基于OpenVPN連接兩個遠(yuǎn)程局域網(wǎng)段

2019-12-24 02:55:44

字體：大中小

供稿：網(wǎng)友

基于OpenVPN連接兩個遠(yuǎn)程局域網(wǎng)段

系統(tǒng)環(huán)境：

    服務(wù)端：RHEL5 [ 2.6.18-8.el5xen ]



軟件環(huán)境：

    http://openvpn.net/release/openvpn-2.0.9.tar.gz

    http://openvpn.se/files/install_packages/openvpn-2.0.9-gui-1.0.3-install.exe

    http://www.oberhumer.com/opensource/lzo/download/lzo-2.03.tar.gz



參考文檔：

    http://openvpn.net/index.php/documentation/howto.html

    http://www.linux.com/articles/58336
目標(biāo)功能：

    搭建OpenVPN服務(wù)器，跨越Internet連接兩個異地的局域網(wǎng)段。



              |---------------| <-->   Internet <--> |---------------|

    LAN2 <--> |Router2(Client)|                       |Router1(Server)| --> LAN1

              |---------------| <--> SSL VPN Tun <--> |---------------|



    (北京)Server(router1)網(wǎng)絡(luò)參數(shù)：

        eth0 173.16.16.1/24

        eth1 192.168.20.1/24(本例中作為LAN1的網(wǎng)關(guān))

        LAN1：192.168.20.0/24



    (廣州)Client(router2)網(wǎng)絡(luò)參數(shù)：

        eth0 211.20.20.1/24

        eth2 192.168.40.1/24(本例中作為LAN2的網(wǎng)關(guān))

        LAN2：192.168.40.0/24

####################################################################

一、安裝OpenVPN軟件包 (在router1、router2上均執(zhí)行以下操作，按默認(rèn)配置安裝到/usr/local目錄下)



    1、安裝lzo (為SSL數(shù)據(jù)提供壓縮)

shell> tar zxvf lzo-2.03.tar.gz -C /usr/src

shell> cd /usr/src/lzo-2.03

shell> ./configure && make && make install



    2、安裝openvpn

shell> tar zxvf openvpn-2.0.9.tar.gz -C /usr/src

shell> cd /usr/src/openvpn-2.0.9

shell> ./configure && make && make install



二、配置OpenVPN Server端(router1)



    1、制作證書和相關(guān)密鑰文件 (可參考/usr/src/openvpn-2.0.9/easy-rsa/README)

      1)調(diào)整及預(yù)定義變量

shell> mkdir /etc/openvpn

shell> cd /usr/src/openvpn-2.0.9/easy-rsa

shell> vi vars

export D=`pwd`

export KER_CONFIG=$D/openssl.cnf

export KEY_DIR="/etc/openvpn/keys/"    #//修改生成的密鑰等文件的保存位置

export KEY_SIZE=1024

export KEY_COUNTRY=CN    #//以下為用于各密鑰中的預(yù)定義信息

export KEY_PROVINCE=BJ

export KEY_CITY=BJ

export KEY_ORG="BJ-GZ"

export KEY_EMAIL="TsengYiashell>126.com"

shell> . vars

shell> ./clean-all



      2)創(chuàng)建證書、密鑰等文件

shell> ./build-ca    #//生成CA證書

shell> ./build-dh    #//生成dh(Diffie-Hellman)文件

shell> ./build-key-server router1    #//生成服務(wù)端密鑰

shell> ./build-key router2    #//生成客戶端密鑰

shell> /usr/local/sbin/openvpn --genkey --secret /etc/openvpn/keys/ta.key    #//生成tls-auth密鑰



    2、建立OpenVPN服務(wù)配置文件

shell> cp /usr/src/openvpn-2.0.9/sample-config-files/server.conf /etc/openvpn/

shell> vi /etc/openvpn/server.conf

local 173.16.16.1    #//指定VPN服務(wù)監(jiān)聽的接口地址(本例中eth0網(wǎng)卡的地址)

port 1194    #//指定VPN服務(wù)監(jiān)聽的端口

proto udp

dev tun

ca keys/ca.crt

cert keys/router1.crt

key keys/router1.key

dh keys/dh1024.pem

server 10.8.8.0 255.255.255.0    #//指定vpn隧道的虛擬子網(wǎng)，vpn server將自動使用第一個IP，如10.8.8.1

ifconfig-pool-persist ipp.txt

push "route 192.168.20.0 255.255.255.0"    #//向客戶端通告服務(wù)器端LAN1網(wǎng)段

client-config-dir ccd    #//指定調(diào)用ccd子目錄下的客戶端配置文件,可在文件中指定對端的ip地址

route 192.168.40.0 255.255.255.0    #//為server端添加到client端LAN2網(wǎng)段的路由

client-to-client    #//允許各客戶端之間的互相訪問

duplicate-cn    #//允許client密鑰被復(fù)用

keepalive 10 120

tls-auth keys/ta.key 0    #//指定tls認(rèn)證密鑰

cipher BF-CBC    #//指定cipher加密算法

comp-lzo

max-clients 100    #//指定最大并發(fā)連接數(shù)

user nobody

group nobody

persist-key

persist-tun

status /tmp/openvpn-status.log

verb 3

mute 20

shell> mkdir /etc/openvpn/ccd

shell> vi /etc/openvpn/ccd/router2    #//在client的獨立配置文件中指定對端tun0的ip地址參數(shù)

iroute 192.168.40.0 255.255.255.0

ifconfig-push 10.8.8.2 10.8.8.1    #//依次為tun0本地地址，P-t-P對端地址



    3、準(zhǔn)備啟動腳本、啟動OpenVPN

shell> cp -p /usr/src/openvpn-2.0.9/sample-scripts/openvpn.init /etc/init.d/

shell> vi /etc/init.d/openvpn

shell> chkconfig --add openvpn

shell> chkconfig --level 35 openvpn on

shell> service openvpn start

三、配置OpenVPN Client端(router2)

    1、下載證書和相關(guān)密鑰文件

      1)下載在服務(wù)器生成的ca.crt、router2.crt、router2.key、ta.key文件，做好備份

      2)復(fù)制上述文件到router2的/etc/openvpn/keys目錄



    2、修改Client配置文件

shell> cp /usr/src/openvpn-2.0.9/sample-config-files/client.conf /etc/openvpn/

shell> vi /etc/openvpn/client.conf

client

dev tun

proto udp

remote 173.16.16.1 1194

resolv-retry infinite

nobind

user nobody

group nobody

persist-key

persist-tun

ca keys/ca.crt

cert keys/router2.crt

key keys/router2.key

ns-cert-type server

tls-auth keys/ta.key 1

cipher BF-CBC

comp-lzo

verb 3

mute 20

四、準(zhǔn)備啟動腳本、啟動OpenVPN (在router1、router2上均執(zhí)行以下操作)



shell> cp -p /usr/src/openvpn-2.0.9/sample-scripts/openvpn.init /etc/init.d/

shell> vi /etc/init.d/openvpn

shell> chkconfig --add openvpn

shell> chkconfig --level 35 openvpn on

shell> service openvpn start

五、連通測試

    1、可以分別在router1、router2上查看tun0設(shè)備參數(shù)(ifconfig tun0)

router1的tun0信息：

    inet addr：10.8.8.1    P-t-P：10.8.8.2

router2的tun0信息：

    inet addr：10.8.8.2    P-t-P：10.8.8.1

    2、可以分別在router1、router2上查看路由記錄(route -n)

router1的路由表信息中應(yīng)有到LAN2網(wǎng)段的路由記錄：

    Destination    Gateway    Genmask        Flags Metric Ref Use Iface

    192.168.40.0   10.8.8.2   255.255.255.0 UG     0        0   0    tun0

router2的路由表信息中應(yīng)有到LAN1網(wǎng)段的路由記錄：

    Destination    Gateway    Genmask        Flags Metric Ref Use Iface

    192.168.20.0   10.8.8.1   255.255.255.0 UG     0        0   0    tun0



    3、LAN1、LAN2兩個網(wǎng)段的客戶端互聯(lián)測試，例如：

北京的192.168.20.20和廣州的192.168.40.40能夠相互ping通。

本文來自于飛諾網(wǎng)