欢迎来到天天文库
浏览记录
ID:37088274
大小:254.65 KB
页数:11页
时间:2019-05-17
《深入openvpn的配置》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、深入OpenVPN的配置前面已经比较详细的说明了OpenVPN的使用和配置,但在实际使用中,可能还会遇到很多网络上的问题,今天就再举几个例子说明一下。一、案例1针对不同的客户端指定不同的等级和权限。通常的方法是:1、每个客户端分配不同的IP地址;2、利用防火墙对不同的IP地址进行控制;例如:引用1、公司内部网段是10.66.4.0/24;2、所有人允许访问Email服务器为10.66.4.4,但不能访问其他服务器;3、特定的客户组允许访问Samba服务器为10.66.4.12,不能访问其他服务器;4、管理员能访问所有公司内网服务
2、器。根据上述的要求,我们可以对OpenVPN服务端进行配置:(而不需要修改客户端配置文件)引用server.conf增加:#10.8.0.0是给所有VPN客户端的IP段;server10.8.0.0255.255.255.0#10.8.1.0是给管理员分配的IP段;server10.8.1.0255.255.255.0#10.8.2.0就是给特定用户组分配的IP段;server10.8.2.0255.255.255.0#下面是定义服务器读取特殊客户端配置文件的目录为ccd;client-config-dirccd通过上面的配置,
3、今后我们就可以对指定的客户进行特殊的定义了。配置文件应该放在ccd目录下:引用ccd/sysadmin1:ifconfig-push10.8.1.110.8.1.2引用ccd/contractor1:ifconfig-push10.8.2.110.8.2.2引用ccd/contractor2:ifconfig-push10.8.2.510.8.2.6※注意:1、文件名就是客户的CommonName,OpenVPN是根据该名称来获得指定客户端的;2、客户端的IP地址不是任意指定的,由于Windows的TAP驱动必须采用/30网段的
4、IP,为兼容该协议,应从特定的IP地址中选择,而且是成组出现的;(可参考第一份文章附录介绍)那最后,剩下的就是用iptables防火墙做限制即可:(假设PLOICY为Deny)iptables-AFORWARD-itun0-s10.8.0.0/24-d10.66.4.4-jACCEPTiptables-AFORWARD-itun0-s10.8.1.0/24-d10.66.4.0/24-jACCEPTiptables-AFORWARD-itun0-s10.8.2.0/24-d10.66.4.12-jACCEPT二、案例2让客户端内
5、部子网可与服务端内部网互通,其实也就是实现点对点互连了。引用要求如下:1、客户端的子网网段必须唯一;2、客户端的CommonName要唯一,而且不能在服务器的配置文件中配置有duplicate-cn;3、客户端打开IPForward(路由转发)和允许TUN、TAP进入;OK,那假设客户端子网为192.168.4.0,并且客户端网关和客户端OpenVPN是同一服务器,那可以这样配置:引用server.conf增加:#下面是定义服务器读取特殊客户端配置文件的目录为ccd;client-config-dirccd#服务器增加到192.
6、168.4.0/24的路由route192.168.4.0255.255.255.0#允许客户端子网互通client-to-client#让所有客户端都增加到192.168.4.0/24的路由push"route192.168.4.0255.255.255.0"然后,对指定的客户端建立配置文件。mkdir/etc/openvpn/ccd在ccd目录下建立一个与客户端CommonName相同名字的文件名,并加入:引用#这是告诉服务器,我(客户端)的子网网段是192.168.4.0/24;iroute192.168.4.0255.2
7、55.255.0※注意:1、若OpenVPNServer不是服务端子网的网关,则必须在服务端子网网关加入指向192.168.4.0/24的路由;2、若客户端的OpenVPNClient也不是客户端子网的网关,同样的,也必须加入对应的路由,如:routeadd-net192.168.4.0netmask255.255.255.0gw10.8.0.5deveth0总而言之,就是必须让网关通过VPN服务器,可路由到所有的VPN子网,这无论是对于服务端还是客户端都是必须定义的。三、案例3OpenVPN内部提供了DHCP的服务,而不需要依
8、赖外部的DHCP服务器。同样,也提供了DHCP服务的一些配置参数:引用server.conf配置:#定义客户端的DNS服务器地址push"dhcp-optionsDNS192.168.228.1"#定义客户端的WINS服务器地址push"dhcp-options
此文档下载收益归作者所有