weixuejun的个人空间_首页_PHPChina 开源社区门户

weixuejun

用户菜单

日历

存档

2008年02月 (4)

搜索标题

统计信息

访问量: 277
日志数: 7
建立时间: 2008-02-15
更新时间: 2008-02-23

RSS订阅

我的最新日志

SSH+VPN技术-实践篇

2008-2-23

我的环境是这样的：

一台linux服务器，是在我家里，通过ADSL上网，安装的系统CentOS4.

另外一台也是linux服务器，在公司，有固定的IP，安装的也是CentOS4.

现在想把家里的网络和公司的网络连起来。

下面是使用VPN和SSH实现的过程，此实现过程参考了我前面转载的两篇文章，

以及下面的网址：

http://www.lslnet.com/linux/books/minihowto/VPN.html

过程如下：

1、在公司的服务器上建立用户vpnuser，并建立key文件

2、在公司的服务器上配置su，使用visudo即可。

3、在家里的服务器上写vpn脚本，脚本参考上面的网址给出的，关键在于ssh的使用，经过多次的此时，写法应该是这样的：/bin/pty-redir /usr/sbin/ssh -x -t -l vpnuser -i /home/vpnuser/.ssh/vpnkey $REMOTEIP sudo /usr/sbin/pppd passive >/tmp/device

4、上面的命令如果运行没有错误，接下来就只是在家里的服务器运行pppd了，一般都不会有问题，然后就是配置路由了，都是比较简单的事情。

查看(36) 评论(0)
常用站点列表

2008-2-15

http://www.bsalsa.com/ewb_on_get_ext.html

这个站点主要是讲delphi和IE浏览器之间的交互的方法的。很不错。

http://www.w3cn.org/

这个站点主要是讲web标准的，制作网站的好帮手。

http://linux.vbird.org/

鸟哥的私房菜，学习linux的好站点

http://www.aa25.cn/css2/

在线的CSS手册，好东西

查看(46) 评论(0)

VPN技术（1）(转载)

2008-2-15

用ssh跑pppd (最简单的linux vpn )

作者：文章出处：安全焦点讨论区发布时间：2003-01-28 点击： 977 字体：【小中大】

发信人：sbaa2003（老猫），信区：网络安全精华区

用ssh跑pppd (最简单的linux vpn )
sbaa 2003.1.10
我为了通过封了udp包的防火墙上qq
试了很多办法
用snake的socks5代理不错，可以必须外网机器是 windows
而linux下，stunnel 只是转发tcp不支持qq 的 udp
于是我想到了vpn pptpd是个很不错的，支持windows的vpn客户端
可惜要防火墙开ip转发，也不满足我的要求，

今天看到一个ssh-ppp脚本，再看了一些文章，原来竟然这么简单！！

只要你有两台linux　外网上有sshd服务，你就可以透过防火墙
建立vpn ！

我家拨号的机器adsl 是动态域名 sbaa.3322.org
我公司一台linux 内网的(10.9.0.16) 通过公司的网关nat 可以访问到 sbaa.3322.org的22(ssh)

两台机器上都有pppd 条件就ok!

开始：
在家里机器上
useradd vpn
ssh-keygen
Enter file in which to save the key (/root/.ssh/identity): vpnkey

现在有了vpnkey 和vpnkey.pub
配置 sshd /etc/ssh/sshd_config
打开 RSAAuthentication yes

cp vpnkey.pub /home/vpn/.ssh/authorized_keys

把下面内容加到/etc/sudoers
Cmnd_Alias VPN=/usr/sbin/pppd
vpn ALL=NOPASSWD: VPN

本机测试一下
sudo /usr/sbin/pppd noauth
~�}#?}!}!} }4}"}&} } } } }%}&V�鴠'}"}(}"~�}#?}!}!} }4}"}&} } } } }%}&V�鴠'}"}(}"~�}#?}!}!} }4}"}&} } } } }%}&V�鴠'}"}(}"~�}#?}!}!} }4}"}&} } } } }%}&V�鴠'}"}(}"~�}#?}!}!} }4}"}&} } } } }%}&V�鴠'}"}(}"~�}#?}!}!} }4}"}&} } } } }%}&V�鴠'}"}(}"~�}#?}!}!} }4}"}&} } } } }%}&V�鴠'}"}(}"~�}#?}!}!} }4}"}&} } } } }%}&V�鴠'}"}(}"~�}#?}!}!} }4}"}&} } } } }%}&V�鴠'}"}(}"~�}#?}!}!} }4}"}&} } } } }%}&V�?
就ok

好了
到公司机器上，把刚才的vpnkey ftp 过来
测一下
看到提示符登录成功一切就ok了
ssh -l vpn -i ./vpnkey -1 -P sbaa.3322.org
Linux 2.2.14.
cool:~$ exit
logout
Connection to sbaa.3322.org closed.

建立以下脚本
vpnstart

#!/bin/sh
# VPN PPP-SSH scrīpt

# History
# 16 May 2002 j.n.pritchard@brad.ac.uk

# *******************************************

# You will need to edit in these varibles

# Server Hostname
SERVER_HOSTNAME=sbaa.3322.org

# Username on the server for VPN
SERVER_USERNAME=vpn

# SSH Private Key Location
PRIVATE_KEY_FILE=/home/bin_shi/vpnkey

# *******************************************
# You do NOT need to edit below this line unless you use the subnet 192.168.250

# VPN Network subnet (change to a different subnet if this one is in use)
VPN_SUBNET=192.168.6
# Server ppp address
SERVER_IFIPADDR=$VPN_SUBNET.1
# Client ppp address
CLIENT_IFIPADDR=$VPN_SUBNET.2

# Extra SSH Options
LOCAL_SSH_OPTS="-P -1 -i $PRIVATE_KEY_FILE"

# Path environment
PATH=/usr/bin:/bin:/usr/sbin:/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11/bin

# Command Alias'
PPPD=/usr/sbin/pppd
SSH=/usr/local/bin/ssh

if ! test -f $PPPD ; then echo "can't find $PPPD"; exit 3; fi
if ! test -f $SSH　; then echo "can't find $SSH" ; exit 4; fi

case "$1" in
start)
　 # echo Starting VPN Connection
　 $ updetach noauth passive pty "$ $ $ -l$ -o Batchmode=yes sudo $ nodetach notty noauth" ipparam vpn $:$
　 # echo "connected."
　 ;;

stop)
　　　 # echo -n "Stopping vpn to $SERVER_HOSTNAME: "
　　　 PID=`ps ax | grep "$ $ $ -l$ -o" | grep -v ' passive ' | grep -v 'grep ' | awk '{print $1}'`
　　　 if [ "$" != "" ]; then
　　　　 kill $PID
　　　　 echo "disconnected."
　　　 else
　　　　 echo "Failed to find PID for the connection"
　　　 fi
　 ;;

config)
　 echo "SERVER_HOSTNAME=$SERVER_HOSTNAME"
　 echo "SERVER_USERNAME=$SERVER_USERNAME"
　 echo "SERVER_IFIPADDR=$SERVER_IFIPADDR"
　 echo "CLIENT_IFIPADDR=$CLIENT_IFIPADDR"
;;

*)
　 echo "Usage: vpn "
　 exit 1
　 ;;
esac

exit 0

有些配置你可以自己改改
然后./vpnstart start
呵呵
ifconfig -a 看到 192.168.6.2了吗
ping 192.168.6.1 就是我的 sbaa.3322.org了
不错
在sbaa.3322.org上加
route add -net 10.9.0.0 netmask 255.255.248.0 gw 192.168.6.2

然后到我公司的windows机器上加
route add 192.168.6.1 mask 255.255.255.255 10.9.0.16

ping 192.168.6.1 哦卡通的

然后qq上我的sbaa.3322.org 的socks5代理
呵呵upd包在ssh的链路里被加密封装了

防火墙被穿过了。

这个办法真好！可惜不是我自己发现的，我也是看到网上有ssh-ppp脚本
再研究了一下

呵呵！

linux上的vpn居然这么简单 !
大家有什么高见，还希望多多交流！
qq 142505

查看(31) 评论(0)

VPN技术（2）（转载）

2008-2-15

用SSH建立基于Linux/Unix的VPN网络
ZDNet 软件频道更新时间:2007-08-19作者：ccidnet.com 来源:ccidnet.com

本文关键词： VPN Unix Linux SSH

这里我们将要使用两台BSD、Linux或Unix服务器，在地理上相隔很远的局域网之间，通过Internet创建一条不对称的VPN连接。这两个基于Linux/Unix的VPN系统均作为网络互联路由器运行。

所谓非对称VPN是指只有一端可以发起VPN连接，即一端具有静态IP地址，另一端具有动态IP地址，动态IP端发起VPN连接。

网络结构与环境

1．网络结构示意图

网络结构如图1所示。

图1 网络结构图

2．本文假设如下网络环境：

◆ 中心VPN服务器

主机名：server1

外部IP地址：208.198.14.212

局域网IP地址：192.168.3.14

本地网络：192.168.3.0/24

本地默认网关：192.168.3.1

VPN名：vpngate1

VPN IP：10.0.0.1

◆ 远端VPN服务器

主机名：server2

互联网地址动态获取

局域网IP地址：192.168.5.18

本地网络：192.168.5.0/24

本地默认网关：192.168.5.1

VPN名：vpngate2

VPN IP：10.0.0.2

两台机器均正确配置，能正常访问本地局域网和互联网，并且两台机器均正确安装SSH。

3．软件

需安装以下软件：

◆ pppd Linux一般已经默认安装。如果没有安装，请使用安装光盘进行安装。

◆ OpenSSH Linux一般已经安装。如果没有安装，请使用安装光盘进行安装。欲了解更多内容，可参见http://www.openssh.com/站点。

◆ pty-redir 可从ftp://ftp.vein.hu/pub/ssa/contrib/mag/pty-redir-0.1.tar.gz和http://bleu.west.spy.net/~dustin/soft/pty-redir-0.1.tar.gz站点下载、安装。

◆ ssh-ip-tunnel 可从http://bleu.west.spy.net/~dustin/soft/vpn-1.0.tar.gz站点下载、安装。

准备工作

1．创建VPN账号

首先在两台服务器上分别添加VPN账号。以root身份创建账号vpnusers，并创建~/.ssh目录：

$ su - # useradd -m -c "VPN User" vpnuser # mkdir /home/vpnuser/.ssh

在Linux环境下如果使用useradd添加用户，而不为其设立密码，则该账号是一个锁定的账号，所以vpnuser账号应该是一个被锁定的账号。

2．添加VPN的IP信息

在两台服务器上分别将VPN的PPP接口所使用的IP地址添加到文件/etc/hosts中。内容如下：

10.0.0.1 vpngate1 10.0.0.2 vpngate2

并在server2上添加server1的外部IP地址到文件/etc/hosts中。内容如下：

208.198.14.212 server1

配置

1．配置SSH

（1）配置sshd

在中心服务器server1上修改sshd服务器的配置，允许其使用公钥方式的认证（Public Key Authentication）。

以root身份编辑文件：

$ su - # vi /etc/ssh/sshd_config

删除下面一行最前面的注释符号“#”：

#PubkeyAuthentication yes

改为：

PubkeyAuthentication yes

（2）创建和交换SSH密钥

在server1上以root身份为vpnuser创建SSH密钥：

$ su - # /usr/bin/ssh-keygen -t dsa -f /home/vpnuser/.ssh/id_dsa -C vpnuser@vpngate1 -N '' # /usr/bin/ssh-keygen -t rsa -f /home/vpnuser/.ssh/id_rsa -C vpnuser@vpngate1 -N ''

在vpngate2上以root身份为vpnuser创建SSH密钥：

$ su - # /usr/bin/ssh-keygen -t dsa -f /home/vpnuser/.ssh/id_dsa -C vpnuser@vpngate2 -N '' # /usr/bin/ssh-keygen -t rsa -f /home/vpnuser/.ssh/id_rsa -C vpnuser@vpngate2 -N ''

这里使用“-N ''”参数来产生空passphrases的密钥，因为通过脚本管理VPN连接，无需手工干预。

（3）安装授权密钥

在server1上以root身份将公钥连接到文件public_keys.vpngate1中：

# cat /home/vpnuser/.ssh/id_*.pub >/home/vpnuser/.ssh/public_keys.vpngate1

在server2上以root身份将公钥连接到文件public_keys.vpngate2中：

# cat /home/vpnuser/.ssh/id_*.pub >/home/vpnuser/.ssh/public_keys.vpngate2

分别将两系统的publi_keys文件拷贝到对方机器的/home/vpnuser/.ssh目录中。并在两系统上将public_keys文件连接为一个授权密钥（authorized_keys）文件：

# cat /home/vpnuser/.ssh/public_keys.* >/home/vpnuser/.ssh/authorized_keys # cat /home/vpnuser/.ssh/public_keys.* >/home/vpnuser/.ssh/authorized_keys2

最后在两台机器上正确设置访问~/.ssh目录的访问权限和文件属主：

# chown -R vpnuser /home/vpnuser/.ssh # chmod 600 /home/vpnuser/.ssh/* # chmod 644 /home/vpnuser/.ssh/*.pub

2．配置隧道

软件ssh-ip-tunnel以前被称为vpn，由于该名字容易引起歧义，因此被重新更名为ssh-ip-tunnel。如果希望得到更详细的帮助，请使用man vpn。

ssh-ip-tunnel的配置文件位于/usr/local/etc/vpn/peers目录下。在server1上创建配置文件。因为server1作为服务器在运行，并不发出VPN连接请求，因此其配置文件较简单。内容如下：

#/usr/local/etc/peers/vpngate2 SSHUSER=vpnuser

server2的配置文件相对复杂，内容如下：

#/usr/local/etc/peers/vpngate1 SSH="/usr/bin/ssh -2" PEER=server1 SSHUSER=vpnuser RSAKEY=/home/vpnuser/.ssh/id_rsa LOCALPPP=/usr/sbin/pppd LPPPOPTIONS="call vpngate1" REMOTEPPP=/usr/sbin/pppd RPPPOPTIONS="call vpngate2"

3．配置PPP

首先在server1上创建PPP配置文件：

# /etc/ppp/vpngate2 #debug debug debug debug debug mtu 1500 mru 1500 noauth noipv6 10.0.0.1:10.0.0.2 netmask 255.255.255.0 linkname vpngate2 ipparam 192.168.5.0 # Network on other side of vpngate2

再在server2上创建PPP配置文件如下：

# /etc/ppp/vpngate1 -- Remote VPN Server #debug debug debug debug debug mtu 1500 mru 1500 noauth noipv6 netmask 255.255.255.0 linkname vpngate1 ipparam 192.168.3.0 # Network on other side of vpngate1 silent

可以看到VPN连接使用的PPP接口地址是在server1的配置文件中指定的。

测试

在server2上将root身份切换为vpnuser身份，并连接到server1上来进行测试。命令如下：

# su vpnuser $ ssh -2 vpnuser@server1

如果是第一次连接server1,系统会出现提示问题，这里回答“yes”以便继续连接，登录成功后会得到一个Shell。

然后以root身份在server2上，测试到server1的VPN连接，命令如下：

# vpn vpngate1 authtest

监控

下面的vpnchk脚本是实现VPN连接监控的。一旦连接断开，脚本会自动重新连接VPN，以保证VPN连接的可靠性。

#!/bin/sh # vpnchk -- Monitor VPN Connection and restart as necessary. # A single parameter is required: vpnchk # Ping REMOTE_VPN_HOST approximately every 10 seconds. Keep track of # failed pings by incrementing COUNT. If pings are good, always reset # COUNT back to zero. Only take corrective action when the number of # failed pings reaches THRESH(hold). Notify root by mail whenever the # status of the vpn connection has changed. # REMOTE_VPN_HOST= MAILTO=root@localhost # if [ "$" = ""]; then echo "Syntax: vpnchk " exit fi # CHK_TEXT="call $" THRESH=3 COUNT=0 while [ : ]; do # loop forever if ping -c 5 $ 1>/dev/null 2>/dev/null ;then COUNT=0 if [ -f /tmp/.vpn-down ]; then rm -f /tmp/.vpn-down MSG="VPN Connection is -UP-: `date "+%H:%M on %m/%d/%Y"`" echo $ | mailx -s"$" $ fi else COUNT=`expr $ + 1` if [ $ -ge $ ]; then if [ ! -f /tmp/.vpn-down ]; then touch /tmp/.vpn-down MSG="VPN Connection is DOWN: `date "+%H:%M on %m/%d/%Y"`" echo $ | mailx -s"$" $ fi PID=`ps -awwjx | grep -v grep | grep "$" | awk '{print }'` if [ ! "$" = ""]; then for xPID in $ ;do kill -KILL $ ;done COUNT=0 sleep 60 fi nohup /usr/pkg/sbin/vpn fire start & sleep 150 fi fi sleep 10 done # end

将该vpnchk脚本安装在目录/usr/local/sbin下，在server2上以root身份运行下面的命令来启动VPN。

# /usr/local/sbin/vpnchk vpngate1

创建网络路由

为了实现正确的路由，系统必须支持IP转发，即:

/sbin/sysctl -w net.ipv4.ip_forward=1

在server1和sever2上分别创建ip-up和ip-down脚本来添加和删除网络路由。脚本内容如下：

#!/bin/sh # /etc/ppp/ip-up # Add route for REMOTE_NETWORK # REMOTE_IP="" REMOTE_NETWORK="" if [ ! "$" = ""]; then /sbin/route add -net $ $ fi #!/bin/sh # /etc/ppp/ip-down # Delete route for REMOTE_NETWORK # REMOTE_IP="" REMOTE_NETWORK="" if [ ! "$" = ""]; then /sbin/route delete -net $ $ fi

最后，必须在两个局域网络的默认网关上添加正确的路由，也就是将访问VPN对方网络的路由指向VPN服务器。

在网关192.168.3.1上的/etc/rc.d/rc.local添加：

/sbin/route add -net 192.168.5.0 netmask 255.255.255.0 gw 192.168.3.14

在网关192.168.5.1上的/etc/rc.d/rc.local添加：

/sbin/route add -net 192.168.3.0 netmask 255.255.255.0 gw 192.168.5.18

如上建立VPN连接以后，用户可以分别在两个局域网络中任意连接对端网络的任何机器。

相关链接

VPN（Virtual Private Networks）：是一种专用的虚拟网络，允许用户从私人网络（一般个人住处）通过公共网络（一般Internet）安全地远程访问企业资源。VPN技术利用“加密”技术和“隧道”技术来确保传输数据的安全性。

隧道技术：是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据可以是不同协议的数据包。隧道协议将这些不同协议的数据包重新封装在新的包头中发送。新的包头提供路由信息，从而使封装的负载数据能在隧道的两个端点之间通过公共互联网络进行传递。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为“隧道”。一旦到达网络终点，数据将被解包并转发到最终目的地。隧道技术是指包括数据封装、传输和解包在内的全过程。

SSH（Secure Shell Protocol）：一种基于安全会话目的的应用程序。SSH支持身份认证和数据加密，对所有传输的数据进行加密处理。同时，可以对传输数据进行压缩处理，以加快数据传输速度。SSH既可以代替Telnet作为安全的远程登录方式，又可以为FTP、POP等提供一个安全的“隧道”。OpenSSH是SSH的替代软件包，是免费的

查看(17) 评论(0)

用户菜单

日历

存档

搜索标题

最新来客

统计信息

RSS订阅

我的最新日志

SSH+VPN技术-实践篇

常用站点列表

VPN技术（1）(转载)

VPN技术（2）（转载）

ZDNet 软件频道 更新时间:2007-08-19作者：ccidnet.com 来源:ccidnet.com

本文关键词： VPN Unix Linux SSH

ZDNet 软件频道更新时间:2007-08-19作者：ccidnet.com 来源:ccidnet.com