續
配置“GW1 <----> PC1”隧道連接
本小節主要描述如何創建第 2 條 SSL VPN 隧道,用於在 GW1、PC1 之間建立點到點的安全連接,以便 Windows XP 客戶端能夠從 Internet 中安全的接入總部的 VPN 網路,進一步訪問兩地的區域網絡.
第一步、配置主伺服器(GW1)——北京
1. 創建 PC1 用戶端密鑰
在 GW1 伺服器上為 PC1 網管機建立單獨的密鑰文件,注意 Common Name 不要和其他密鑰重複.生成的密鑰文件必需放置到/etc/openvpn/keys/目錄中(可以直接調整 KEY_DIR 變數).
| [root@gw1 ~]# cd /soft_dir/openvpn-2.0.9/easy-rsa/ [root@gw1 easy-rsa]# source vars NOTE: when you run ./clean-all, I will be doing a rm -rf on /soft_dir/openvpn-2.0.9/easy-rsa/keys [root@gw1 easy-rsa]# export KEY_DIR=/etc/openvpn/keys/ [root@gw1 easy-rsa]# ./build-key client-pc1 Generating a 1024 bit RSA private key ......... ............... writing new private key to 'client-pc1.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [CN]: State or Province Name (full name) [BeiJing]: Locality Name (eg, city) [BISHKEK]: Organization Name (eg, company) [BENET.Inc]: Organizational Unit Name (eg, section) []: Common Name (eg, your name or your server's hostname) []:client-pc1.benet.com Email Address [vpnadm@benet.com]: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: Using configuration from /soft_dir/openvpn-2.0.9/easy-rsa/openssl.cnf Check that the request matches the signature Signature ok The Subject's Distinguished Name is as follows countryName :PRINTABLE:'CN' stateOrProvinceName :PRINTABLE:'BeiJing' localityName :PRINTABLE:'BISHKEK' organizationName :PRINTABLE:'BENET.Inc' commonName :PRINTABLE:'client-pc1.benet.com' emailAddress :IA5STRING:'vpnadm@benet.com' Certificate is to be certified until Jul 12 06:10:23 2020 GMT (3650 days) Sign the certificate? [y/n]:y 1 out of 1 certificate requests certified, commit? [y/n]y Write out database with 1 new entries Data Base Updated |
2. 創建第 2 個服務配置文件
該配置文件用於建立“GW1 <----> PC1”隧道連接,將使用 tun1 設備、監聽 UDP 1195 埠.
| [root@gw1 ~]# vim /etc/openvpn/gw1_tun1.conf local 173.74.75.76 port 1195 //為第 2 條隧道開啟新的 1195 埠監聽服務 proto udp dev tun ca keys/ca.crt cert keys/gw1.crt key keys/gw1.key dh keys/dh1024.pem server 10.9.0.0 255.255.255.0 //設置第 2 條隧道的虛擬網路地址 ifconfig-pool-persist ipp.txt push "route 192.168.1.0 255.255.255.0" //為 PC1 添加到 LAN1 的路由 push "route 192.168.2.0 255.255.255.0" //為 PC1 添加到 LAN2 的路由 push "route 10.8.0.0 255.255.255.0" //為 PC1 添加到 GW2 的路由 push "dhcp-options DNS 202.106.0.20" client-to-client client-config-dir ccd keepalive 10 120 tls-auth keys/ta.key 0 cipher BF-CBC comp-lzo max-clients 10 user nobody group nobody persist-key persist-tun status openvpn-status-2.log //啟用新的日誌文件 log-append openvpn-2.log verb 3 mute 20 |
3. 建立用於 PC1 的 ccd 配置文件
| [root@gw1 ~]# vim /etc/openvpn/ccd/client-pc1.benet.com ifconfig-push 10.9.0.2 10.9.0.1 |
4. 重新啟動 OpenVPN 服務
重啟 openvpn 服務后應在 1194、1195 埠分別監聽服務.
| [root@gw1 ~]# service openvpn restart 正在關閉openvpn: [確定] 正在啟動 openvpn: [確定] [root@gw1 ~]# netstat -anp | grep openvpn udp 0 0 173.74.75.76:1194 0.0.0.0:* 11793/openvpn udp 0 0 173.74.75.76:1195 0.0.0.0:* 11810/openvpn |
第二步、配置 Windows XP 客戶機(PC1)——上海
1. 配置 IP 地址及 Internet 連接(略)
2. 安裝 OpenVPN-GUI 客戶端工具
雙擊下載的 openvpn-2.0.9-gui-1.0.3-install.exe文件,按照向 導提示安裝 即可.若只 作 為OpenVPN客戶端使用,安裝時可以不勾選定製組件列表中的“OpenVPN Service”(如圖所示).
3. 下載證書和密鑰文件
下載在GW1主伺服器端創建的ca.crt、ta.key、client-pc1.key、client-pc1.crt 文件.
將下載的密鑰等相關文件複製到OpenVPN配置文件目錄下(默認為C:ProgramFilesOpenVPNconfig).注意保留好備份.
4. 創建 PC1 用戶端配置文件
使用 Windwos XP 系統自帶的記事本工具創建客戶端配置文件 client-pc1.ovpn,文件內容可以參考範例(C:Program FilesOpenVPNsample-configclient.ovpn).
| Microsoft Windows [版本 5.2.3790] (C) 版權所有 1985-2003 Microsoft Corp. C:Documents and SettingsAdministrator> notepad client-pc1.ovpn client dev tun proto udp remote 173.74.75.76 1195 resolv-retry infinite nobind persist-key persist-tun ca ca.crt cert client-pc1.crt key client-pc1.key ns-cert-type server tls-auth ta.key 1 cipher BF-CBC comp-lzo verb 3 mute 20 |
將建好的配置文件保存到C:Program FilesOpenVPNconfig文件夾下(如圖所示).
client-pc1.ovpn 文件存放位置
5. 建立 OpenVPN 連接
方法一:在 Windows XP 任務欄右側(系統托盤區)的 OpenVPN-GUI 圖標上點擊右鍵,
選擇“Connect”,即可使用創建好的配置文件建立 VPN 連接
方法二:在創建好的 client-pc1.ovpn 文件上點擊右鍵,選擇“Start OpenVPN on this config
file”即可.——用此方法可以查看建立連接的過程信息,適合用於調試/排錯.
第三步、驗證 SSL VPN 連接
1. GW1 伺服器的 VPN 介面狀態
GW1 主伺服器將會新增介面 tun1,IP 地址為 10.9.0.1,點對點對端地址為 10.9.0.2
| [root@gw1 ~]# ifconfig tun1 tun1 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet addr:10.9.0.1 P-t-P:10.9.0.2 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:17 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:0 (0.0 b) TX bytes:840 (840.0 b) |
2. Windows XP 客戶機 PC1 的 VPN 介面狀態
使用 OpenVPN-GUI 連接成功以後,系統將會增加一個“TAP-Win32 Adapter V8”的本地連接,用戶可以通過“開始 ---> 設置 ---> 網路連接”進行查看.
客戶機 PC1 的 VPN 介面地址
3. 測試 PC1 與 GW1、GW2 之間的連接
1) 連接GW1(如圖所示)
PC1 到 GW1 的 ping 測試
2) 連接GW2,使用ping測試(如圖所示)
PC1 到 GW2 的 ping 測試
4. 測試 PC1 與 LAN1 中主機之間的連接
連接LAN1 中的主機,使用ping測試(如圖1示)、tracert路由追蹤(如圖2示).
圖1 PC1 到 LAN1 中主機的 ping 測試
圖2 PC1 到 LAN1 中主機的 tracert 路由追蹤
5. 測試 PC1 與 LAN2 中主機之間的連接
連接LAN2 中的主機,使用ping測試(如圖 8.10所示)、tracert路由追蹤(如圖所示).
PC1 到 LAN2 中主機的 ping 測試
PC1 到 LAN2 中主機的 tracert 路由追蹤
附:詳細的PDF完整技術文檔下載:http://down.51cto.com/data/102973
本文出自 「賈芸斐」 博客,請務必保留此出處http://jiayf.blog.51cto.com/1659430/350212
[火星人 ] 基於Linux的 OpenVPN網路之網路架構應用實例(三)已經有906次圍觀
