VPN技术,现在开始直播

ylxma

应邀 yixuesky 的邀请,在这里教大家怎么给自己架设一个专享VPN.现在开始直播^_^

拿着菜刀来上网

直播在哪了？

ylxma

通过这个教程,我相信你一定能够做到…文中所有的例子以及图片全部非拷贝内容,且都是已经验证,所以配置一定是正确的…至于意义嘛,这个..我有点懒,可能写明,也可能就不写明了…到时候有兴趣的网友可以自己查阅,或者可以问我…不过直接使用文中配置也是一定能架设成功的.

以上是赘述,下面开始正文.

首先看最后的效果:   (这个是Win XP的环境,如果是Win7 ,因为涉及链路均衡所以需要用虚拟机(vmware)做网络地址翻译(nat)来实现相同效果,Win7环境也已经验证,只是麻烦一点.大家放心.)


IE中的地址是远端路由器的地址了…也就是山东.本人在重庆…任务栏下面第二个绿色的openvpn图标表示已经连接成功.毋庸置疑本教程的真实性.

ylxma

再说一下OPENVPN的原理吧,虽然有点枯燥,不过这部分是对于网络的理解,我认为如果你要做一个有心人,想在51nb里有长进的话,还是最好能静下心来研究下…
OPENVPN是VPN技术的一种,VPN有很多种技术,有PPTP(这种现在比较流行,原因是windows直接支持,windows中带的就是这种了),还有就是本教程中要用到的openvpn了..这个是开源的VPN,原始代码在linux下的,现在已经移植到windows所以大家别担心哈^_^

VPN技术的连接关系是建立在OSI七层网络架构的第二层数据链路层或者是第三层网络层,如果建立在第二层在OPENVPN中用的是TAP的配置,而点对点网络层的传输则就是OPENVPN中TUN的配置模式了.这部分详细的过程在下文中介绍吧.

TAP因为是在二层构建的,所以不关心三层走的是什么链路,这样的话就可以自由选择,所以能够有比较好的连接质量,而且可以一个服务器对多个客户端…相对应的TUN就只能一对一传输了…而且用是固定链路,势必会影响到连接的质量,所以在现在openvpn的配置中大部分人都使用的TAP,很少人用TUN,如果说你在别的教程中看到别人都用的是TUN,那我告诉你,那是因为人家可能贴来贴去用的别人的东西,而TUN就是早先的技术.

原理就先这么多吧.接下来开始安装软件以及配置…

yixuesky

本贴的前因后果。见http://www.ibmnb.com/thread-947539-1-1.html

ylxma

下载OpenVPN软件,地址不贴了..自己去找,但是为了防止大家下的版本不一样…这里给大家透露下我的版本, openvpn-2.1.1-install.我的是这个…

安装没有什么要说的,按照默认路径安装..最好这样,怕你到时候找不到啊- -..OPENVPN很小…所以不需要吝啬这点空间…而且什么国外的软件啊,尤其是开源的软件什么的..都是不会带广告的,所以大家放心吧..直接安装在C盘就好了..至于订制安装内容什么的也都是全部安装,不用担心,装完一共是.3.89M…我是加了配置文件和密钥文件的.所以你的大小要是不一样也不要紧…只要是一个版本的就成了…

刚刚我们完成了客户端的安装…

客户端的配置我们一会说.先把整个软件环境都弄好了的.

现在要讲服务端了.

服务端有两种形式:
一:
   就是直接在你的电脑上运行,这样的话,你要使你的VPN能使用的话,就必须24小时开机…这个我觉得现在这么流行”低碳”的概念下,我也是不很赞成的,有这个钱去交电费不如去买个路由器啦^_^...
   但是这种方法也并不是完全没有用的,因为你可以在买路由器之前用它来感受下VPN是什么效果,有助你决定是否要买,是否合适使用VPN…^_^
(使用VPN以后,你的下载速度并不是你原来wap的速度,也许要慢,但是绝对能访问所有的互联网资源,而速度是由你家里宽带的最大上传速度和你wap卡到你家里VPN服务器之间的链路质量决定的…一般来说,你家里带宽的八折吧…差不多能达到这么多,应该说很不错了…比起淘宝上的那些卖家卖的,大家一起用的要好多好多了.毕竟是自己专享嘛.
提供几个数据参考下:1m一下的ADSL就不要架设VPN了,上传很慢了…2M的ADSL的话有512Kb要除以8…所以….(这里各地可能不一样,不过差不多吧)嗯…我自己用的是100M的光纤…所以上传也是100M…^_^..高兴,赞赞..是兔子七月的服务器…高兴高兴.不算显摆吧?)
二:
   这就是我使用的服务器方式,路由架设…
关键不是你用什么路由器,关键是你用的什么路由固件…我使用的是Tomato Version 1.23(是tomato专门对应的OPENVPN固件…)
很多人用H618都刷tomato dualwan 的固件,因为的确,现在流行的是这个固件,支持3G,支持双WAN,支持挂载U盘,但是SORRY不支持OPENVPN….虽然支持PPTP的VPN方式,不过不好意思…这种VPN不能支持wap穿越.所以大家还是狠心刷成OPENVPN对应的固件吧^_^…至于刷机教程我不教了,大家自己研究.或者让卖家帮你刷呗.

下面是具体的路由配置贴图:

sphere

搬凳子,看直播..

ylxma

首先是基本配置...

网络设置 上面的WAN,和下面的无限我这里就不贴图了..设置个人帐号的问题...不好意思啊...

路由标识,随意,你喜欢..

路由时间也是一样的..不重要

动态域名,看图...动态 DNS 1..下面设置servers为3322(3322是一个提供动态域名解析的网络公司..再下面填写Username,Password,Hostname都是你在他们网站上申请和设置的有关...),

Last IP Address 2010年4月24日 星期六 1:31:25:
221.1.100.53
Last Result 2010年4月24日 星期六 1:31:25:
Update successful

这个只要你申请,且填写正确就会有这两行...这里也是到时候能连接上vpn服务器的关键...

这里大概是这样的....

客户端发起呼叫:服务器在哪里???我只知道这个地址...XXXX.3322.org
3322公司告诉你:XX.3322.org对应的是XX.XX.XX.XXX(IP地址)
客户端:哦,那我知道了...把请求发给对应的IP地址...
服务端:收到请求建立连接...

OK^_^...这就成了....

ylxma

再下面是静态的DHCP分配…最好把你的mac地址对应固定的IP,因为我们以后要在路由器上设置很多对应IP的管理规则…如果你IP都不一一对应和固定,那就谈不上管理了…

这里说下能管理什么先吧…要不大家不知道固定IP的重要性

Tomato路由器能做到不同IP,不同IP段号,有不同的网络访问优先级,不同的流量上下限,也就是流量限制….还可以限制连接数,限制BT下载,限制某些IP不能访问某些网站…总之功能很强大,我就在这里具体说一个…限制所有本地机器的上传速度…因为对于本地机器来说,上传除了网址提交,并不影响到看电影或者什么,但是pps,等等现在很多P2P软件都有着很高的上传…所以我们这里在源头上锁定..这样就能最大限度的让你的vpn客户端拥有更快的下载速度….

别的很多路由管理方面的配置,参照google吧^_^….很有用的……

shikang

好好学习，谢谢老师！

xia_chip

呵呵，学习了！！

xia_chip

也可以在linux固件路由当中来假设openvpn服务器和客户端！

ylxma

无限过滤,防止别人蹭网….怎么设置,谢谢…不赘述


高级设置:无…全部都不需要设置…保持默认就可以了…

端口转发:
基本设置:不更改
DMZ:意思是非军事区域,如果你在本地,在这里设置的主机拥有最高的端口转发权限..所以BT下载的机子这里设置以后,速度很上一个档次….但是你的VPN客户端的话,或者说你的网络中有VPN客户端,那你就不要开DMZ,因为你开了以后,无论你设置为什么…即使是把VPN客户端设置为DMZ,你也会发现.速度好慢…是的..所以这里留空….
端口转发:不配置
NPUP:把这个开开^_^…BT下载映射端口用..不影响速度..
QOS:
  不建议在这里设置规则…因为有个更好的地方…不过那要参见google了…这里图方便也可以做.跟我说的那个地方时重复的…QOS是一个很高深的内容…有兴趣可以好好研究…
可以最后做到..大家一起下载BT,上网页照样是一点就开….神奇吧^_^

IP/MAC速度限制:这里其实也是QOS,所以我也不用说了..因为一起都在下面配置了…我这里也没有填…

访问限制:这里可以做哪个IP访问不了校内,哪个IP上不了QQ^_^…看你自己的创意了…不赘述
终于到VPN功能了- -….

PKforver

墙裂支持

yixuesky

10楼的头像很迷人，

greateye

有宽带，还有必要架个VPN服务器用WAP拨么？

yixuesky

楼上没看清楚吧，是青岛网友的100m宽带上用俺的h618建立vpn，然后远在四川的楼主用wap拨入上网。明白了吧。哈哈

其实放置蹭网，tomato可以设置ppoe服务，wifi或局域网还需要再次拨号上网

ylxma

一个路由可以架设俩VPN,但是随你自己喜欢.我只开了一个…因为反正可以一对多的开…
配置见图片:


第三个图中的那些代码:到时候后面跟大家讲解是什么…那个很麻烦的
是几个密码文件的内容…

状态在你连上以后就能看到了…

配置完了..点保存…在开启..看到图中的”立即关闭”则已经开启服务了..但是是否成功要看你是不是能连上了…

只要你连上了,你就是改路由器下的局域网的一员了..享受所有局域网中机子的相同待遇^_^…管理路由器什么的都可以咯….

忘记说了..大家在配置路由器的时候一定使用firefox,不然会出问题..尤其是VPN功能这块…用firefox看到的东西都不一样…IE有问题..一定用FIREFOX….如果大家看到的配置内容不一样就换浏览器吧….

ylxma

去画个图- -...大家等等...

w1634w

强烈支持此贴

ylxma

想想..算了...还是就这样吧...

大家能理解就成了...记住几个参数..将来要在客户端中体现的....

一个是局域网的段号...就是路由器lan 的地址段号....

等你以后连接上VPN以后你就把你自己当作局域网中的机子处理就好了....所以路由器的IP:文中是192.168.10.1...那你主机的IP:就应该是192.168.10.1-192.168.10.254之间的..网关是192.168.10.1...DNS也是192.168.10.1....子网掩码是255.255.255.0....这里建议电脑端直接配置在网卡属性里..固定IP,DHCP也可以不过就是要慢一两秒吧...呵呵~~我喜欢固定的东西....

第二个参数是倒数第三个图的端口号:443...这个你可以自己设置..只要是移动没有屏蔽就可以了..随意...不过我没有试过80可以不...大家见机行事呗....

别的配置大家按照图片就好了...密钥什么的后面慢慢说..不着急....

greateye

QUOTE:

Posted by yixuesky on 2010-4-24 22:33
楼上没看清楚吧，是青岛网友的100m宽带上用俺的h618建立vpn，然后远在四川的楼主用wap拨入上网。明白了吧。哈哈

其实放置蹭网，tomato可以设置ppoe服务，wifi或局域网还需要再次拨号上网

通常大家所说的通过VPN突破WAP限制，是指自己找个可以用的公网出口，可以是宽带或者公司的网，然后在移动和这个出口之间架一条VPN，自己用WAP无限卡就连这个VPN上去走出口达到无限制上网，是这意思么？

yixuesky

通常大家所说的通过VPN突破WAP限制，是指自己找个可以用的公网出口，可以是宽带或者公司的网，然后在移动和这个出口之间架一条VPN，自己用WAP无限卡就连这个VPN上去走出口达到无限制上网，是这意思么？


正是此意。

qinyongning

先顶再看

ylxma

现在服务器,也就是路由器这边除了...密钥....还有你前期需要申请的3322ID,配置基本都在这里...
那现在我们来研究这个密钥的问题...

这个问题相当复杂....

服务器的密钥生成叫CA密钥生成...在电脑上做..就是前面我们装了OPENVPN的那个电脑....

一步一步慢慢来...

1.找到C:\Program Files\OpenVPN\
2.把easy-rsa目录下的vars.bat.sample改名为vars.bat
3.修改此文件内容
==================================
set KEY_COUNTRY=CN
set KEY_PROVINCE=XXXXX(按情况填写,好象某些位置有位数限制,有最高,也有最小限制...看具体配置情况吧)
set KEY_CITY=XXXXX
set KEY_ORG=OpenVPN
set KEY_EMAIL=XXX@XXX.COM
==================================
4.把easy-rsa下的openssl.cnf.sample改成openssl.cnf
这里面有一个参数是
default_days        = 3650                        # how long to certify for
设置证书有效期,淘宝卖家用..默认为10年...
5.运行,进入cmd.exe,一定要这样...因为要填写内容...如果直接bat的话..就填写不上参数了..这样的话 ..你拿不到CA文件的....
6.下面到vars是加载设置参数
=============================================
Microsoft Windows XP [版本 5.1.2600]
(C) 版权所有 1985-2001 Microsoft Corp.

C:\Documents and Settings\Administrator>cd "\Program Files\OpenVPN\easy-rsa"

C:\Program Files\OpenVPN\easy-rsa>vars

7.下面是清除密钥存放文件夹中的内容,以免混淆以前留下的文件
-------------------------------------------------------------------------------------
C:\Program Files\OpenVPN\easy-rsa>clean-all.bat
系统找不到指定的文件。
已复制         1 个文件。
已复制         1 个文件。
----------------------------------------------
8. 生成Root CA文件
-------------------------------------------------------------------
C:\Program Files\OpenVPN\easy-rsa>build-ca.bat
--------------------------------------------------------------
遇到填写配置的地方直接确认就好了..因为缺省已经填写了...
最后生成ca.crt ca.key两个文件在keys文件夹中...大家可以打开keys文件夹一直关注...下面内容生成文件时也是一样...

zhou7710

好东西，谢谢楼主

ylxma

9.生成dh1024.pem文件
-------------------------------------------------------
C:\Program Files\OpenVPN\easy-rsa>build-dh.bat
---------------------------------------------------
过很久.生成,dh1024.pem文件,在keys文件夹中

10.生成Server使用的证书
格式: build-key-server.bat <filename>
具体
------------------------------------------------------------------------------
C:\Program Files\OpenVPN\easy-rsa>build-key-server.bat server01
-------------------------------------------------------------------------------------------
中间会有停顿需要输入参数什么的...缺省前面有设置的那几个就不说了,
第一次输入是在
Common Name (eg, your name or your server's hostname) []:Server01
位置...填写服务器名字...名字有要求..这里很多人会出不通的问题...但是一定要填...我有些忘记了..最初我自己也出问题了...貌似是要跟上面的build-key-server.bat <filename>中的filename一样吧...
再又是一路确认...大概5个吧...
到
你选Y or N 的时候 选择两次Y...
生成<filename>.crt <filename>.csr <filename>.key三个文件在keys中....

ylxma

这里先休息下,还没有完...说明下为什么不用静态密钥认证- -...静态密钥认证密级很低...只能一个对一个....所以...没有采用...

再者上面关于密钥生成的内容还是有复制的内容,在这里声明下..望原作者见谅...互联网出处....不好确认...但是我有自己吸收加工...谢谢....

ylxma

server需要的密钥文件已经完成了...但是并不是说所有的文件都需要使用到....在keys文件夹里找..用到的只有ca.crt,server01.crt,server01.key,和dh1024.pem四个文件,用记事本打开...安装这里的顺序贴到服务器需要贴密钥的位置....按照顺序一一对应.第一个对应最上面那个..第二个对应第二个..........

下面讲CA客户端的密钥生成...希望上面的CMD你还没有关掉...不然你就杯具了...

要到第8步为止,重新来一遍- -...

要是你没有关..那就继续....

ylxma

11.生成client证书
格式: build-key.bat <filename>
--------------------------------------------------------------
C:\Program Files\OpenVPN\easy-rsa>build-key.bat AAA
------------------------------------------------------------
和服务器一样停住以后先确认
到
Common Name (eg, your name or your server's hostname) []:AAA      这里要写AAA(要保持一致吧)
又是一路确认完了再两个Y...就可以了....

一共生成<filename>.crt <filename>.csr <filename>.key 三个....

用到三个,不过这里其中一个用不到...csr这个用不到..用上面第八步生成的ca.crt做...所以就是

ca.crt AAA.crt AAA.key三个文件...要用到

上面我们说了服务器密钥文件是用记事本打开复制到路由器...那客户端怎么使用呢????

把这三个文件放到C:\Program Files\OpenVPN\config下面就可以了...到此为止,我们就差最后一个配置文件了...

配置文件的后缀是.ovpn