这里我们将要使用两台BSD、Linux或Unix服务器,在地理上相隔很远的局域网之间,通过Internet创建一条不对称的VPN连接。这两个基于Linux/Unix的VPN系统均作为网络互联路由器运行。
所谓非对称VPN是指只有一端可以发起VPN连接,即一端具有静态IP地址,另一端具有动态IP地址,动态IP端发起VPN连接。
网络结构与环境
1.网络结构示意图
网络结构如图1所示。
图1 网络结构图
2.本文假设如下网络环境:
◆ 中心VPN服务器
主机名:server1
外部IP地址:208.198.14.212
局域网IP地址:192.168.3.14
本地网络:192.168.3.0/24
本地默认网关:192.168.3.1
VPN名:vpngate1
VPN IP:10.0.0.1
◆ 远端VPN服务器
主机名:server2
互联网地址动态获取
局域网IP地址:192.168.5.18
本地网络:192.168.5.0/24
本地默认网关:192.168.5.1
VPN名:vpngate2
VPN IP:10.0.0.2
两台机器均正确配置,能正常访问本地局域网和互联网,并且两台机器均正确安装SSH。
3.软件
需安装以下软件:
◆ pppd Linux一般已经默认安装。如果没有安装,请使用安装光盘进行安装。
◆ OpenSSH Linux一般已经安装。如果没有安装,请使用安装光盘进行安装。欲了解更多内容,可参见http://www.openssh.com/站点。
◆ pty-redir 可从ftp://ftp.vein.hu/pub/ssa/contrib/mag/pty-redir-0.1.tar.gz和http://bleu.west.spy.net/~dustin/soft/pty-redir-0.1.tar.gz站点下载、安装。
◆ ssh-ip-tunnel 可从http://bleu.west.spy.net/~dustin/soft/vpn-1.0.tar.gz站点下载、安装。
准备工作
1.创建VPN账号
首先在两台服务器上分别添加VPN账号。以root身份创建账号vpnusers,并创建~/.ssh目录:
$ su -
# useradd -m -c "VPN User" vpnuser
# mkdir /home/vpnuser/.ssh
在Linux环境下如果使用useradd添加用户,而不为其设立密码,则该账号是一个锁定的账号,所以vpnuser账号应该是一个被锁定的账号。
2.添加VPN的IP信息
在两台服务器上分别将VPN的PPP接口所使用的IP地址添加到文件/etc/hosts中。内容如下:
10.0.0.1
vpngate1
10.0.0.2
vpngate2
并在server2上添加server1的外部IP地址到文件/etc/hosts中。内容如下:
208.198.14.212
server1
配置
1.配置SSH
(1)配置sshd
在中心服务器server1上修改sshd服务器的配置,允许其使用公钥方式的认证(Public Key Authentication)。
以root身份编辑文件:
$ su -
# vi /etc/ssh/sshd_config
删除下面一行最前面的注释符号“#”:
#PubkeyAuthentication yes
改为: PubkeyAuthentication yes
(2)创建和交换SSH密钥
在server1上以root身份为vpnuser创建SSH密钥:
$ su -
# /usr/bin/ssh-keygen -t dsa -f /home/vpnuser/.ssh/id_dsa -C vpnuser@vpngate1 -N ''
# /usr/bin/ssh-keygen -t rsa -f /home/vpnuser/.ssh/id_rsa -C vpnuser@vpngate1 -N ''
在vpngate2上以root身份为vpnuser创建SSH密钥:
$ su -
# /usr/bin/ssh-keygen -t dsa -f /home/vpnuser/.ssh/id_dsa -C vpnuser@vpngate2 -N ''
# /usr/bin/ssh-keygen -t rsa -f /home/vpnuser/.ssh/id_rsa -C vpnuser@vpngate2 -N ''
这里使用“-N ''”参数来产生空passphrases的密钥,因为通过脚本管理VPN连接,无需手工干预。
(3)安装授权密钥
在server1上以root身份将公钥连接到文件public_keys.vpngate1中:
# cat /home/vpnuser/.ssh/id_*.pub /home/vpnuser/.ssh/public_keys.vpngate1
在server2上以root身份将公钥连接到文件public_keys.vpngate2中:
# cat /home/vpnuser/.ssh/id_*.pub /home/vpnuser/.ssh/public_keys.vpngate2
分别将两系统的publi_keys文件拷贝到对方机器的/home/vpnuser/.ssh目录中。并在两系统上将public_keys文件连接为一个授权密钥(authorized_keys)文件:
# cat /home/vpnuser/.ssh/public_keys.* /home/vpnuser/.ssh/authorized_keys
# cat /home/vpnuser/.ssh/public_keys.* /home/vpnuser/.ssh/authorized_keys2
最后在两台机器上正确设置访问~/.ssh目录的访问权限和文件属主:
# chown -R vpnuser /home/vpnuser/.ssh
# chmod 600 /home/vpnuser/.ssh/*
# chmod 644 /home/vpnuser/.ssh/*.pub
2.配置隧道
软件ssh-ip-tunnel以前被称为vpn,由于该名字容易引起歧义,因此被重新更名为ssh-ip-tunnel。如果希望得到更详细的帮助,请使用man vpn。
ssh-ip-tunnel的配置文件位于/usr/local/etc/vpn/peers目录下。在server1上创建配置文件。因为server1作为服务器在运行,并不发出VPN连接请求,因此其配置文件较简单。内容如下:
#/usr/local/etc/peers/vpngate2
SSHUSER=vpnuser
server2的配置文件相对复杂,内容如下:
#/usr/local/etc/peers/vpngate1
SSH="/usr/bin/ssh -2"
PEER=server1
SSHUSER=vpnuser
RSAKEY=/home/vpnuser/.ssh/id_rsa
LOCALPPP=/usr/sbin/pppd
LPPPOPTIONS="call vpngate1"
REMOTEPPP=/usr/sbin/pppd
RPPPOPTIONS="call vpngate2"
3.配置PPP
首先在server1上创建PPP配置文件:
# /etc/ppp/vpngate2
#debug debug debug debug debug
mtu 1500
mru 1500
noauth
noipv6
10.0.0.1:10.0.0.2
netmask 255.255.255.0
linkname vpngate2
ipparam 192.168.5.0# Network on other side of vpngate2
再在server2上创建PPP配置文件如下:
# /etc/ppp/vpngate1 -- Remote VPN Server
#debug debug debug debug debug
mtu 1500
mru 1500
noauth
noipv6
netmask 255.255.255.0
linkname vpngate1
ipparam 192.168.3.0# Network on other side of vpngate1
silent
可以看到VPN连接使用的PPP接口地址是在server1的配置文件中指定的。
测试
在server2上将root身份切换为vpnuser身份,并连接到server1上来进行测试。命令如下:
# su vpnuser
$ ssh -2 vpnuser@server1
如果是第一次连接server1,系统会出现提示问题,这里回答“yes”以便继续连接,登录成功后会得到一个Shell。
然后以root身份在server2上,测试到server1的VPN连接,命令如下:
# vpn vpngate1 authtest
监控
下面的vpnchk脚本是实现VPN连接监控的。一旦连接断开,脚本会自动重新连接VPN,以保证VPN连接的可靠性。
将该vpnchk脚本安装在目录/usr/local/sbin下,在server2上以root身份运行下面的命令来启动VPN。
# /usr/local/sbin/vpnchk vpngate1
创建网络路由
为了实现正确的路由,系统必须支持IP转发,即:
/sbin/sysctl -w net.ipv4.ip_forward=1
在server1和sever2上分别创建ip-up和ip-down脚本来添加和删除网络路由。脚本内容如下:
最后,必须在两个局域网络的默认网关上添加正确的路由,也就是将访问VPN对方网络的路由指向VPN服务器。
在网关192.168.3.1上的/etc/rc.d/rc.local添加:
/sbin/route add -net 192.168.5.0 netmask 255.255.255.0 gw 192.168.3.14
在网关192.168.5.1上的/etc/rc.d/rc.local添加:
/sbin/route add -net 192.168.3.0 netmask 255.255.255.0 gw 192.168.5.18
如上建立VPN连接以后,用户可以分别在两个局域网络中任意连接对端网络的任何机器。
相关链接
VPN(Virtual Private Networks):是一种专用的虚拟网络,允许用户从私人网络(一般个人住处)通过公共网络(一般Internet)安全地远程访问企业资源。VPN技术利用“加密”技术和“隧道”技术来确保传输数据的安全性。
隧道技术:是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据可以是不同协议的数据包。隧道协议将这些不同协议的数据包重新封装在新的包头中发送。新的包头提供路由信息,从而使封
