《Linux系统安全:纵深防御、安全扫描与入侵检测 》 —3.5 使用OpenVPN创建站点到站点虚拟专用网络

华章计算机 发表于 2019/11/14 12:27:07 2019/11/14
【摘要】 本节书摘来自华章计算机《Linux系统安全:纵深防御、安全扫描与入侵检测》一书中第3章,第3.5节,作者是胥峰。

3.5 使用OpenVPN创建站点到站点虚拟专用网络

站点到站点(Site-to-Site)虚拟专用网络,用于连接两个或者多个地域上不同的局域网LAN,每个LAN有一台OpenVPN服务器作为接入点,组成虚拟专用网络,使得不同LAN里面的主机和服务器能够互相通信。

一个典型的站点到站点的虚拟专用网络物理架构如图3-11所示。

 image.png

图3-11 典型的站点到站点模式虚拟专用网络物理架构图

在部署这种站点到站点模式虚拟专用网络时,需要注意以下几点:

在所有虚拟专用网络的接入点,把系统路由转发打开。

在所有虚拟专用网络的接入点,在tun0端口和内网端口全部配置成网络地址转换模式,这样可以极大地简化虚拟专用网络路由设置。

在所有虚拟专用网络的接入点,把iptables转发设置为允许。

每个LAN的主机,通过设置静态路由或者默认路由,把到对端LAN的访问下一跳指向到本LAN的接入点服务器的内网IP。

本架构中的虚拟专用网络客户端x.y.z.28配置文件如下,供大家参考。

[root@localhost openvpn]# cat vpnclient.conf

client

dev tun

proto udp

remote a.b.c.239 1194

resolv-retry infinite

nobind

persist-key

persist-tun

ca /etc/openvpn/ca.crt

cert    /etc/openvpn/vpnclient1.crt

key     /etc/openvpn/vpnclient1.key

ns-cert-type server

tls-auth /etc/openvpn/ta.key 1

comp-lzo

verb 4

route-delay 2

keepalive 10 120

log-append  /var/log/openvpn/openvpn.log


【版权声明】本文为华为云社区用户转载文章,如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件至:cloudbbs@huaweicloud.com进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容。
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。