《Linux系统安全:纵深防御、安全扫描与入侵检测 》 —3.5 使用OpenVPN创建站点到站点虚拟专用网络
3.5 使用OpenVPN创建站点到站点虚拟专用网络
站点到站点(Site-to-Site)虚拟专用网络,用于连接两个或者多个地域上不同的局域网LAN,每个LAN有一台OpenVPN服务器作为接入点,组成虚拟专用网络,使得不同LAN里面的主机和服务器能够互相通信。
一个典型的站点到站点的虚拟专用网络物理架构如图3-11所示。
图3-11 典型的站点到站点模式虚拟专用网络物理架构图
在部署这种站点到站点模式虚拟专用网络时,需要注意以下几点:
在所有虚拟专用网络的接入点,把系统路由转发打开。
在所有虚拟专用网络的接入点,在tun0端口和内网端口全部配置成网络地址转换模式,这样可以极大地简化虚拟专用网络路由设置。
在所有虚拟专用网络的接入点,把iptables转发设置为允许。
每个LAN的主机,通过设置静态路由或者默认路由,把到对端LAN的访问下一跳指向到本LAN的接入点服务器的内网IP。
本架构中的虚拟专用网络客户端x.y.z.28配置文件如下,供大家参考。
[root@localhost openvpn]# cat vpnclient.conf
client
dev tun
proto udp
remote a.b.c.239 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/vpnclient1.crt
key /etc/openvpn/vpnclient1.key
ns-cert-type server
tls-auth /etc/openvpn/ta.key 1
comp-lzo
verb 4
route-delay 2
keepalive 10 120
log-append /var/log/openvpn/openvpn.log
- 点赞
- 收藏
- 关注作者
评论(0)