计算机安全技术TOOLS教程课件5.12.3 实例：配置基于Linux平台的VPN.docVIP

5.12.3 实例：配置基于Linux平台的VPN 1．实验环境 一台安装Linux的电脑，作为VPN服务器（图5-107中的VPN服务器），一台安装Windows的电脑，作为VPN客户端（图5-107中的外地员工）。 该实验达到的效果类似于如图5-107所示的VPN环境。 图5-107 实验环境 对图5-107的说明： （1）外地员工端通过Internet网络连接到公司网络（模拟成网段），并建立的VPN通道。 （2）公司内部网络为网段，假设只有一台主机。 （3）目标是客户端和后台主机可以双向互通。 2．在Linux上配置VPN服务器的过程 第1步：下载并且安装lzo和openvpn。在/opensource/lzo/ download/下载lzo-2.02；在/download.html下载openvpn-2.0.9。 安装lzo： [root@localhost lzo-2.02]#./configure [root@localhost lzo-2.02]#make [root@localhost lzo-2.02]#make install 安装openvpn： [root@localhost openvpn-2.0.9]#./configure [root@localhost openvpn-2.0.9]#make [root@localhost openvpn-2.0.9]#make install 第2步：复制创建CA证书的easy-rsa。 #cp -ra /usr/share/doc/openvpn-2.0.9/easy-rsa /etc/openvpn/ 第3步：复制示例配置文件。 #cd /etc/openvpn/ #cp /usr/share/doc/openvpn-2.0.9/sample-config-files/server.conf /etc/openvpn/ 第4步：修改证书变量。 #cd easy-rsa #vim vars 根据你的实际情况，修改下面的变量： export KEY_COUNTRY=CN export KEY_PROVINCE=HN export KEY_CITY=XX export KEY_ORG=TEST export KEY_EMAIL=jsjoscpu@163.com 注意： 这些变量在后面会用到，如果修改，则必须重建所有的PKI。 图5-108 初始化PKI 第5步：初始化PKI，如图5-108所示。 依次执行#source vars、#./clean-all和#./build-ca命令。 注意： 一旦运行clean-all，将删除keys下的所有证书。 Common Name可以自己定义，这里用ZTG-OPENVPN。 第6步：创建服务器的证书和密钥，如图5-109所示。执行#./build-key-server server命令，Common Name必须填写server，其余默认即可。 图5-109 创建服务器的证书和密钥 第7步：创建客户端的证书和密钥，如图5-110、图5-111所示。执行#./build-key client1命令，Common Name对应填写client1，其余默认即可。 如果创建第二个客户端，则执行#./build-key client2命令，Common Name对应填写client2。client1和client2是今后识别客户端的标识。 图5-110 创建客户端的证书和密钥 图5-111 创建客户端的证书和密钥 第8步：创建Diffie Hellman参数，如图5-112所示。执行#./build-dh命令。Diffie Hellman用于增强安全性，在OpenVPN是必须的，创建过程所用时间比较长，时间长短由vars文件中的KEY_SIZE决定。 图5-112 创建Diffie Hellman 参数 第9步：修改配置文件server.conf。 # #号和；号开头的是注释 # 设置监听IP local # 设置监听端口，必须要对应的在防火墙里面打开 port 1234 # 设置用TCP还是UDP协议？ proto udp # 设置创建tun的路由IP通道，路由IP容易控制； dev tun # 这里是重点，必须指定SSL/TLS root certificate (ca), # certificate(cert), and private key (key) ca ./easy-rsa/keys/ca.crt cert ./easy-rsa/keys/server.crt key ./easy-rsa/keys/server.key # 指定Diffie hellman parameters. dh .