以上脚本运行时已成功启动了openVPN,并分配了网桥bridge0地址--192.168.4.241,可用命令lsof -i:1194检验下。
这里我将server.conf详细参数说明下,这里也是用bridge配置的重点
;locala.b.c.d ##申明本机使用的IP地址,也可以不说明port1194 ##申明使用的端口,默认1194;prototcp ##申明使用的协议,默认使用UDP,如果使用HTTP proxy,必须使用TCP协议proto udp dev tap ##申明使用的设备可选tap和tun,tap是二层设备,支持链路层协议。#tun是ip层的点对点协议,限制稍微多一些,本人习惯使用TAP设备;devtun ;dev-nodeMyTap #windows下需要像这样指定设备名##OpenVPN使用的ROOT CA,使用build-ca生成的,用于验证客户是证书是否合法ca /user/local/src/openvpn-2.0.9/easy-rsa/keys/ca.crt #Server使用的证书文件cert /usr/local/src/openvpn-2.0.9/easy-rsa/keys/server.crt#Server使用的证书对应的key,注意文件的权限,防止被盗key /usr/local/src/openvpn-2.0.9/easy-rsa/keys/server.key#This file should be kept secret#CRL文件的申明,被吊销的证书链,这些证书将无法登录crl-verify vpncrl.pem#上面提到的生成的Diffie-Hellman文件dh /user/local/src/openvpn-2.0.9/easy-rsa/keys/dh1024.pem#防止openvpn重新启动后"忘记"Client曾经使用过的IP地址ifconfig-pool-persistipp.txt#Bridge状态下类似DHCPD的配置,为客户分配地址,由于这里工作在桥接模式server-bridge 192.168.4.241 255.255.255.0 192.168.4.244 192.168.4.246#openVPN中有个参数是push,它表示通过VPN Server往Client push路由,
client通过pull指令获得Server push的所有选项并应用(这一点很重要,这样其他服务器添加一下路由就可以登陆了,
否则无效,这个最好和你的内网断一至,否则也不生效),但在网桥模式下这个就不需要配置了,这个主要用于其路由模式。
#如果可以让VPN Client之间相互访问直接通过openvpn程序转发
client-to-client#NAT后面使用VPN,如果VPN长时间不通信,NAT Session可能会失效,#导致VPN连接丢失,为防止之类事情的发生,keepalive提供一个类似于ping的机制,#下面表示每10秒通过VPN的Control通道ping对方,如果连续120秒无法ping通,#认为连接丢失,并重新启动VPN,重新连接#(对于mode server模式下的openvpn不会重新连接)。keepalive10 120#对数据进行压缩,注意Server和Client一致comp-lzo#定义最大连接数max-clients100#定义运行openvpn的用户usernobodygroupnobody#通过keepalive检测超时后,重新启动VPN,不重新读取keys,保留第一次使用的keyspersist-key#通过keepalive检测超时后,重新启动VPN,一直保持tun或者tap设备是linkup的,#否则网络连接会先linkdown然后linkuppersist-tun#定期把openvpn的一些状态信息写到文件中,以便自己写程序计费或者进行其他操作statusopenvpn-status.log#记录日志,每次重新启动openvpn后删除原有的log信息logopenvpn.log#相当于debug level,具体查看manualverb3客户端的配置文件较简单, 我们这里就不能详细阐述了,如下:[root@openvpn]# cat client.txt grep -v "^;" grep -v "^#" sed '/^$/d'clientdev tap0proto udpremote 192.168.4.46 1194#内网通过防火墙NAT作的DMZ映射出去resolv-retry infinitenobindpersist-keypersist-tunca ca.crtcert zacharyz.crtkey zacharyz.keycomp-lzoverb 3
测试结果:
我们测试时分配的是联通的公网IP,测试时发现只要一拨号,无论是ADSL还是小区环境,结果只要能连通192.168.4.46的机器,它所能连通的网段均都能连通,由于 我只需要ssh环境即可完成日常工作,但其它同事需要远程桌面环境,所以准备将其更改完电信的公网IP;另整个环境部署工作完成时,得到了我们部门经理Manager Z的帮助,这里 表示感谢。这篇文章主要介绍的是桥接模式下的openVPN,如果只需要路由模式,请参考我在51cto的另一篇openVPN相关文章,请注意二者的区别;整个openVPN在64bit的Freebsd8下完成。
实际投入运用结果:
将openVPN映射的外网改成电信IP后,发现丢包现象完全没有了;通过ADSL拨号上来,192.168.21.0/192.168.4.0/192.168.10.0/10.0.0.0这些网段的服务机和客户机全通了;比路由模式确实简单方便多了,如果有openVPN网桥需求的同志可参考这篇线上环境文章。
整个环境搭配总结:
一、同事们的上网环境不一样,有的是长城带宽,还有的是广电网,我是天翼3G,还有的是ADSL共享上网,使用效果大家还是非常满意的,openVPN的穿透非常强,什么的硬件防火墙或路由器都穿透了;
二、电信服务器对应电信的拨号客户端效果不错,如果是联通对电信,那就是个杯具了;
三、尽量让环境搭得让大家舒服些,我在服务器添加了"push dns"选项,就是可以让大家一边上内网,一边聊QQ,工作和娱乐两不误;
四、以后有环境的话我会用openVPN作机房的网关,用于多机房的VPN连接。