, for dette har jeg ' 11 går ud fra, at du har to net, a og b, på forskellige steder, både i forbindelse med internettet med bredbånd.på hver lokalitet, skal du bruge en linux - system, der fungerer som en router /firewall at tjene som vpn - slutpunkt.- og' m ved hjælp af to asus wl-500g deluxe - routere løber openwrt rc5... en linux fordeling for indbyggede routere... men du ' er fri til at bruge den hardware og distribution af dit valg.du kan bruge en af de bsds, mac os x, eller endog vinduer, tjek dokumentation om openvpn ' s hjemmeside for en liste over støttede styresystemer.hvis deres anvendelse openbsd, se artikel oprettelse af sikre trådløse adgangspunkter med openbsd og openvpn.,, netværk på begge områder skal anvende de samme undernet... for instace, 192.168.0.0/24... og for at undgå konflikter, hver computer på ethvert sted, bør have sin egen private ip - adresse.en god praksis er at anvende f.eks. ip - adresser 192.168.0.1 gennem 192.168.0.100 for computere, netværk og 192.168.0.101 gennem 192.168.0.200 for net, b. reserve intervallet 192.168.0.201 gennem 192.168.0.254 til routere og andre net udstyr.i dette eksempel, router på netværk (routera) vil have ip - adresse 192.168.0.253 og serveren for vpn, mens router på nettet b (routerb) vil have ip - adresse 192.168.0.254 og bliver klienten.,, denne opsætning er openvpn i bridging - modus, så du er nødt til at slå bro over den lokale netværk grænseflade med virtuelle grænseflade tap0, der anvendes af openvpn på begge routere.spørgsmål, openvpn... mktun - dev tap0, for at skabe tap0 grænseflade, så løb, brctl addbr br0, at skabe bro, og brctl addif br0 eth0; brctl addif br0 tap0; ifconfig tap0 0.0.0.0 promisc op, til at tilføje de lokale net grænseflade eth0 (i stedet for med deres grænseflade) og tap0 til broen og bringe tap0 op.hver fordeling har sin egen måde at konfigureringen af net, broer, jf. artikel skabe et sikkert linux baseret trådløs adgang for at på debian.,, nu skal du skabe ssl certifikat.det ' er god sikkerhed praksis at anvende en separat computer til dette formål, og helst ikke internetadgang.openvpn giver manuskripter (kaldet let rsa) for at lette proceduren, så det '. bare et spørgsmål om at besvare et par spørgsmål.oprettelsen af certifikater er beskrevet i pki del af openvpn ' hvordan, så jeg ' ll bare fremlægge en liste over de foranstaltninger, der er nødvendige for at skabe de nødvendige certifikater:,, cd /bar /andel /doc /openvpn /let rsa, kan være forskellige for deres distribution),.. /vars. /rent. skabe ca. /bygge centrale server routera. /bygge centrale routerb. /bygge dh openvpn... genkey - hemmelige nøgler /ta.key, om routera, skabe directory /etc /openvpn /nøgler ved udstedelse, mkdir - p /etc /openvpn /nøgler, og en kopi af det filer ca.crt, dh1024.pem, routera.crt, routera.key, og ta.key der tidligere til, at registret.gør det samme på routerb, kopiering i stedet filerne ca.crt, routerb.crt, routerb.key, og ta.key.også skabe fortegnelser /etc /openvpn /chroot /ccd på routera og /etc /openvpn /chroot på routerb.pasta følgende linjer i filen /etc /openvpn /server.conf på routera:,, mode - proto - udp - havn 1194 dev tap0 keepalive 10 120 dæmon writepid /var /er /openvpn.pid comp lzo max kunder 10 bruger ingen gruppe nogroup stadig nøglen stadig tun verbum 3 stum 20 kunde til kunde to kn - cd /etc /openvpn tls - tls) nøgler /ta.key 0 kode bf-cbc ca nøgler /ca.crt cert nøgler /routera.crt vigtige nøgler /routera.key dh nøgler /dh1024.pem chroot chroot klient ud dir kka, pasta følgende linjer i /etc /openvpn /client.conf på routerb, erstatte, 1.2.3.4, med routera ' offentlige ip - adresse.hvis du ikke ' brug ikke internet forbindelse med statiske ip - adresser, du kan bruge en dynamisk dns - tjeneste, f.eks. i stedet dyndns,.,, klient proto udp - dev tap0 fjerntliggende, 1.2.3.4, 1194 resolv endnu nobind fortsætter centrale fortsætter tun ns uendelige cert - server comp lzo dæmon writepid /var /er /openvpn.pid verbum 3 stum 20 bruger ingen gruppe nogroup cd /etc /openvpn ca nøgler /ca.crt cert nøgler /routerb.crt vigtige nøgler /routerb.key tls) nøgler /ta.key 1 chroot chroot,, openvpn vil droppe sine privilegier til bruger - og gruppe nogroup og vil chroot til registret /etc /openvpn /chroot, så snart det initializes for bedre sikkerhed.da vpn - vil løbe over internettet, og', er en god idé at bruge lzo motorer for at redde nogle båndbredde, så medmindre du har virkelig hurtige internetforbindelser, du skal forlade, comp lzo parameter, som det er.du kan finde oplysninger om de andre muligheder, der anvendes i konfigurationen filer på openvpn mand side.,, sørg for, at routera accepterer udp - forbindelser fra internettet om havn 1194, hvis du bruger iptables, løb, iptables - en input - jeg wan - p udp - dport 1194 - j, acceptere, at erstatte. wan, med din router ' s grænseflade ' er forbundet med internettet.start openvpn dæmonen på routera med, openvpn... ud /etc /openvpn /server.conf, og på routerb med, openvpn... ud /etc /openvpn /klient. conf.nu skal du være i stand til at forbinde til værter for net - b fra værter om net - og vice versa.hvis du har problemer, sætte ordkløveri, verbum, 9 i deres udformning filer og kontrollere systemet kævler.,, at openvpn automatisk begynde på støvle, du kan bruge din distribution ' s lokalitet manuskripter eller bare tilføje befaler dig at nulstille udstedt inden broen, og den openvpn dæmon din rc.local fil.hvis du bruger openwrt, skabe /etc /init.d/s70openvpn på begge routere og pasta følgende i sagen:,, #!/bin /sh sag ". $1 " i så dræbe er cat /var /er /openvpn. pid 'er; *) hvis!brctl vise
at bygge netværk med openvpn
Previous:hurtigt og beskidt samba fælde