OpenVPN on FreeBSD with PF and Windows XP

Description :

        OpenVPN 為 SSL 的 VPN 方案，它優於同型態的 SSH VPN，SSH VPN 僅能針對 Port by Port 做安全連接，而 OpenVPN 則可完整支援到 L2 及 L3 的連線，且使用 CA 簽章確認及加密，同時也可以使用單一金鑰的對稱加密，OpenVPN 因為使用 OpenSSL 標準的 Lib 所以讓 OpenVPN 可同時可支援 Linux、Unix、BSD、Mac OS X 與 Windows 等各種 OS。
        資料傳輸方式 OpenVPN 會模擬出虛擬的網路裝置來進行資料的傳輸，而其所使用的虛擬裝置為TUN/TAP 兩種 Device，而 TUN 以及 TAP 有何不同呢？以下分別進行說明：TUN 可被視為虛擬的點對點裝置，就像一般家用的 modem、ADSL 一樣，使用此虛擬裝置的模式稱為 Routed mode，因為是在連線後才決定 VPN 雙方的連線路徑，因此可瞭解 TUN 裝置所處理的是 OSI Layer 3 的工作。TAP 則可被視為虛擬的 Ethernet 網路卡，可以透過此裝置啟動一個 daemon 來接收 Ethernet 訊框，稱為 Bridge mode，因為此裝置是以 Bridge 的方式來運作，這個是 TUN 裝置所做不到的！ 所以 TAP 裝置所處理的是 OSI Layer 2 的工作。
        因為 OpenVPN 的兩個裝置 TUN/TAP 所處理的是 OSI Layer 2 與 3 的部分，因此很自然可以很容易的與更上層的安全機制進行結合，例如：SSL/TLS ( Layer 4 )。雖然這兩個裝置都是虛擬的，但卻可以跟一般實體的網路卡一樣的運作，也因為有此特性，所以以下的情況都可以正常運作：在搜尋 Windows 內部網路或是區網遊戲時，需要發送廣播封包非 IP 協定的封包 ( 例如：IPX )，也可以透過 vpn tunnel 正常傳輸，可以透過防火牆管理虛擬裝置的流量，可以針對 vpn tunnel 的傳輸進行流量管控。
        OpenVPN 優點：
                1. 可實作在 OSI Layer 3 甚至於 Layer 2，因此可以傳送 Ethernet、IPX、NETBIOS....等協定的封包，相容性極高。
                2. 提供連接 VPN 的使用者統一的通道進行網路傳輸，大大加強了安全性。
                3. 透過 VPN 所建立的通道，幾乎可以與目前所有安全機制溝通無礙 ( 例如：https )。
                4. 支援代理 ( Proxy ) 機制。
                5. 僅需開啟防火牆的單一 Port 即可處理來自多方的連線，減少被惡意入侵的機會。
                6. 管理者可根據需求自行撰寫 Script，讓 OpenVPN 可以處理更多複雜的工作。
                7. 針對動態 IP 使用者，提供了通透且高效能的服務；即使在使用 VPN 通道的同時更換了 IP，建立好的 VPN 通道也不會就此斷掉。
                8. 在 NAT 的環境下運作是毫無問題的。
                9. 在任何 OS 平台下皆可安裝。
              10. 模組化的設計，因此管理者可以根據需求自行增加或減少 OpenVPN 的功能。
        OpenVPN 缺點：
                1. 使用SSL 應用層加密，傳輸效率要低於 IPSec 傳輸的 VPN 軟體。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有