[精华][原创]用OpenVPN构建安全VPN[OpenVPN+CA]作者:wenzk发表于：2008-12-2511:43:51【发表评论】【查看原文】【VPN讨论区】【关闭】[原创]用OpenVPN构建安全VPN[OpenVPN+CA]一直想写一片关于VPN配置方面的文章，由于时间等等很多问题，一直没有落实，现在终于和大家见面了，由于本人知识有限也并非专业从事这方面工作的，难免有错误，望指正，共同提高。自从认识VPN以来，一直在找寻一个容易配置、功能强大、支持多系统的VPN程序，由于一直没有找到合适的软件，Linux下的FreeSWAN、OpenBSDFreeBSD下的IPSec、Windows下的PPTP都试了试，始终不能满足自己的要求，直到OpenVPN的出现。关于各种VPN软件或者硬件的优缺点，在这里我就不再叙述了，因为这个掺杂着很多人为的因素在里边（萝卜好吃还是青菜好吃？），一个软件：稳定、符合自己的要求、自己用的习惯就是一个好软件。对于OpenVPN，在CU的VPN版面也有过很多的讨论，其中也不乏精华的文章，但是都是使用Statickey验证的，从字面上就可以看出来Statickey使用的就是预先生成的key对数据进行加密和解密，也就是常说的对称试加密，加密和解密双方必须预先知道加密的Key。本文讨论的是基于TLS加密方式，使用CA验证VPNClient的身份，OpenVPN使用TLS加密是通过使用公开密钥（非对称密钥，加密解密使用不同的key，一个称为Publickey，另一个是Privatekey）对数据进行加密的，对于TLS传输的工作原理，大家可以去Google一下，资料一大堆。对于OpenVPN使用TLSmode，首先Server和Client要有相同CA签发的证书，双方通过交换证书验证双方的合法性以决定是否建立VPN连接，然后使用对方CA把自己目前使用的数据加密方法（类似于密钥）加密后发送给对方，由于使用对方CA加密的，所以只有对方CA对应的Privatekey才能解密该字串，保证了此密钥的安全性，并且此密钥定期改变，对于窃听者来说，可能还没有破解出密钥，通信双方已经更换密钥了。我个人对OpenVPN的感觉（或者说是我使用OpenVPN的理由），NAT穿透力特强，支持HTTP代理，对动态地址支持很好，可配置性强，配置安全，开源便于二次开发...其他没有想好：）。关于OpenVPN的相关内容可以在上找到。下面开始正式讨论OpenVPN的安装和配置方法，本文是在FedoraCore2环境下配置的，由于机器在网络中不是在网关的位置，所以使用NAT方式来访问内网，否则还涉及到配置网络设备的路由。假设我的VPNServer有2块网卡，eth0对外，IP：61.1.1.2eth1对内，IP：192.168.1.2，内网地址：192.168.0.0/16本文除配置文件中行首的"#"是注释外，其他行首的"#"都是提示符，如果在非配置文件一行中第二次出现"#"说明后面的是注释，书写命令时可以省略。获取并安装Openvpn：首先检查系统是否安装lzo实时压缩工具$rpm-qa|greplzo如果没有安装可以在找到并安装，安装方法详见压缩包中的INSTALL文件，当然也可以用rpm包安装，记住一定要安装lzo-devel开头的那个包，因为OpenVPN需要使用lzo的头文件。$wgetz$tar-zxvfopenvpn-2.0_rc16.tar.gz$cdopenvpn-2.0_rc16$./configure$make$su#makeinstall按照INSTALL文件中的说明，做如下操作：#mknod/dev/net/tunc10200#创建一个tun设备#echo"aliaschar-major-10-200tun">;>;/etc/modprobe.conf#echo1>;/proc/sys/net/ipv4/ip_forward#打开系统的转发功能接下来就生成服务器客户端需要使用的keys了，为了方便，我们使用OpenVPN包自带的脚本生成。#mkdir/etc/openvpn#cp-reasy-rsa/etc/openvpn#切换到OpenVPN源代码目录执行修改vars文件-------------CUTHere-------------#easy-rsaparametersettings#NOTE:IfyouinstalledfromanRPM,#don'teditthisfileinplacein#/usr/share/openvpn/easy-rsa--#instead