主页 / server / 问题 / 68617
Accepted
Peter Smit
Asked: 2009-09-25 22:25:50 +0800 CST

如何使用 OpenVPN 设置高级网络配置

  • 772

我需要建立一个具有两个受保护网段的 OpenVPN 网络。

1) 一个开发者网络,所有开发者都可以访问其他机器。2) 具有两个角色的支持网络,支持者和客户。优选地,客户端不能发起与支持者的连接,但支持者可以发起与客户端的连接。

设置它的简单方法是使用两个单独的 OpenVPN 配置、2 个关键基础设施等。

但是,我认为这也应该可以仅通过一种 OpenVPN 配置实现,允许既是支持者又是开发者的人只使用一个证书来实现这两种目的。

我应该如何设置?

(OpenVPN 版本 2.0.x,openSuse 11.1)

openvpn

2 个回答

  1. Best Answer

    我已经看到一个 openvpn 部署作为服务器,其中客户端使用预共享密钥和证书进行身份验证,只有一个配置文件,每个客户端都有他的证书

    此外,网络之间的流量规则可以通过netfilter来解决

    这个周末我会尝试安装它并想出一个howto

    @@@@ 稍后编辑

    1 - 按照http://www.openvpn.net/index.php/open-source/documentation/howto.html#pki使用 openvpn 的内置工具颁发证书

    2 - 服务器配置

    local 1.2.3.4
port 1977
proto tcp
dev tap-server

ca /etc/openvpn/certs/ca.crt
cert /etc/openvpn/certs/server.crt
key /etc/openvpn/certs/server.key
dh /etc/openvpn/certs/dh1024.pem

server 172.17.188.0 255.255.255.0
ifconfig-pool-persist /etc/openvpn/var/pool.txt
client-to-client
keepalive 10 120
#tls-auth /etc/openvpn/certs/ta.key 0
#cipher DES-EDE3-CBC
max-clients 10
persist-key
persist-tun
status /var/log/openvpn/server-status.log
log-append /var/log/openvpn/server.log
verb 3
mute 10

push "route 10.0.0.56 255.255.255.255"
#client-config-dir /etc/openvpn/var/routes

    3 - 在客户端,连同 ca.crt 和 user.(key,csr,crt)

    remote 1.2.3.4
client
dev tap
nobind
port 1977
proto tcp-client
persist-key
persist-tun
ping-timer-rem
ping-restart 60
ping 10 
verb 3
ca ca.crt
cert user.crt
key user.key

    按照 openvpn 的示例,您可以从此架构开始进行各种设置

    • 1

  2. 或者,如果 OpenVPN 服务器是 Linux 机器,则编写一些 iptables 规则来控制数据流。

    • 1

相关问题