使用SSH建立基于Linux/Unix的VPN网络

http://it.sohu.com/2004/03/17/47/article219474714.shtml
使用SSH建立基于Linux/Unix的VPN网络
　　这里我们将要使用两台BSD、Linux或Unix服务器，在地理上相隔很远的局域网之间，通过Internet创建一条不对称的VPN连接。这两个基于Linux/Unix的VPN系统均作为网络互联路由器运行。

　　所谓非对称VPN是指只有一端可以发起VPN连接，即一端具有静态IP地址，另一端具有动态IP地址，动态IP端发起VPN连接。

　　网络结构与环境

　　1．网络结构示意图

　　网络结构如图1所示。

　　

　　图1 网络结构图

　　

　　2．本文假设如下网络环境：

　　◆ 中心VPN服务器

　　主机名：server1

　　外部IP地址：208.198.14.212

　　局域网IP地址：192.168.3.14

　　本地网络：192.168.3.0/24

　　本地默认网关：192.168.3.1

　　VPN名：vpngate1

　　VPN IP：10.0.0.1

　　◆ 远端VPN服务器

　　主机名：server2

　　互联网地址动态获取

　　局域网IP地址：192.168.5.18

　　本地网络：192.168.5.0/24

　　本地默认网关：192.168.5.1

　　VPN名：vpngate2

　　VPN IP：10.0.0.2

　　两台机器均正确配置，能正常访问本地局域网和互联网，并且两台机器均正确安装SSH。

　　3．软件

　　需安装以下软件：

　　◆ pppd Linux一般已经默认安装。如果没有安装，请使用安装光盘进行安装。

　　◆ OpenSSH Linux一般已经安装。如果没有安装，请使用安装光盘进行安装。欲了解更多内容，可参见http://www.openssh.com/站点。

　　◆ pty-redir 可从ftp://ftp.vein.hu/pub/ssa/contrib/mag/pty-redir-0.1.tar.gz和http: //bleu.west.spy.net/~dustin/soft/pty-redir-0.1.tar.gz站点下载、安装。

　　◆ ssh-ip-tunnel 可从http://bleu.west.spy.net/~dustin/soft/vpn-1.0.tar.gz站点下载、安装。

　　准备工作

　　1．创建VPN账号

　　首先在两台服务器上分别添加VPN账号。以root身份创建账号vpnusers，并创建~/.ssh目录：

　　

$ su -
# useradd -m -c "VPN User" vpnuser
# mkdir /home/vpnuser/.ssh


　　在Linux环境下如果使用useradd添加用户，而不为其设立密码，则该账号是一个锁定的账号，所以vpnuser账号应该是一个被锁定的账号。

　　2．添加VPN的IP信息

　　在两台服务器上分别将VPN的PPP接口所使用的IP地址添加到文件/etc/hosts中。内容如下：

　　

10.0.0.1   vpngate1
10.0.0.2   vpngate2

　　并在server2上添加server1的外部IP地址到文件/etc/hosts中。内容如下：

　

208.198.14.212   server1

　　配置

　　1．配置SSH

　　（1）配置sshd

　　在中心服务器server1上修改sshd服务器的配置，允许其使用公钥方式的认证（Public Key Authentication）。

　　以root身份编辑文件：

　

$ su -
# vi /etc/ssh/sshd_config


　　删除下面一行最前面的注释符号“#”：

　　

#PubkeyAuthentication yes


　　改为：

　　

PubkeyAuthentication yes


　　（2）创建和交换SSH密钥

　　在server1上以root身份为vpnuser创建SSH密钥：

　

$ su -
# /usr/bin/ssh-keygen -t dsa -f /home/vpnuser/.ssh/id_dsa -C vpnuser@vpngate1 -N ''
# /usr/bin/ssh-keygen -t rsa -f /home/vpnuser/.ssh/id_rsa -C vpnuser@vpngate1 -N ''


　　在vpngate2上以root身份为vpnuser创建SSH密钥：

　

$ su -
# /usr/bin/ssh-keygen -t dsa -f /home/vpnuser/.ssh/id_dsa -C vpnuser@vpngate2 -N ''
# /usr/bin/ssh-keygen -t rsa -f /home/vpnuser/.ssh/id_rsa -C vpnuser@vpngate2 -N ''


　　这里使用“-N ''”参数来产生空passphrases的密钥，因为通过脚本管理VPN连接，无需手工干预。

　　（3）安装授权密钥

　　在server1上以root身份将公钥连接到文件public_keys.vpngate1中：

　

# cat /home/vpnuser/.ssh/id_*.pub > /home/vpnuser/.ssh/public_keys.vpngate1

　　在server2上以root身份将公钥连接到文件public_keys.vpngate2中：

　　

# cat /home/vpnuser/.ssh/id_*.pub > /home/vpnuser/.ssh/public_keys.vpngate2


　　分别将两系统的publi_keys文件拷贝到对方机器的/home/vpnuser/.ssh目录中。并在两系统上将public_keys文件连接为一个授权密钥（authorized_keys）文件：

　

# cat /home/vpnuser/.ssh/public_keys.* > /home/vpnuser/.ssh/authorized_keys
# cat /home/vpnuser/.ssh/public_keys.* > /home/vpnuser/.ssh/authorized_keys2


　　最后在两台机器上正确设置访问~/.ssh目录的访问权限和文件属主：

　

# chown -R vpnuser /home/vpnuser/.ssh
# chmod 600 /home/vpnuser/.ssh/*
# chmod 644 /home/vpnuser/.ssh/*.pub


　　2．配置隧道

　　软件ssh-ip-tunnel以前被称为vpn，由于该名字容易引起歧义，因此被重新更名为ssh-ip-tunnel。如果希望得到更详细的帮助，请使用man vpn。

　　ssh-ip-tunnel的配置文件位于/usr/local/etc/vpn/peers目录下。在server1上创建配置文件。因为server1作为服务器在运行，并不发出VPN连接请求，因此其配置文件较简单。内容如下：

　　

#/usr/local/etc/peers/vpngate2
SSHUSER=vpnuser


　　server2的配置文件相对复杂，内容如下：

　

#/usr/local/etc/peers/vpngate1
SSH="/usr/bin/ssh -2"
PEER=server1
SSHUSER=vpnuser
RSAKEY=/home/vpnuser/.ssh/id_rsa
LOCALPPP=/usr/sbin/pppd
LPPPOPTIONS="call vpngate1"
REMOTEPPP=/usr/sbin/pppd
RPPPOPTIONS="call vpngate2"

　　3．配置PPP

　　首先在server1上创建PPP配置文件：

# /etc/ppp/vpngate2
#debug debug debug debug debug
mtu 1500
mru 1500
noauth
noipv6
10.0.0.1:10.0.0.2
netmask 255.255.255.0
linkname vpngate2
ipparam 192.168.5.0 # Network on other side of vpngate2


　　　再在server2上创建PPP配置文件如下：

# /etc/ppp/vpngate1 -- Remote VPN Server
#debug debug debug debug debug
mtu 1500
mru 1500
noauth
noipv6
netmask 255.255.255.0
linkname vpngate1
ipparam 192.168.3.0 # Network on other side of vpngate1
silent


　　　可以看到VPN连接使用的PPP接口地址是在server1的配置文件中指定的。

　　测试

　　在server2上将root身份切换为vpnuser身份，并连接到server1上来进行测试。命令如下：

　

# su vpnuser
$ ssh -2 vpnuser@server1


　　如果是第一次连接server1,系统会出现提示问题，这里回答“yes”以便继续连接，登录成功后会得到一个Shell。

　　然后以root身份在server2上，测试到server1的VPN连接，命令如下：

　

# vpn vpngate1 authtest


         监控

　　下面的vpnchk脚本是实现VPN连接监控的。一旦连接断开，脚本会自动重新连接VPN，以保证VPN连接的可靠性。

#!/bin/sh
# vpnchk -- Monitor VPN Connection and restart as necessary.
# A single parameter is required:  vpnchk
# Ping REMOTE_VPN_HOST approximately every 10 seconds. Keep track of
# failed pings by incrementing COUNT.  If pings are good, always reset
# COUNT back to zero.  Only take corrective action when the number of
# failed pings reaches THRESH(hold).  Notify root by mail whenever the
# status of the vpn connection has changed.
#
REMOTE_VPN_HOST=${1}
MAILTO=root@localhost
#
if [ "${REMOTE_VPN_HOST}" = "" ]; then
  echo "Syntax: vpnchk "
  exit
fi
#
CHK_TEXT="call ${REMOTE_VPN_HOST}"
THRESH=3
COUNT=0
while [ : ]; do  # loop forever
  if ping -c 5 ${REMOTE_VPN_HOST} 1>/dev/null 2>/dev/null ; then
    COUNT=0
    if [ -f /tmp/.vpn-down ]; then
      rm -f /tmp/.vpn-down
      MSG="VPN Connection is -UP-: `date "+%H:%M on %m/%d/%Y"`"
      echo ${MSG} | mailx -s"${MSG}" ${MAILTO}
    fi
  else
    COUNT=`expr ${COUNT} + 1`
    if [ ${COUNT} -ge ${THRESH} ]; then
      if [ ! -f /tmp/.vpn-down ]; then
        touch /tmp/.vpn-down
        MSG="VPN Connection is DOWN: `date "+%H:%M on %m/%d/%Y"`"
        echo ${MSG} | mailx -s"${MSG}" ${MAILTO}
      fi
      PID=`ps -awwjx | grep -v grep | grep "${CHK_TEXT}" | awk '{print $2}'`
      if [ ! "${PID}" = "" ]; then
        for xPID in ${PID} ; do kill -KILL ${PID} ; done
        COUNT=0
        sleep 60
      fi
      nohup /usr/pkg/sbin/vpn fire start &
      sleep 150
    fi
  fi
  sleep 10
done
# end


　　　将该vpnchk脚本安装在目录/usr/local/sbin下，在server2上以root身份运行下面的命令来启动VPN。

　　

# /usr/local/sbin/vpnchk vpngate1


　　创建网络路由

　　为了实现正确的路由，系统必须支持IP转发，即:

　　

/sbin/sysctl -w net.ipv4.ip_forward=1


　　在server1和sever2上分别创建ip-up和ip-down脚本来添加和删除网络路由。脚本内容如下：

　　

#!/bin/sh
# /etc/ppp/ip-up
# Add route for REMOTE_NETWORK
#
REMOTE_IP="${5}"
REMOTE_NETWORK="${6}"
if [ ! "${REMOTE_NETWORK}" = "" ]; then
  /sbin/route add -net ${REMOTE_NETWORK} ${REMOTE_IP}
fi
#!/bin/sh
# /etc/ppp/ip-down
# Delete route for REMOTE_NETWORK
#
REMOTE_IP="${5}"
REMOTE_NETWORK="${6}"
if [ ! "${REMOTE_NETWORK}" = "" ]; then
  /sbin/route delete -net ${REMOTE_NETWORK} ${REMOTE_IP}
fi


　　最后，必须在两个局域网络的默认网关上添加正确的路由，也就是将访问VPN对方网络的路由指向VPN服务器。

　　在网关192.168.3.1上的/etc/rc.d/rc.local添加：

　　

/sbin/route add -net 192.168.5.0 netmask 255.255.255.0 gw 192.168.3.14


　　在网关192.168.5.1上的/etc/rc.d/rc.local添加：

/sbin/route add -net 192.168.3.0 netmask 255.255.255.0 gw 192.168.5.18


　　　　如上建立VPN连接以后，用户可以分别在两个局域网络中任意连接对端网络的任何机器。

　　相关链接

　　VPN（Virtual Private Networks）：是一种专用的虚拟网络，允许用户从私人网络（一般个人住处）通过公共网络（一般Internet）安全地远程访问企业资源。VPN技术利用“加密”技术和“隧道”技术来确保传输数据的安全性。

　　隧道技术：是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据可以是不同协议的数据包。隧道协议将这些不同协议的数据包重新封装在新的包头中发送。新的包头提供路由信息，从而使封装的负载数据能在隧道的两个端点之间通过公共互联网络进行传递。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为“隧道”。一旦到达网络终点，数据将被解包并转发到最终目的地。隧道技术是指包括数据封装、传输和解包在内的全过程。

　　SSH（Secure Shell Protocol）：一种基于安全会话目的的应用程序。SSH支持身份认证和数据加密，对所有传输的数据进行加密处理。同时，可以对传输数据进行压缩处理，以加快数据传输速度。SSH既可以代替Telnet作为安全的远程登录方式，又可以为FTP、POP等提供一个安全的“隧道”。OpenSSH是 SSH的替代软件包，是免费的