利用Webmin架設(shè)OpenVPN服務(wù)器企業(yè)規(guī)模隨著發(fā)展，越來(lái)越多人員需要在出差與不在公司的時(shí)候進(jìn)行遠(yuǎn)程辦公，而傳統(tǒng)VPN設(shè)備以其價(jià)格與平臺(tái)依賴，無(wú)法很好的滿足包括Windows、Linux、MACOSX甚至Andriod等最新智能手機(jī)系統(tǒng)的VPN使用需求。當(dāng)前流行的SSLVPN中，免費(fèi)、開(kāi)源并廣泛使用的一個(gè)VPN項(xiàng)目便是OpenVPN，本文將介紹如何使用Webmin架設(shè)一個(gè)基本的VPN服務(wù)器，用于中小企業(yè)遠(yuǎn)程遠(yuǎn)程接入使用(RemoteAccess)。OpenVPN是一個(gè)用于創(chuàng)建虛擬專用網(wǎng)絡(luò)加密通道的軟件包，最早由JamesYonan編寫(xiě)。OpenVPN允許參與建立VPN的單點(diǎn)使用共享金鑰，電子證書(shū)，或者用戶名/密碼來(lái)進(jìn)行身份驗(yàn)證。它大量使用了OpenSSL加密庫(kù)中的SSLv3/TLSvl協(xié)議函式庫(kù)。目前OpenVPN能在Solaris、Linux、OpenBSD、FreeBSD、NetBSD、MacOSX與Windows2000/XP/Vista上運(yùn)行，并包含了許多安全性的功能。它并不是一個(gè)基于Web的VPN軟件，也不與IPsec及其他VPN軟件包兼容。OpenVPN使用OpenSSL庫(kù)加密數(shù)據(jù)與控制信息：它使用了OpenSSL的加密以及驗(yàn)證功能，意味著，它能夠使用任何OpenSSL支持的算法。它提供了可選的數(shù)據(jù)包HMAC功能以提高連接的安全性。此外，OpenSSL的硬件加速也能提高它的性能。OpenVPN提供了多種身份驗(yàn)證方式，用以確認(rèn)參與連接雙方的身份，包括：預(yù)享私鑰，第三方證書(shū)以及用戶名/密碼組合。預(yù)享密鑰最為簡(jiǎn)單，但同時(shí)它只能用于建立點(diǎn)對(duì)點(diǎn)的VPN；基于PKI的第三方證書(shū)提供了最完善的功能，但是需要額外的精力去維護(hù)一個(gè)PKI證書(shū)體系。OpenVPN2.0后引入了用戶名/口令組合的身份驗(yàn)證方式，它可以省略客戶端證書(shū)，但是仍有一份服務(wù)器證書(shū)需要被用作加密。OpenVPN所有的通信都基于一個(gè)單一的IP端口，默認(rèn)且推薦使用UDP協(xié)議通訊，同時(shí)TCP也被支持。OpenVPN連接能通過(guò)大多數(shù)的代理服務(wù)器，并且能夠在NAT的環(huán)境中很好地工作。服務(wù)端具有向客戶端〃推送〃某些網(wǎng)絡(luò)配置信息的功能，這些信息包括：IP地址、路由設(shè)置等。OpenVPN提供了兩種虛擬網(wǎng)絡(luò)接口：通用Tun/Tap驅(qū)動(dòng)，通過(guò)它們，可以建立三層IP隧道，或者虛擬二層以太網(wǎng)，后者可以傳送任何類型的二層以太網(wǎng)絡(luò)數(shù)據(jù)。傳送的數(shù)據(jù)可通過(guò)LZO算法壓縮。IANA(InternetAssignedNumbersAuthority)指定給OpenVPN的官方端口為1194。OpenVPN2.0以后版本每個(gè)進(jìn)程可以同時(shí)管理數(shù)個(gè)并發(fā)的隧道。OpenVPN使用通用網(wǎng)絡(luò)協(xié)議(TCP與UDP)的特點(diǎn)使它成為IPsec等協(xié)議的理想替代，尤其是在ISP(Internetserviceprovider)過(guò)濾某些特定VPN協(xié)議的情況下。在選擇協(xié)議時(shí)候，需要注意2個(gè)加密隧道之間的網(wǎng)絡(luò)狀況，如有高延遲或者丟包較多的情況下，請(qǐng)選擇TCP協(xié)議作為底層協(xié)議，UDP協(xié)議由于存在無(wú)連接和重傳機(jī)制，導(dǎo)致要隧道上層的協(xié)議進(jìn)行重傳，效率非常低下。OpenVPN與生俱來(lái)便具備了許多安全特性：它在用戶空間運(yùn)行，無(wú)須對(duì)內(nèi)核及網(wǎng)絡(luò)協(xié)議棧作修改；初始完畢后以chroot方式運(yùn)行，放棄root權(quán)限；使用mlockall以防止敏感數(shù)據(jù)交換到磁盤(pán)。OpenVPN通過(guò)PKCS#11支持硬件加密標(biāo)識(shí)，如智能卡。Webmin是個(gè)基于web的unix、linux管理臺(tái)，可以通過(guò)其豐富組件來(lái)實(shí)現(xiàn)對(duì)系統(tǒng)的可視化管理。在VPN環(huán)境的架設(shè)中，我們使用到OpenVPN組件，實(shí)現(xiàn)快捷準(zhǔn)確的VPN架設(shè)及管理。網(wǎng)絡(luò)結(jié)構(gòu)10.2.300.10VPNBOX10.2.300.10VPNBOXLAN：局域網(wǎng)一共分為三個(gè)網(wǎng)段10.2.100.*/24為VPN服務(wù)器所在網(wǎng)段10.2.200.*/24為核心交換機(jī)與防火墻網(wǎng)關(guān)連接網(wǎng)段10.2.300.*/24為服務(wù)器所在網(wǎng)段WAN：假設(shè)218.139.*.*為聯(lián)通線路，59.57.*.*為電信線路VPN：10.2.400.*/24為VPN加密后分配的IP段系統(tǒng)設(shè)置硬件環(huán)境ServerVMwareEsxi4中虛擬機(jī)OSCentos5.4x86IP00MEM256MDiskSpace8G安裝系統(tǒng)通過(guò)Vsphereclient分配虛擬機(jī)資源并安裝系統(tǒng)，系統(tǒng)安裝方法就不在此詳細(xì)說(shuō)明了。待系統(tǒng)安裝后通過(guò)命令升級(jí)補(bǔ)丁并關(guān)閉SELinux，待更新完畢后重啟服務(wù)器：root@vpnbox#yumupdateroot@vpnbox#vim/etc/sysconfig/selinu確保SELIUNUX=disabledroot@vpnbox#reboot安裝EPEL由于OpenVPN默認(rèn)沒(méi)有包含在Centos的軟件倉(cāng)庫(kù)中，需要安裝EPEL倉(cāng)庫(kù)擴(kuò)展，才可以通過(guò)yum工具安裝OpenVPN，具體方式如下：root@vpnbox#wgethttp://download.fedora.redha/pub/epel/5/i386/epel—release—5—4.noarch.rpmroot@vpnbox#rpm-ivhepel-release-5-4.noarch.rpmroot@vpnbox#yumupdateroot@vpnbox#yuminstallOpenVPNroot@vpnbox#chkconfigOpenVPNon安裝Webmin核心軟件包通過(guò)Webmin的官方網(wǎng)站下載最新的軟件包保本，然后通過(guò)第三方庫(kù)，搜索關(guān)鍵字“OpenVPN”,可以獲得一個(gè)OpenVPN+CA的擴(kuò)展組件，點(diǎn)擊安裝確認(rèn)。安裝完成后，可以看到如下圖示：Login:root@Webmin叵ISystem?ServersFetchmailMailRetrievalOpenVPNLogin:root@Webmin叵ISystem?ServersFetchmailMailRetrievalOpenVPN+CAProcmailMailFilterReadUserMailSSHServerSendmailMailServer回Others回Network!ng?Hardware?Cluster0Un-usedModulesSearch:|△ViewModule'sLogsSystemInformationSRefreshModules?LogoutHelp..ModuleConfigVPNListOpenVPNAdministrationOpenVPNversion2.0_rcl6,OpenSSLversion0.9.7eCertificationAuthorityListActiveConnectionStartOpenVPN StartOpenVPNactivatingallconfigurationspresentinOpenVPNhomewithextension.conforwhateveryouchoosedinmoduleconfiguration清空防火墻規(guī)則并開(kāi)啟IP轉(zhuǎn)發(fā)?通過(guò)Webmin，點(diǎn)擊Networking-〉LinuxFirewall,刪除所有防火墻配置，記得點(diǎn)擊ApplyConfiguration應(yīng)用配置。此點(diǎn)僅適用于測(cè)試環(huán)境，實(shí)際生產(chǎn)用請(qǐng)根據(jù)自身應(yīng)用需求調(diào)整VPN的防火墻權(quán)限。?訪問(wèn)控制iptables策略范例:#Accesspolicyforclient_username-AFORWARD-itunO-pudp-mudp-s10.2.400.41-ddns_server_ip—dport53-jACCEPT-AFORWARD-itun0-ptcp-mtcp-s10.2.400.41-dwww_server_ip--dport80-jACCEPT點(diǎn)擊Networking->NetworkConfiguration-〉RoutingandGateways,將“Actasrouter”選項(xiàng)至為Yes，點(diǎn)擊Save保存設(shè)置。重啟服務(wù)器配置網(wǎng)關(guān)端口映射與內(nèi)部靜態(tài)路由將網(wǎng)關(guān)上的固定IP端口映射至OpenVPN服務(wù)器的端口，具體映射設(shè)置方法根據(jù)不同型號(hào)的網(wǎng)關(guān)而定，就不在此說(shuō)明了，關(guān)鍵點(diǎn)為將兩路的IP端口都映射至LAN內(nèi)VPN的IP地址，以00為例，協(xié)議與端口分別為UDP與1194。配置核心交路由條目，將發(fā)往10.2.400.0/24網(wǎng)段的包轉(zhuǎn)發(fā)給00，注意上文的IP分配至此，前期準(zhǔn)備已經(jīng)完成，接著便開(kāi)始進(jìn)行OpenVPN的詳細(xì)配置。架設(shè)OPENVPN建立CA企業(yè)使用，需要建立一個(gè)證書(shū)頒發(fā)機(jī)構(gòu)，用于生成VPN服務(wù)器與客戶端密鑰。建立CA的方法很簡(jiǎn)單：點(diǎn)擊Webmin-〉Servers-〉OpenVPN+CA填寫(xiě)內(nèi)容：CA名稱自定義

openssl配置文件默認(rèn)不變CA密鑰有效期自定義國(guó)家自定義省自定義市自定義組織自定義郵箱自定義注意:Keysize如果采用2048，生成時(shí)間會(huì)比較長(zhǎng)，可以改成1024，提高速度CA配置文件生成后，在CertificationAuthorityList中可以查看，不要隨意刪除CA密鑰配置CA密鑰為VPN所配置的授權(quán)中心，server及client的密鑰都基于該key生成二、生成VPN服務(wù)端密鑰1.點(diǎn)擊CertificationAuthorityList,點(diǎn)擊之前建立的CA，點(diǎn)擊右邊的keyslist,查看該CA下的密鑰文件，一開(kāi)始應(yīng)該是空的，然后開(kāi)始生成Server端密鑰，需要填寫(xiě)以下內(nèi)容：密鑰名稱自定義密鑰密碼服務(wù)器端不要填寫(xiě)密鑰類型服務(wù)器密鑰有效期自定義國(guó)家自定義省自定義市自定義組織自定義組織單元自定義VPNListActiveConnectionCertificationAuthorityListSaveStartOpenVPN StartOpenVPNactivatingallconfigurationspresentinOpenVPNhomewithextenslon.8nforwhateveryouchoosedVPNListActiveConnectionCertificationAuthorityListSaveStartOpenVPN StartOpenVPNactivatingallconfigurationspresentinOpenVPNhomewithextenslon.8nforwhateveryouchoosedinmoduleconfiguration示意圖點(diǎn)擊Save進(jìn)行保存，系統(tǒng)會(huì)自動(dòng)生成CA密鑰。郵箱自定義示意圖配置VPN服務(wù)端各配置項(xiàng)比較復(fù)雜，就不在此敘述,大部分情況保持默認(rèn)選項(xiàng)，需要關(guān)注幾點(diǎn)，可以根各配置項(xiàng)比較復(fù)雜，就不在此敘述,大部分情況保持默認(rèn)選項(xiàng)，需要關(guān)注幾點(diǎn)，可以根據(jù)自己的需求查閱OpenVPN的官方文檔?推送路由:push""route""推送DNS、WINS、域信息:push""dhcp—optionDNSdns?〃server_ippush""dhcp—optionWINSwins_server_ip""push""dhcp—optionDOMAIN""LoginrootQWtBmin0SytwmOSenmraFttctwnailMailR?tri?valO$?nVPN+CAProcmallMailFliterReadUserMailSSHS?iwrStMmaiiMailS?<v?<D推送DNS、WINS、域信息:push""dhcp—optionDNSdns?〃server_ippush""dhcp—optionWINSwins_server_ip""push""dhcp—optionDOMAIN""LoginrootQWtBmin0SytwmOSenmraFttctwnailMailR?tri?valO$?nVPN+CAProcmallMailFliterReadUserMailSSHS?iwrStMmaiiMailS?<v?<DOthers0NetworkingOHardwareOClusurUUnusedModulesSearch_Help..ModuleCon岬NewVPN&erverNameport(Port)proto(Protocol)DeviceBridgeDeviceNetworkDeviceforBridgeIPconfigforbridgeOpenVPNAdministrationOptnVPNvertion20_rd6, vtrsion097*I|chan9?me?tno?SearchDocsOpenVPNAdministrationAViewModule'sLogsWSystemInformation$R?fr??nModuMt◎LogoutIPAddress/Gatcway: 留空Netmask|Stan:|留空ErtU：Pmanagement(tnableManagement)ca(CertillcalionAuthority)Choos*key留空EnaNt|no▼IP127001Port|留空cnangemeseiver▼CeititicateServerautomaticKayServetDiNis-HellmanrandomtilsCeititicateServerautomaticKayServetDiNis-Hellmanrandomtilsautomaticdh2048pemnoTenableTISandanumesetvetroleduringILSndsliake

noTenableTISandanumesetvetroleduringILSndsliakeLogmroo<OWetxninOSystem3SeiversF?tchmajlMailRetrievalOpenVPN*CAProcmailMMFlltwReadumtManSSHSemrSendmailMailServer3othersSNfttwortang0H?ri#war?□ClusterOUrvusedModulesSearch：|—△ViewModule'sLogsWSysteminformauon=RefreshModules完成了VPN服務(wù)器端密鑰生成與VPN服務(wù)器配置后，整個(gè)VPN服務(wù)器就可以通過(guò)Webmin啟動(dòng)了，點(diǎn)擊頁(yè)面中的啟動(dòng)按鈕即可啟動(dòng)OpenVPN服務(wù)進(jìn)程。四、創(chuàng)建客戶端密鑰新建密鑰點(diǎn)擊Webmin-〉OpenVPN+CA-〉CertificationAuthorityList-〉創(chuàng)建的VPNCA中—〉KeysList填寫(xiě)NewkeytoCertificationAuthority內(nèi)的vpn_ca相關(guān)選項(xiàng)：?Keyname:建議以client_username的方式命名(前綴為client_,后面根據(jù)賬戶的命名規(guī)則來(lái)填寫(xiě))，便于區(qū)分serverkey與clientkey,并避免Keyname少于四個(gè)字符不予創(chuàng)建賬戶的限制Keypassword:建議利用其他密碼生成器隨機(jī)生成六位長(zhǎng)度的密碼作為用戶初始密碼KeyServer:設(shè)置為clientGenerateexportablePKCS#12key:默認(rèn)為noPasswordforexportingPKCS#12(min4chars):目前暫無(wú)用處，可以留空Keyexpirationtime(days):設(shè)置授權(quán)過(guò)期時(shí)間，默認(rèn)365天State,Province，City:根據(jù)實(shí)際填寫(xiě)Organization：根據(jù)實(shí)際填寫(xiě)OrganizationUnit:根據(jù)用戶所屬不同部門自行調(diào)整即可，與域控制器的OU無(wú)關(guān)，不影響實(shí)際使用，有利于VPN登陸日志查詢使用Email:用戶的Email賬戶，不影響實(shí)際使用點(diǎn)擊Export導(dǎo)出密鑰及配置文件的壓縮包，之后通過(guò)一定途徑交給用戶NewkeytoCertificationAuthority:my_vpn_caKeynameKeypassword[min4chars)KeynameKeypassword[min4chars)KeyServerGenerateexportablePKCS#12keymyvpnclient??????Serverkeydoesn'tneedpassword!client7PasswordforexportingFKCS#12(imin4chars)??????Keyexpirationtime(days) 355StateProvinceCityOrganizationOrganizationUnitEmailSa>/e示意圖配置VPNClient點(diǎn)擊VPNList點(diǎn)擊vpn_server對(duì)應(yīng)的ClientList點(diǎn)擊VPNClient,若第一步已新建了一個(gè)clientkey,則系統(tǒng)默認(rèn)會(huì)將keyname作為該client的名稱remote(RemoteIP)設(shè)置為59.57.*.*，公司網(wǎng)關(guān)的電信出口IP(需要做雙線路支持，只需將交給客戶的密鑰壓縮包中的配置文件復(fù)制一份，將其中IP地址變更為聯(lián)通線路IP)分配VPN用戶連接后獲取到的IP,在client配置-〉ccdfilecontent添加配置選項(xiàng)：ifconfig-push10.2.400.4110.2.400.42其中41為客戶端IP，42為服務(wù)端產(chǎn)生用于與客戶端互聯(lián)的IP可用的IP對(duì)如下：[1,2:][5,6；][9,10][13,14][:17,18][21,22][25?,26][29',30][33,34][37,38]][41,42][45,46][49,50][53,54][57,58][61,62][65i,66][69',70][73,74][77,78]][81,82][85?,86][89',90][93,94][97,98]][101,102][105,106][109,110][113,114][117,118][121,122][125,126][129,130][133,134][137,138][141,142][145,146][149,150][153,154][157,158][161,162][165,166][169,170][173,174][177,178][181,182][185,186][189,190][193,194][197,198][201,202][205,206][209,210][213,214][217,218][221,222][225,226][229,230][233,234][237,238][241,242][245,246][249,250][253,254]配置VPN用戶網(wǎng)關(guān)重定向在client配置-〉A(chǔ)dditionalConfigurations中增加redirect-gatewaydefl此功能用于某些特殊情況，有網(wǎng)絡(luò)管理知識(shí)的技術(shù)人員們需要了解，我就不在此介紹了，默認(rèn)使用中不必添加此內(nèi)容。?點(diǎn)擊Save保存配置刪除VPN配置VPNList-〉vpn_server對(duì)應(yīng)的ClientList點(diǎn)擊remove刪除不再使用的VPNclient?刪除VPNKey點(diǎn)擊CertificationAuthorityList-〉vpn_ca所對(duì)應(yīng)的Keyslist點(diǎn)擊remove刪除不再使用的VPNClientKey五、安裝客戶端Windows客戶端安裝OpenVPN客戶端，下載地址位于。將管理員提供的密鑰文件釋放至OpenVPN的配置目錄中。例如：將client_username.zip釋放至C:\ProgramFiles\OpenVPN\config\目錄下。運(yùn)行桌面圖標(biāo)OpenVPNGUI。右鍵右下角圖標(biāo)，點(diǎn)擊connect之后會(huì)提示輸入密碼（用戶初始密碼為000000，建議用戶通過(guò)右鍵ChangePasswd進(jìn)行密碼的修改），輸入密碼后客戶端即開(kāi)始進(jìn)行VPN連接，并且分配IP,當(dāng)右下角VPN連接成為綠色，說(shuō)明VPN連接已經(jīng)建立，可以訪問(wèn)內(nèi)網(wǎng)資源。MacOSX客戶端安裝tunnelblick。最新版本下載地址：/p/tunnelblick/。原版安裝扌旨南見(jiàn)：http：///p/tunnelblick/wiki/FAQ下載最新版本鏡像，解壓后，將Tunnelblick.app拖拽到應(yīng)用程序的文件夾下或者硬盤(pán)內(nèi)的任意位置。刪除tunnelblick直接將Tunnelblick.app的圖標(biāo)拖動(dòng)至垃圾箱。其余OpenVPN的配置文件將保留在/users/currentuser/Library/OpenVPN目錄下，若不需要，可以刪去。具體細(xì)節(jié)見(jiàn)tunnelblick使用指南為何tunnelblick需要root權(quán)限OpenVPN需要root權(quán)限修改例如配置新網(wǎng)絡(luò)設(shè)備，修改路由，添加與刪除DNS服務(wù)器等操作。配置密鑰文件.將管