欢迎来到天天文库
浏览记录
ID:40562528
大小:640.18 KB
页数:19页
时间:2019-08-04
《openvpn sitetosite模式配置》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、OPENVPNSITETOSITE模式配置一.网络拓扑结构利用openvpn部署在三个网关机器上,使其对应的内网机器可以互通。二.部署配置首先配置ip转发/etc/sysctl.conf添加net.ipv4.ip_forward=12.1tun模式组网配置服务端配置server.conflocal202.194.68.1prototcpdevtuncaca.crtcertserver.crtkeyserver.keydhdh2048.pemserver10.8.0.0255.255.255.0ifconfig-pool-persi
2、stipp.txtpush"route192.168.10.0255.255.255.0"#推送服务端后面的子网给客户端client-config-dir/etc/openvpn/ccdroute192.168.20.0255.255.255.0route192.168.30.0255.255.255.0client-to-clientkeepalive10120tls-authta.key0comp-lzomax-clients100usernobodygroupnobodypersist-keypersist-tunverb3
3、配置/etc/openvpn/ccd/client1iroute192.168.20.0255.255.255.0route192.168.30.0255.255.255.0配置/etc/openvpn/ccd/client2iroute192.168.30.0255.255.255.0route192.168.20.0255.255.255.0注:iroute:openvpn内部路由规则,tun模式下服务端会检查数据包来源是否为vpn主机发送的,如果不是则丢弃,配置iroute后可以使子网内的数据包在服务端通过检查解释起来就是i
4、nternalroute,其实就是独立于系统路由之外的OpenVPN的路由,该路由起到了访问控制的作用,特别是是在多对一即server模式的OpenVPN拓扑中,该机制可以在防止地址欺骗的同时更加灵活的针对每一个接入的客户端进行单独配置。在多对一的情况下,必须要有机制检查访问内网资源的用户就是开始接入的那个用户,由于OpenVPN是第三层的VPN,而且基于独立于OpenVPN进程之外的虚拟网卡,那么一定要防止单独的客户端盗用其它接入客户端的地址的情况。在特定客户端的上下文中配置iroute选项,它是一个ip子网,默认是客户端虚拟i
5、p地址掩码是32位,你可以在保证路由以及IP地址不混乱的前提下任意配置它,OpenVPN仅仅让载荷数据包的源IP地址在iroute选项中配置的子网内的主机通过检查,其它数据载荷一律drop。比如客户端虚拟IP地址是172.16.0.2,而OpenVPN服务器针对该客户端的iroute参数是10.0.0.0/24,那么只要载荷数据包的源IP地址在10.0.0.0/24这个子网中,一律可以通过检查。 iroute是OpenVPN内部维护的一个路由,它主要用于维护和定位多个客户端所在的子网以及所挂接的子网,鉴于此,OpenV
6、PN对所谓的网对网拓扑的支持其实超级灵活,它能做到这个虚拟专用网到哪里终止以及从哪里开始。配置iroute后可以在服务端启动日志中发现服务端增加了子网ip跟客户端之间的规则。·客户端配置文件相似:例子为客户端1的配置文件cat/etc/openvpn/client.confclientdevtunprototcpremote202.194.68.11194resolv-retryinfinitenobindpersist-keypersist-tuncaca.crtcertcecgw-client1.crt#配置为客户端对应的证书
7、文件keycecgw-client1.key#配置为客户端对应的证书文件remote-cert-tlsservertls-authta.key1comp-lzoverb3;route192.168.30.0255.255.255.0也可以不用服务端push路由在这里配置对应的路由规则配置完成后使用启动命令启动vpn连接就可以了openvpn–cd/etc/openvpn–config对应的配置文件tun模式路由表如下:服务端:192.168.0.0的可以忽略客户端2:客户端1:2.2tap模式配置tap模式不需要配置iroute规
8、则,只需要配置路由规则即可实现sitetosite模式服务端配置server.conflocal202.194.68.1prototcpdevtapcaca.crtcertserver.crtkeyserver.keydhdh2048.pemser
此文档下载收益归作者所有