如何在Linux上用OpenVPN搭建安全的远程网络架构

jqh 2013-11-12

对你在互联网上传送的数据采用一层妥善安全的加密机制,以挫败各种各样的窥视活动,这总归是谨慎的举措;由于我们的政府大量获取每一则信息,此举显得愈发地重要。说到保护在不可信赖的网络上传送的数据,OpenVPN是首要选择。本文将简要介绍一下如何设置OpenVPN,那样即使你出门在外,也可以安全地访问自己的家庭服务器。

先简单地说一说VPN:市面上有许多并非名至实归的商用VPN。它们并不比由SSL保护的网站强一点,因为它们信任所有客户机。真正的VPN(虚拟专用网)通过不可信赖的网络连接两个可信赖的端点设备。你根本无法从随便找到的任何一台电脑登录上去,这是好事,因为你大概也明白这个道理:从一个被感染的主机登录到你的专有网络是件坏事,不管网络连接本身有多么安全。所以,你必须同时配置服务器和客户机。

OpenVPN快速入门

你需要在不同子网上的两台电脑,比如同一个网络上的一台有线电脑和一台无线电脑(或者在Virtualbox中的几个Linux访客系统),你还要知道这两台电脑的IP地址。假设把示例中的这两台电脑分别命名为Studio和Shop。在这两台电脑上都安装OpenVPN。OpenVPN内置在大多数Linux发行版中,所以你可以借助常用的程序包管理器来安装它。本文这个示例适用于Debian、Ubuntu及众多的派生版本:

$ sudo apt-get install openvpn openvpn-blacklist

该命令可安装服务器以及检查已泄密密钥黑名单的一个小程序。你必须安装这个黑名单检查程序!由于从前Debian发行了一款破损版的OpenSSL(参阅http://www.debian.org/security/2008/dsa-1571),该版本OpenSSL有一个破损的随机数生成器,所以用该版本OpenSSL生成的密钥按理说不堪一击,不可信赖。随机数生成器其实并非随机性的,而是可以预测的。这种情况发生于早在2008年的时候,使用过缺陷版OpenSSL的人都理应能够查到并更换安全性差的密钥。尽管这是五年多前的事情,但为了保险起见,还是应该用黑名单检查程序。

现在不妨测试一下,为此在我们的两台电脑之间建立一条未经加密的隧道。首先ping每台电脑,确保它们彼此可以正常联系。然后确保OpenVPN没有在运行,因为我们要开始手动启动它:

$ ps ax|grep openvpn

如果它在运行,就终止它。假设Studio的IP地址是192.168.1.125,Shop的IP地址是192.168.2.125。建立一条从Studio到Shop的未经加密的隧道:

$ sudo openvpn --remote 192.168.2.125 --dev tun0 --ifconfig 10.0.0.1 10.0.0.2

然后,建立一条从Shop到Studio的未经加密的隧道:

$ sudo openvpn --remote 192.168.1.125 --dev tun0 --ifconfig 10.0.0.2 10.0.0.1

你成功建立了连接后,看到诸如此类的信息:

Wed Oct 16 2013 ******* WARNING *******: all encryption and authentication

features disabled -- all data will be tunnelled as cleartext

Wed Oct 16 2013 TUN/TAP device tun0 opened

Wed Oct 16 2013 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0

Wed Oct 16 2013 /sbin/ifconfig tun0 10.0.0.1 pointopoint 10.0.0.2 mtu 1500

Wed Oct 16 2013 UDPv4 link local (bound): [undef]

Wed Oct 16 2013 UDPv4 link remote: [AF_INET]192.168.2.125:1194

Wed Oct 16 2013 Peer Connection Initiated with [AF_INET]192.168.2.125:1194

Wed Oct 16 2013 Initialization Sequence Completed

“Initialization Sequence Completed”(初始化序列已完成)这几个神奇的字眼证明了你的做法正确。你应该可以使用隧道地址来回ping,即ping 10.0.0.1和ping 10.0.0.2。你建立起隧道后,应该可以使用你想使用的任何IP地址,只要没有与现有网络的IP地址重叠就行。想关闭隧道,只要按Ctrl+c组合键。

纯粹为了试着玩,在你的隧道上打开一个SSH会话。图1显示了基于VPN隧道的成功的SSH登录,它还显示了每日消息(Message of the Day):

$ ssh carla@10.0.0.2

如何在Linux上用OpenVPN搭建安全的远程网络架构

图1:基于VPN隧道的成功的SSH会话,以及每日消息。

哇,它成功了!

相关阅读:

OpenVPN 的详细介绍:请点这里
OpenVPN 的下载地址:请点这里

jqh

jqh

相关推荐

linux下配置openVPN服务器

首先声明下环境,服务器是suse,我用的是自带的openvpn-2.0.9-143.31.x86_64.rpm. -r--r--r-- 3 root root 46793 Apr 1 2011 NetworkManager-openvpn-gno

sjpeter / 0评论 2013-04-14

CentOS安装VPN(L2TP、Openvpn、SSR)

状态均正常,但始终是无响应无法连接。L2TP到此为止,还是去试试ssr吧!但是ssr的全局没办法让数据库连接工具走代理,macOS上无问题,win上出现了问题 navicat、sqlyog 都试过了没办法走ssr代理访问数据库,ssr的方式也到此为止了。可

86201746 / 0评论 2019-11-19

Mac Os X 安装Tunnelblicks (openVpn)客户端

Tunnelblicks是一款Mac平台上著名的OpenVPN客户端,它是VPN软件“OpenVPN 2.0”的GUI版。

鲤鱼呦 / 0评论 2015-06-07

Redhat Linux企业版4下安装openvpn方法

由于以上两点限制,在现有许多种方案中,我试用了两种:pptpd和opensvn。pptpd是网上比较推荐使用的,因为配置非常方便,就改两个小文件就可以配置成功。d)经过我的配置,gait.buaa.edu.cn上面起了VPN服务,默认的子网地址是10.0.

linuxhh / 0评论 2007-12-24

在CentOS的VPS下安装OpenVPN

不过OpenVPN有一个致命缺点,就是绝大多数移动设备不支持,电脑上使用需要安装复杂的客户端。网上有很多的教程,但大都不适合VPS或者不完善,我根据我自己安装的经验,记录下来以便查阅。OpenVPN需要TUN支持,大多数VPS默认都没有开启,你可以用这个命

87324554 / 0评论 2011-06-18

CentOS VPS 安装 OpenVPN

最近频繁在CentOS的VPS上安装OpenVPN,安装过程中还是颇有周折。首先是要和客服人员沟通开通TUN/TAP、iptables和NAT。有的VPS只开通iptables却没有NAT的支持,iptables设置postrouting的时候还是会失败。

dudang0000 / 0评论 2010-07-01

Mac Os X 安装Tunnelblicks (openVpn)客户端

Tunnelblicks是一款Mac平台上著名的OpenVPN客户端,它是VPN软件“OpenVPN 2.0”的GUI版。

ButterflyVenus / 0评论 2015-06-07

Linux下OpenVpn部署-桥接模式1 客户端/服务端

# cd lzo-2.03 && ./configure && make && make install. # cd openvpn-2.0.9 && ./configure &&am

小波波 / 0评论 2011-06-15

研究debian有用的几个小脚本

前人已经做了很多工作了,使用下面的命令下载自动化脚本并运行,在引导下操作就可以完成OpenVPN的安装了。

89291843 / 0评论 2011-04-28

CentOS 6.9 OpenVpn搭建流程

公司内网环境需要外网访问,同事需兼顾数据传输以及连接上的安全性,在外网IP网关不固定的情况下,需达到在任何外网都能连接到公司内网环境,并正常访问。方案原理OpenVpn + Mysql + Pam插件。通过OpenVpn实现隧道的建立,Mysql+Pam_

86201746 / 0评论 2019-07-01

centos 7 下 安装openvpn

>给vpn客户机分配的地址池。最好别和openvpn部署机的内网ip在一个网段内。verb 3生成所需要的认证新建一个keys文件夹,放认证的文件sudo mkdir /etc/openvpn/easy-rsa/keys编辑vars文件sudo na

想咗嚮右赱 / 0评论 2019-06-28

Debian Linux v8.x/9.x中5分钟搭建OpenVPN Server

OpenVPN是一个免费的开源VPN软件,适用于Linux和类Unix系统。它使用SSL / TLS协议实现OSI第2层或第3层安全网络扩展。VPN允许您安全地连接到不安全的公共网络,例如机场或酒店的无线网络。VPN还需要访问您的企业或企业或家庭服务器资源

阳光之吻 / 0评论 2019-06-28

OpenVPN On CentOS 5 配置

[root@localhost easy-rsa]#chmod u+x clean-all build-ca whichopensslcnf build-dh build-key pkitool build-key-server. [root@localh

jacknichao / 0评论 2012-03-25

OpenVPN 使用“用户名/密码”登录验证

服务端需要"dh1024.pem、openvpn-auth-pam.so、ca.crt"服务端的证书和私钥以及配置文件。openvpn-auth-pam.so由OpenVPN的plugin/auth-pam/目录下的文件生成。ta.ke

peili0 / 0评论 2012-01-16

Linux下OpenVPN比较详细安装

SSL协议包括握手协议、记录协议以及警告协议三部分。握手协议负责确定用于客户机和服务器之间的会话加密参数。警告协议用于在发生错误时终止两个主机之间的会话。IPSec 运行于网络层,IPSec VPN 则多用于连接两个网络或点到点之间的连接。它采用标准的安全

sanying0 / 0评论 2012-01-16

使用python实现openvpn的登录次数限制方法

'"update vpnuser set active=0 where name=\'%s\'" vpn ' % blackname. get_blackname需要配合crontab执行shell脚本才能实现自动解锁,shell脚本如

小菜鸟的代码世界 / 0评论 2019-05-06

Worksapce7:OpenVPN服务器的安装与客户端的调试

OpenVPN所有的通信都基于一个单一的IP端口,默认且推荐使用UDP协议通讯,同时TCP也被支持。OpenVPN连接能通过大多数的代理服务器,并且能够在NAT的环境中很好地工作。OpenVPN提供了两种虚拟网络接口:通用Tun/Tap驱动,通过它们,可以

记录日常 / 0评论 2010-05-07

在 Ubuntu 15.04 上安装配置 OpenVPN 服务器和客户端

虚拟专用网常指几种通过其它网络建立连接技术。它之所以被称为“虚拟”,是因为各个节点间的连接不是通过物理线路实现的,而“专用”是指如果没有网络所有者的正确授权是不能被公开访问到。OpenVPN软件借助TUN/TAP驱动使用TCP和UDP协议来传输数据。此外,

代码之源 / 0评论 2015-08-03

OpenVPN异地机房互连以及负载均衡高可用解决方案

---OpenVPN server 搭建部署1、在OpenVPN-1 server上安装流程(1.添加epel源[root@ShangHai-VPN-1 ~]# yum install epel-release. (2.安装OpenVPN[root@Sha

keepon / 0评论 2015-07-22

CentOS6.5 Linux基于AD域账号联动认证的OpenVPN服务器配置详细步

最近一直在研究Linux下基于AD联动认证服务器的配置,一方面降低公司成本,二方面提高信息化管理实现单点登录方便用户管理。下面就详细说一下OpenVPN服务器的配置,可能您的环境可能和我的不一样的,所有我不能保证你配置以后能够正常使用,具体的根据自己的环境

maozishuai / 0评论 2015-06-20

HeartBleed 漏洞会暴露 OpenVPN 私钥

HeartBleed心脏出血漏洞的影响范围还在继续扩大,上周人们以为Heartbleed仅仅是网站web服务器的噩梦,但是随着时间的推移,Heartbleed对企业内网和数据安全的威胁才真正露出水面,造成的损失比web服务更大,而修复更加困难和漫长。据Ar

xiaoxiangfeizi / 0评论 2014-04-20

利OpenVPN自带的http-proxy突破防火墙的封锁

openVPN是差不多是大家用来做VPN服务器的首先,那openVPN如何突破防火墙的封锁咧,有两种解决方案,一是用openVPN自带的http-proxy,二是用HttpTunnel

miaoheping / 0评论 2014-04-04

Linux上如何通过 OpenVPN 建立安全的远程连接

一直以来,我们在互联网上传输信息时,都谨慎地为这些信息加密,以防内容泄露出去,特别是在政府的干预下,为网络上每个字节都进行加密已经变得空前重要了。在这种情况下,OpenVPN 是保障网络信息安全的首选。今天我们就来学习一下如何架设 OpenVPN,使你可以

attcat / 0评论 2013-11-23

Ubuntu下openvpn源码安装

Ubuntu下openvpn源码安装OpenVPN依赖OpenSSL库,用于加密,需要安装。LZO库,数据压缩用,不使用该库也没有关系。configure: checking for OpenSSL Crypto Library and Header fi

零度源码 / 0评论 2008-09-12

轻松构建自己的OpenVPN家庭服务器(VMware+Amahi)

比SSH隧道安全更高、功能更多的一种解决方案是,让你的笔记本电脑成为VPN网络的一个成员。传统上,VPN是公司实施的一种安全机制,旨在让员工们在远离办公室时——或者甚至在同一家公司的远程分支机构时,可以全面而安全地访问企业网络。另外,你只要在OpenVPN

liuyuchen / 0评论 2011-07-20

CentOS 6.3下利用OpenVPN部署远程VPN服务

2年前自己还是小白的时候就在老单位连总部OA时用过OpenVPN这个客户端,感觉还挺好用,而且觉得以后项目应该也能用得上,SO google了网上大量零碎资料,折腾了大半天,按照自己的理解就整理了如下文档,给有兴趣的朋友分享一下。最近一直想把自己的短板,也

zhengyshan / 0评论 2013-06-16

CentOS 5.5上安装openvpn全过程

OpenVPN是一个用于创建虚拟专用网络加密通道的软件包,允许参与建立VPN的单点使用公开密钥、电子证书、或者用户名/密码来进行身份验证,能在Solaris、Linux、OpenBSD、FreeBSD、NetBSD、Mac OS X与Windows上运行,

净无邪 / 0评论 2010-11-19

Linux下使用docker搭建Openvpn代理的方法

docker run -v ${OVPN_DATA}:/etc/openvpn --rm kylemanna/openvpn ovpn_genconfig -u tcp://${IP}5.初始化。docker run -v ${OVPN_DATA}:/et

ScienceExplorer / 0评论 2017-01-13

CentOS 6.3 X_86.64 路由模式配置OpenVPN服务器

[root@data lzo-2.03]# ./configure --prefix=/usr/ && make && make install. [root@data openvpn-2.2.2]# ./configure

聚指尖 / 0评论 2012-12-12

Linux 下 OpenVPN 安装和 Windows OpenVPN GUI 安装笔记

kernel 需要支持 tun 设备, 需要加载 iptables 模块. 检查 tun 是否安装: 代码:. 如果没有 modinfo 命令, 直接找一下, 看看 kernel 里是否有 tun.o 文件: 代码:. 如果需要启用 SSL 连接,则需要先

qiaoqiangv / 0评论 2012-09-16

基于CentOS5的Linux下PPTP和OpenVPN的搭建及配置

根据我目前掌握的信息来看,Linux下通用的有两种VPN技术,分别为pptp和openvpn,pptp,点对点的隧道协议,是一种实现虚拟专用网络的方法,它使用用于封装的PPP数据包的TCP及GRE隧道,远程接入对端网络。pptp的劣势就是OpenVPN 的

寒星孤照 / 0评论 2012-06-04

Ubuntu Linux 服务器搭建OpenVPN服务器

话说,最近在学校做毕设,寝室的ChinaNet被学校水产了,说是要登记才能使用。),但是QQ神马的依然可以正常使用,而且已经建立的TCP长连接不会被中断。于是考虑服务器端针对TCP的三次握手进行了攻击,导致无法正常访问网页。之前记得VPN常用的拨号方式主要

whechuan00 / 0评论 2012-05-12

用OpenBSD和OpenVPN构建坚不可摧的服务器集群

日前的泄密事件,体现了当前中国的网络安全状况实在令人堪忧。OpenBSD以其自创建以来就不断强调的高安全性,赢得很多包括政府,军队,乃至大公司的支持。OpenBSD作为高度强调安全性的系统,甚至被国际黑客破解大赛所禁用,唯一的原因是:无法破解。选择安装Op

幸福的味道 / 0评论 2012-01-13

使用http代理转接OpenVPN

OpenVPN本身可以使用http代理,也就是说,OpenVPN客户端不是直接和OpenVPN服务器连接,而是使用http代理进行连接。这个特性是OpenVPN的外围特性,不是其核心的,然而却能解决很多实际问题,它相当于隧道外面又套了一个隧道,不过这个外面

whechuan00 / 0评论 2011-12-28

用phpmailer实现简单openvpn用户认证的实现代码

现在每个人都有无数帐号密码, 难免记不住; 原理是通过 邮件服务器 pop 服务完成认证,也可以使用SMTP,并加SSL已提高安全性; 免去设置用户/密码麻烦,适合有自己邮件服务器的场合, 需要PHPMailer, 请自行google PHP代码 代码如下

phptyong / 0评论 2012-01-19

openvpn原理

在Linux2.4版本以上,操作系统支持一个名为tun的设备,tun设备的驱动程序中包含两个部分,一部分是字符设备驱动,一部分是网卡驱动。该设备既能以字符设备的方式被读写,作为系统的虚拟网卡,也具有和物理网卡相同的特点:能够配置IP地址和路由。对虚拟网卡的

CleanData / 0评论 2018-04-08

完整CentOS搭建OpenVPN服务详细教程

OpenVPN允许创建的VPN使用公开密钥、电子证书、或者用户名/密码来进行身份验证。② 它大量使用了OpenSSL加密库中的SSLv3/TLSv1协议函数库。③ 目前OpenVPN能在Solaris、Linux、OpenBSD、FreeBSD、NetBS

可能的抒情 / 0评论 2018-01-24

完整CentOS搭建OpenVPN服务详细教程

OpenVPN允许创建的VPN使用公开密钥、电子证书、或者用户名/密码来进行身份验证。② 它大量使用了OpenSSL加密库中的SSLv3/TLSv1协议函数库。③ 目前OpenVPN能在Solaris、Linux、OpenBSD、FreeBSD、NetBS

一群旅行体验师 / 0评论 2018-01-23