首页 > > 操作系统 > FreeBSD >

OpenVPN在Linux下的安装配置和使用

2009-05-13 04:13:29来源:未知 阅读 ()

新老客户大回馈,云服务器低至5折

简介
  OpenVPN是一个基于OpenSSL库的应用层VPN实现。和传统VPN相比,它的优点是简单易用。
  这里简单介绍一下基于 CA ,采用数字证书认证,可以划分多个网段的 OpenVPN 配置方法。
  Note 1: VNN 和 OpenVPN 很像。
  Note 2: 这个东西对于突破国内网络封锁,保护通信自由很有意义,值得大力推广。
  安装 OpenVPN

  Linux 下的安装
  
  首先,Kernel 必须支持 TUN/TAP 设备。在 2.6.x 内核中,对应的 Kernel 选项是 “Universal TUN/TAP device driver support”。
  确认 Kernel 支持 TUN/TAP 后,可以下载 OpenVPN 编译并安装。这一步很 easy,不多说了。
  Windows 下的安装
  从 http://www.openvpn.se (http://www.openvpn.se/) 下载安装包安装,这里的安装包带一个 Client GUI 工具,很好用。
  配置 OpenVPN

  配置 OpenVPN Server
  只说明在 Linux 下的配置。Windows 类似。创建 /etc/vpn/server.conf,内容如下:
port 1494
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
server 10.1.0.0 255.255.255.0
push "route 10.1.0.0 255.255.255.0"
push "route 10.1.1.0 255.255.255.0"
client-config-dir /etc/vpn/ccd
route 10.1.1.0 255.255.255.0
client-to-client
keepalive 10 120
user nobody
group nobody
persist-key
persist-tun
log-append openvpn.log
verb 3
  其中 ca.crt, server.key,server.crt 可以用以前贴出的 ca 工具创建,dh1024.pem 用 OpenVPN 自带的工具创建。
  这个配置文件创建了两个网段:10.1.0.* 和 10.1.1.*,VPN 服务器将从这两个网段中给 Client 分配 IP 地址。VPN Server 自身 IP 将是 10.0.0.1。
  “client-config-dir”指明 Client 的专有配置文件目录。在这个目录下可以针对特定用户建立配置文件。例如,要为用户 abc 指定一个 IP 地址(如10.1.1.5)而不是让 VPN Server 自动分配,可以在配置目录/etc/vpn/ccd下建立一个 abc 文件,内容如下:
ifconfig-push 10.1.1.5 10.1.1.6
  那么 VPN Server 就会自动给 abc 用户分配 10.1.1.5 这个地址。注意第一个IP地址 的最后一个数字(这里是 5)必须是 4*n + 1 的数。
  问题是,VPN Server 怎么知道哪个用户是 abc 呢?它是 Client 数字证书中的 Common Name 域来判断的。就是说,在连接协商时如果 Client 端数字证书的 Common Name 是 abc,那么 VPN Server 就找配置目录下 abc 这个文件。
  配置 OpenVPN Client

  在 Client 机器上 OpenVPN 安装目录的 config 目录下建立如下 client.ovpn 文件:
client
dev tun
proto udp
remote vpn_server_ip 1494
ca ca.crt
cryptoapicert "SUBJ: abc"
nobind
persist-key
persist-tun
verb 2
  修改 remote 一行填上对应 VPN Server 的 IP 和 端口。ca.crt 和服务端 ca.crt 一样,必须把这个 ca.crt 也放在 config 目录下。
  关键是 cryptoapicert "SUBJ: abc" 这行。这一行指定客户端的数字证书从 Windows 证书 Store 里取。在 IE 的“选项 -> 内容 -> 证书”页面能看到你的个人数字证书。
  SUBJ:abc 指明选择证书主题中含有 abc 的证书。客户端数字证书也可以用以前贴的 ca 工具生成,如果要给用户 abc 签发数字证书,只用指明 Common Name 是 abc 即可,然后把生成的 abc.p12 传给 abc 用户并告诉导入口令。abc 导入这个数字证书后,VPN Client 就可以工作了。

标签:

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有

上一篇:为FreeBSD添加新硬盘!

下一篇:The code to get the size of kernel stack

相关文章

IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设

网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源

网站联盟: 联盟新闻 联盟介绍 联盟点评 网赚技巧

行业资讯: 搜索引擎 网络游戏 电子商务 广告传媒

网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它

服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护

软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷

网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash

程序设计: Java技术 C/C++ VB delphi

网络知识: 网络协议 网络安全 网络管理 组网方案 Cisco技术

操作系统: Win2000 WinXP Win2003 Mac OS Linux FreeBSD

热门词条
最新资讯
热门关注
热门标签