基于Linux的 OpenVPN网络之网络架构应用实例（一）

1. 案例需求分析

本案例主要基于RHEL5 和Windows XP系统环境,跨越不安全的Internet网络,为异地的两个局域网及远程网管工作站建立安全的SSL VPN连接（如图8.2所示）.

其中,北京总部和上海分公司的网关服务器均使用 RHEL5 系统,需要分别配置 OpenVPN,用于连接两个异地的局域网 LAN1、LAN2.此外,位于 Internet 中的网管工作站使用 Windows XP系统,需要随时通过 VPN 安全隧道访问总部的局域网 LAN1 和上海分公司的局域网 LAN2.

基于 Linux 的 OpenVPN 网络

OpenVPN 远程虚拟专用网络架构

基于上述需求,可以将北京总部的网关服务器 GW1 配置为 VPN Server 模式,上海的网关服务器GW2和Internet网 管工作站PC1均使用VPN Client模式.分别建立两条点对点

（Point-to-Point）的SSL VPN安全隧道——“GW1 <----> GW2”、“GW1 <----> PC1”即可.

Internet 网络的细节不是本案例的重点,因此GW1、GW2的公网IP地址分别使用

173.74.75.76和173.74.75.77来模拟.其他网络接口地址设置如下：

GW1、GW2 的内网接口 IP 地址分别为 192.168.1.1、192.168.2.1.

? GW1 <----> GW2 隧道：分别使用虚拟 IP 地址 10.8.0.1/30、10.8.0.2/30.

? GW1 <----> PC1 隧道：分别使用虚拟 IP 地址 10.9.0.1/30、10.9.0.2/30.

另外,两地局域网的客户机需要正确设置好 IP 地址、默认网关等参数：

? LAN1 的主机使用 192.168.1.0/24 网段,默认网关设为 192.168.1.1.

? LAN2 的主机使用 192.168.2.0/24 网段,默认网关设为 192.168.2.1.

2. 配置 GW1 <----> GW2 隧道连接

本小节主要阐述如何创建第 1 条 SSL VPN 隧道,用于连接 GW1、GW2 两台服务器,以便实现北京、上海两地局域网（LAN1、LAN2）的安全互联.

主要实现过程如下：

第一步、配置主服务器（GW1）——北京

A. 配置 Internet 连接及 SNAT、路由转发

1) 配置 IP 地址

eth0 接口(173.74.75.76/24)用于连接 Internet,eth1 接口（192.168.1.1/24）用于连

接局域网（配置过程略）

2) 开启路由及 SNAT 转换

[root@gw1 ~]# vim /opt/gw1_nat.sh

sysctl -w net.ipv4.ip_forward=1

/sbin/iptables -t nat -I POSTROUTING -o eth0 -j SNAT --to-source 173.74.75.76

[root@gw1 ~]# chmod a x /opt/gw1_nat.sh

[root@gw1 ~]# echo "/opt/gw1_nat.sh" &gt;&gt; /etc/rc.local

[root@gw1 ~]# /opt/gw1_nat.sh

net.ipv4.ip_forward = 1

[root@gw1 ~]# sysctl –p

B. 安装 OpenVPN 服务

[root@gw1 soft_dir]# tar zxvf lzo-2.03.tar.gz

[root@gw1 soft_dir]# cd lzo-2.03

[root@gw1 lzo-2.03]# ./configure && make && make install

[root@gw1 lzo-2.03]# cd ../

[root@gw1 soft_dir]# tar zxvf openvpn-2.0.9.tar.gz

[root@gw1 openvpn-2.0.9]# ./configure && make && make install

[root@gw1 ~]# cd /soft_dir/

[root@gw1 soft_dir]# cp -p openvpn-2.0.9/sample-scripts/openvpn.init /etc/init.d/openvpn

[root@gw1 soft_dir]# chmod x /etc/init.d/openvpn

[root@gw1 soft_dir]# chkconfig --add openvpn

[root@gw1 soft_dir]# chkconfig --level 2345 openvpn on

C. 创建证书和密钥文件

证书和密钥文件主要用于点对点客户端的认证,以便增强安全性.为了降低密钥创建过程的复杂性,可以充分利用 OpenVPN 源码包提供的 easy-rsa/目录,该目录中包含一系列简单易用的脚本工具（参考“openvpn-2.0.9/easy-rsa/README”文件）.

3) 配置变量环境

修改 easy-rsa/vars 文件,根据实际情况适当修改预定义变量,或保持默认.在后续

创建

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!