歡迎您光臨本站 註冊首頁

基於Linux的 OpenVPN網路之網路架構應用實例(三)

←手機掃碼閱讀     火星人 @ 2014-03-09 , reply:0

配置“GW1 <----> PC1”隧道連接

本小節主要描述如何創建第 2 條 SSL VPN 隧道,用於在 GW1、PC1 之間建立點到點的安全連接,以便 Windows XP 客戶端能夠從 Internet 中安全的接入總部的 VPN 網路,進一步訪問兩地的區域網絡.

第一步、配置主伺服器(GW1)——北京

1. 創建 PC1 用戶端密鑰

在 GW1 伺服器上為 PC1 網管機建立單獨的密鑰文件,注意 Common Name 不要和其他密鑰重複.生成的密鑰文件必需放置到/etc/openvpn/keys/目錄中(可以直接調整 KEY_DIR 變數).

[[email protected] ~]# cd /soft_dir/openvpn-2.0.9/easy-rsa/

[[email protected] easy-rsa]# source vars

NOTE: when you run ./clean-all, I will be doing a rm -rf on /soft_dir/openvpn-2.0.9/easy-rsa/keys

[[email protected] easy-rsa]# export KEY_DIR=/etc/openvpn/keys/

[[email protected] easy-rsa]# ./build-key client-pc1

Generating a 1024 bit RSA private key

.........

...............

writing new private key to 'client-pc1.key'

-----

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [CN]:

State or Province Name (full name) [BeiJing]:

Locality Name (eg, city) [BISHKEK]:

Organization Name (eg, company) [BENET.Inc]:

Organizational Unit Name (eg, section) []:

Common Name (eg, your name or your server's hostname) []:client-pc1.benet.com

Email Address [[email protected]]:

Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []:

An optional company name []:

Using configuration from /soft_dir/openvpn-2.0.9/easy-rsa/openssl.cnf

Check that the request matches the signature

Signature ok

The Subject's Distinguished Name is as follows

countryName :PRINTABLE:'CN'

stateOrProvinceName :PRINTABLE:'BeiJing'

localityName :PRINTABLE:'BISHKEK'

organizationName :PRINTABLE:'BENET.Inc'

commonName :PRINTABLE:'client-pc1.benet.com'

emailAddress :IA5STRING:'[email protected]'

Certificate is to be certified until Jul 12 06:10:23 2020 GMT (3650 days)

Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y

Write out database with 1 new entries

Data Base Updated

2. 創建第 2 個服務配置文件

該配置文件用於建立“GW1 <----> PC1”隧道連接,將使用 tun1 設備、監聽 UDP 1195 埠.

[[email protected] ~]# vim /etc/openvpn/gw1_tun1.conf

local 173.74.75.76

port 1195 //為第 2 條隧道開啟新的 1195 埠監聽服務

proto udp

dev tun

ca keys/ca.crt

cert keys/gw1.crt

key keys/gw1.key

dh keys/dh1024.pem

server 10.9.0.0 255.255.255.0 //設置第 2 條隧道的虛擬網路地址

ifconfig-pool-persist ipp.txt

push "route 192.168.1.0 255.255.255.0" //為 PC1 添加到 LAN1 的路由

push "route 192.168.2.0 255.255.255.0" //為 PC1 添加到 LAN2 的路由

push "route 10.8.0.0 255.255.255.0" //為 PC1 添加到 GW2 的路由

push "dhcp-options DNS 202.106.0.20"

client-to-client

client-config-dir ccd

keepalive 10 120

tls-auth keys/ta.key 0

cipher BF-CBC

comp-lzo

max-clients 10

user nobody

group nobody

persist-key

persist-tun

status openvpn-status-2.log //啟用新的日誌文件

log-append openvpn-2.log

verb 3

mute 20

3. 建立用於 PC1 的 ccd 配置文件

[[email protected] ~]# vim /etc/openvpn/ccd/client-pc1.benet.com

ifconfig-push 10.9.0.2 10.9.0.1

4. 重新啟動 OpenVPN 服務

重啟 openvpn 服務后應在 1194、1195 埠分別監聽服務.

[[email protected] ~]# service openvpn restart

正在關閉openvpn: [確定]

正在啟動 openvpn: [確定]

[[email protected] ~]# netstat -anp | grep openvpn

udp 0 0 173.74.75.76:1194 0.0.0.0:* 11793/openvpn

udp 0 0 173.74.75.76:1195 0.0.0.0:* 11810/openvpn

第二步、配置 Windows XP 客戶機(PC1)——上海

1. 配置 IP 地址及 Internet 連接(略)

2. 安裝 OpenVPN-GUI 客戶端工具

雙擊下載的 openvpn-2.0.9-gui-1.0.3-install.exe文件,按照向 導提示安裝 即可.若只 作 為OpenVPN客戶端使用,安裝時可以不勾選定製組件列表中的“OpenVPN Service”(如圖所示).

3. 下載證書和密鑰文件

下載在GW1主伺服器端創建的ca.crt、ta.key、client-pc1.key、client-pc1.crt 文件.

將下載的密鑰等相關文件複製到OpenVPN配置文件目錄下(默認為C:ProgramFilesOpenVPNconfig).注意保留好備份.

4. 創建 PC1 用戶端配置文件

使用 Windwos XP 系統自帶的記事本工具創建客戶端配置文件 client-pc1.ovpn,文件內容可以參考範例(C:Program FilesOpenVPNsample-configclient.ovpn).

Microsoft Windows [版本 5.2.3790]

(C) 版權所有 1985-2003 Microsoft Corp.

C:Documents and SettingsAdministrator&gt; notepad client-pc1.ovpn

client

dev tun

proto udp

remote 173.74.75.76 1195

resolv-retry infinite

nobind

persist-key

persist-tun

ca ca.crt

cert client-pc1.crt

key client-pc1.key

ns-cert-type server

tls-auth ta.key 1

cipher BF-CBC

comp-lzo

verb 3

mute 20

將建好的配置文件保存到C:Program FilesOpenVPNconfig文件夾下(如圖所示).

client-pc1.ovpn 文件存放位置

5. 建立 OpenVPN 連接

方法一:在 Windows XP 任務欄右側(系統托盤區)的 OpenVPN-GUI 圖標上點擊右鍵,

選擇“Connect”,即可使用創建好的配置文件建立 VPN 連接

方法二:在創建好的 client-pc1.ovpn 文件上點擊右鍵,選擇“Start OpenVPN on this config

file”即可.——用此方法可以查看建立連接的過程信息,適合用於調試/排錯.

第三步、驗證 SSL VPN 連接

1. GW1 伺服器的 VPN 介面狀態

GW1 主伺服器將會新增介面 tun1,IP 地址為 10.9.0.1,點對點對端地址為 10.9.0.2

[[email protected] ~]# ifconfig tun1

tun1 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00

inet addr:10.9.0.1 P-t-P:10.9.0.2 Mask:255.255.255.255

UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1

RX packets:0 errors:0 dropped:0 overruns:0 frame:0

TX packets:17 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:100

RX bytes:0 (0.0 b) TX bytes:840 (840.0 b)

2. Windows XP 客戶機 PC1 的 VPN 介面狀態

使用 OpenVPN-GUI 連接成功以後,系統將會增加一個“TAP-Win32 Adapter V8”的本地連接,用戶可以通過“開始 ---&gt; 設置 ---&gt; 網路連接”進行查看.

客戶機 PC1 的 VPN 介面地址

3. 測試 PC1 與 GW1、GW2 之間的連接

1) 連接GW1(如圖所示)

PC1 到 GW1 的 ping 測試

2) 連接GW2,使用ping測試(如圖所示)

PC1 到 GW2 的 ping 測試

4. 測試 PC1 與 LAN1 中主機之間的連接

連接LAN1 中的主機,使用ping測試(如圖1示)、tracert路由追蹤(如圖2示).

圖1 PC1 到 LAN1 中主機的 ping 測試

圖2 PC1 到 LAN1 中主機的 tracert 路由追蹤

5. 測試 PC1 與 LAN2 中主機之間的連接

連接LAN2 中的主機,使用ping測試(如圖 8.10所示)、tracert路由追蹤(如圖所示).

PC1 到 LAN2 中主機的 ping 測試

PC1 到 LAN2 中主機的 tracert 路由追蹤

附:詳細的PDF完整技術文檔下載:http://down.51cto.com/data/102973

本文出自 「賈芸斐」 博客,請務必保留此出處http://jiayf.blog.51cto.com/1659430/350212


[火星人 ] 基於Linux的 OpenVPN網路之網路架構應用實例(三)已經有797次圍觀

http://coctec.com/docs/linux/show-post-50095.html