tun
(برای تونلهای سطح IP) و tap
(برای تونلهای سطح Ethernet) پشتیبانی میشوند. در عمل، رابطهای tun
اغلب مورد استفاده قرار میگیرند زمانی که کلاینتهای VPN قرار باشد درون شبکه محلی سرور با استفاده از پل Ethernet تنظیم گردند.
pki/ca.crt
) will be stored on all machines (both server and clients) as /etc/ssl/certs/Falcot_CA.crt
. The server's certificate is installed only on the server (pki/issued/vpn.falcot.com.crt
goes to /etc/ssl/certs/vpn.falcot.com.crt
, and pki/private/vpn.falcot.com.key
goes to /etc/ssl/private/vpn.falcot.com.key
with restricted permissions so that only the administrator can read it), with the corresponding Diffie-Hellman parameters (pki/dh.pem
) installed to /etc/openvpn/dh.pem
. Client certificates are installed on the corresponding VPN client in a similar fashion.
/etc/openvpn/server/*.conf
. Setting up a VPN server is therefore a matter of storing a corresponding configuration file in this directory. A good starting point is /usr/share/doc/openvpn/examples/sample-config-files/server.conf
, which leads to a rather standard server. Of course, some parameters need to be adapted: ca
, cert
, key
and dh
need to describe the selected locations (respectively, /etc/ssl/certs/Falcot_CA.crt
, /etc/ssl/vpn.falcot.com.crt
, /etc/ssl/private/vpn.falcot.com.key
and /etc/openvpn/dh.pem
). The server 10.8.0.0 255.255.255.0
directive defines the subnet to be used by the VPN; the server uses the first IP address in that range (10.8.0.1
) and the rest of the addresses are allocated to clients.
tun0
name. However, firewalls are often configured at the same time as the real network interfaces, which happens before OpenVPN starts. Good practice therefore recommends creating a persistent virtual network interface, and configuring OpenVPN to use this pre-existing interface. This further allows choosing the name for this interface. To this end, openvpn --mktun --dev vpn --dev-type tun
creates a virtual network interface named vpn
with type tun
; this command can easily be integrated in the firewall configuration script, or in an up
directive of the /etc/network/interfaces
file, or a udev rule can be added to that end. The OpenVPN configuration file must also be updated accordingly, with the dev vpn
and dev-type tun
directives.
10.8.0.1
میتوانند به سرور متصل گردند. برای صادر کردن مجوز دسترسی کلاینتها به شبکه محلی (192.168.0.0/24)، نیاز است که عبارت push route 192.168.0.0 255.255.255.0
به فایل پیکربندی OpenVPN اضافه گردد تا کلاینتها به صورت خودکار به شبکه VPN موجود متصل گردند. علاوه بر این، رایانههای شبکه محلی نیاز دارند در رابطه با مسیریابی از طریق سرور VPN به آنها اطلاعرسانی گردد (زمانی که سرور VPN به gateway متصل باشد این اتفاق میافتد). همین طور، سرور VPN میتواند به منظور ماسکگذاری IP پیکربندی گردد (
قسمت 10.1, “Gateway”
را مشاهده کنید).
/etc/openvpn/client/
. A standard configuration can be obtained by using /usr/share/doc/openvpn/examples/sample-config-files/client.conf
as a starting point. The remote vpn.falcot.com 1194
directive describes the address and port of the OpenVPN server; the ca
, cert
and key
also need to be adapted to describe the locations of the key files.
AUTOSTART
directive to none
in the /etc/default/openvpn
file. Starting or stopping a given VPN connection is always possible with the commands systemctl start openvpn-client@name
and systemctl stop openvpn-client@name
(where the connection name matches the one defined in /etc/openvpn/client/name.conf
). The same is true for the server.
tun*
) در هر دو سمت ارتباط SSH وجود دارد و این رابطهای مجازی میتوانند همانند رابطهای فیزیکی پیکربندی گردند. سیستم تونلکشی ابتدا باید با تنظیم PermitTunnel
به “yes” در فایل پیکربندی سرور SSH (/etc/ssh/sshd_config
) فعال گردد. هنگام برقراری ارتباط SSH، ایجاد یک تونل باید به صورت اختصاصی و با گزینه -w any:any
بیان شود (any
میتواند با شماره دستگاه tun
مورد نظر جایگزین گردد). این امر نیازمند داشتن دسترسی مدیریتی برای کاربر در هر دو سمت است، همانطور که برای ایجاد دستگاه شبکه مورد نیاز است (به عبارت دیگر، ارتباط باید از طریق root برقرار شود).
/etc/ipsec.conf
contains the parameters for IPsec tunnels (or Security Associations, in the IPsec terminology) that the host is concerned with. There are many configuration examples in /usr/share/doc/libreswan/
, but Libreswan's online documentation has more examples with explanations:
systemctl
; for example, systemctl start ipsec
will start the IPsec service.
/etc/ppp/options.pptp
، /etc/ppp/peers/falcot
، /etc/ppp/ip-up.d/falcot
و /etc/ppp/ip-down.d/falcot
.
مثال 10.2. فایل /etc/ppp/options.pptp
# PPP options used for a PPTP connection lock noauth nobsdcomp nodeflate
مثال 10.3. فایل /etc/ppp/peers/falcot
# vpn.falcot.com is the PPTP server pty "pptp vpn.falcot.com --nolaunchpppd" # the connection will identify as the "vpn" user user vpn remotename pptp # encryption is needed require-mppe-128 file /etc/ppp/options.pptp ipparam falcot
pptpd
سرور PPTP برای لینوکس است. فایل اصلی پیکربندی آن، /etc/pptpd.conf
، نیاز به تغییرات اندکی دارد: localip (نشانی محلی) و remoteip (نشانی راهدور). در نمونه زیر، سرور PPTP همیشه از نشانی 192.168.0.199
استفاده میکند و کلاینتها نیز نشانی خود را بین بازه 192.168.0.200
تا 192.168.0.250
دریافت میکنند.
مثال 10.6. فایل /etc/pptpd.conf
[..] # TAG: localip # TAG: remoteip # Specifies the local and remote IP address ranges. # # These options are ignored if delegate option is set. # # Any addresses work as long as the local machine takes care of the # routing. But if you want to use MS-Windows networking, you should # use IP addresses out of the LAN address space and use the proxyarp # option in the pppd options file, or run bcrelay. # # You can specify single IP addresses seperated by commas or you can # specify ranges, or both. For example: # # 192.168.0.234,192.168.0.245-249,192.168.0.254 # # IMPORTANT RESTRICTIONS: # # 1. No spaces are permitted between commas or within addresses. # # 2. If you give more IP addresses than the value of connections, # it will start at the beginning of the list and go until it # gets connections IPs. Others will be ignored. # # 3. No shortcuts in ranges! ie. 234-8 does not mean 234 to 238, # you must type 234-238 if you mean this. # # 4. If you give a single localIP, that's ok - all local IPs will # be set to the given one. You MUST still give at least one remote # IP for each simultaneous client. # # (Recommended) #localip 192.168.0.1 #remoteip 192.168.0.234-238,192.168.0.245 # or #localip 192.168.0.234-238,192.168.0.245 #remoteip 192.168.1.234-238,192.168.1.245 localip 192.168.0.199 remoteip 192.168.0.200-250
/etc/ppp/pptpd-options
است. پارامترهای مهم عبارتند از نام سرور (pptp
)، نام دامنه (بشمزخف.زخپ
) و نشانیهای IP برای سرورهای DNS و WINS.
مثال 10.7. فایل /etc/ppp/pptpd-options
# Enable connection debugging facilities. # (see your syslog configuration for where pppd sends to) #debug # Name of the local system for authentication purposes # (must match the second field in /etc/ppp/chap-secrets entries) name pptpd # Optional: domain name to use for authentication ## change the domainname to your local domain domain falcot.com # Authentication ## these are reasonable defaults for WinXXXX clients ## for the security related settings auth refuse-pap refuse-chap refuse-mschap # Require the peer to authenticate itself using MS-CHAPv2 [Microsoft # Challenge Handshake Authentication Protocol, Version 2] authentication. require-mschap-v2 # Require MPPE 128-bit encryption # (note that MPPE requires the use of MSCHAP-V2 during authentication) require-mppe-128 # Network and Routing ## Fill in your addresses ms-dns 192.168.0.1 ms-wins 192.168.0.1 ## Fill in your netmask netmask 255.255.255.0 ## some defaults nodefaultroute proxyarp lock
vpn
و گذرواژه مربوط به آن در فایل /etc/ppp/chap-secrets
است. بر خلاف مواقعی که کاراکتر ستاره (*
) کار میکرد، نام سرور مشخصا باید در این قسمت درج شود. علاوه بر این، کلاینتهای PPTP در ویندوز خود را به صورت DOMAIN\\USER
معرفی میکنند به جای اینکه تنها نام کاربری را نشان دهند. به همین دلیل است که فایل به کاربر FALCOT\\vpn
اشاره کرده است. همچنین امکان اختصاص نشانیهای IP انفرادی برای هر کاربر وجود دارد؛ یک کاراکتر ستاره در این قسمت به معنای استفاده از نشانیهای پویا است.