vpn实例讲解.docx

vpn实例讲解.docx

《vpn实例讲解.docx》由会员分享，可在线阅读，更多相关《vpn实例讲解.docx（16页珍藏版）》请在冰豆网上搜索。

vpn实例讲解

实例讲解 手把手教你搭建适合自己的VPN

若是你既关注你的隐私又是在利用Wi-Fi热点或其他公共网络，那么虚拟专用网VPN对你来讲是最不可或缺的手腕。

此刻进展的技术比如套接层SSL（为"https"形式的网络地址提供效劳），能够避免信息在电脑和邮件或其他网络应用上传输时被歹意拦截，只是这种爱惜方法也具有其局限性。

   VPN的平安优势

   其一，绝大多数的网页和邮件效劳并非提供传输加密功能。

若是你只是利用POP客户端检查来自Comcast、Earthlink或其他任何网络效劳供给商的邮件，你可能会面临平安风险。

一样地，你在Google、雅虎或其他网页上输入查询信息，也会面临必然的潜在风险。

   另外，即便在网站上提供SSL平安爱惜，可是多数情形下，仍是很容易受到被称为sidejacking的劫持（SideJacking是指籍着嗅探技术，攫取周围WiFi利用者造访网站时的cookies数据，保留下来作为往后破解利用。

被截获的cookies可用来复制受害者先前成立连接的网站。

），它许诺任何人进入你的网络，而且能够轻易读取你的邮件和系统日记。

   就连上个月初召开的黑帽大会上，三名通信员利用简易的监测工具探取会议发布运算机网络，其中一人的密码也被人窃取了。

那么，又有谁明白有多少网络搜索、即便通信和电子邮件信息被暴露了呢？

假设肇事者不透露半点风声，这次解决或许可不能被发觉。

   这次事件也让咱们想到了虚拟专用网VPN。

虚拟专用网是一种"基于公共数据网，给用户一种直接连接到私人局域网感觉的效劳"。

VPN提供用户一种私人专用（Private）的感觉，因此成立在不平安、不可信任的公共数据网的首要任务是解决平安性问题。

VPN的平安性可通过隧道技术、加密和认证技术取得解决。

   VPN网络能够避免人们监测Wi-Fi热点或你的通信本地网络，他们所能看到的也仅仅是被加密的数据包。

最重要的是，这种爱惜能够延伸到每一个网页搜索、即便通信或邮件收发。

   有许多中小企业装备了价钱低廉的VPN产品，可是却暴露了很多平安问题。

在VPN中，咱们一致以为，利用OpenVPN能够为自己的网络带来更靠得住的平安保障。

OpenVPN是一个用于创建虚拟专用网络加密通道的软件包，它许诺参与成立VPN的单点利用预设的私钥，第三方证书，或用户名/密码来进行身份验证。

它还大量利用了OpenSSL加密库，和SSLv3/TLSv1。

由于OpenVPN与生俱来便具有了许多平安特性，因此利用OpenVPN自然是不贰之选。

下面，本文将向你一步步讲述如安在两台装有XP机械上设立OpenVPN（一台作为靠得住的，另一台作为客户端上网冲浪）。

为动态IP设立域名和子网

   第一步：

预备工作

   在安装和配置OpenVPN之前，你需要考虑好几个问题，才有便于打算工作的顺利开展。

第一，若是你的用户也是在局域网中运行的话，请确保他所拥有的子网与常见IP号码的区别。

大多数的器默许情形下一样都是利用形式，其实这很容易出问题。

若是在Wi-Fi热点环境下利用相同的子网，那么会显现IP冲突并致使无法连接网络的问题。

   为了幸免那个问题，能够依如实际需要，对子网进行从头编号，比如能够选择。

当你设置LAN时，要明确你所用到子网可不能被其他主机用于连接网络。

咱们会在下面的讲述当选择从开始的11个IP地址。

改变子网

    第二步：

设置效劳器和动态IP

   若是你没有固定IP而且你的效劳器IP也没有指定的话，那么你需要一个域名映射到你效劳器的IP地址上（若是你的效劳器拥有固定IP，那么你能够跳过这部份内容直接看下面的第三步）。

你能够登岸DynDNS，免费利用他们的动态DNS效劳功能（）。

DynDNS页面

   为此，你需要先创建一个帐户和密码。

提醒你注意的是，用户名和密码最好是你很容易识记，并且方便你使用的，因为你将会时常用到它们。

创建好之后，登陆帐户，并选择添加主机服务链接（）。

它允许你创建自己的域名，然后自动映射到你的服务器地址。

为此，你需要填入一个域名，选择"脱机主机"选项，然后在页面底部点击"创建主机"。

我们选择""域名。

当然，你可以选择自己中意的域名（前提是没有被他人使用）。

添加主机

    接下来，DynDNS升级软件（点此），并安装在服务器上（选择默认安装方式）。

当第一次运行时，它会提示你输入用户名和密码，你直接输入刚才创建的用户名和密码即可。

   一旦你输入了用户名和密码，DynDNSUpdater就会显示你适才填入的域名，若是显示无误，那么直接点击"应用"按钮。

dyndns帐户信息

   现在，你已经为你的服务器建立了一个域名。

每当服务器IP变化（假设它是动态设置的），DynDNS就会相应地更新域名系统。

（如果这一步你还有什么疑问的话，可以向DynDNS寻求帮助）

dyndnsupdater配置

治理密钥

   第三步：

安装和配置OpenVPN

   打开OpenVPN的页面并下载该软件。

在大多数情形下，你可能想要下载最新稳固版本的安装程序，因此咱们建议你下载。

下载OpenVPN

   下载好之后，把它安装在客户端和服务器端，并确保使用默认方式安装。

如果XP会显示"TAP-Win32"或"ZRTPMiniport"未通过认证的警告信息，你大可不必担心，当它出现时，只要点下"继续执行"即可。

   治理密钥

   OpenVPN能够为效劳器提供对称密钥来验证客户端，也能够为客户端验证效劳器。

这就使得密钥治理会变得加倍容易，但也会给带来更多的平安风险。

因此，不管如何，请不要选择对称密钥选项。

   相反，利用OpenVPN的公布密钥体系（PKI），能够提供加倍靠得住的平安保障。

利用之前，你需要为效劳器和客户端生成一个权威认证机构（CA）和独立的密钥。

   为OpenVPN生成和分发SSL密钥并非是很简单的情形，只是幸亏OpenVPN有一套密钥治理脚本，你只需要简单配置即可完成这一工作。

第一，在效劳器端打开命令窗口（选择"开始">"运行"，并键入"cmd"点击确信），在打开的命令窗口中，键入"cd\ProgramFiles\OpenVPN\easy-rsa"（不包括引号），回车后能够发觉，命令提示符该为了"C:

\ProgramFiles\OpenVPN\easy-rsa>"，紧接着输入如下命令：

   init-config

   vars

   clean-all

   build-ca

   前三个命令输入后，系统可不能有什么提示，当输入最后一个命令后，系统就会提示你所有的信息，包括两个字母的国家代码和州或省的代码。

其他信息能够不输入或忽略，唯一需要输入的是一起名称，比如输入OpenVPN-CA。

至此，你已经成功创建好了密钥所需的认证机构。

命令窗口中实现操作

   此刻为效劳器创建密钥，这需要在命令窗口中来实现。

生成证书管理的密钥

   创建效劳器密钥--效劳器端

   同适才的命令类似，系统会给你提示一些信息，要求你输入某些字符。

其实你大可忽略这些，包括其中一个要求你输入密码的提示信息。

唯一不能被忽略的是CommonName字段。

当系统征求名称时，输入"server"；当询问是不是要求认证时，输入"y"；当问及是不是要提交时，一样输入"y"。

创建的这些密钥对是用在效劳器上来利用的。

生成服务器端密钥

   下面将要创建客户端机器上的密钥对。

同样地，你也需要在命令窗口中来实现。

   创建密钥的pkcs12--客户端1

   此命令将生成一个密钥对，而且该密钥对只能输入你所选择的密码才能进行访问。

同适才一样，你能够忽略大部份内容，可是在CommonName字符下，你要输入"client1"。

当它提示输入密码时，你能够忽略。

当询问是不是要求认证时，输入"y"；当问及是不是要提交时，一样输入"y"。

接下来，系统会要求你输入和确认登出密码。

这一步相当重要，因为一旦客户端被操纵的话，它能够有效阻止偷盗者访问VPN网络。

请选择一些既容易识记又不容易被人猜想到的密码。

生成客户端密钥

   现在，你已经成功生成所有客户端连接VPN服务器所需要的密钥。

找到"C:

\ProgramFiles\OpenVPN\easy-rsa\keys"并双击，就可以看到所有的密钥。

密钥文件夹

   下面的工作，就是要把这些密钥划分到不同的地方。

在这整个密钥文件夹中，最重要的要数，它是CA权威认证负责给客户端生成新密钥以提供其连接到服务器的验证请求。

如果该文件一旦丢失，那么客户端就无法实现与VPN服务器的连接；如果该文件被窃取，那么偷盗者也可以利用它来连接服务器。

因此，请把该文件设置为最高安全级别，提供可靠的安全保障。

   第二，咱们也要专门留意以下三个文件：

，和。

打开效劳器"C:

\ProgramFiles\OpenVPN\config"，并复制这三个文件到那个文件夹中。

最后，再回到"C:

\ProgramFiles\OpenVPN\easy-rsa\keys"，找到""文件，复制该文件到客户端的"C:

\ProgramFiles\OpenVPN\config"文件夹中。

至此，你已经完成设立OpenVPN的密钥治理部份。

配置OpenVPN

   下面，咱们要为效劳器和客户端添加配置文件，并加倍需要进行一些修改。

   第一，下载一个文件（点击此处下载）和文件（点击此处下载）。

然后对其从头命名，并别离复制到客户端和效劳器端的"C:

\ProgramFiles\openvpn\config"文件夹中。

   若是你是严格依照咱们的做法操作，那么这些文件具有你所需要的大部份设置，除此之外，你还需要手动添加几个文件。

第一，在效劳器中定位到"C:

\ProgramFiles\openvpn\config"，打开文件夹中的""文件（以文档编辑器打开，或鼠标右键以记事本方式打开）。

打开以后，找到文本字符串"server-bridge"，并在其右边有一行大写字母的字符串，你能够把设置好的参数替代这些字符串。

   替代""的是你局域网的默认网关IP，在本文中，我们使用。

替代""的是子网掩码，我们使用。

   在前面讲述的预备工作中，咱们讨论过子网IP冲突的问题。

""能够用来表示起始IP，而""表示中止IP。

全数设置好后，该行变成如下形式：

      并请记得保留设置。

   接着，确实是自概念客户端上的配置文件了。

找到""字符串，并依照本文讲述，你能够设置成""并保留该配置文件。

   完成以上操作后，服务器和客户端上的"C:

\ProgramFiles\OpenVPN\config"文件夹应该会如图所示。

服务器配置文件夹

客户端配置文件夹

架设LAN

   第五步：

桥接LAN

   安装好OpenVPN后，网络连接中会显现一个新的本地连接。

在网络连接窗口的右上方，有个设备名称一栏，你能够在该栏中找到"TAP-Win32AdapterV9"（假设没有，能够鼠标右键，点查看下的详细信息），选中鼠标并右键选中桥接（如下图）。

桥接之前

桥接之后

   下面，我们可以连接是否正常。

在服务器桌面或者开始菜单，找到OpenVPN图标，鼠标右键选选择连接。

如果你可以看到以下连接界面，说明一切正常。

连接界面

   在客户端运行OpenVPN之前，请先确保连接上了网络。

然后双击运行，并连接。

当出现连接界面后，系统会提示你输入密码。

在输入正确后，你若能看到如下客户端连接窗口，说明客户端连接正常。

客户端连接界面