隨著互聯(lián)網(wǎng)中IPv4可用地址的日益減少，越來越多的企業(yè)開始采用NAT方式上網(wǎng)，可用公網(wǎng)IP地址越來越少，而通過互聯(lián)網(wǎng)訪問內(nèi)部服務(wù)器的需求確不斷增加，因此本文對linux環(huán)境下建立通過互聯(lián)網(wǎng)的IP隧道的方法，以實(shí)現(xiàn)對內(nèi)部服務(wù)器的訪問進(jìn)行一些初淺的探討，希望能起到拋磚引玉的作用。
　　
　　方法一：基于SSH的加密通道
　　
　　SSH(SecureShell)是一套安全的網(wǎng)絡(luò)連接程序,它可以實(shí)現(xiàn)通過網(wǎng)絡(luò)遠(yuǎn)程登錄其他系統(tǒng)，它就是加密的telnet協(xié)議。但是OPENSSH除了具有遠(yuǎn)程登錄功能以外，更可以建立加密IP隧道。
　　
　　　
　　
　　我們這里假設(shè)Alice.org服務(wù)器位于某個企業(yè)網(wǎng)的內(nèi)網(wǎng)，其IP地址為192.168.2.200，它通過NAT方式可以訪問互聯(lián)網(wǎng)。我們現(xiàn)在需要通過位于互聯(lián)網(wǎng)上的名字為bob.org的機(jī)器里訪問Alice，也就是遠(yuǎn)程登錄Alice。這時候我們就需要在bob和alice之間建立IP隧道。我們首先登錄Alice，執(zhí)行命令：
　　
　　#ssh-R11022:127.0.0.1:22 ideal@211.1.1.1
　　
　　該命令表示登錄服務(wù)器211.1.1.1，并將服務(wù)器的11022定向?yàn)楸镜氐?2號端口。執(zhí)行完該命令以后，會提示輸入ideal用戶密碼，輸入以后就會登錄到遠(yuǎn)程服務(wù)器bob。這時在bob上netstat-ln就會發(fā)現(xiàn)11022端口監(jiān)聽，保持從alice到bob的ssh連接不斷開。從互聯(lián)網(wǎng)任何位置登錄服務(wù)器bob以后，我們可以通過該隧道登錄到alice服務(wù)器，執(zhí)行以下命令：
　　
　　#sshlocalhost-p11022
　　
　　該命令表示連接本地的11022端口，因?yàn)槲覀円呀?jīng)創(chuàng)建了從alice到bob的隧道，因此連接本地的11022端口實(shí)際上就是通過隧道訪問alice的22端口號。
　　
　　這樣通過這個隧道就可以實(shí)現(xiàn)登錄位于內(nèi)部網(wǎng)的服務(wù)器alice，但是因?yàn)閟sh命令中指定了源端口，這種隧道一般只能支持一種協(xié)議，對于特定應(yīng)用則具有加密帶來的安全性的優(yōu)點(diǎn)，但靈活性則不夠，而且為了保證隧道暢通，從alice到bob的ssh連接不能斷開，也就意味著用戶不能退出alice，否則隧道就會關(guān)閉。
　　
　　方法二：使用vtun建立IP隧道
　　
　　VTun（VirtualTUNnel，http://vtun.sourceforge.net）是一個功能很強(qiáng)的軟件，可以利用它來建立IP虛擬隧道，而且隧道的數(shù)目可以不受限制，完全依照機(jī)器的能力而定，并且在此基礎(chǔ)上應(yīng)用上可以實(shí)現(xiàn)VPN、移動IP等功能。
　　
　　Vtun所支持的通道并且具有多種功能特性：
　　
　　* 加密：支持基于CHAP的認(rèn)證、并采用BlowFish128bit密鑰。
　　* 壓縮：支持zlib、lzo等多種壓縮算法。
　　* 通信整形：平臺無關(guān)，允許分別限制進(jìn)入和流出通道的速率。
　　
　　Vtun支持以下類型通道：
　　
　　* IPtunnel(tun)：支持ppp的IP隧道。
　　* 以太網(wǎng)隧道（Ethernettunnel）：支持可以實(shí)現(xiàn)以太網(wǎng)封裝的各種協(xié)議，如：IPX、Appletalk、Bridge等。
　　* 串口通道（Serialtunnel，tty)：支持串行電纜的傳輸方式，如：PPP、SLIP等。
　　* 管道通道（Pipetunnel，pipe)：支持所有能使用Unix管道的程序。
　　
　　Vtun支持多種平臺，包括：Linux、BSD以及Solaris。
　　
　　下載軟件：
　　
　　http://prdownloads.sourceforge.net/vtun/vtun-2.6.tar.gz
　　http://vtun.sourceforge.net/tun/tun-1.1.tar.gz
　　
　　網(wǎng)絡(luò)介紹
　　
　　　
　　
　　bob.org擁有固定ip(211.1.1.1)，所以作為vtun的服務(wù)器端。alice.org沒有固定的ip，采用的是NAT接入方式，因?yàn)闆]有固定公網(wǎng)IP地址，也沒有域名。alice.org應(yīng)該作為VPN的客戶端，通過vtund連接bob.org服務(wù)器，建立VPN通道。
　　
　　首先確保兩臺服務(wù)器都允許IPforwarding。這點(diǎn)可以通過運(yùn)行命令：
　　
　　#/sbin/sysctl-wnet.ipv4.ip_forward=1
　　
　　如果希望永久打開，則可以通過編輯/etc/sysctl.conf文件，將其中的net.ipv4.ipforward=0行改成net.ipv4.ipforward=1來實(shí)現(xiàn)。
　　
　　安裝tun設(shè)備
　　
　　在安裝vtun之前我們首先要安裝虛擬通道點(diǎn)到點(diǎn)設(shè)備（VirtualPoint-to-Point(TUN)andEthernet(TAP)devices），將會在/dev中產(chǎn)生兩個虛擬通道設(shè)備/dev/tunX（字符設(shè)備）和tunX（virtualPoint-to-Pointinterface，虛擬點(diǎn)到點(diǎn)接口）。
　　安裝vtun-1.1.tar.gz：
　　
　　1.解壓軟件：
　　#tarxvfztun-1.1.tar.gz
　　
　　2.配置：
　　#cdtun-1.1
　　#./configure
　　注意：安裝tun需要系統(tǒng)安裝有和當(dāng)前內(nèi)核版本一致的內(nèi)核源代碼，因此建議安裝位于安裝光盤的內(nèi)核源代碼RPM包。
　　
　　3.安裝：
　　#makeinstall
　　
　　4.加在內(nèi)核模塊
　　#modprobetun
　　
　　如果希望系統(tǒng)啟動時自動加載該模塊，則編輯/etc/modules.conf，添加：
　　
　　aliaschar-major-90tun#2.2.x內(nèi)核
　　aliaschar-major-10-200tun#2.4.x內(nèi)核
　　　
　　
　　這樣就完成了對ip隧道驅(qū)動tunX的安裝。查看內(nèi)核模塊，看tun是否被正確安裝：
　　
　　#lsmod
　　ModuleSizeUsedby
　　tun40643
　　
　　安裝Vtund
　　
　　解壓縮：
　　
　　#tarxvfzvtun-2.6.tar.gz
　　#cdvtund
　　
　　配置：
　　#./configure--disable-lzo--disable-zlib--disable-shaper
　　
　　注：我們這里不打算壓縮和流量成形，因此需要帶這些參數(shù)，如果希望支持壓縮，則需要先安裝lzo或者zlib軟件。
　　
　　編譯安裝：
　　
　　#makeinstall
　　
　　默認(rèn)情況下，vtund被安裝在/usr/local/sbin/目錄下，而默認(rèn)的配置文件則為/usr/local/etc/vtund.conf中。
　　需要在兩臺機(jī)器上分別安裝vtund和tun驅(qū)動，其中bob.org服務(wù)器上的vtund以服務(wù)器方式運(yùn)行，而alice.org的vtund以客戶端方式運(yùn)行。
　　
　　vtund.conf配置文件說明:
　　
　　vtund.conf文件是vtund配置文件。Vtund.conf文件格式為：
　　
　　name{
　　keywordvalue;
　　keywordvalue;
　　..
　　}
　　
　　關(guān)鍵字定義值后的分號是必須的，name后必須有完整的{}。Name可以有以下幾個值：
　　
　　options：定義通用選項(xiàng)，例如端口號等信息；
　　default：所有會話的默認(rèn)值；
　　session(可以為任意名，用于識別一個會話)：指定該會話的特定值，用以覆蓋default中的定義。
　　
　　下面是作為作者實(shí)際運(yùn)行環(huán)境中以服務(wù)器方式運(yùn)行的vtund.conf的內(nèi)容：
　　
　　options{#bob.org，隧道IP地址為10.0.2.2
　　port5000;#vtund服務(wù)器監(jiān)聽端口
　　ppp/usr/sbin/pppd;
　　ifconfig/sbin/ifconfig;
　　route/sbin/route;
　　firewall/sbin/ipchains;
　　#vtund需要調(diào)用的各種程序的路徑信息；
　　}
　　#默認(rèn)會話選項(xiàng)
　　default{
　　typetun;#
　　protoudp;#下層采用UDP協(xié)議
　　compno;#不對會話壓縮
　　encrno;#不對會話加密
　　keepaliveyes#保證連接一直激活；
　　
　　alice{#主機(jī)alice建立的會話特定選項(xiàng)，可以覆蓋默認(rèn)會話選項(xiàng)的配置
　　passalice;#回話建立密鑰
　　typetun;#通道類型為IP隧道方式
　　prototcp;#采用下層tcp協(xié)議
　　compno;#不對會話壓縮
　　encrno;#不對會話加密
　　keepaliveyes;#Keepconnectionalive
　　
　　up{#連接建立時，首先應(yīng)該運(yùn)行的命令
　　ifconfig"%%10.0.2.2pointopoint10.0.1.2mtu1450";
　　#首先激活接口，其中采用ppp建立連接，ppp本地IP為10.0.2.2，
　　#而遠(yuǎn)程IP分配為10.0.1.2。
　　program/sbin/arp"-sD10.0.1.2eth0pub";#配置arp表項(xiàng)
　　route"add-net10.0.1.0netmask255.255.255.0gw10.0.2.2";#添加路由
　　};
　　down{#連接建立時，首先應(yīng)該運(yùn)行的命令
　　program"/sbin/arp-d10.0.1.2-ieth0";
　　};
　　}
　　
　　vtund的更詳細(xì)說明請參考manvtund.conf的幫助手冊內(nèi)容。
　　
　　下面是作為作者實(shí)際運(yùn)行環(huán)境中以客戶端方式運(yùn)行的vtund.conf的內(nèi)容：
　　
　　客戶端(yyy.orgVPN_IP=10.0.1.2)：
　　
　　options{
　　
　　port5000;
　　ppp/usr/sbin/pppd;
　　ifconfig/sbin/ifconfig;
　　route/sbin/route;
　　firewall/sbin/ipchains;
　　
　　}
　　
　　alice{
　　
　　passalice;
　　keepaliveyes;
　　
　　up{
　　
　　ifconfig"%%10.0.1.2pointopoint10.0.2.2mtu1450";
　　program/sbin/arp"-sD10.0.2.2eth0pub";
　　route"add-net10.0.2.0netmask255.255.255.0gw10.0.1.2";
　　firewall"-Aforward-s10.0.0.0/24-d10.0.2.0/24-jACCEPT";
　　
　　};
　　
　　down{
　　
　　firewall"-Dforward-s10.0.0.0/24-d10.0.2.0/24-jACCEPT";
　　program"/sbin/arp-d10.0.2.2-ieth0";
　　
　　};
　　}
　　
　　啟動vtund
　　
　　服務(wù)器端(bob.org)：只須以root身份執(zhí)行/usr/sbin/vtund-s就可以了，如果希望系統(tǒng)啟動后自動建立VPN通道，可以將這個命令加入/etc/rc.d/rc.local中。
　　
　　客戶端(alice.org)：只須以root身份執(zhí)行/usr/local/sbin/vt