本文介绍的操作均在CentOS 6.0下完成,关于CentOS下如何安装OpenVPN,参考:CentOS6下如何快速安装OpenVPN,本文介绍OpenVPN使用静态密钥建立VPN的方法,关于使用Mode server方式建立OpenVPN,参考本人以前写的文章: OpenVPN在Linux下的安装[CA] 、OpenVPN使用User/Pass验证登录、OpenVPN在Windows下使用User/Pass验证、Windows 下使用 CA 验证的 OpenVPN Server 的配置方法。大家慢慢参考。
在Linux之间要建立VPN隧道有很多可以选择,如:pptp、IPsec、OpenVPN等等,如果对于加密要求不高,纯粹是为了网络内部互联,使用iptunnel也是不错的,起码效率很高。
=======================
机器配置
A:
外网IP:10.10.10.1
VPNIP:192.168.1.1
B:
外网IP:10.10.20.1
VPNIP:192.168.1.2
=======================
A机器相关配置
1、增加/etc/sysconfig/network-scripts/ifcfg-tun0,其内容为:
DEVICE=tun0 ONBOOT=yes TYPE=IPIP MY_INNER_IPADDR=192.168.1.1 PEER_OUTER_IPADDR=10.10.20.1 MY_OUTER_IPADDR=10.10.10.1 PEER_INNER_IPADDR=192.168.1.2 TTL=64
2、重新启动网络:
/etc/init.d/network restart
3、修改防火墙规则,此处-p后面为ipencap。
iptables -I INPUT -s 10.10.20.1 -p ipencap -j ACCEPT
B机器相关配置
1、增加/etc/sysconfig/network-scripts/ifcfg-tun0,其内容为:
DEVICE=tun0 ONBOOT=yes TYPE=IPIP MY_INNER_IPADDR=192.168.1.2 PEER_OUTER_IPADDR=10.10.10.1 MY_OUTER_IPADDR=10.10.20.1 PEER_INNER_IPADDR=192.168.1.1 TTL=64
2、重新启动网络:
/etc/init.d/network restart
3、修改防火墙规则,此处-p后面为ipencap。
iptables -I INPUT -s 10.10.10.1 -p ipencap -j ACCEPT
之后分别在A、B上ping对方的VPN IP地址,应该可以ping通的。
注意:iptables规则暂时没保存,根据实际情况处理(你懂的),目前只是隧道建立了,具体隧道里面跑哪些数据,如何开启本机的转发功能,参考其他文档(这个你也应该懂的)。
若要防止自动筛选器用于 l2tp/ipsec 通讯创建 l2tp/ipsec 连接的每台基于 Windows 2000 的终结点计算机,您必须添加 ProhibitIpSec 注册表值。当 ProhibitIpSec 注册表值设置为 1 时,基于 Windows 2000 的计算机将不会创建使用 CA 身份验证的自动筛选器。而是,它检查本地或目录的活动 IPSEC 策略。将 ProhibitIpSec 注册表值添加到基于 Windows 2000 的计算机,使用注册表编辑器 (Regedt32.exe) 在注册表中找到以下项:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
将以下注册表值添加到此注册表项:
值名称: ProhibitIpSec
数据类型: REG_DWORD
值: 1
请注意您必须重新启动基于 Windows 2000 的计算机以使更改生效。
首先使用EPEL仓库:
rpm -ivh http://mirror.neu.edu.cn/fedora/epel/5/i386/epel-release-5-4.noarch.rpm
安装xl2tpd程序
yum install xl2tpd
配置xl2tpd程序:
编辑:/etc/xl2tpd/xl2tpd.conf 文件,只剩下如下内容:
[lac vpn-connection]
lns = SERVER的IP地址
ppp debug = yes
pppoptfile = /etc/ppp/options.l2tpd.client
length bit = yes
编辑: /etc/ppp/options.l2tpd.client 文件,只剩下如下内容:
ipcp-accept-local
ipcp-accept-remote
refuse-eap
require-mschap-v2
noccp
noauth
idle 1800
mtu 1410
mru 1410
defaultroute
usepeerdns
debug
lock
connect-delay 5000
name ‘your_vpn_username’
password ‘your_password’
启动VPN:
/etc/rc.d/xl2tpd start
echo “c vpn-connection” > /var/run/xl2tpd/l2tp-control
停止VPN:
/bin/echo “d vpn-connection” > /var/run/xl2tpd/l2tp-control
/etc/rc.d/xl2tpd stop
I am writing this document on how to build a Linux Point to Point Tunneling Protocol (PPTP) server using Poptop. This allows roaming users to connect to their corporate network from anywhere on the Internet securely and inexpensively. It supports Windows 95/98/Me/NT/2000/XP PPTP clients and Linux PPTP clients. The requirements are: -
This list provides the community with an idea of features and functions we are looking to integrate into Vyatta software. This is an evolving list and may be reprioritized at any time by us. If you have comments on the features below or requests for enhancements, please post to Vyatta Users Forum or visit the Top Enhancement Requests page and provide your feedback.VC4 (Glendale) – Delivered Apr-08
* FusionCLI™
* Role-based access control
* Remote VPN
* DHCP Client
* PPPoE
* GRE
* QoS and bandwidth limiting
* WAN Load BalancingVC4.1 (Hollywood) – Delivered Sep-08
* Experimental: Intrusion Prevention (IPS)
* Experimental: Anti-Virus
* Increased support for SNMP MIBs and traps
* ‘copy’ and ‘rename’ CLI commands
* BGP MD5
* ADSL hardware support
* Bug fixes
* Enhanced documentation (High-Availability Reference and Security Reference)Isla Vista (VC5) – Target Dec-08
* Intrusion Prevention (IPS) (First delivered in Hollywood)
* Anti-virus (First delivered in Hollywood)
* OpenVPN
* Web GUI phase 1
* DNS Forwarding
* DynDNS
* Experimental: URL filtering
* Experimental: Web caching
* Experimental: Peer-to-Peer filtering
* Experimental: IPv6 phase 1Jenner – Target 1Q2009
* Ethernet interface bonding
* IPv6 phase 2
* Multicast phase 1Kenwood (VC6?) – Target mid-2009
很高兴看到Vyatta对OpenVPN有兴趣,并且列入了计划中。。。
本文介绍如何用OpenVPN快速实现VPN,为提高效率,数据传输过程不对数据进行加密。
环境:
A机器:
外网IP: 192.168.0.1
虚拟网卡:10.0.0.1
B机器:
外网IP: 192.168.8.1
虚拟网卡:10.0.8.1
A机器配置文件:
local 192.168.0.1
lport 1194
proto tcp-server
remote 192.168.8.1 1194
dev tun0
ifconfig 10.0.0.1 10.0.8.1
B机器配置文件:
local 192.168.8.1
lport 1194
proto tcp-client
remote 192.168.0.1 1194
dev tun0
ifconfig 10.0.8.1 10.0.0.1
试试启动OpenVPN吧,其实A & B的配置文件还可以再简单一些。
环境:
A机器:
外网IP: 192.168.0.1
虚拟网卡:10.0.0.1
B机器:
外网IP: 192.168.8.1
虚拟网卡:10.0.8.1
机器A配置:
/sbin/modprobe ipip
/sbin/iptunnel add tun0 mode ipip local 192.168.0.1 remote 192.168.8.1 ttl 64
/sbin/ifconfig tun0 10.0.0.1 pointopoint 10.0.8.1 netmask 255.255.255.255
机器B配置:
/sbin/modprobe ipip
/sbin/iptunnel add tun0 mode ipip local 192.168.8.1 remote 192.168.0.1 ttl 64
/sbin/ifconfig tun0 10.0.8.1 pointopoint 10.0.0.1 netmask 255.255.255.255
OK,配置完毕,本别在A B上ping 10.0.0.1 & 10.0.8.1试试,看VPN是否工作正常,为了下次机器重新启动后能自动建立VPN,建议将配置写道rc.local中。
PS:主机iptables防火墙配置,增加:
iptables -I INPUT -s 192.168.0.1 -p 47 -j ACCEPT
注意数据在VPN中传输的时候没有经过任何加密处理,如果需要加密,详见本站其他文章。
