資源描述:
《深入openvpn的配置》由會(huì)員上傳分享��,免費(fèi)在線閱讀����,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)。
1�、深入OpenVPN的配置前面已經(jīng)比較詳細(xì)的說(shuō)明了OpenVPN的使用和配置,但在實(shí)際使用中�����,可能還會(huì)遇到很多網(wǎng)絡(luò)上的問(wèn)題�����,今天就再舉幾個(gè)例子說(shuō)明一下��。一����、案例1針對(duì)不同的客戶端指定不同的等級(jí)和權(quán)限。通常的方法是:1��、每個(gè)客戶端分配不同的IP地址���;2�、利用防火墻對(duì)不同的IP地址進(jìn)行控制�����;例如:引用1�、公司內(nèi)部網(wǎng)段是10.66.4.0/24��;2���、所有人允許訪問(wèn)Email服務(wù)器為10.66.4.4,但不能訪問(wèn)其他服務(wù)器�����;3�����、特定的客戶組允許訪問(wèn)Samba服務(wù)器為10.66.4.12���,不能訪問(wèn)其他服務(wù)器��;4���、管理員能訪問(wèn)所有公司內(nèi)網(wǎng)服務(wù)
2、器�。根據(jù)上述的要求,我們可以對(duì)OpenVPN服務(wù)端進(jìn)行配置:(而不需要修改客戶端配置文件)引用server.conf增加:#10.8.0.0是給所有VPN客戶端的IP段��;server10.8.0.0255.255.255.0#10.8.1.0是給管理員分配的IP段�;server10.8.1.0255.255.255.0#10.8.2.0就是給特定用戶組分配的IP段�����;server10.8.2.0255.255.255.0#下面是定義服務(wù)器讀取特殊客戶端配置文件的目錄為ccd��;client-config-dirccd通過(guò)上面的配置��,
3��、今后我們就可以對(duì)指定的客戶進(jìn)行特殊的定義了����。配置文件應(yīng)該放在ccd目錄下:引用ccd/sysadmin1:ifconfig-push10.8.1.110.8.1.2引用ccd/contractor1:ifconfig-push10.8.2.110.8.2.2引用ccd/contractor2:ifconfig-push10.8.2.510.8.2.6※注意:1、文件名就是客戶的CommonName���,OpenVPN是根據(jù)該名稱來(lái)獲得指定客戶端的�����;2�、客戶端的IP地址不是任意指定的����,由于Windows的TAP驅(qū)動(dòng)必須采用/30網(wǎng)段的
4、IP,為兼容該協(xié)議�,應(yīng)從特定的IP地址中選擇,而且是成組出現(xiàn)的��;(可參考第一份文章附錄介紹)那最后,剩下的就是用iptables防火墻做限制即可:(假設(shè)PLOICY為Deny)iptables-AFORWARD-itun0-s10.8.0.0/24-d10.66.4.4-jACCEPTiptables-AFORWARD-itun0-s10.8.1.0/24-d10.66.4.0/24-jACCEPTiptables-AFORWARD-itun0-s10.8.2.0/24-d10.66.4.12-jACCEPT二����、案例2讓客戶端內(nèi)
5、部子網(wǎng)可與服務(wù)端內(nèi)部網(wǎng)互通�����,其實(shí)也就是實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)互連了���。引用要求如下:1���、客戶端的子網(wǎng)網(wǎng)段必須唯一;2�、客戶端的CommonName要唯一���,而且不能在服務(wù)器的配置文件中配置有duplicate-cn�;3�、客戶端打開(kāi)IPForward(路由轉(zhuǎn)發(fā))和允許TUN、TAP進(jìn)入��;OK��,那假設(shè)客戶端子網(wǎng)為192.168.4.0����,并且客戶端網(wǎng)關(guān)和客戶端OpenVPN是同一服務(wù)器,那可以這樣配置:引用server.conf增加:#下面是定義服務(wù)器讀取特殊客戶端配置文件的目錄為ccd�����;client-config-dirccd#服務(wù)器增加到192.
6����、168.4.0/24的路由route192.168.4.0255.255.255.0#允許客戶端子網(wǎng)互通client-to-client#讓所有客戶端都增加到192.168.4.0/24的路由push"route192.168.4.0255.255.255.0"然后,對(duì)指定的客戶端建立配置文件��。mkdir/etc/openvpn/ccd在ccd目錄下建立一個(gè)與客戶端CommonName相同名字的文件名,并加入:引用#這是告訴服務(wù)器�����,我(客戶端)的子網(wǎng)網(wǎng)段是192.168.4.0/24;iroute192.168.4.0255.2
7��、55.255.0※注意:1�、若OpenVPNServer不是服務(wù)端子網(wǎng)的網(wǎng)關(guān),則必須在服務(wù)端子網(wǎng)網(wǎng)關(guān)加入指向192.168.4.0/24的路由���;2����、若客戶端的OpenVPNClient也不是客戶端子網(wǎng)的網(wǎng)關(guān),同樣的��,也必須加入對(duì)應(yīng)的路由�,如:routeadd-net192.168.4.0netmask255.255.255.0gw10.8.0.5deveth0總而言之����,就是必須讓網(wǎng)關(guān)通過(guò)VPN服務(wù)器,可路由到所有的VPN子網(wǎng),這無(wú)論是對(duì)于服務(wù)端還是客戶端都是必須定義的�。三、案例3OpenVPN內(nèi)部提供了DHCP的服務(wù)�����,而不需要依
8����、賴外部的DHCP服務(wù)器����。同樣,也提供了DHCP服務(wù)的一些配置參數(shù):引用server.conf配置:#定義客戶端的DNS服務(wù)器地址push"dhcp-optionsDNS192.168.228.1"#定義客戶端的WINS服務(wù)器地址push"dhcp-options
