一、VPN 介紹
1、介紹
虛拟私人網絡(英語:Virtual Private Network,縮寫為VPN)是一種常用于連接配接中、大型企業或團體與團體間的私人網絡的通訊方法。虛拟私人網絡的訊息透過公用的網絡架構(例如:網際網路)來傳送内部網的網絡訊息。它利用已加密的通道協定(Tunneling Protocol)來達到保密、發送端認證、消息準确性等私人消息安全效果。這種技術可以用不安全的網絡(例如:網際網路)來發送可靠、安全的消息。需要注意的是,加密消息與否是可以控制的。沒有加密的虛拟專用網消息依然有被竊取的危險。
VPN的實質就是利用加密技術在公用網上面封裝出一個資料通訊隧道。
以日常生活的例子來比喻,虛拟專用網就像:甲公司某部門的A想寄信去乙公司某部門的B。A已知B的位址及部門,但公司與公司之間的信不能注明部門名稱。于是,A請自己的秘書把指定B所屬部門的信(A可以選擇是否以密碼與B通信)放在寄去乙公司位址的大信封中。當乙公司的秘書收到從甲公司寄到乙公司的信件後,該秘書便會把放在該大信封内的指定部門信件以公司内部郵件方式寄給B。同樣地,B會以同樣的方式回信給A。
在以上例子中,A及B是身處不同公司(内部網路)的計算機(或相關機器),通過一般郵寄方式(公用網絡)寄信給對方,再由對方的秘書(例如:支援虛拟專用網的路由器或防火牆)以公司内部信件(内部網絡)的方式寄至對方本人。請注意,在虛拟專用網中,因應網絡架構,秘書及收信人可以是同一人。許多現在的作業系統,例如Windows及Linux等因其所用傳輸協定,已有能力不用通過其它網絡裝置便能達到虛拟專用網連接配接。
2、vpn分類
根據不同的劃分标準,VPN可以按幾個标準進行分類劃分:
(1)按VPN的協定分類:
VPN的隧道協定主要有三種,PPTP、L2TP和IPSec,其中PPTP和L2TP協定工作在OSI模型的第二層,又稱為二層隧道協定;IPSec是第三層隧道協定。
(2)按VPN的應用分類:
① Access VPN(遠端接入VPN):用戶端到網關,使用公網作為骨幹網在裝置之間傳輸VPN資料流量;
② Intranet VPN(内聯網VPN):網關到網關,通過公司的網絡架構連接配接來自同公司的資源;
③ Extranet VPN(外聯網VPN):與合作夥伴企業網構成Extranet,将一個公司與另一個公司的資源進行連接配接。
(3)按所用的裝置類型進行分類:
網絡裝置提供商針對不同客戶的需求,開發出不同的VPN網絡裝置,主要為交換機、路由器和防火牆:
① 路由器式VPN:路由器式VPN部署較容易,隻要在路由器上添加VPN服務即可;
② 交換機式VPN:主要應用于連接配接使用者較少的VPN網絡;
(4)按照實作原理劃分:
① 重疊VPN:此VPN需要使用者自己建立端節點之間的VPN鍊路,主要包括:GRE、L2TP、IPSec等衆多技術。
② 對等VPN:由網絡營運商在主幹網上完成VPN通道的建立,主要包括MPLS、VPN技術。
3、VPN的實作方式有很多種方法,常用的有以下四種
(1)VPN伺服器:在大型區域網路中,可以在網絡中心通過搭建VPN伺服器的方法來實作。
(2)軟體VPN:可以通過專用的軟體來實作VPN。
(3)硬體VPN:可以通過專用的硬體來實作VPN。
(4)內建VPN:很多的硬體裝置,如路由器,防火牆等等,都含有VPN功能,但是一般擁有VPN功能的硬體裝置通常都比沒有這一功能的要貴。
二、實驗—搭建pptp
1、檢查系統是否支援ppp
[root@centos6 ~]# cat /dev/ppp
cat: /dev/ppp: No such device or address
如果出現以上提示則說明ppp是開啟的,可以正常架設pptp服務,若出現Permission denied等其他提示,你需要先去VPS面闆裡看看有沒有enable ppp的功能開關。
2、設定核心轉發,開啟路由轉發
[root@centos6 ~]# vim /etc/sysctl.conf
net.ipv4.ip_forward = 1
[root@centos6 ~]# sysctl -p 檢視
3、安裝pptp
[root@centos6 ~]# yum -y install pptpd
依賴epel 源
4、配置pptp
(1)配置主配置檔案
[root@centos6 ~]# cp /etc/pptpd.conf{,.bak} 配置前備份
[root@centos6 ~]# vim /etc/pptpd.conf
option /etc/ppp/options.pptpd logwtmp localip 39.106.xxx.xxx #本機公網ip remoteip 192.168.1.100-110 #配置設定給VPN 用戶端的位址,一般是内網網段位址
(2)配置賬号檔案
[root@along ~]# vim /etc/ppp/chap-secrets
client(用戶端登入賬号) server(服務) secret(密碼) IP addresses(ip範圍)
along pptpd 123456 * (允許所有ip)
(3)啟動服務
[root@along ~]# systemctl start pptpd
檢查服務是否開啟
[root@along ~]# ps -ef |grep pptpd
[root@along ~]# ss -nutlp |grep pptpd 打開的端口是1723
5、設定SNAT 規則
[root@along ~]# iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
6、client 端連接配接vpn
① 連接配接新的工作群=區
② 通過VPN的方式
③ 輸入IP
④ 輸入使用者名、密碼
⑤ 連接配接成功
8、檢視日志,看是否有client 端連接配接
[root@along ~]# tail -200 /var/log/messages 确實有client 連接配接
9、連接配接後的配置
需斷開,設定後,再連接配接
10、測試連接配接後IP