http://it.sohu.com/2004/03/17/47/article219474714.shtml
使用SSH建立基于Linux/Unix的VPN网络
这里我们将要使用两台BSD、Linux或Unix服务器,在地理上相隔很远的局域网之间,通过Internet创建一条不对称的VPN连接。这两个基于Linux/Unix的VPN系统均作为网络互联路由器运行。
所谓非对称VPN是指只有一端可以发起VPN连接,即一端具有静态IP地址,另一端具有动态IP地址,动态IP端发起VPN连接。
网络结构与环境
1.网络结构示意图
网络结构如图1所示。
图1 网络结构图
2.本文假设如下网络环境:
◆ 中心VPN服务器
主机名:server1
外部IP地址:208.198.14.212
局域网IP地址:192.168.3.14
本地网络:192.168.3.0/24
本地默认网关:192.168.3.1
VPN名:vpngate1
VPN IP:10.0.0.1
◆ 远端VPN服务器
主机名:server2
互联网地址动态获取
局域网IP地址:192.168.5.18
本地网络:192.168.5.0/24
本地默认网关:192.168.5.1
VPN名:vpngate2
VPN IP:10.0.0.2
两台机器均正确配置,能正常访问本地局域网和互联网,并且两台机器均正确安装SSH。
3.软件
需安装以下软件:
◆ pppd Linux一般已经默认安装。如果没有安装,请使用安装光盘进行安装。
◆ OpenSSH Linux一般已经安装。如果没有安装,请使用安装光盘进行安装。欲了解更多内容,可参见http://www.openssh.com/站点。
◆ pty-redir 可从ftp://ftp.vein.hu/pub/ssa/contrib/mag/pty-redir-0.1.tar.gz和http: //bleu.west.spy.net/~dustin/soft/pty-redir-0.1.tar.gz站点下载、安装。
◆ ssh-ip-tunnel 可从http://bleu.west.spy.net/~dustin/soft/vpn-1.0.tar.gz站点下载、安装。
准备工作
1.创建VPN账号
首先在两台服务器上分别添加VPN账号。以root身份创建账号vpnusers,并创建~/.ssh目录:
$ su -
# useradd -m -c "VPN User" vpnuser
# mkdir /home/vpnuser/.ssh
在Linux环境下如果使用useradd添加用户,而不为其设立密码,则该账号是一个锁定的账号,所以vpnuser账号应该是一个被锁定的账号。
2.添加VPN的IP信息
在两台服务器上分别将VPN的PPP接口所使用的IP地址添加到文件/etc/hosts中。内容如下:
10.0.0.1 vpngate1
10.0.0.2 vpngate2
并在server2上添加server1的外部IP地址到文件/etc/hosts中。内容如下:
208.198.14.212 server1
配置
1.配置SSH
(1)配置sshd
在中心服务器server1上修改sshd服务器的配置,允许其使用公钥方式的认证(Public Key Authentication)。
以root身份编辑文件:
$ su -
# vi /etc/ssh/sshd_config
删除下面一行最前面的注释符号“#”:
#PubkeyAuthentication yes
改为:
PubkeyAuthentication yes
(2)创建和交换SSH密钥
在server1上以root身份为vpnuser创建SSH密钥:
$ su -
# /usr/bin/ssh-keygen -t dsa -f /home/vpnuser/.ssh/id_dsa -C vpnuser@vpngate1 -N ''
# /usr/bin/ssh-keygen -t rsa -f /home/vpnuser/.ssh/id_rsa -C vpnuser@vpngate1 -N ''
在vpngate2上以root身份为vpnuser创建SSH密钥:
$ su -
# /usr/bin/ssh-keygen -t dsa -f /home/vpnuser/.ssh/id_dsa -C vpnuser@vpngate2 -N ''
# /usr/bin/ssh-keygen -t rsa -f /home/vpnuser/.ssh/id_rsa -C vpnuser@vpngate2 -N ''
这里使用“-N ''”参数来产生空passphrases的密钥,因为通过脚本管理VPN连接,无需手工干预。
(3)安装授权密钥
在server1上以root身份将公钥连接到文件public_keys.vpngate1中:
# cat /home/vpnuser/.ssh/id_*.pub > /home/vpnuser/.ssh/public_keys.vpngate1
在server2上以root身份将公钥连接到文件public_keys.vpngate2中:
# cat /home/vpnuser/.ssh/id_*.pub > /home/vpnuser/.ssh/public_keys.vpngate2
分别将两系统的publi_keys文件拷贝到对方机器的/home/vpnuser/.ssh目录中。并在两系统上将public_keys文件连接为一个授权密钥(authorized_keys)文件:
# cat /home/vpnuser/.ssh/public_keys.* > /home/vpnuser/.ssh/authorized_keys
# cat /home/vpnuser/.ssh/public_keys.* > /home/vpnuser/.ssh/authorized_keys2
最后在两台机器上正确设置访问~/.ssh目录的访问权限和文件属主:
# chown -R vpnuser /home/vpnuser/.ssh
# chmod 600 /home/vpnuser/.ssh/*
# chmod 644 /home/vpnuser/.ssh/*.pub
2.配置隧道
软件ssh-ip-tunnel以前被称为vpn,由于该名字容易引起歧义,因此被重新更名为ssh-ip-tunnel。如果希望得到更详细的帮助,请使用man vpn。
ssh-ip-tunnel的配置文件位于/usr/local/etc/vpn/peers目录下。在server1上创建配置文件。因为server1作为服务器在运行,并不发出VPN连接请求,因此其配置文件较简单。内容如下:
#/usr/local/etc/peers/vpngate2
SSHUSER=vpnuser
server2的配置文件相对复杂,内容如下:
#/usr/local/etc/peers/vpngate1
SSH="/usr/bin/ssh -2"
PEER=server1
SSHUSER=vpnuser
RSAKEY=/home/vpnuser/.ssh/id_rsa
LOCALPPP=/usr/sbin/pppd
LPPPOPTIONS="call vpngate1"
REMOTEPPP=/usr/sbin/pppd
RPPPOPTIONS="call vpngate2"
3.配置PPP
首先在server1上创建PPP配置文件:
# /etc/ppp/vpngate2
#debug debug debug debug debug
mtu 1500
mru 1500
noauth
noipv6
10.0.0.1:10.0.0.2
netmask 255.255.255.0
linkname vpngate2
ipparam 192.168.5.0 # Network on other side of vpngate2
再在server2上创建PPP配置文件如下:
# /etc/ppp/vpngate1 -- Remote VPN Server
#debug debug debug debug debug
mtu 1500
mru 1500
noauth
noipv6
netmask 255.255.255.0
linkname vpngate1
ipparam 192.168.3.0 # Network on other side of vpngate1
silent
可以看到VPN连接使用的PPP接口地址是在server1的配置文件中指定的。
测试
在server2上将root身份切换为vpnuser身份,并连接到server1上来进行测试。命令如下:
# su vpnuser
$ ssh -2 vpnuser@server1
如果是第一次连接server1,系统会出现提示问题,这里回答“yes”以便继续连接,登录成功后会得到一个Shell。
然后以root身份在server2上,测试到server1的VPN连接,命令如下:
# vpn vpngate1 authtest
监控
下面的vpnchk脚本是实现VPN连接监控的。一旦连接断开,脚本会自动重新连接VPN,以保证VPN连接的可靠性。
#!/bin/sh
# vpnchk -- Monitor VPN Connection and restart as necessary.
# A single parameter is required: vpnchk
# Ping REMOTE_VPN_HOST approximately every 10 seconds. Keep track of
# failed pings by incrementing COUNT. If pings are good, always reset
# COUNT back to zero. Only take corrective action when the number of
# failed pings reaches THRESH(hold). Notify root by mail whenever the
# status of the vpn connection has changed.
#
REMOTE_VPN_HOST=${1}
MAILTO=root@localhost
#
if [ "${REMOTE_VPN_HOST}" = "" ]; then
echo "Syntax: vpnchk "
exit
fi
#
CHK_TEXT="call ${REMOTE_VPN_HOST}"
THRESH=3
COUNT=0
while [ : ]; do # loop forever
if ping -c 5 ${REMOTE_VPN_HOST} 1>/dev/null 2>/dev/null ; then
COUNT=0
if [ -f /tmp/.vpn-down ]; then
rm -f /tmp/.vpn-down
MSG="VPN Connection is -UP-: `date "+%H:%M on %m/%d/%Y"`"
echo ${MSG} | mailx -s"${MSG}" ${MAILTO}
fi
else
COUNT=`expr ${COUNT} + 1`
if [ ${COUNT} -ge ${THRESH} ]; then
if [ ! -f /tmp/.vpn-down ]; then
touch /tmp/.vpn-down
MSG="VPN Connection is DOWN: `date "+%H:%M on %m/%d/%Y"`"
echo ${MSG} | mailx -s"${MSG}" ${MAILTO}
fi
PID=`ps -awwjx | grep -v grep | grep "${CHK_TEXT}" | awk '{print $2}'`
if [ ! "${PID}" = "" ]; then
for xPID in ${PID} ; do kill -KILL ${PID} ; done
COUNT=0
sleep 60
fi
nohup /usr/pkg/sbin/vpn fire start &
sleep 150
fi
fi
sleep 10
done
# end
将该vpnchk脚本安装在目录/usr/local/sbin下,在server2上以root身份运行下面的命令来启动VPN。
# /usr/local/sbin/vpnchk vpngate1
创建网络路由
为了实现正确的路由,系统必须支持IP转发,即:
/sbin/sysctl -w net.ipv4.ip_forward=1
在server1和sever2上分别创建ip-up和ip-down脚本来添加和删除网络路由。脚本内容如下:
#!/bin/sh
# /etc/ppp/ip-up
# Add route for REMOTE_NETWORK
#
REMOTE_IP="${5}"
REMOTE_NETWORK="${6}"
if [ ! "${REMOTE_NETWORK}" = "" ]; then
/sbin/route add -net ${REMOTE_NETWORK} ${REMOTE_IP}
fi
#!/bin/sh
# /etc/ppp/ip-down
# Delete route for REMOTE_NETWORK
#
REMOTE_IP="${5}"
REMOTE_NETWORK="${6}"
if [ ! "${REMOTE_NETWORK}" = "" ]; then
/sbin/route delete -net ${REMOTE_NETWORK} ${REMOTE_IP}
fi
最后,必须在两个局域网络的默认网关上添加正确的路由,也就是将访问VPN对方网络的路由指向VPN服务器。
在网关192.168.3.1上的/etc/rc.d/rc.local添加:
/sbin/route add -net 192.168.5.0 netmask 255.255.255.0 gw 192.168.3.14
在网关192.168.5.1上的/etc/rc.d/rc.local添加:
/sbin/route add -net 192.168.3.0 netmask 255.255.255.0 gw 192.168.5.18
如上建立VPN连接以后,用户可以分别在两个局域网络中任意连接对端网络的任何机器。
相关链接
VPN(Virtual Private Networks):是一种专用的虚拟网络,允许用户从私人网络(一般个人住处)通过公共网络(一般Internet)安全地远程访问企业资源。VPN技术利用“加密”技术和“隧道”技术来确保传输数据的安全性。
隧道技术:是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据可以是不同协议的数据包。隧道协议将这些不同协议的数据包重新封装在新的包头中发送。新的包头提供路由信息,从而使封装的负载数据能在隧道的两个端点之间通过公共互联网络进行传递。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为“隧道”。一旦到达网络终点,数据将被解包并转发到最终目的地。隧道技术是指包括数据封装、传输和解包在内的全过程。
SSH(Secure Shell Protocol):一种基于安全会话目的的应用程序。SSH支持身份认证和数据加密,对所有传输的数据进行加密处理。同时,可以对传输数据进行压缩处理,以加快数据传输速度。SSH既可以代替Telnet作为安全的远程登录方式,又可以为FTP、POP等提供一个安全的“隧道”。OpenSSH是 SSH的替代软件包,是免费的
分享到:
相关推荐
SercureCRT是一款强大的Secure Shell (SSH) 客户端,广泛用于远程登录Linux/Unix服务器,为用户提供安全的终端模拟服务。它支持多种协议,包括SSH1、SSH2、Telnet、Rlogin和Serial,能够帮助用户在Windows环境下方便...
Java 代码通过 SSH 连接远程批量执行 Linux/UNIX 系统上的命令或者脚本,同时加入了判断成功与否,取回输出等多种 实用功能。 文档参考 https://www.ibm.com/developerworks/cn/opensource/os-sshxcute/
**Xming:Linux/Unix GUI工具在Windows平台的解决方案** Xming是一款强大的开源软件,它允许Windows用户在本地操作系统上运行远程Linux或Unix系统的图形用户界面(GUI)。这个工具为那些无法或者不想在Linux服务器...
1. **Linux基础**:Linux是一种开源的操作系统,基于Unix,由林纳斯·托瓦兹开发。它提供了强大的命令行界面和图形化桌面环境,广泛应用于服务器、嵌入式设备及个人计算机上。Linux的自由和开放源码特性使得开发者...
在Linux和Unix操作系统中,自动化运维是提升效率和减少错误的关键。Expect是一个强大的自动化脚本工具,它结合了Tcl语言,使得与交互式应用程序的通信变得简单。本安装包包含的是 Expect 5.45 版本和 Tcl 的集成,...
在IT领域,Linux/Unix和Windows是两种广泛使用的操作系统,它们各自有着独特的特性和用途。在标题"ColorTake.rar_Linux/Unix编程_Windows_Unix_"中,我们可以推测这是一个与跨平台开发相关的项目,可能是一个工具或...
"基于SSH技术的Linux远程控制系统的设计与实现" 本文旨在设计和实现基于SSH技术的Linux远程控制系统,以满足Linux和Windows操作系统之间的信息交互需求。该系统采用C#语言实现,通过在Linux服务器端设置公钥文件,...
1. **互操作性**:如何在Windows和Unix/Linux之间进行数据交换,如使用Samba服务或网络文件系统(NFS)。 2. **SSH(Secure Shell)**:用于在不同操作系统之间安全地远程登录和传输文件。 3. **Wine**:一个开源...
SecureCRT是最常用的终端仿真程序,是windows下登录UNIX或Liunx服务器主机的软件。...WinSCP是一个Windows环境下使用SSH的开源图形化SFTP客户端。同时支持SCP协议。它的主要功能就是在本地与远程计算机间安全的复制文件
在Windows和Unix/Linux系统之间进行交互通常涉及到文件共享、网络通信或迁移应用程序。这可能需要使用到SMB(Server Message Block)协议来实现文件共享,或者使用SSH(Secure Shell)进行安全的远程登录和命令执行...
SSH在建立连接时采用密钥交换算法(如Diffie-Hellman算法)来确保会话的私密性,并使用公钥或密码方式对用户进行身份验证。它的数据传输过程是经过加密的,可以有效防止数据在传输过程中的截获和篡改,确保数据传输...
2. **文件系统和权限管理**:理解Unix/Linux的目录结构,学习如何管理文件和目录的权限。 3. **进程管理**:创建、控制和通信进程,如fork、exec、wait等函数的使用。 4. **I/O操作**:标准输入/输出,文件读写,...
Windows与Unix/Linux之间的互操作性也是一个关键点,这可能涉及到使用工具如SSH(Secure Shell)进行远程访问,或者使用Samba服务实现文件共享。此外,WSL(Windows Subsystem for Linux)允许在Windows 7上直接运行...
本文主要介绍三种方法,在Mac下使用SSH连接远程Linux服务器。 方法一:使用终端 1.打开终端,点击新建远程连接 2.点击加号,然后添加自己服务器的IP地址 3.点击右侧的服务器,然后在下方输入用户名,选择最下方的 ...
Linux操作系统应用:第6章配置网络和使用ssh服务.pptx
在深入探讨Linux和Unix系统中最常用的网络命令之前,我们首先需要理解这两个操作系统的基本特性以及它们在现代计算环境中的重要性。Linux和Unix都是强大的多用户、多任务操作系统,以其稳定性和安全性著称,在服务器...
在IT领域,Linux和Unix操作系统是开发者和系统管理员的重要工具,尤其在服务器管理、网络服务以及软件开发中占据着核心地位。"Linux命令大全(修改版)"是一个专门为Linux和Unix用户准备的资源,旨在帮助他们更高效地...
SSH(Secure Shell)是一种网络协议,用于在不安全的网络上提供安全的远程登录和其他服务。它是Linux系统管理员和IT专业人员与远程服务器交互的主要工具。SSH Secure Shell是一款基于SSH协议的客户端软件,允许用户...
3. 将公钥复制到Linux服务器:使用`clip`命令(Windows的剪贴板工具)和SSH的`cat`命令将公钥内容复制到剪贴板,然后登录到Linux服务器,将公钥内容添加到`~/.ssh/authorized_keys`文件中,以实现无密码登录。...
SSH 为 Secure Shell 的缩写,由 IETF 的网络小组(Network Working Group)所制定;SSH 为建立在应用层基础上...几乎所有UNIX平台—包括HP-UX、Linux、AIX、Solaris、Digital UNIX、Irix,以及其他平台,都可运行SSH。