這里我們將要使用兩臺BSD、Linux或Unix服務(wù)器，在地理上相隔很遠(yuǎn)的局域網(wǎng)之間，通過Internet創(chuàng)建一條不對稱的VPN連接。這兩個(gè)基于Linux/Unix的VPN系統(tǒng)均作為網(wǎng)絡(luò)互聯(lián)路由器運(yùn)行。
所謂非對稱VPN是指只有一端可以發(fā)起VPN連接，即一端具有靜態(tài)IP地址，另一端具有動態(tài)IP地址，動態(tài)IP端發(fā)起VPN連接。
網(wǎng)絡(luò)結(jié)構(gòu)與環(huán)境
1．網(wǎng)絡(luò)結(jié)構(gòu)示意圖
網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。

圖1 網(wǎng)絡(luò)結(jié)構(gòu)圖

2．本文假設(shè)如下網(wǎng)絡(luò)環(huán)境：
◆ 中心VPN服務(wù)器
主機(jī)名：server1
外部IP地址：208.198.14.212
局域網(wǎng)IP地址：192.168.3.14
本地網(wǎng)絡(luò)：192.168.3.0/24
本地默認(rèn)網(wǎng)關(guān)：192.168.3.1
VPN名：vpngate1
VPN IP：10.0.0.1
◆ 遠(yuǎn)端VPN服務(wù)器
主機(jī)名：server2
互聯(lián)網(wǎng)地址動態(tài)獲取
局域網(wǎng)IP地址：192.168.5.18
本地網(wǎng)絡(luò)：192.168.5.0/24
本地默認(rèn)網(wǎng)關(guān)：192.168.5.1
VPN名：vpngate2
VPN IP：10.0.0.2
兩臺機(jī)器均正確配置，能正常訪問本地局域網(wǎng)和互聯(lián)網(wǎng)，并且兩臺機(jī)器均正確安裝SSH。
3．軟件
需安裝以下軟件：
◆ pppd Linux一般已經(jīng)默認(rèn)安裝。如果沒有安裝，請使用安裝光盤進(jìn)行安裝。
◆ OpenSSH Linux一般已經(jīng)安裝。如果沒有安裝，請使用安裝光盤進(jìn)行安裝。欲了解更多內(nèi)容，可參見http://www.openssh.com/站點(diǎn)。
◆ pty-redir 可從ftp://ftp.vein.hu/pub/ssa/contrib/mag/pty-redir-0.1.tar.gz和http://bleu.west.spy.net/~dustin/soft/pty-redir-0.1.tar.gz站點(diǎn)下載、安裝。
◆ ssh-ip-tunnel 可從http://bleu.west.spy.net/~dustin/soft/vpn-1.0.tar.gz站點(diǎn)下載、安裝。
準(zhǔn)備工作
1．創(chuàng)建VPN賬號
首先在兩臺服務(wù)器上分別添加VPN賬號。以root身份創(chuàng)建賬號vpnusers，并創(chuàng)建~/.ssh目錄：

$ su - # useradd -m -c "VPN User" vpnuser # mkdir /home/vpnuser/.ssh

在Linux環(huán)境下如果使用useradd添加用戶，而不為其設(shè)立密碼，則該賬號是一個(gè)鎖定的賬號，所以vpnuser賬號應(yīng)該是一個(gè)被鎖定的賬號。
2．添加VPN的IP信息
在兩臺服務(wù)器上分別將VPN的PPP接口所使用的IP地址添加到文件/etc/hosts中。內(nèi)容如下：

10.0.0.1 vpngate1 10.0.0.2 vpngate2

并在server2上添加server1的外部IP地址到文件/etc/hosts中。內(nèi)容如下：

208.198.14.212 server1

配置
1．配置SSH
（1）配置sshd
在中心服務(wù)器server1上修改sshd服務(wù)器的配置，允許其使用公鑰方式的認(rèn)證（Public Key Authentication）。
以root身份編輯文件：

$ su - # vi /etc/ssh/sshd_config

刪除下面一行最前面的注釋符號“#”：

#PubkeyAuthentication yes

改為：

PubkeyAuthentication yes

（2）創(chuàng)建和交換SSH密鑰
在server1上以root身份為vpnuser創(chuàng)建SSH密鑰：

$ su - # /usr/bin/ssh-keygen -t dsa -f /home/vpnuser/.ssh/id_dsa -C vpnuser@vpngate1 -N '' # /usr/bin/ssh-keygen -t rsa -f /home/vpnuser/.ssh/id_rsa -C vpnuser@vpngate1 -N ''

在vpngate2上以root身份為vpnuser創(chuàng)建SSH密鑰：

$ su - # /usr/bin/ssh-keygen -t dsa -f /home/vpnuser/.ssh/id_dsa -C vpnuser@vpngate2 -N '' # /usr/bin/ssh-keygen -t rsa -f /home/vpnuser/.ssh/id_rsa -C vpnuser@vpngate2 -N ''

這里使用“-N ''”參數(shù)來產(chǎn)生空passphrases的密鑰，因?yàn)橥ㄟ^腳本管理VPN連接，無需手工干預(yù)。
（3）安裝授權(quán)密鑰
在server1上以root身份將公鑰連接到文件public_keys.vpngate1中：

# cat /home/vpnuser/.ssh/id_*.pub > /home/vpnuser/.ssh/public_keys.vpngate1

在server2上以root身份將公鑰連接到文件public_keys.vpngate2中：

# cat /home/vpnuser/.ssh/id_*.pub > /home/vpnuser/.ssh/public_keys.vpngate2

分別將兩系統(tǒng)的publi_keys文件拷貝到對方機(jī)器的/home/vpnuser/.ssh目錄中。并在兩系統(tǒng)上將public_keys文件連接為一個(gè)授權(quán)密鑰（authorized_keys）文件：

# cat /home/vpnuser/.ssh/public_keys.* > /home/vpnuser/.ssh/authorized_keys # cat /home/vpnuser/.ssh/public_keys.* > /home/vpnuser/.ssh/authorized_keys2

最后在兩臺機(jī)器上正確設(shè)置訪問~/.ssh目錄的訪問權(quán)限和文件屬主：

# chown -R vpnuser /home/vpnuser/.ssh # chmod 600 /home/vpnuser/.ssh/* # chmod 644 /home/vpnuser/.ssh/*.pub

2．配置隧道
軟件ssh-ip-tunnel以前被稱為vpn，由于該名字容易引起歧義，因此被重新更名為ssh-ip-tunnel。如果希望得到更詳細(xì)的幫助，請使用man vpn。
ssh-ip-tunnel的配置文件位于/usr/local/etc/vpn/peers目錄下。在server1上創(chuàng)建配置文件。因?yàn)閟erver1作為服務(wù)器在運(yùn)行，并不發(fā)出VPN連接請求，因此其配置文件較簡單。內(nèi)容如下：

#/usr/local/etc/peers/vpngate2 SSHUSER=vpnuser

server2的配置文件相對復(fù)雜，內(nèi)容如下：

#/usr/local/etc/peers/vpngate1 SSH="/usr/bin/ssh -2" PEER=server1 SSHUSER=vpnuser RSAKEY=/home/vpnuser/.ssh/id_rsa LOCALPPP=/usr/sbin/pppd LPPPOPTIONS="call vpngate1" REMOTEPPP=/usr/sbin/pppd RPPPOPTIONS="call vpngate2"

3．配置PPP
首先在server1上創(chuàng)建PPP配置文件：

# /etc/ppp/vpngate2 #debug debug debug debug debug mtu 1500 mru 1500 noauth noipv6 10.0.0.1:10.0.0.2 netmask 255.255.255.0 linkname vpngate2 ipparam 192.168.5.0# Network on other side of vpngate2

再在server2上創(chuàng)建PPP配置文件如下：

# /etc/ppp/vpngate1 -- Remote VPN Server #debug debug debug debug debug mtu 1500 mru 1500 noauth noipv6 netmask 255.255.255.0 linkname vpngate1 ipparam 192.168.3.0# Network on other side of vpngate1 silent

可以看到VPN連接使用的PPP接口地址是在server1的配置文件中指定的。
測試
在server2上將root身份切換為vpnuser身份，并連接到server1上來進(jìn)行測試。命令如下：

# su vpnuser $ ssh -2 vpnuser@server1

如果是第一次連接server1,系統(tǒng)會出現(xiàn)提示問題，這里回答“yes”以便繼續(xù)連接，登錄成功后會得到一個(gè)Shell。
然后以root身份在server2上，測試到server1的VPN連接，命令如下：

# vpn vpngate1 authtest

監(jiān)控
下面的vpnchk腳本是實(shí)現(xiàn)VPN連接監(jiān)控的。一旦連接斷開，腳本會自動重新連接VPN，以保證VPN連接的可靠性。

#!/bin/sh # vpnchk -- Monitor VPN Connection and restart as necessary. # A single parameter is required: vpnchk <peer_name> # Ping REMOTE_VPN_HOST approximately every 10 seconds. Keep track of # failed pings by incrementing COUNT. If pings are good, always reset # COUNT back to zero. Only take corrective action when the number of # failed pings reaches THRESH(hold). Notify root by mail whenever the # status of the vpn connection has changed. # REMOTE_VPN_HOST=${1} MAILTO=root@localhost # if [ "${REMOTE_VPN_HOST}" = "" ]; then echo "Syntax: vpnchk <peer_name>" exit fi # CHK_TEXT="call ${REMOTE_VPN_HOST}" THRESH=3 COUNT=0 while [ : ]; do # loop forever if ping -c 5 ${REMOTE_VPN_HOST} 1>/dev/null 2>/dev/null ; then COUNT=0 if [ -f /tmp/.vpn-down ]; then rm -f /tmp/.vpn-down MSG="VPN Connection is -UP-: `date "+%H:%M on %m/%d/%Y"`" echo ${MSG} | mailx -s"${MSG}" ${MAILTO} fi else COUNT=`expr ${COUNT} + 1` if [ ${COUNT} -ge ${THRESH} ]; then if [ ! -f /tmp/.vpn-down ]; then touch /tmp/.vpn-down MSG="VPN Connection is DOWN: `date "+%H:%M on %m/%d/%Y"`" echo ${MSG} | mailx -s"${MSG}" ${MAILTO} fi PID=`ps -awwjx | grep -v grep | grep "${CHK_TEXT}" | awk '{print $2}'` if [ ! "${PID}" = "" ]; then for xPID in ${PID} ; do kill -KILL ${PID} ; done COUNT=0 sleep 60 fi nohup /usr/pkg/sbin/vpn fire start & sleep 150 fi fi sleep 10 done # end

將該vpnchk腳本安裝在目錄/usr/local/sbin下，在server2上以root身份運(yùn)行下面的命令來啟動VPN。

# /usr/local/sbin/vpnchk vpngate1

創(chuàng)建網(wǎng)絡(luò)路由
為了實(shí)現(xiàn)正確的路由，系統(tǒng)必須支持IP轉(zhuǎn)發(fā)，即:

/sbin/sysctl -w net.ipv4.ip_forward=1

在server1和sever2上分別創(chuàng)建ip-up和ip-down腳本來添加和刪除網(wǎng)絡(luò)路由。腳本內(nèi)容如下：

#!/bin/sh # /etc/ppp/ip-up # Add route for REMOTE_NETWORK # REMOTE_IP="${5}" REMOTE_NETWORK="${6}" if [ ! "${REMOTE_NETWORK}" = "" ]; then /sbin/route add -net ${REMOTE_NETWORK} ${REMOTE_IP} fi #!/bin/sh # /etc/ppp/ip-down # Delete route for REMOTE_NETWORK # REMOTE_IP="${5}" REMOTE_NETWORK="${6}" if [ ! "${REMOTE_NETWORK}" = "" ]; then /sbin/route delete -net ${REMOTE_NETWORK} ${REMOTE_IP} fi

最后，必須在兩個(gè)局域網(wǎng)絡(luò)的默認(rèn)網(wǎng)關(guān)上添加正確的路由，也就是將訪問VPN對方網(wǎng)絡(luò)的路由指向VPN服務(wù)器。
在網(wǎng)關(guān)192.168.3.1上的/etc/rc.d/rc.local添加：

/sbin/route add -net 192.168.5.0 netmask 255.255.255.0 gw 192.168.3.14

在網(wǎng)關(guān)192.168.5.1上的/etc/rc.d/rc.local添加：

/sbin/route add -net 192.168.3.0 netmask 255.255.255.0 gw 192.168.5.18

如上建立VPN連接以后，用戶可以分別在兩個(gè)局域網(wǎng)絡(luò)中任意連接對端網(wǎng)絡(luò)的任何機(jī)器。

VPN（Virtual Private Networks）：是一種專用的虛擬網(wǎng)絡(luò)，允許用戶從私人網(wǎng)絡(luò)（一般個(gè)人住處）通過公共網(wǎng)絡(luò)（一般Internet）安全地遠(yuǎn)程訪問企業(yè)資源。VPN技術(shù)利用“加密”技術(shù)和“隧道”技術(shù)來確保傳輸數(shù)據(jù)的安全性。
隧道技術(shù)：是一種通過使用互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式。使用隧道傳遞的數(shù)據(jù)可以是不同協(xié)議的數(shù)據(jù)包。隧道協(xié)議將這些不同協(xié)議的數(shù)據(jù)包重新封裝在新的包頭中發(fā)送。新的包頭提供路由信息，從而使封裝的負(fù)載數(shù)據(jù)能在隧道的兩個(gè)端點(diǎn)之間通過公共互聯(lián)網(wǎng)絡(luò)進(jìn)行傳遞。被封裝的數(shù)據(jù)包在公共互聯(lián)網(wǎng)絡(luò)上傳遞時(shí)所經(jīng)過的邏輯路徑稱為“隧道”。一旦到達(dá)網(wǎng)絡(luò)終點(diǎn)，數(shù)據(jù)將被解包并轉(zhuǎn)發(fā)到最終目的地。隧道技術(shù)是指包括數(shù)據(jù)封裝、傳輸和解包在內(nèi)的全過程。
SSH（Secure Shell Protocol）：一種基于安全會話目的的應(yīng)用程序。SSH支持身份認(rèn)證和數(shù)據(jù)加密，對所有傳輸?shù)臄?shù)據(jù)進(jìn)行加密處理。同時(shí)，可以對傳輸數(shù)據(jù)進(jìn)行壓縮處理，以加快數(shù)據(jù)傳輸速度。SSH既可以代替Telnet作為安全的遠(yuǎn)程登錄方式，又可以為FTP、POP等提供一個(gè)安全的“隧道”。OpenSSH是SSH的替代軟件包，是免費(fèi)的。