrsa init-pki ./easyrsa build-ca ./easyrsa gen-req server nopass ./easyrsa sign-req server server ``` #### 设置DH参数与TLS认证 生成Diffie-Hellman参数文件和静态 HMAC 文件用于增强安全性: ```bash ./easyrsa gen-dh openvpn --genkey --secret pki/private/tls-auth.key ``` #### 编辑Server Configuration File 创建或修改位于 `/etc/openvpn/server/server.conf` 的配置文件[^3]: ```bash port 1194 proto udp dev tun ca /usr/share/easy-rsa/pki/ca.crt cert /usr/share/easy-rsa/pki/issued/server.crt key /usr/share/easy-rsa/pki/private/server.key dh /usr/share/easy-rsa/pki/dh.pem server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 8.8.8.8" keepalive 10 120 tls-auth /usr/share/easy-rsa/pki/private/tls-auth.key 0 cipher AES-256-CBC auth SHA256 comp-lzo user nobody group nogroup persist-key persist-tun status openvpn-status.log verb 3 ``` #### 启动服务并启用开机自启 完成上述步骤后启动OpenVPN服务并将其实现随系统自动加载: ```bash systemctl start openvpn@server.service systemctl enable openvpn@server.service ``` #### 开放防火墙端口 最后一步是调整防火墙设置以便让外部设备能够访问此OpenVPN服务: ```bash ufw allow 1194/udp echo 'net.ipv4.ip_forward=1' | sudo tee -a /etc/sysctl.conf sysctl -p ``` 以上即是在Ubuntu平台上部署OpenVPN所需的主要操作流程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值