在ECS Centos7上，安装配置OpenVPN。

　　1.安装openvpn

　　yum install -y openvpn

　　yum install -y easy-rsa

　　2.配置openvpn

　　拷贝配置文件

　　cp /usr/share/doc/openvpn-*/sample/sample-config-files/server.conf /etc/openvpn

　　编辑配置文件

　　vim /etc/openvpn/server.conf

　　主要修改以下几个配置，把前边的分号注释去掉，其中DNS配置项，修改为阿里公共DNS地址。

　　dh dh2048.pem

　　server 192.168.1.0 255.255.255.0 #vpn的内网地址段

　　push "redirect-gateway def1 bypass-dhcp"

　　push "dhcp-option DNS 223.5.5.5"

　　push "dhcp-option DNS 223.6.6.6"

　　user nobody

　　group nobody

　　3.配置证书文件

　　mkdir -p /etc/openvpn/easy-rsa/keys

　　cp -a /usr/share/easy-rsa/2.0/* /etc/openvpn/easy-rsa/

　　vi /etc/openvpn/easy-rsa/vars

　　修改以下配置的内容，自定义设置各项值即可。

　　export KEY_COUNTRY="CN"

　　export KEY_PROVINCE="CA"

　　export KEY_CITY="Bei Jing"

　　export KEY_ORG="Fort-Funston"

　　export KEY_EMAIL="vpm@host.com"

　　export KEY_OU="test"

　　export KEY_NAME="vpnserver"

　　export KEY_CN="openvpn" 这行配置，前边默认的“#”号注释去掉。

　　cp /etc/openvpn/easy-rsa/openssl-1.0.0.cnf /etc/openvpn/easy-rsa/openssl.cnf

　　cd /etc/openvpn/easy-rsa

　　source ./vars

　　./clean-all

　　./build-ca #执行命令后，按回车键，一直到结束。

　　./build-key-server server #按回车键进行，在提示输入密码的地方，设置一个密码，最后输入两次“y”回车

　　./build-dh #创建秘钥文件，等待命令执行完。

　　ls /etc/openvpn/easy-rsa/keys/ #可看到，目录中已经创建好了证书文件。

　　cd /etc/openvpn/easy-rsa/keys

　　cp dh2048.pem ca.crt server.crt server.key /etc/openvpn

　　cd /etc/openvpn/easy-rsa

　　./build-key client #创建客户端证书文件，按回车进行，提示输入密码的地方，输入之前设置的证书密码。

　　ls /etc/openvpn/easy-rsa/keys/ #可看到，生成了客户端的证书文件

　　4.设置iptables、路由转发。

　　yum install -y iptables-services

　　systemctl enable iptables

　　systemctl stop firewalld #关闭Centos7默认的 firewall防火墙

　　systemctl start iptables #启动iptables

　　iptables -F #清空默认的iptables规则

　　设置iptables NAT转发规则

　　iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE

　　service iptables save #保存防火墙规则

　　echo 1 > /proc/sys/net/ipv4/ip_forward #临时开启路由转发

　　vi /etc/sysctl.conf #编辑配置文件，添加以下配置，设置永久路由转发

　　net.ipv4.ip_forward = 1

　　5.启动openvpn

　　systemctl -f enable openvpn@server.service #设置启动文件

　　systemctl start openvpn@server.service #启动openvpn的命令

　　6.服务器安装配置好openvpn后，在本地Windows电脑上，通过openvpn客户端连接vpn。

　　把服务器上的三个客户端证书文件，下载到本地电脑配置vpn客户端。

　　/etc/openvpn/easy-rsa/keys/ca.crt

　　/etc/openvpn/easy-rsa/keys/client.crt

　　/etc/openvpn/easy-rsa/keys/client.key

　　安装好openvpn客户端软件后，把证书文件，存放到openvpn安装目录的config文件夹下。

　　从sample-config文件夹下，拷贝客户端的配置文件client.ovpn 到config文件夹下。

　　编辑config文件夹下的配置文件client.ovpn，修改remote my-server-1 1194 这行配置，指定openvpn服务器的ip地址。

　　配置好后，点击openvpn的客户端图标，连接vpn。

　　openvpn的图标显示绿色后，表示已经连接上vpn了。

　　然后在本地电脑进行测试，连接vpn后，可访问ECS服务器的内网，通过ECS服务器连接公网。

　　本地电脑用浏览器上网，显示的ECS服务器的公网ip。