相信大家都知道，OpenVPN是很灵活的一个OpenVPN程序，可以在各种网络环境下工作，如：NAT、代理等，甚至可以使用OpenVPN over SSH tunnel来建立VPN连接，但是，目前互联网上介绍的大部分文章重点都在介绍，如果搭建VPN服务，如果OpenVPN服务器在防火墙（或NAT）的后面，都必须通过端口映射来实现VPN连接的建立，如果VPN的双方都在NAT后面，那必须通过第三方的一台VPN server建立连接，那是否有例外呢？请继续往下看。

我们知道，公司（企业）的防火墙都是掌握在公司网管手中的，如果要网管帮你做个端口映射，有可能比登天还难（除非网管是你哥们），如果网管不帮你做端口映射，是否就无法建立VPN连接呢，请大家移步至：单IP做NAT支持的最大连接数问题，仔细观察文中提到的2个例子，从例子中不难看出，Linux（其他的路由器是否这样，有待验证）在做NAT的时候，尽量保证源端口（不要用1024以下的端口）不变，利用NAT的这个特性和UDP没有建立连接过程这个特性，就可以实现NAT后面两台机器无需端口映射建立VPN连接。

本文首发：榆树网 http://www.wenzk.com/
作者： 温占考 wzk AT wenzk DOT net
转载请注明出处，谢谢
=======================================
环境：

A服务器：
内网IP：192.168.0.1
公网IP：202.96.1.1
VPN IP：192.168.254.1

B服务器：
内网IP：192.168.1.1
公网IP：202.97.1.1
VPN IP：192.168.254.2
======================================

1、生成共享密钥，在A或B机器均可，生成后两台机器使用同一个密钥。

openvpn --genkey --secret secret.key

2、生成A机器配置文件，文件/etc/openvpn/test.conf文件内容为：

dev tun
proto udp
lport 1194
remote 202.97.1.1 1194
ifconfig 192.168.254.1 192.168.254.2
keepalive 10 60
ping-timer-rem
persist-key
persist-tun
secret secret.key
comp-lzo
verb 3

3、生成B机器配置文件，文件/etc/openvpn/test.conf文件内容为：

dev tun
proto udp
lport 1194
remote 202.96.1.1 1194
ifconfig 192.168.254.2 192.168.254.1
keepalive 10 60
ping-timer-rem
persist-key
persist-tun
secret secret.key
comp-lzo
verb 3

4、分别在A、B机器启动OpenVPN服务

/etc/init.d/openvpn start

5、测试OpenVPN连接，通过ifconfig检查tun设备是否启动，ping VPN对端地址是否可达。

注意：
1、如果公司公网地址为动态地址，可以通过动态域名，只需将配置文件中的对方服务器IP地址换成域名即可。
2、A、B所使用的本地端口最好完全一致，否则必须保证A机器配置的lport与B机器配置的remote后面的端口一致，及B机器配置的lport与A机器配置的remote后面的端口一致。
3、如果公司的NAT修改源IP的同时也修改源端口，此方法可能不work了。
4、欢迎反馈可行的路由器型号，Linux iptables本人已验证。

DEVICE=tun0
ONBOOT=yes
TYPE=IPIP
MY_INNER_IPADDR=192.168.1.1
PEER_OUTER_IPADDR=10.10.20.1
MY_OUTER_IPADDR=10.10.10.1
PEER_INNER_IPADDR=192.168.1.2
TTL=64

2、重新启动网络：
/etc/init.d/network restart
3、修改防火墙规则，此处-p后面为ipencap。
iptables -I INPUT -s 10.10.20.1 -p ipencap -j ACCEPT

B机器相关配置
1、增加/etc/sysconfig/network-scripts/ifcfg-tun0，其内容为：

DEVICE=tun0
ONBOOT=yes
TYPE=IPIP
MY_INNER_IPADDR=192.168.1.2
PEER_OUTER_IPADDR=10.10.10.1
MY_OUTER_IPADDR=10.10.20.1
PEER_INNER_IPADDR=192.168.1.1
TTL=64

2、重新启动网络：
/etc/init.d/network restart
3、修改防火墙规则，此处-p后面为ipencap。
iptables -I INPUT -s 10.10.10.1 -p ipencap -j ACCEPT

之后分别在A、B上ping对方的VPN IP地址，应该可以ping通的。

注意：iptables规则暂时没保存，根据实际情况处理（你懂的），目前只是隧道建立了，具体隧道里面跑哪些数据，如何开启本机的转发功能，参考其他文档（这个你也应该懂的）。

值名称： ProhibitIpSec
数据类型： REG_DWORD
值： 1

请注意您必须重新启动基于 Windows 2000 的计算机以使更改生效。

配置xl2tpd程序：

编辑：/etc/xl2tpd/xl2tpd.conf 文件，只剩下如下内容：
[lac vpn-connection]
lns = SERVER的IP地址
ppp debug = yes
pppoptfile = /etc/ppp/options.l2tpd.client
length bit = yes

编辑： /etc/ppp/options.l2tpd.client 文件，只剩下如下内容：
ipcp-accept-local
ipcp-accept-remote
refuse-eap
require-mschap-v2
noccp
noauth
idle 1800
mtu 1410
mru 1410
defaultroute
usepeerdns
debug
lock
connect-delay 5000
name ‘your_vpn_username’
password ‘your_password’

启动VPN：
/etc/rc.d/xl2tpd start
echo “c vpn-connection” > /var/run/xl2tpd/l2tp-control

停止VPN：
/bin/echo “d vpn-connection” > /var/run/xl2tpd/l2tp-control
/etc/rc.d/xl2tpd stop

CentOS 5
kernel-2.6.18-8.el5
ppp-2.4.4-1.el5

Kernel version 2.6.15 or above has MPPE built-in which is required for MSCHAPv2. CentOS 5 kernel version is 2.6.18 that means you do not need to install the MPPE module. CentOS 5 comes with ppp-2.4.4-1.el5 and it is MPPE support enabled.

1. Run the command below to test if your kernel supports MPPE and you should get a return an “ok”: -

modprobe ppp-compress-18 && echo ok

2. Download the RPM file pptpd-1.3.4-1.rhel5.1.i386.rpm from: -

http://poptop.sourceforge.net/yum/stable/packages/

3. Install the RPM by running this command: -

rpm -ivh pptpd-1.3.4-1.rhel5.1.i386.rpm

4. Change the following file /etc/ppp/options.pptpd as below: -

name pptpd
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
proxyarp
lock
nobsdcomp
novj
novjccomp
nologfd

5. Change the following file /etc/pptpd.conf as below: -

option /etc/ppp/options.pptpd
logwtmp
localip 192.168.2.1
remoteip 192.168.2.11-15

6. Add the following username (johndie) and password (passwrd) in /etc/ppp/chap-secrets as below: -

# Secrets for authentication using CHAP
# client server secret IP addresses
johndoe pptpd passwrd *

7. Run the following command to enable the pptpd to start automatically in runlevel 3 and 5 as below: -

chkconfig --level 35 pptpd on

8. Now, you can start the pptpd service as below: -

service pptpd start

9. For pptpd to work, the packet forwarding must be enabled. Edit /etc/sysctl.conf and change the line to below: -

net.ipv4.ip_forward = 1

10. To enable it immediately, run the following command below: -

sysctl -p

From: http://wingloon.com/2007/11/06/pptp-server-installation-in-centos-5/

This list provides the community with an idea of features and functions we are looking to integrate into Vyatta software. This is an evolving list and may be reprioritized at any time by us. If you have comments on the features below or requests for enhancements, please post to Vyatta Users Forum or visit the Top Enhancement Requests page and provide your feedback.

VC4 (Glendale) – Delivered Apr-08

* FusionCLI™
* Role-based access control
* Remote VPN
* DHCP Client
* PPPoE
* GRE
* QoS and bandwidth limiting
* WAN Load Balancing

VC4.1 (Hollywood) – Delivered Sep-08

* Experimental: Intrusion Prevention (IPS)
* Experimental: Anti-Virus
* Increased support for SNMP MIBs and traps
* ‘copy’ and ‘rename’ CLI commands
* BGP MD5
* ADSL hardware support
* Bug fixes
* Enhanced documentation (High-Availability Reference and Security Reference)

Isla Vista (VC5) – Target Dec-08

* Intrusion Prevention (IPS) (First delivered in Hollywood)
* Anti-virus (First delivered in Hollywood)
* OpenVPN
* Web GUI phase 1
* DNS Forwarding
* DynDNS
* Experimental: URL filtering
* Experimental: Web caching
* Experimental: Peer-to-Peer filtering
* Experimental: IPv6 phase 1

Jenner – Target 1Q2009

* Ethernet interface bonding
* IPv6 phase 2
* Multicast phase 1

Kenwood (VC6?) – Target mid-2009

很高兴看到Vyatta对OpenVPN有兴趣，并且列入了计划中。。。

环境：

A机器：
外网IP： 192.168.0.1
虚拟网卡：10.0.0.1

B机器：
外网IP： 192.168.8.1
虚拟网卡：10.0.8.1

A机器配置文件：

local 192.168.0.1
lport 1194
proto tcp-server
remote 192.168.8.1 1194
dev tun0
ifconfig 10.0.0.1 10.0.8.1

B机器配置文件：

local 192.168.8.1
lport 1194
proto tcp-client
remote 192.168.0.1 1194
dev tun0
ifconfig 10.0.8.1 10.0.0.1

试试启动OpenVPN吧，其实A & B的配置文件还可以再简单一些。

A机器：
外网IP： 192.168.0.1
虚拟网卡：10.0.0.1

B机器：
外网IP： 192.168.8.1
虚拟网卡：10.0.8.1

机器A配置：

/sbin/modprobe ipip
/sbin/iptunnel add tun0 mode ipip local 192.168.0.1 remote 192.168.8.1 ttl 64
/sbin/ifconfig tun0 10.0.0.1 pointopoint 10.0.8.1 netmask 255.255.255.255

机器B配置：

/sbin/modprobe ipip
/sbin/iptunnel add tun0 mode ipip local 192.168.8.1 remote 192.168.0.1 ttl 64
/sbin/ifconfig tun0 10.0.8.1 pointopoint 10.0.0.1 netmask 255.255.255.255

OK，配置完毕，本别在A B上ping 10.0.0.1 & 10.0.8.1试试，看VPN是否工作正常，为了下次机器重新启动后能自动建立VPN，建议将配置写道rc.local中。

PS：主机iptables防火墙配置，增加：
iptables -I INPUT -s 192.168.0.1 -p 47 -j ACCEPT
注意数据在VPN中传输的时候没有经过任何加密处理，如果需要加密，详见本站其他文章。