方法一:基于SSH的加密通道
SSH(SecureShell)是一套安全的網(wǎng)絡(luò)連接程序,它可以實(shí)現(xiàn)通過網(wǎng)絡(luò)遠(yuǎn)程登錄其他系統(tǒng),它就是加密的telnet協(xié)議。但是OPENSSH除了具有遠(yuǎn)程登錄功能以外,更可以建立加密IP隧道。

我們這里假設(shè)Alice.org服務(wù)器位于某個(gè)企業(yè)網(wǎng)的內(nèi)網(wǎng),其IP地址為192.168.2.200,它通過NAT方式可以訪問互聯(lián)網(wǎng)。我們現(xiàn)在需要通過位于互聯(lián)網(wǎng)上的名字為bob.org的機(jī)器里訪問Alice,也就是遠(yuǎn)程登錄Alice。這時(shí)候我們就需要在bob和alice之間建立IP隧道。我們首先登錄Alice,執(zhí)行命令:
#ssh-R11022:127.0.0.1:22 ideal@211.1.1.1
該命令表示登錄服務(wù)器211.1.1.1,并將服務(wù)器的11022定向?yàn)楸镜氐?2號(hào)端口。執(zhí)行完該命令以后,會(huì)提示輸入ideal用戶密碼,輸入以后就會(huì)登錄到遠(yuǎn)程服務(wù)器bob。這時(shí)在bob上netstat-ln就會(huì)發(fā)現(xiàn)11022端口監(jiān)聽,保持從alice到bob的ssh連接不斷開。從互聯(lián)網(wǎng)任何位置登錄服務(wù)器bob以后,我們可以通過該隧道登錄到alice服務(wù)器,執(zhí)行以下命令:
#sshlocalhost-p11022
該命令表示連接本地的11022端口,因?yàn)槲覀円呀?jīng)創(chuàng)建了從alice到bob的隧道,因此連接本地的11022端口實(shí)際上就是通過隧道訪問alice的22端口號(hào)。
這樣通過這個(gè)隧道就可以實(shí)現(xiàn)登錄位于內(nèi)部網(wǎng)的服務(wù)器alice,但是因?yàn)閟sh命令中指定了源端口,這種隧道一般只能支持一種協(xié)議,對(duì)于特定應(yīng)用則具有加密帶來的安全性的優(yōu)點(diǎn),但靈活性則不夠,而且為了保證隧道暢通,從alice到bob的ssh連接不能斷開,也就意味著用戶不能退出alice,否則隧道就會(huì)關(guān)閉。
方法二:使用vtun建立IP隧道
VTun(VirtualTUNnel,http://vtun.sourceforge.net)是一個(gè)功能很強(qiáng)的軟件,可以利用它來建立IP虛擬隧道,而且隧道的數(shù)目可以不受限制,完全依照機(jī)器的能力而定,并且在此基礎(chǔ)上應(yīng)用上可以實(shí)現(xiàn)VPN、移動(dòng)IP等功能。
Vtun所支持的通道并且具有多種功能特性:
* 加密:支持基于CHAP的認(rèn)證、并采用BlowFish128bit密鑰。
* 壓縮:支持zlib、lzo等多種壓縮算法。
* 通信整形:平臺(tái)無關(guān),允許分別限制進(jìn)入和流出通道的速率。
Vtun支持以下類型通道:
* IPtunnel(tun):支持ppp的IP隧道。
* 以太網(wǎng)隧道(Ethernettunnel):支持可以實(shí)現(xiàn)以太網(wǎng)封裝的各種協(xié)議,如:IPX、Appletalk、Bridge等。
* 串口通道(Serialtunnel,tty):支持串行電纜的傳輸方式,如:PPP、SLIP等。
* 管道通道(Pipetunnel,pipe):支持所有能使用Unix管道的程序。
Vtun支持多種平臺(tái),包括:Linux、BSD以及Solaris。
下載軟件:
http://prdownloads.sourceforge.net/vtun/vtun-2.6.tar.gz
http://vtun.sourceforge.net/tun/tun-1.1.tar.gz
網(wǎng)絡(luò)介紹

bob.org擁有固定ip(211.1.1.1),所以作為vtun的服務(wù)器端。alice.org沒有固定的ip,采用的是NAT接入方式,因?yàn)闆]有固定公網(wǎng)IP地址,也沒有域名。alice.org應(yīng)該作為VPN的客戶端,通過vtund連接bob.org服務(wù)器,建立VPN通道。
首先確保兩臺(tái)服務(wù)器都允許IPforwarding。這點(diǎn)可以通過運(yùn)行命令:
#/sbin/sysctl-wnet.ipv4.ip_forward=1
如果希望永久打開,則可以通過編輯/etc/sysctl.conf文件,將其中的net.ipv4.ipforward=0行改成net.ipv4.ipforward=1來實(shí)現(xiàn)。
安裝tun設(shè)備
在安裝vtun之前我們首先要安裝虛擬通道點(diǎn)到點(diǎn)設(shè)備(VirtualPoint-to-Point(TUN)andEthernet(TAP)devices),將會(huì)在/dev中產(chǎn)生兩個(gè)虛擬通道設(shè)備/dev/tunX(字符設(shè)備)和tunX(virtualPoint-to-Pointinterface,虛擬點(diǎn)到點(diǎn)接口)。
安裝vtun-1.1.tar.gz:
1.解壓軟件:
#tarxvfztun-1.1.tar.gz
2.配置:
#cdtun-1.1
#./configure
注意:安裝tun需要系統(tǒng)安裝有和當(dāng)前內(nèi)核版本一致的內(nèi)核源代碼,因此建議安裝位于安裝光盤的內(nèi)核源代碼RPM包。
3.安裝:
#makeinstall
4.加在內(nèi)核模塊
#modprobetun
如果希望系統(tǒng)啟動(dòng)時(shí)自動(dòng)加載該模塊,則編輯/etc/modules.conf,添加:
aliaschar-major-90tun#2.2.x內(nèi)核
aliaschar-major-10-200tun#2.4.x內(nèi)核
這樣就完成了對(duì)ip隧道驅(qū)動(dòng)tunX的安裝。查看內(nèi)核模塊,看tun是否被正確安裝:
#lsmod
ModuleSizeUsedby
tun40643
安裝Vtund
解壓縮:
#tarxvfzvtun-2.6.tar.gz
#cdvtund
配置:
#./configure--disable-lzo--disable-zlib--disable-shaper
注:我們這里不打算壓縮和流量成形,因此需要帶這些參數(shù),如果希望支持壓縮,則需要先安裝lzo或者zlib軟件。
編譯安裝:
#makeinstall
默認(rèn)情況下,vtund被安裝在/usr/local/sbin/目錄下,而默認(rèn)的配置文件則為/usr/local/etc/vtund.conf中。
需要在兩臺(tái)機(jī)器上分別安裝vtund和tun驅(qū)動(dòng),其中bob.org服務(wù)器上的vtund以服務(wù)器方式運(yùn)行,而alice.org的vtund以客戶端方式運(yùn)行。
vtund.conf配置文件說明:
vtund.conf文件是vtund配置文件。Vtund.conf文件格式為:
name{
keywordvalue;
keywordvalue;
..
}
關(guān)鍵字定義值后的分號(hào)是必須的,name后必須有完整的{}。Name可以有以下幾個(gè)值:
options:定義通用選項(xiàng),例如端口號(hào)等信息;
default:所有會(huì)話的默認(rèn)值;
session(可以為任意名,用于識(shí)別一個(gè)會(huì)話):指定該會(huì)話的特定值,用以覆蓋default中的定義。
下面是作為作者實(shí)際運(yùn)行環(huán)境中以服務(wù)器方式運(yùn)行的vtund.conf的內(nèi)容:
options{#bob.org,隧道IP地址為10.0.2.2
port5000;#vtund服務(wù)器監(jiān)聽端口
ppp/usr/sbin/pppd;
ifconfig/sbin/ifconfig;
route/sbin/route;
firewall/sbin/ipchains;
#vtund需要調(diào)用的各種程序的路徑信息;
}
#默認(rèn)會(huì)話選項(xiàng)
default{
typetun;#
protoudp;#下層采用UDP協(xié)議
compno;#不對(duì)會(huì)話壓縮
encrno;#不對(duì)會(huì)話加密
keepaliveyes#保證連接一直激活;
alice{#主機(jī)alice建立的會(huì)話特定選項(xiàng),可以覆蓋默認(rèn)會(huì)話選項(xiàng)的配置
passalice;#回話建立密鑰
typetun;#通道類型為IP隧道方式
prototcp;#采用下層tcp協(xié)議
compno;#不對(duì)會(huì)話壓縮
encrno;#不對(duì)會(huì)話加密
keepaliveyes;#Keepconnectionalive
up{#連接建立時(shí),首先應(yīng)該運(yùn)行的命令
ifconfig"%%10.0.2.2pointopoint10.0.1.2mtu1450";
#首先激活接口,其中采用ppp建立連接,ppp本地IP為10.0.2.2,
#而遠(yuǎn)程IP分配為10.0.1.2。
program/sbin/arp"-sD10.0.1.2eth0pub";#配置arp表項(xiàng)
route"add-net10.0.1.0netmask255.255.255.0gw10.0.2.2";#添加路由
};
down{#連接建立時(shí),首先應(yīng)該運(yùn)行的命令
program"/sbin/arp-d10.0.1.2-ieth0";
};
}
vtund的更詳細(xì)說明請(qǐng)參考manvtund.conf的幫助手冊內(nèi)容。
下面是作為作者實(shí)際運(yùn)行環(huán)境中以客戶端方式運(yùn)行的vtund.conf的內(nèi)容:
客戶端(yyy.orgVPN_IP=10.0.1.2):
options{
port5000;
ppp/usr/sbin/pppd;
ifconfig/sbin/ifconfig;
route/sbin/route;
firewall/sbin/ipchains;
}
alice{
passalice;
keepaliveyes;
up{
ifconfig"%%10.0.1.2pointopoint10.0.2.2mtu1450";
program/sbin/arp"-sD10.0.2.2eth0pub";
route"add-net10.0.2.0netmask255.255.255.0gw10.0.1.2";
firewall"-Aforward-s10.0.0.0/24-d10.0.2.0/24-jACCEPT";
};
down{
firewall"-Dforward-s10.0.0.0/24-d10.0.2.0/24-jACCEPT";
program"/sbin/arp-d10.0.2.2-ieth0";
};
}
啟動(dòng)vtund
服務(wù)器端(bob.org):只須以root身份執(zhí)行/usr/sbin/vtund-s就可以了,如果希望系統(tǒng)啟動(dòng)后自動(dòng)建立VPN通道,可以將這個(gè)命令加入/etc/rc.d/rc.local中。
客戶端(alice.org):只須以root身份執(zhí)行/usr/local/sbin/vt