這里我們將要使用兩臺BSD、Linux或Unix服務器,在地理上相隔很遠的局域網之間,通過Internet創建一條不對稱的VPN連接。這兩個基于Linux/Unix的VPN系統均作為網絡互聯路由器運行。
所謂非對稱VPN是指只有一端可以發起VPN連接,即一端具有靜態IP地址,另一端具有動態IP地址,動態IP端發起VPN連接。
網絡結構與環境 1.網絡結構示意圖
網絡結構如圖1所示。
圖1 網絡結構圖
2.本文假設如下網絡環境:
◆ 中心VPN服務器
主機名:server1
外部IP地址:208.198.14.212
局域網IP地址:192.168.3.14
本地網絡:192.168.3.0/24
本地默認網關:192.168.3.1
VPN名:vpngate1
VPN IP:10.0.0.1
◆ 遠端VPN服務器
主機名:server2
互聯網地址動態獲取
局域網IP地址:192.168.5.18
本地網絡:192.168.5.0/24
本地默認網關:192.168.5.1
VPN名:vpngate2
VPN IP:10.0.0.2
兩臺機器均正確配置,能正常訪問本地局域網和互聯網,并且兩臺機器均正確安裝SSH。
3.軟件
需安裝以下軟件:
◆ pppd Linux一般已經默認安裝。如果沒有安裝,請使用安裝光盤進行安裝。
◆ OpenSSH Linux一般已經安裝。如果沒有安裝,請使用安裝光盤進行安裝。欲了解更多內容,可參見
http://www.openssh.com/站點。
◆ pty-redir 可從
ftp://ftp.vein.hu/pub/ssa/contrib/mag/pty-redir-0.1.tar.gz和
http://bleu.west.spy.net/~dustin/soft/pty-redir-0.1.tar.gz站點下載、安裝。
◆ ssh-ip-tunnel 可從
http://bleu.west.spy.net/~dustin/soft/vpn-1.0.tar.gz站點下載、安裝。
準備工作 1.創建VPN賬號
首先在兩臺服務器上分別添加VPN賬號。以root身份創建賬號vpnusers,并創建~/.ssh目錄:
$ su -
# useradd -m -c "VPN User" vpnuser
# mkdir /home/vpnuser/.ssh |
在Linux環境下如果使用useradd添加用戶,而不為其設立密碼,則該賬號是一個鎖定的賬號,所以vpnuser賬號應該是一個被鎖定的賬號。
2.添加VPN的IP信息
在兩臺服務器上分別將VPN的PPP接口所使用的IP地址添加到文件/etc/hosts中。內容如下:
10.0.0.1 vpngate1
10.0.0.2 vpngate2 |
并在server2上添加server1的外部IP地址到文件/etc/hosts中。內容如下:
配置 1.配置SSH
(1)配置sshd
在中心服務器server1上修改sshd服務器的配置,允許其使用公鑰方式的認證(Public Key Authentication)。
以root身份編輯文件:
$ su -
# vi /etc/ssh/sshd_config |
刪除下面一行最前面的注釋符號“#”:
#PubkeyAuthentication yes |
改為:
(2)創建和交換SSH密鑰
在server1上以root身份為vpnuser創建SSH密鑰:
$ su -
# /usr/bin/ssh-keygen -t dsa -f /home/vpnuser/.ssh/id_dsa -C vpnuser@vpngate1 -N ''
# /usr/bin/ssh-keygen -t rsa -f /home/vpnuser/.ssh/id_rsa -C vpnuser@vpngate1 -N '' |
在vpngate2上以root身份為vpnuser創建SSH密鑰:
$ su -
# /usr/bin/ssh-keygen -t dsa -f /home/vpnuser/.ssh/id_dsa -C vpnuser@vpngate2 -N ''
# /usr/bin/ssh-keygen -t rsa -f /home/vpnuser/.ssh/id_rsa -C vpnuser@vpngate2 -N '' |
這里使用“-N ''”參數來產生空passphrases的密鑰,因為通過腳本管理VPN連接,無需手工干預。
(3)安裝授權密鑰
在server1上以root身份將公鑰連接到文件public_keys.vpngate1中:
# cat /home/vpnuser/.ssh/id_*.pub > /home/vpnuser/.ssh/public_keys.vpngate1 |
在server2上以root身份將公鑰連接到文件public_keys.vpngate2中:
# cat /home/vpnuser/.ssh/id_*.pub > /home/vpnuser/.ssh/public_keys.vpngate2 |
分別將兩系統的publi_keys文件拷貝到對方機器的/home/vpnuser/.ssh目錄中。并在兩系統上將public_keys文件連接為一個授權密鑰(authorized_keys)文件:
# cat /home/vpnuser/.ssh/public_keys.* > /home/vpnuser/.ssh/authorized_keys
# cat /home/vpnuser/.ssh/public_keys.* > /home/vpnuser/.ssh/authorized_keys2 |
最后在兩臺機器上正確設置訪問~/.ssh目錄的訪問權限和文件屬主:
# chown -R vpnuser /home/vpnuser/.ssh
# chmod 600 /home/vpnuser/.ssh/*
# chmod 644 /home/vpnuser/.ssh/*.pub |
2.配置隧道
軟件ssh-ip-tunnel以前被稱為vpn,由于該名字容易引起歧義,因此被重新更名為ssh-ip-tunnel。如果希望得到更詳細的幫助,請使用man vpn。
ssh-ip-tunnel的配置文件位于/usr/local/etc/vpn/peers目錄下。在server1上創建配置文件。因為server1作為服務器在運行,并不發出VPN連接請求,因此其配置文件較簡單。內容如下:
#/usr/local/etc/peers/vpngate2
SSHUSER=vpnuser |
server2的配置文件相對復雜,內容如下:
#/usr/local/etc/peers/vpngate1
SSH="/usr/bin/ssh -2"
PEER=server1
SSHUSER=vpnuser
RSAKEY=/home/vpnuser/.ssh/id_rsa
LOCALPPP=/usr/sbin/pppd
LPPPOPTIONS="call vpngate1"
REMOTEPPP=/usr/sbin/pppd
RPPPOPTIONS="call vpngate2" |
3.配置PPP
首先在server1上創建PPP配置文件:
# /etc/ppp/vpngate2
#debug debug debug debug debug
mtu 1500
mru 1500
noauth
noipv6
10.0.0.1:10.0.0.2
netmask 255.255.255.0
linkname vpngate2
ipparam 192.168.5.0# Network on other side of vpngate2 |
再在server2上創建PPP配置文件如下:
# /etc/ppp/vpngate1 -- Remote VPN Server
#debug debug debug debug debug
mtu 1500
mru 1500
noauth
noipv6
netmask 255.255.255.0
linkname vpngate1
ipparam 192.168.3.0# Network on other side of vpngate1
silent |
可以看到VPN連接使用的PPP接口地址是在server1的配置文件中指定的。
測試 在server2上將root身份切換為vpnuser身份,并連接到server1上來進行測試。命令如下:
如果是第一次連接server1,系統會出現提示問題,這里回答“yes”以便繼續連接,登錄成功后會得到一個Shell。
然后以root身份在server2上,測試到server1的VPN連接,命令如下:
監控 下面的vpnchk腳本是實現VPN連接監控的。一旦連接斷開,腳本會自動重新連接VPN,以保證VPN連接的可靠性。
#!/bin/sh
# vpnchk -- Monitor VPN Connection and restart as necessary.
# A single parameter is required: vpnchk <peer_name>
# Ping REMOTE_VPN_HOST approximately every 10 seconds. Keep track of
# failed pings by incrementing COUNT. If pings are good, always reset
# COUNT back to zero. Only take corrective action when the number of
# failed pings reaches THRESH(hold). Notify root by mail whenever the
# status of the vpn connection has changed.
#
REMOTE_VPN_HOST=${1}
MAILTO=root@localhost
#
if [ "${REMOTE_VPN_HOST}" = "" ]; then
echo "Syntax: vpnchk <peer_name>"
exit
fi
#
CHK_TEXT="call ${REMOTE_VPN_HOST}"
THRESH=3
COUNT=0
while [ : ]; do # loop forever
if ping -c 5 ${REMOTE_VPN_HOST} 1>/dev/null 2>/dev/null ; then
COUNT=0
if [ -f /tmp/.vpn-down ]; then
rm -f /tmp/.vpn-down
MSG="VPN Connection is -UP-: `date "+%H:%M on %m/%d/%Y"`"
echo ${MSG} | mailx -s"${MSG}" ${MAILTO}
fi
else
COUNT=`expr ${COUNT} + 1`
if [ ${COUNT} -ge ${THRESH} ]; then
if [ ! -f /tmp/.vpn-down ]; then
touch /tmp/.vpn-down
MSG="VPN Connection is DOWN: `date "+%H:%M on %m/%d/%Y"`"
echo ${MSG} | mailx -s"${MSG}" ${MAILTO}
fi
PID=`ps -awwjx | grep -v grep | grep "${CHK_TEXT}" | awk '{print $2}'`
if [ ! "${PID}" = "" ]; then
for xPID in ${PID} ; do kill -KILL ${PID} ; done
COUNT=0
sleep 60
fi
nohup /usr/pkg/sbin/vpn fire start &
sleep 150
fi
fi
sleep 10
done
# end |
將該vpnchk腳本安裝在目錄/usr/local/sbin下,在server2上以root身份運行下面的命令來啟動VPN。
# /usr/local/sbin/vpnchk vpngate1 |
創建網絡路由 為了實現正確的路由,系統必須支持IP轉發,即:
/sbin/sysctl -w net.ipv4.ip_forward=1 |
在server1和sever2上分別創建ip-up和ip-down腳本來添加和刪除網絡路由。腳本內容如下:
#!/bin/sh
# /etc/ppp/ip-up
# Add route for REMOTE_NETWORK
#
REMOTE_IP="${5}"
REMOTE_NETWORK="${6}"
if [ ! "${REMOTE_NETWORK}" = "" ]; then
/sbin/route add -net ${REMOTE_NETWORK} ${REMOTE_IP}
fi
#!/bin/sh
# /etc/ppp/ip-down
# Delete route for REMOTE_NETWORK
#
REMOTE_IP="${5}"
REMOTE_NETWORK="${6}"
if [ ! "${REMOTE_NETWORK}" = "" ]; then
/sbin/route delete -net ${REMOTE_NETWORK} ${REMOTE_IP}
fi |
最后,必須在兩個局域網絡的默認網關上添加正確的路由,也就是將訪問VPN對方網絡的路由指向VPN服務器。
在網關192.168.3.1上的/etc/rc.d/rc.local添加:
/sbin/route add -net 192.168.5.0 netmask 255.255.255.0 gw 192.168.3.14 |
在網關192.168.5.1上的/etc/rc.d/rc.local添加:
/sbin/route add -net 192.168.3.0 netmask 255.255.255.0 gw 192.168.5.18 |
如上建立VPN連接以后,用戶可以分別在兩個局域網絡中任意連接對端網絡的任何機器。
VPN(Virtual Private Networks):是一種專用的虛擬網絡,允許用戶從私人網絡(一般個人住處)通過公共網絡(一般Internet)安全地遠程訪問企業資源。VPN技術利用“加密”技術和“隧道”技術來確保傳輸數據的安全性。
隧道技術:是一種通過使用互聯網絡的基礎設施在網絡之間傳遞數據的方式。使用隧道傳遞的數據可以是不同協議的數據包。隧道協議將這些不同協議的數據包重新封裝在新的包頭中發送。新的包頭提供路由信息,從而使封裝的負載數據能在隧道的兩個端點之間通過公共互聯網絡進行傳遞。被封裝的數據包在公共互聯網絡上傳遞時所經過的邏輯路徑稱為“隧道”。一旦到達網絡終點,數據將被解包并轉發到最終目的地。隧道技術是指包括數據封裝、傳輸和解包在內的全過程。
SSH(Secure Shell Protocol):一種基于安全會話目的的應用程序。SSH支持身份認證和數據加密,對所有傳輸的數據進行加密處理。同時,可以對傳輸數據進行壓縮處理,以加快數據傳輸速度。SSH既可以代替Telnet作為安全的遠程登錄方式,又可以為FTP、POP等提供一個安全的“隧道”。OpenSSH是SSH的替代軟件包,是免費的。
