******是开源软件，只需要简单的配置，就可以在企业搭建SSL VPN，满足日常远程办公的需求。本篇文档为在windows服务器安装搭建openvpn记录，仅供参考。

• 拓扑说明

使用虚拟机进行测试，主机操作系统Windows 10和m0n0。模拟拓扑：内网主机（openvpn server）、m0n0wall、外网主机（openvpn client），网段分别是192.168.1.0/24和172.16.10.0/24。

具体网卡配置：内网主机网卡使用LAN1网段；m0n0wall双网卡，一个LAN1网段，一个桥接模式；外网主机网卡使用桥接模式。

使用m0n0wall作为防火墙，设置源地址转换和目的端口映射。

以上是lan口、wan口的安全规则。

以上是NAT设置。

使用chfsgui测试TCP 1194端口映射，UDP设置类似，直接使用openvpn进行测试即可。

需要注意的是防火墙wan口设置，需要去掉Block Private networks选项，不然网络不通。

这个选项是wan口不处理RFC 1918的地址，因为是测试环境内外网都使用保留地址。

一、openvpn软件下载

安装包可以在github下载，或者去官网下载：

https://openvpn.net/community-downloads/

二、服务端安装

openvpn软件服务端和客户端都是同一个安装包，本次使用的openvpn安装包为OpenVPN-2.6.0-I005-amd64。

1.安装的时候要选择Customize，勾选openvpn service和EasyRSA3 安装，用于服务端配置和证书生成使用。

安装完毕后提示没有找到可读取的连接配置文件。

不用管，接下来我们生成对应的文件。

2.安装完成后软件默认位置C:\Program Files\OpenVPN目录

三、证书生成

上一步我们已经安装了证书生成工具EasyRSA3，使用此工具即可生成所需证书。

1.进入EasyRSA shell 环境dos窗口

进入C:\Program Files\OpenVPN\easy-rsa目录，双击EasyRSA-Start.bat 进入EasyRSA shell 环境dos窗口中；

我在windows10中测试，这个窗口需要管理员权限执行，不然会报错。

2.初始化证书生成程序

弹出的dos窗口中输入./easyrsa init-pki 初始化证书生成程序，初始化成功后会在C:\Program Files\OpenVPN\easy-rsa目录下新建文件夹kpi，如下图示：

报错界面和正常界面。

3.生成ca证书

在dos窗口中输入./easyrsa build-ca nopass生成无密码CA证书，生成过程中会要求输入证书名称，随意输入即可，本次使用Open_CA作为名称，生成结束后会打印出证书所在目录easy-rsa\pki\ca.crt；

4.生成服务端证书

输入./easyrsa build-server-full server nopass 生成无密码服务端证书,生成后证书文件在C:\Program Files\OpenVPN\easy-rsa\pki\issued文件夹

5.生成客户端证书

输入./easyrsa build-client-full client nopass生成无密码客户端证书,生成后证书在C:\Program Files\OpenVPN\easy-rsa\pki\issued文件夹

6.生成DH密钥交换协议

输入./easyrsa gen-dh生成DH密钥交换协议文件,生成文件在C:\Program Files\OpenVPN\easy-rsa\pki目录下

7.目录C:\Program Files\OpenVPN\easy-rsa\pki\private下为证书key

四、服务器配置

服务端配置文件模板为server.ovpn ，在 C:\Program Files\OpenVPN\sample-config目录下：

1.修改服务端配置文件

复制server.ovpn文件至C:\Program Files\OpenVPN\config目录，修改如下选项：

a)端口：（公网需要对应开通此端口）port udp 1194
b)协议文件名：dh dh2048.pem修改为dh dh.pem
c)运行多用户使用同一客户端证书：;duplicate-cn取消注释（前面;号删除）修改为duplicate-cn
d)注释掉此行(前面加#号): tls-auth ta.key 0修改为#tls-auth ta.key 0

2.证书复制配置

将服务证书，服务key，ca证书，dh文件复制到文件夹C:\Program Files\OpenVPN\config下

3.连接

右键点击任务栏带锁小电脑图标，点击连接，连接成功后会变绿，系统提示分配ip

注：  因为VPN需要通过公网访问，需要在路由器中将udp 1194端口转发到内网服务器所在ip

五、客户端安装

1.安装

双击OpenVPN-2.5.6-I601-amd64.msi，点击Install Now安装客户端，安装完成后目录C:\Program Files\OpenVPN\

2.配置客户端文件

客户端配置文件client.ovpn，模板在C:\Program Files\OpenVPN\sample-config，复制该文件到C:\Program Files\OpenVPN\config目录下，修改客户端配置如下：

a)修改连接服务器地址: remote my-server-1 1194修改为remote 服务器公网ip 1194
b)注释掉此行(前面加#号): tls-auth ta.key 1修改为# tls-auth ta.key 1

3.证书复制

将客户端证书，客户端key，ca证书复制到该目录下C:\Program Files\OpenVPN\config

4.连接

右键点击任务栏带锁小电脑图标，点击连接,连接成功后系统分配ip，小电脑变绿

至此openvpn环境便搭建完成了。

六、客户端安装（Open VPN Connect）

官方推出了另一个形式的客户端，openvpn-connect-3.3.7.

这个是GUI形式的，更加的方便。

安装简单，连接时导入client.ovpn文件即可，注意需要其他三个文件和client.ovpn在一个文件夹下。

扩展资料：

1.tls-auth ta.key 配置为防御 DoS,UDP 淹没等恶意攻击行为的选项，如配置需要生成ta.key证书，生成方式：跳转到openvpn软件的bin目录下，在dos窗口中输入：openvpn.exe --genkey --secret ta.key ，便在bin目录下生成ta.key证书了，复制到配置文件目录即可。

2.证书时间等参数可以在vars文件中设置，设置后重新启动EasyRSA-Start即可加载新配置。

3.;client-to-client为客户端之间是否能之间访问的配置，去掉注释后生效。

以上内容参考：

https://blog.eyyyye.com/article/39

对于更加实用的ethernet bridging本次没有测试。