免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
楼主: wenzk

[vpn] [原创]用OpenVPN构建安全VPN [OpenVPN + CA] [复制链接]

论坛徽章:
0
发表于 2005-03-03 10:59 |显示全部楼层

[原创]用OpenVPN构建安全VPN [OpenVPN + CA]

原帖由 "wheel" 发表:
到现在为止,一切准备就绪,下面开始写配置文件,为了缩小篇幅,把原有注释都去掉了。
Server使用的配置文件server.conf
请问
server.conf放在那?/etc/openvpn/easy-rsa/server.conf
还是/etc/openvpn


verb 3
--------------Cut Here-----------------
把server.conf文件保存到/etc/opennvpn目录中,并把使用easy-rsa下的脚本什成的key都复制到/etc/openvpn目录下,命令如下:
#cd /etc/openvpn
#cp easy-rsa/keys/ca.crt .
#cp easy-rsa/keys/server.crt .
#cp easy-rsa/keys/server.key .
#cp easy-rsa/keys/dh1024.pem .
#cp easy-rsa/keys/ta.key .
#cp easy-rsa/keys/vpncrl.pem .

论坛徽章:
0
发表于 2005-03-03 11:02 |显示全部楼层

[原创]用OpenVPN构建安全VPN [OpenVPN + CA]

原帖由 "wheel" 发表:
我是问是直接打
./build-dh #TLS server吗?
还是 ./build-dh回车
TLS serve 回车


shell下一行命令"#"后头是注释,不执行的

论坛徽章:
0
发表于 2005-03-03 11:20 |显示全部楼层

[原创]用OpenVPN构建安全VPN [OpenVPN + CA]

server 10.8.0.0 255.255.255.0 #等效于以上命令
#用于记录某个Client获得的IP地址,类似于dhcpd.lease文件,
#防止openvpn重新启动后“忘记”Client曾经使用过的IP地址
这10.8.0.0应该改成我的内网网段把?

论坛徽章:
0
发表于 2005-03-03 12:12 |显示全部楼层

[原创]用OpenVPN构建安全VPN [OpenVPN + CA]

原帖由 "wheel" 发表:
server 10.8.0.0 255.255.255.0 #等效于以上命令
#用于记录某个Client获得的IP地址,类似于dhcpd.lease文件,
#防止openvpn重新启动后“忘记”Client曾经使用过的IP地址
这10.8.0.0应该改成我的内网网段把?


server后面写的IP地址是你VPN接入后的使用的IP地址

记得在看OpenVPN的文档的时候,有一个人用一句非常形象的话说了一下VPN是什么样的东西,一根很长的、且安全的电缆从你的机器连接到VPN对端机器。

对于这对电缆两端的网卡也必需有地址,server后面的地址就是为这些“网卡”用的

论坛徽章:
0
发表于 2005-03-03 14:14 |显示全部楼层

[原创]用OpenVPN构建安全VPN [OpenVPN + CA]

sudo /etc/init.d/openvpn start
Starting openvpn:                                          [  确定  ]
[root@cqs openvpn]# ifconfig

tap0      Link encap:Ethernet  HWaddr 00:FF:ED:56:C3:B5
          inet addr:10.8.0.1  Bcast:10.8.0.255  Mask:255.255.255.0
          inet6 addr: fe80::2ff:edff:fe56:c3b5/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 b)  TX bytes:238 (238.0 b)
为啥还没配客户端就有tap0 了?
如果
使用iptables命令
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth1 -j SNAT --to-source 192.168.1.2
那别人不是只要设ip为10.8.0.2 就可以连上来了?CA有啥用那?

论坛徽章:
0
发表于 2005-03-03 15:14 |显示全部楼层

[原创]用OpenVPN构建安全VPN [OpenVPN + CA]

# easy-rsa/build-key生成的key pair文件,上面生成key部分中有提到,不同客户使用不同的keys修改以下两行配置并使用他们的keys即可。
cert elm.crt
key elm.key

/etc/openvpn/easy-rsa/keys下的文件吗?

论坛徽章:
0
发表于 2005-03-03 15:56 |显示全部楼层

[原创]用OpenVPN构建安全VPN [OpenVPN + CA]

在客户端
ls /etc/openvpn/
ca.crt  client.conf  elm.crt  elm.key  ta.key
对吗?
客户端有了这文件是否可以直接
/etc/rc.d/init.d/openvpn start

论坛徽章:
0
发表于 2005-03-03 16:27 |显示全部楼层

[原创]用OpenVPN构建安全VPN [OpenVPN + CA]

客户端
/etc/rc.d/init.d/openvpn start
Starting openvpn:                                          [失败]
请问如何联系你?
我的server的ip是200.200.199.254和192.168.1.72
客户端是192.168.1.146
cat /etc/openvpn/client.conf
#指定接口的类型,严格和Server端一致
dev tap
;dev tun

# Windows needs the TAP-Win32 adapter name
# from the Network Connections panel
# if you have more than one. On XP SP2,
# you may need to disable the firewall
# for the TAP adapter.
;dev-node MyTap

# 使用的协议,与Server严格一致
;proto tcp
proto udp

#设置Server的IP地址和端口,如果有多台机器做负载均衡,可以多次出现remote关键字

remote 192.168.1.72 1194
;remote my-server-2 1194

# 随机选择一个Server连接,否则按照顺序从上到下依次连接
;remote-random

# 始终重新解析Server的IP地址(如果remote后面跟的是域名),
# 保证Server IP地址是动态的使用DDNS动态更新DNS后,Client在自动重新连接时重新解析Server的IP地址
# 这样无需人为重新启动,即可重新接入VPN
;resolv-retry infinite

# 在本机不邦定任何端口监听incoming数据,Client无需此操作,除非一对一的VPN有必要
nobind

# 运行openvpn用户的身份,旧版本在win下需要把这两行注释掉,新版本无需此操作
user nobody
group nobody

#在Client端增加路由,使得所有访问内网的流量都经过VPN出去
#当然也可以在Server的配置文件里头设置,Server配置里头使用的命令是
# push "route 192.168.0.0 255.255.255.0"
route 200.200.199.0 255.255.0.0

# 和Server配置上的功能一样
persist-key
;persist-tun

# 如果你使用HTTP代理连接VPN Server,把Proxy的IP地址和端口写到下面
# 如果代理需要验证,使用http-proxy server port [authfile] [auth-method]
# 其中authfile是一个2行的文本文件,用户名和密码各占一行,auth-method可以省略,详细信息查看Manual
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]

# 对于无线设备使用VPN的配置,看看就明白了
# Wireless networks often produce a lot
# of duplicate packets. Set this flag
# to silence duplicate packet warnings.
;mute-replay-warnings

# Root CA 文件的文件名,用于验证Server CA证书合法性,通过easy-rsa/build-ca生成的ca.crt,和Server配置里的ca.crt是同一个文件
ca ca.crt
# easy-rsa/build-key生成的key pair文件,上面生成key部分中有提到,不同客户使用不同的keys修改以下两行配置并使用他们的keys即可。
cert elm.crt
key elm.key

# Server使用build-key-server脚本什成的,在x509 v3扩展中加入了ns-cert-type选项
# 防止VPN client使用他们的keys + DNS hack欺骗vpn client连接他们假冒的VPN Server
# 因为他们的CA里没有这个扩展
ns-cert-type server

# 和Server配置里一致,ta.key也一致,注意最后参数使用的是1
tls-auth ta.key 1

# 压缩选项,和Server严格一致
comp-lzo

# Set log file verbosity.
verb 4
[root@localhost ~]#

论坛徽章:
0
发表于 2005-03-03 16:45 |显示全部楼层

[原创]用OpenVPN构建安全VPN [OpenVPN + CA]

server.conf在那里啊.

论坛徽章:
0
发表于 2005-03-03 16:52 |显示全部楼层

[原创]用OpenVPN构建安全VPN [OpenVPN + CA]

原帖由 "wheel"] openvpn 发表:
# ifconfig

tap0      Link encap:Ethernet  HWaddr 00:FF:ED:56:C3:B5
          inet addr:10.8.0.1  Bcast:10.8.0.255  Mask:255.255.255.0
          inet6 addr: fe80::2ff:edff:fe56:c3b5/64 Sc..........


在server模式下工作,只要openvpn启动起来了,网卡就起来了

tap0网卡的所有数据是通过VPN那个通道出去的,如果你的VPN连接没有成功,你设置网卡的IP地址是没有用的

CA是用来验证身份和加密传输的,如果你的CA和keys不对,VPN没有办法连接成功,VPN通道不能建立
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

SACC2019中国系统架构师大会

【数字转型 架构演进】SACC2019中国系统架构师大会,8.5折限时优惠重磅来袭!
2019年10月31日~11月2日第11届中国系统架构师大会(SACC2019)将在北京隆重召开。四大主线并行的演讲模式,1个主会场、20个技术专场、超千人参与的会议规模,100+来自互联网、金融、制造业、电商等领域的嘉宾阵容,将为广大参会者提供一场最具价值的技术交流盛会。

限时8.5折扣期:2019年9月30日前


----------------------------------------

大会官网>>
  

北京盛拓优讯信息技术有限公司. 版权所有 16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122
中国互联网协会会员  联系我们:huangweiwei@it168.com
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP