openvpnhowto中文版

1、OpenVPNHOWTO中文版中文版#Loopback地址地址LOOP=127.0.0.1#刪除舊的刪除舊的iptables規(guī)則規(guī)則#并且臨時阻塞網(wǎng)絡(luò)通信并且臨時阻塞網(wǎng)絡(luò)通信iptablesPOUTPUTiptablesPINPUTiptablesPFWARDiptablesF#設(shè)置缺省策略設(shè)置缺省策略iptablesPOUTPUTACCEPTiptablesPINPUTiptablesPFWARD#阻止外部數(shù)據(jù)包使用阻止外部數(shù)據(jù)包使用

2、loopback地址地址iptablesAINPUTieth0s$LOOPjiptablesAFWARDieth0s$LOOPjiptablesAINPUTieth0d$LOOPjiptablesAFWARDieth0d$LOOPj#任何從互聯(lián)網(wǎng)流入的數(shù)據(jù)包都必須使用真實互聯(lián)網(wǎng)地址任何從互聯(lián)網(wǎng)流入的數(shù)據(jù)包都必須使用真實互聯(lián)網(wǎng)地址iptablesAFWARDieth0s192.168.0.016jiptablesAFWARDieth0s1

3、72.16.0.012jiptablesAFWARDieth0s10.0.0.08jiptablesAINPUTieth0s192.168.0.016jiptablesAINPUTieth0s172.16.0.012jiptablesAINPUTieth0s10.0.0.08j#阻塞阻塞Bios數(shù)據(jù)包流出數(shù)據(jù)包流出(如果內(nèi)網(wǎng)有如果內(nèi)網(wǎng)有windows機器機器)。#這不會影響這不會影響VPN隧道上的隧道上的Bios通信，通信，#但它會阻止

4、本地但它會阻止本地windows機器向互聯(lián)網(wǎng)廣播自己。機器向互聯(lián)網(wǎng)廣播自己。iptablesAFWARDptcpspt137:139oeth0jiptablesAFWARDpudpspt137:139oeth0jiptablesAOUTPUTptcpspt137:139oeth0jiptablesAOUTPUTpudpspt137:139oeth0j#檢查流向互聯(lián)網(wǎng)的數(shù)據(jù)包中源地址的合法性檢查流向互聯(lián)網(wǎng)的數(shù)據(jù)包中源地址的合法性iptab

5、lesAFWARDs!$PRIVATEieth1j#偽裝本地子網(wǎng)偽裝本地子網(wǎng)iptablestnatAPOSTROUTINGs$PRIVATEoeth0jMASQUERADEOpenVPN在防火墻設(shè)置中提供少量的附加選項：在防火墻設(shè)置中提供少量的附加選項：IfbothOpenVPNpeersreferencetheotherwithanexplicitremoteoptionstatefulfirewallsthatprovideUDP

6、connectiontracking(suchasiptables)existbetweenthepeersitispossibletorunOpenVPNwithoutanyexplicitfirewallrulesifbothpeersiginateregularpingstoeachothertokeeptheconnectionalive.TodothissimplyrunOpenVPNwiththeremotepeeropti

7、onspecifyping15toensurethatpacketsflowoverthetunnelatleastonceevery15seconds.上面的選項在隧道一端上面的選項在隧道一端(peer)頻繁變更頻繁變更IP地址比如說地址比如說DHCP或撥號時，顯得不夠方便。在這種情況下，以上簡單的防火或撥號時，顯得不夠方便。在這種情況下，以上簡單的防火墻配置將允許任何墻配置將允許任何IP地址通過地址通過UDP端口端口5000（Ope

8、nVPN的缺省的缺省UDP端口）端口）流入數(shù)據(jù)包。在流入數(shù)據(jù)包。在OpenVPN的安全模的安全模式下，所有流入隧道的數(shù)據(jù)或者通過安全驗證或者被丟棄，所以它通常被認為是安全的。式下，所有流入隧道的數(shù)據(jù)或者通過安全驗證或者被丟棄，所以它通常被認為是安全的。如果你選擇完全開放如果你選擇完全開放OpenVPN的incomingUDP端口就像上面簡單防火墻中的配置一樣，你可能會想利用端口就像上面簡單防火墻中的配置一樣，你可能會想利用tlsauth

9、選項在選項在TLS控制通道上作雙倍的驗證，同時使用控制通道上作雙倍的驗證，同時使用RSA密鑰和預(yù)先分享的密碼短語密鑰和預(yù)先分享的密碼短語(passphrase)來作為防御來作為防御DoS或active攻擊的第二道防線。關(guān)于攻擊的第二道防線。關(guān)于tlsauth的更多信息，參考的更多信息，參考openvpnmanpage。創(chuàng)建創(chuàng)建RSA證書和密鑰證書和密鑰OpenVPN有兩種安全模式，一種基于使用有兩種安全模式，一種基于使用RSA證書和密鑰

10、的證書和密鑰的SSLTLS，一種使用預(yù)先分享的靜態(tài)密鑰。，一種使用預(yù)先分享的靜態(tài)密鑰。SSLTLSRSA密鑰被證明是一種最安全的選擇，靜態(tài)密鑰優(yōu)勢則在于簡潔。如果你想使用密鑰被證明是一種最安全的選擇，靜態(tài)密鑰優(yōu)勢則在于簡潔。如果你想使用RSA密鑰，繼續(xù)往下讀。要使用靜態(tài)密鑰，密鑰，繼續(xù)往下讀。要使用靜態(tài)密鑰，向前跳到向前跳到創(chuàng)建預(yù)分享靜態(tài)密鑰創(chuàng)建預(yù)分享靜態(tài)密鑰一節(jié)一節(jié).我們將使用我們將使用openssl命令創(chuàng)建命令創(chuàng)建RSA證書和密鑰，

11、該命令包含在證書和密鑰，該命令包含在OpenSSL庫的發(fā)布程序中。庫的發(fā)布程序中。RSA證書是一種公開密鑰，在其中還含有其他安全域，比如說證書持有者的證書是一種公開密鑰，在其中還含有其他安全域，比如說證書持有者的CommonName或email地址。地址。OpenVPN有能力在進行認證前對這些域進行測試。更多信息參考有能力在進行認證前對這些域進行測試。更多信息參考openvpnmanpage中的中的tlsverify選項。選項。在我們的

12、例子中遵從在我們的例子中遵從apache慣例使用慣例使用.crt擴展名表示證書文件，擴展名表示證書文件，.key擴展名表示私鑰。私鑰文件必須安全保管。證書擴展名表示私鑰。私鑰文件必須安全保管。證書文件可以自由發(fā)布共享。文件可以自由發(fā)布共享。選擇一臺機器比如選擇一臺機器比如Office作為密鑰管理主機。作為密鑰管理主機。首先編輯文件首先編輯文件usrsharesslf(這個文件也許在其他地方，可以用這個文件也許在其他地方，可以用locat

13、ef命令找到它命令找到它)。你或許會對它作一些修改：你或許會對它作一些修改：建立一個目錄作為密鑰的工作目錄，將建立一個目錄作為密鑰的工作目錄，將dir指向它。指向它。考慮增加有限期限考慮增加有限期限default_days以免你的以免你的VPN在工作整一年后莫名其妙的終止。在工作整一年后莫名其妙的終止。設(shè)定設(shè)定certificate和private_key指向你的根證書指向你的根證書（mastercertificateauthityce

14、rtificate）和私鑰文件）和私鑰文件（我們馬上要生成它）。在下面的例子中，我們假定你的證書文件名為（我們馬上要生成它）。在下面的例子中，我們假定你的證書文件名為myca.crt，你的私鑰文件名為，你的私鑰文件名為myca.key。注意文件注意文件index.txt和serial。將。將index.txt清空，清空，serial初始化為包含一個數(shù)字序列比如初始化為包含一個數(shù)字序列比如01.如果你狂熱的追求密鑰長度，那可以將如果你狂熱

15、的追求密鑰長度，那可以將default_bits增加到增加到2048。對于打開對于打開pthread支持（可以后臺處理支持（可以后臺處理RSA密鑰）的鑰）的OpenVPN處理處理2048位的位的RSA密鑰是毫無問題的。甚至沒有打開密鑰是毫無問題的。甚至沒有打開pthread支持時也可以使用更長的密鑰，但支持時也可以使用更長的密鑰，但你會在隧道中作你會在隧道中作SSLTLS密鑰協(xié)商時感覺到響應(yīng)時間的延遲。這里有一份選擇密鑰協(xié)商時感覺到響應(yīng)