|
OpenVPN 簡介
OpenVPN是一個基于OpenSSL庫的應(yīng)用層VPN實(shí)現(xiàn)��。和傳統(tǒng)VPN相比�����,它的優(yōu)點(diǎn)是簡單易用���。
這里簡單介紹一下基于 CA �,采用數(shù)字證書認(rèn)證���,可以劃分多個網(wǎng)段的 OpenVPN 配置方法��。
Note 1: VNN 和 OpenVPN 很像���。
Note 2: 這個東西對于突破內(nèi)網(wǎng)封鎖���,保護(hù)通信自由很有意義����,值得大力推廣��。
安裝 OpenVPN
◆Linux 下的安裝
首先���,Kernel 必須支持 TUN/TAP 設(shè)備。在 2.6.x 內(nèi)核中�,對應(yīng)的 Kernel 選項(xiàng)是 “Universal TUN/TAP device driver support”。
確認(rèn) Kernel 支持 TUN/TAP 后�����,可以下載 OpenVPN 編譯并安裝����。這一步很 easy,不多說了���。
◆Windows 下的安裝
從 http://www.openvpn.se (http://www.openvpn.se/) 下載安裝包安裝�����,這里的安裝包帶一個 Client GUI 工具���,很好用�����。
配置 OpenVPN
◆配置 OpenVPN Server
只說明在 Linux 下的配置����。Windows 類似�。創(chuàng)建 /etc/vpn/server.conf,內(nèi)容如下:
port 1494proto udpdev tunca ca.crtcert server.crtkey server. keydh dh1024.pemserver 10.1.0.0 255.255.255.0push "route 10.1.0.0 255.255.255.0"push "route 10.1.1.0 255.255.255.0" client-config-dir /etc/vpn/ccdroute 10.1.1.0 255.255.255.0client-to-clientkeepalive 10 120user nobodygroup nobodypersist-keypersist-tunlog-append openvpn.logverb 3
|
其中 ca.crt, server.key,server.crt 可以用以前貼出的 ca 工具創(chuàng)建���,dh1024.pem 用 OpenVPN 自帶的工具創(chuàng)建�。
這個配置文件創(chuàng)建了兩個網(wǎng)段:10.1.0.* 和 10.1.1.*��,VPN 服務(wù)器將從這兩個網(wǎng)段中給 Client 分配 IP 地址��。VPN Server 自身 IP 將是 10.0.0.1����。
“client-config-dir”指明 Client 的專有配置文件目錄。在這個目錄下可以針對特定用戶建立配置文件���。例如��,要為用戶 abc 指定一個 IP 地址(如10.1.1.5)而不是讓 VPN Server 自動分配��,可以在配置目錄/etc/vpn/ccd下建立一個 abc 文件�����,內(nèi)容如下:
ifconfig-push 10.1.1.5 10.1.1.6
|
那么 VPN Server 就會自動給 abc 用戶分配 10.1.1.5 這個地址���。注意第一個IP地址 的最后一個數(shù)字(這里是 5)必須是 4*n + 1 的數(shù)。
問題是�����,VPN Server 怎么知道哪個用戶是 abc 呢�?它是 Client 數(shù)字證書中的 Common Name 域來判斷的。就是說��,在連接協(xié)商時如果 Client 端數(shù)字證書的 Common Name 是 abc�,那么 VPN Server 就找配置目錄下 abc 這個文件。
◆配置 OpenVPN Client
在 Client 機(jī)器上 OpenVPN 安裝目錄的 config 目錄下建立如下 client.ovpn 文件:
clientdev tunproto udpremote vpn_server_ip 1494 ca ca.crtcryptoapicert "SUBJ:
abc"nobindpersist-keypersist-tunverb 2
|
修改 remote 一行填上對應(yīng) VPN Server 的 IP 和 端口�。ca.crt 和服務(wù)端 ca.crt 一樣,必須把這個 ca.crt 也放在 config 目錄下�����。
關(guān)鍵是 cryptoapicert "SUBJ: abc" 這行。這一行指定客戶端的數(shù)字證書從 Windows 證書 Store 里取���。在 IE 的“選項(xiàng) -> 內(nèi)容 -> 證書”頁面能看到你的個人數(shù)字證書�。
SUBJ:abc 指明選擇證書主題中含有 abc 的證書����。客戶端數(shù)字證書也可以用以前貼的 ca 工具生成���,如果要給用戶 abc 簽發(fā)數(shù)字證書���,只用指明 Common Name 是 abc 即可,然后把生成的 abc.p12 傳給 abc 用戶并告訴導(dǎo)入口令�。abc 導(dǎo)入這個數(shù)字證書后,VPN Client 就可以工作了��。
啟動 OpenVPN
◆服務(wù)端啟動
在 /etc/vpn 目錄下����,執(zhí)行:
openvpn --daemon --config server.conf
|
◆客戶端啟動
OpenVPN 帶一個 GUI 小工具,會裝在系統(tǒng)托盤里。點(diǎn)菜單里的 connect 即可��。
常見問題
無法得到 IP 地址
通常是因?yàn)?DHCP Client 服務(wù)沒有啟動��。在服務(wù)管理里啟動即可�。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)�����!虛擬主機(jī)域名注冊頂級提供商��!15年品質(zhì)保障�����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
