centos环境下搭建一般企业用open***服务要点和注意事项

centos环境下搭建一般企业用open***服务要点和注意事项

勾勒一下公司的自然环境，电信网ISP接入国内山石网络事业部服务器防火墙，公网IP为58.x.x.x服务器防火墙向华为三层交换机传输数据(重点)。服务器防火墙的内网套接字IP为192.168.199.254，三层交换机的管理方法IP为192.168.199.1，属于同一个vlan。其他下连二层交换机管理方式的详细地址为192.168.199.2-20。

服务器属于vlan201，open***这个服务器安装的是centos5.8版本号5.8，这个设备的IP地址是192.168.201.166。

其他子网，如vlan207，连接到财务部门。

安装过程概述:

1.安装centos5.8，最低安装就够了。

2.清除iptables设备并保存重新启动iptables服务项目以进行安装后设置。(注意，不必马上关闭iptables服务，有问题我们以后再说。)

#iptables-tNAT-F

#iptables-F
#服务iptables保存
#服务iptables重新启动

3.关闭selinux，存储/安装数据同步服务ntp，执行相同的过程。一定要做到，不然你承担不了问题。

4.根据相关示例教程一步步安装open***的服务器端。你可以用wget免费下载或者打包到其他地方。下载后可以用winscp等手机软件导入到服务器的相关文件目录下安装。

——安装相关环境包opensslopenssl-develgcc等。

——安装lzo安装包

——安装打开的***包。

5.配备服务器端

——修改生成的CA的详细信息，即修改安装文件目录中vars脚本编写中的详细地址特征等信息内容并 *** 作。

-重置密钥文件目录，即清除密钥文件目录下的非原始文件。

——ca资格证书的生成

——生成DH文件(密钥交换协议)

-生成服务器server的密钥和资格证书。

——生成手机客户端的密钥和资质证书(根据用户数量生成)

-更改服务器环境变量(首先将服务器配置示例从示例文件夹名复制到etc文件目录)

主要变化如下:

a、proto选项可以使用UDP或者TCP，但是其他地区的相关设备要匹配。

B.cacert密钥的前三行必须填写生成的文档的详细路径。

c，dh第一行同上。

D.server10.8.0.0255.255.255.0这一行是***拨入后服务器分配给手机客户端的虚拟ip的详细地址。

我设置为10.11.0.0255.255.255.0。

e、其他通用默认设置，相关设置请参考示例教程。

f，还有一些扩展选项，比如手机客户端具体DNS服务器的详细地址。

——推送“DHCP-选项DNSx.x.x.x”

-客户端到客户端是不同的。远程服务器可以互相访问，但是不移动就不能互相访问。

——设置日志存储的详细地址等。

——将一些浏览特殊子网的路由器推送到远程服务器消息。这些

——并且针对特殊手机客户端或人群的具体IP地址可以根据client-config-dir项进行设置，实际设置可以单独查看。

6.打开服务器共享IP数据包。

#vi/etc/sysctl.conf

#net.ipv4.ip_forward=1

#sysctl-p

可以使用以下命令查询共享cat/proc/sys/net/IPv4/IP_forward是否打开，显示消息1表示OK。

7.启动开放***服务项目

使用以下指令(从server.conf)/usr/local/sbin/open***-config/etc/server.conf&

安装或调整全过程时，重启open***服务。如果不知道如何重启，可以使用killallopen***命令。

然后可以再次 *** 作上面的启动命令。

当您看到“初始化序列完成”字样时，表示启动成功。

下面的指令可以用于认证，也就是检查1194#lsof-i:1194的端口号的情况。

在服务器安装后安装移动客户端:

1.一般可以双击windows下鼠标手机客户端安装包的默认设置。

2.使用winscp复制各种ca，服务器，。crt和。服务器生成的密钥文件，并将它们放在移动客户端安装文件目录的config文件夹中。注意不同客户端的资格证和钥匙匹配不同的手机客户端。

3.将服务器安装文件目录中的client.conf环境变量复制到远程服务器的config文件目录中，并修改后缀。o***

4.右键单击右下角的徽标，并选择editconfig以更改移动客户端的环境变量。

一般来说:

Client#表示这是一个移动电话客户端环境变量。

Devtun#这个就像服务器一样。

远程58.x.x.x#的ip应改为开放的×××XXX服务器外网地址的ip详细地址。

caca.crt

证书客户端1.crt

client1.key#的前三行必须与服务器端自己生成的密钥资格证书和config文件夹下的文件夹名一致。

Comp-lzo#打开lzo以减少

redirect-gatewaydef1#手机客户端获取的***详细地址是服务器默认设置的，服务端推送“redirect-gatewaydef1”也是如此，如果此项不变。

默认情况下设置的动词3#日志级别

ns-cert-typeserver#校准方法与服务器的校准方法相同。如果服务器打开ddos***密钥，客户需要这个项目。

构建服务器并设置远程服务器后，必须调整整体网络配置。

1.手机客户端根据58.x.x.x的详细地址从外网地址拨入并浏览内网

所以需要在企业服务器防火墙上打开这个企业公网地址到内网open***服务器的地址映射。

使用源nat，端口号自然是1194，协议必须匹配TCP(或者UDP，取决于服务器设置)。

立项后，服务器防火墙对策默认设置为封堵，必须打开对策，允许外网地址的详细地址根据这个公网地址所属的套接字进入浏览内网的服务器子网。

2.这个时候我们还是无法成功拨号。由于服务器上的iptables仍然是打开的，所以大家要尽量先关闭iptables服务，即服务器上的数据文件共享畅通无阻。

此时拨号一般是成功的，但是远程服务器只有虚拟ip子网10.11.0.0端和服务器所在的网段192.168.201.166(这表示服务器共享功能有效)，但是其他服务器或者其他子网的服务器在这个虚拟网段没有路由器，尤其是在子网都是vlan分区的网关IP城域三层交换机上，所以三层交换机增加了静态。

实际上是往返路由ip路由——静态10.11.0.0255.255.255.0192.168.201.166。其他子网也应该能够浏览。

但此时无法浏览服务器防火墙的内网地址192.168.199.254。是因为服务器防火墙有多个socket作为公司入口和出口的网关ip，其默认路由偏向外网地址，但不偏向虚拟网段10.11.0.0的路由器，默认路由偏向外网地址(内网其他服务器默认网关偏向三层交换机的vlansocketIP，所以可以，所以增加一个下一跳为192.168.199.1的目的路由器就可以了

上述方法的一些问题是，像服务器防火墙这样的默认路由在汇聚交换机上没有本地路由器，XXX服务器关闭iptables是不安全的。

另外，方法是打开iptables服务项，但是打开iptables中的nat服务项来NAT10.11.0.0子网的数据信息，标准的开放是按照端口号1194允许这种共享，也就是安全，服务器防火墙不需要设置本地回程路由。

设置nat共享:
#Iptables-tNAT-aposting-s10.11.0.0/24-oeth0-j假面舞会
设置开放**端口号根据:
#Iptables-aINPUT-pTCP-dport1194-jACCEPT
#Iptables-aINPUT-mstate-stateestablished，RELATED-jACCEPT
Iptables:
注意:此处输入对策实施后立即生效，

检测ping，打开所有服务项目，显示物理线路就好了。