橋接和路由模式編譯安裝open***虛擬專用網絡

原創 qq1282886418 2020-04-30 16:15

openv_n2.1編譯安裝
一、服務端安裝
1.安裝openv_nserver
安裝其他版本的v_n2.1版本
2.安裝環境:
yum -y install pam-devel openssl-devel lzo-devel automake gcc gcc-c++ patch
yum install -y pkcs11-helper pkcs11-helper-devel
10.168.10.0/24爲的網段地址
192.168.8.0/24爲內網地址段
10.168.10.4 爲的內網地址
下載地址:
wget https://static.saintic.com/download/thirdApp/Openv_n/openv_n-2.1_rc21.tar.gz
wget https://static.saintic.com/download/thirdApp/Openv_n/openv_n-2.1_rc21_eurephia.patch
百度網盤屏蔽了v_n的程序了

3.編譯安裝:
/usr/local/openv_n
tar xvf openv_n-2.1_rc21.tar.gz
cd openv_n-2.1_rc21
patch -p1 < ../openv_n-2.1_rc21_eurephia.patch
./configure && make && make install
cd easy-rsa/2.0/
vim vars ;
source ./vars #修改默認國家、組織、郵件等,可不修改

創建證書的命令基本上都是在easy-rsa的目錄中:
/usr/local/openv_n/openv_n-2.1_rc21/easy-rsa/2.0
最主要的幾個命令:
./clean-all
./build-ca --batch
./build-key-server --batch server
./build-dh

4.創建根證書
./build-ca --batch
參數:--batch 無交互操作直接生成證書
創建的證書文件和私鑰文件存放位置:/usr/local/openv_n/openv_n-2.1_rc21/easy-rsa/2.0/keys
橋接和路由模式編譯安裝open***虛擬專用網絡

5.創建服務器證書
./build-key-server --batch server2
創建的證書文件和私鑰文件存放位置:/usr/local/openv_n/openv_n-2.1_rc21/easy-rsa/2.0/keys

橋接和路由模式編譯安裝open***虛擬專用網絡

6.創建客戶端證書和私鑰
./build-key --batch client2
創建的證書文件和私鑰文件存放位置:/usr/local/openv_n/openv_n-2.1_rc21/easy-rsa/2.0/keys
橋接和路由模式編譯安裝open***虛擬專用網絡

將多個服務器和客戶端的文件放入到一個目錄中,便於管理和便於寫配置文件
如果不是安裝多個v_n,建議目錄創建成/etc/openv_n/要不然會報錯,需要修改腳本
橋接和路由模式編譯安裝open***虛擬專用網絡
mkdir /etc/openv_n1/
cd /usr/local/openv_n/openv_n-2.1_rc21/easy-rsa/2.0/keys
mv ca.crt ca.key dh1024.pem server2.key server2.crt client2.* /etc/openv_n1/
cd /usr/local/openv_n/openv_n-2.1_rc21/sample-config-files
cp server.conf /etc/openv_n1/
修改配置文件/etc/openv_n1/server.conf

具體圖片在下面總結中

6.設置成密鑰+證書的驗證方式
checkpsw.sh是一個調用的密碼的一個腳本
psw_file中放入的是用戶名密碼:
zhangsan 123456
橋接和路由模式編譯安裝open***虛擬專用網絡
checkpsw.sh 配置文件
橋接和路由模式編譯安裝open***虛擬專用網絡

cat checkpsw.sh

#!/bin/sh
PASSFILE="/etc/openv_n/psw_file"
LOG_FILE="/var/log/v_n2/openv_n_psw.log"
TIME_STAMP=date "+%F %T"
if [ ! -r "${PASSFILE}" ]; then
echo "${TIME_STAMP}: Could not open password file \"${PASSFILE}\" for reading." >> ${LOG_FILE}
exit 1
fi
CORRECT_PASSWORD=awk '!/^;/&&!/^#/&&$1=="'${username}'"{print $2;exit}' ${PASSFILE}
if [ "${CORRECT_PASSWORD}" = "" ]; then
echo "${TIME_STAMP}: User does not exist: username=\"${username}\", password=\"${password}\"." >> ${LOG_FILE}
exit 1
fi
if [ "${password}" = "${CORRECT_PASSWORD}" ]; then
echo "${TIME_STAMP}: Successful authentication: username=\"${username}\"." >> ${LOG_FILE}
exit 0
fi
echo "${TIME_STAMP}: Incorrect password: username=\"${username}\", password=\"${password}\"." >> ${LOG_FILE}
exit 1
[root@v_n pswd]# vim checkpsw.sh
[root@v_n pswd]# cat checkpsw.sh
#!/bin/sh
PASSFILE="/etc/pswd/psw_file"
LOG_FILE="/var/log/v_n2/openv_n_psw.log"
TIME_STAMP=date "+%F %T"
if [ ! -r "${PASSFILE}" ]; then
echo "${TIME_STAMP}: Could not open password file \"${PASSFILE}\" for reading." >> ${LOG_FILE}
exit 1
fi
CORRECT_PASSWORD=awk '!/^;/&&!/^#/&&$1=="'${username}'"{print $2;exit}' ${PASSFILE}
if [ "${CORRECT_PASSWORD}" = "" ]; then
echo "${TIME_STAMP}: User does not exist: username=\"${username}\", password=\"${password}\"." >> ${LOG_FILE}
exit 1
fi
if [ "${password}" = "${CORRECT_PASSWORD}" ]; then
echo "${TIME_STAMP}: Successful authentication: username=\"${username}\"." >> ${LOG_FILE}
exit 0
fi
echo "${TIME_STAMP}: Incorrect password: username=\"${username}\", password=\"${password}\"." >> ${LOG_FILE}
exit 1

二.總結:
vim vars ;
1.初始化
source ./vars #修改默認國家、組織、郵件等,可不修改
./clean-all
./build-ca #創建根證書,可以加上--batch免交互確認
./build-key-server server #創建服務器證書,可以加上--batch免交互確認
./build-key-server --batch server
./build-dh ##使用DH加密

創建證書的命令基本上都是在easy-rsa的目錄中:
/usr/local/openv_n/openv_n-2.1_rc21/easy-rsa/2.0
創2建多個客戶端證書
./build-key client ##創建客戶端證書,可以加上--batch免交互確認或使用 ./build-key --batch client
./build-key client1 ##創建客戶端證書,可以加上--batch免交互確認或使用 ./build-key --batch client
./build-key client2 ##創建客戶端證書,可以加上--batch免交互確認或使用 ./build-key --batch client
./build-key client3 ##創建客戶端證書,可以加上--batch免交互確認或使用 ./build-key --batch client
./build-key client4 ##創建客戶端證書,可以加上--batch免交互確認或使用 ./build-key --batch client

cd keys
將多個服務器和客戶端的文件放入到一個目錄中,便於管理和便於寫配置文件
mkdir /etc/openv_n1

cp ca.crt ca.key dh1024.pem server.key server.crt client* ../../../sample-config-files/server.conf /etc/openv_n
cp ../../../sample-scripts/openv_n.init /etc/init.d/openv_n

3.粘貼server端配置和client端配置文件
兩個模式均測試成功,分別是tun路由模式和tap橋接模式
相對應的客戶端也分別是相應的配置
後續做了幾次改動,都不影響連通性
修改配置文件/etc/openv_n1/server.conf
tun路由模式的配置
橋接和路由模式編譯安裝open***虛擬專用網絡
tap橋接模式的配置
橋接和路由模式編譯安裝open***虛擬專用網絡
;local
local 192.168.8.128
port 1194
proto udp
dev tun
ca ca.crt
cert server2.crt
key server2.key
dh dh1024.pem
server 10.9.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.8.0 255.255.255.0" ##向客戶端推送內網網段
#push "route 10.9.0.0 255.255.255.0" ##推送v_n網段
push "dhcp-option DNS 114.114.114.114" #dhcp分配dns
push "dhcp-option DNS 8.8.8.8"
client-to-client ##允許Openv_n客戶端之間通信
duplicate-cn
keepalive 10 120
comp-lzo
user nobody ##默認的程序用戶,建議以低權限賬戶運行
group nobody
persist-key
persist-tun
status /var/log/v_n2/openv_n-status.log
log /var/log/v_n2/openv_n.log
verb 3
key-direction 0
mode server
tls-server
auth-user-pass-verify /etc/openv_n/checkpsw.sh via-env
username-as-common-name
script-security 3

啓動v_n
/usr/local/sbin/openv_n --config /etc/openv_n/server.conf
開機啓動需要寫入開機文件中,覺得沒有必要的嘛
vim /etc/rc.local
/usr/local/sbin/openv_n --config /usr/local/etc/server.conf > /dev/null 2>&1 &

4.開啓轉發,並關閉防火牆和 SELinux

  1. iptables轉發規則
    openv_n無法訪問與openv_n服務器在同一內網的其他機器
    的原因就是因爲沒有開啓iptables的轉發規則
    把所有來自10.168.10.0/24網段的請求,全部通過openv_n服務器的eth0網卡轉發出去,也就是我們平時所說的IPtables的NAT規則。
    注意:IPtables規則是在openv_n服務器進行配置的,而不是openv_n客戶端。
    IPtables NAT規則如下:
    [root@v_n ~]# iptables -t nat -A POSTROUTING -s 10.168.10.0/24 -o eth0 -j MASQUERADE
    [root@v_n ~]# iptables -nL -t nat
    以上修改完畢後,我們啓動openv_n客戶端,看看是否可以與192.168.8.1/24網段機器進行通信。
    iptables -t nat -A POSTROUTING -s 10.168.10.0/24 -o eth0 -j MASQUERADE
    10.168.10.0是v_n獲取到的網址
    橋接和路由模式編譯安裝open***虛擬專用網絡
    6.路由器做端口映射:
    公網的1194端口tcp和udp開放

客戶端配置:
直接在D:\Program Files\Openv_n\config中新建一個文件命名爲client2.ov_n
客戶端配置
橋接和路由模式編譯安裝open***虛擬專用網絡
client
dev tun
proto tcp
proto udp
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher BF-CBC
verb 3
remote 49.4.82.255 1194
ca ca.crt #根證書不用更換
cert client2.crt #客戶端證書更換
key client2.key #客戶端密鑰更換
#tls-auth ta.key 1 #關閉了tls認證
comp-lzo
key-direction 1
auth-user-pass

cp ca.crt ca.key dh1024.pem server.key server.crt client* /etc/openv_n

客戶端批量增加用戶:
將服務器的這些文件
橋接和路由模式編譯安裝open***虛擬專用網絡

註銷證書
cd /usr/local/openv_n/openv_n-2.1_rc21/easy-rsa/2.0
source ./vars
./revoke-full client3
橋接和路由模式編譯安裝open***虛擬專用網絡

搭建期間用到的測試明命令
route add -net 192.168.8.146 netmask 255.255.255.0 gw 10.168.10.4
route add -net 192.168.8.146 netmask 255.255.255.0 gw br0
route del -net 10.168.10.0/24 gw 192.168.8.146
route add -net 10.168.10.0/24 gw 192.168.8.128
brctl addbr br0
brctl addif br0 eth1
brctl addif br0 tap0
tcpdump -nn icmp -i eth0
tcpdump -nn icmp -i br0
tcpdump -nn icmp -i tun0
iptables -t nat -A POSTROUTING -s 10.168.10.0/24 -o eth0 -j MASQUERADE
iptables -nL -t nat

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

設計模式(八)橋接模式

版權聲明:轉載必須註明本文轉自曉_晨的博客:http://blog.csdn.net/niunai112 目錄 目錄 導航 前言 例子 總結 優點 缺點 Git地址 導航 設計模式之六大設計原則 設計模式

晓_晨 2020-07-05 04:41:09

虛擬機linux 靜態配置ip,橋接模式,可上網

文件 /etc/sysconfig/network-scripts/ifcfg-eth0 DEVICE=eth0 BOOTPROTO=static #dhcp DEFROUTE="yes" #HWADDR=00:0C:29:4C

niu_88 2020-07-03 04:29:51

C++設計模式淺識橋接模式

合成/聚合複用原則(CARP): 優先使用合成/聚合,而不是使用類繼承。 聚合表示一種弱的”擁有關係”,體現的是A對象可以包含B對象,但B對象不是A對象的一部分。 合成表示一種強的”擁有關係”,體現了嚴格的部分和整體的關係,部

JarrettLife 2020-07-03 00:30:52

mac 下visual box 安裝cents虛擬機並通過SecureFX訪問

1、安裝visual box (不多說網上很多教程而且簡單)。 2、安裝SecureCRT/FX(網上下載破解版,按教程安裝破解即可)。 3、下載centos,我這下載的是centos7,我下載的完整版7.7G大小 官網下載centos.

虾米神探 2020-06-30 15:56:23

Linux網絡配置(虛擬機版)

Linux網絡設置(虛擬機版) 1.Vmware網絡設置 2.Linux網絡設置 一、Vmware網絡設置 VMWare提供了三種網絡工模式供用戶選擇,它們分別是: (1)bridged(橋接模式) (2)NAT(網絡地址轉

IbeleveIcan 2020-06-29 16:08:59

C++設計模式——橋接模式(bridge pattern)

一、原理講解 1.1意圖 將抽象部分和實現部分分離,使它們可以獨立的變化。(別名:handle/body) 1.2應用場景 當你不希望抽象和它的實現部分有一種緊密耦合關係,希望在運行時可以切換不同的實現; 類的抽象和實現都可以通過繼承子類

三公子Tjq 2020-06-28 10:09:33

設計模式:結構型 - 橋接模式

橋接模式: 將抽象部分與它的實現部分分離,使他們都可以獨立得變化 系統可能有多角度分類,每一種分類都有可能變化,那麼就將這種多角度分離出來讓它們獨立變化,減少它們之間的耦合     UML: JAVA: public class Br

OutRoading 2020-06-27 23:50:38

《Android源碼設計模式》讀書筆記 (24) 第24章 橋接模式

正文 定義:將抽象部分與實現部分分離,使它們都可以獨立地進行變化 使用場景: 如果一個系統需要在構件的抽象化角色和具體化角色之間增加更多的靈活性,避免在兩個層次之間建立靜態的繼承聯繫,可以通過橋接模式使它們在抽象層建立一個關聯

疯狂Max 2020-06-22 09:44:48

使用橋接模式讓兩個抽象層級能夠獨立的演化。

1,A是一個抽象類,它HAS-A抽象類B. A有不同的實現類,B也有不同的實現類。見下面簡畫的圖: 使用橋接模式可以讓A和B這兩個抽象層級獨立的變化和擴展而不會相互影響。在客戶端調用時採用下面的形式比較靈活,並且功能可插拔: void

要淡定_少年 2020-06-22 01:29:59

虛擬機 VMware 橋接模式詳解(翻譯+部分原創)

原文地址:http://websistent.com/vmware-bridged-networking/?from=singlemessage&isappinstalled=0 譯註:之前同事橋接模式下的虛擬機無法和主機相互 p

JenningLang 2020-06-21 10:57:32

第十篇 設計模式--橋接模式

定義:將抽象部分與它的實現部分分離,使它們都可以獨立地變化。 代碼: package bridge_model; /** * @author naivor * 橋接模式-場景類 */ public class BirdgeMo

naivor 2020-06-21 02:33:15

Ubuntu中使用SSHSecure Shell測試Windows與Linux系統間操作及傳輸問題解決大全

安裝SSH服務器 Linux終端下輸入sudo apt-get install openssh-server 橋接模式IP設置 inux 與Windows 都是設置爲自動獲取 IP 地址,然後調到第一次測試一欄開始。 橋接模式IP

cugwyman 2020-06-20 09:23:05

《橋接模式》

橋接模式是將抽象部分與它的實現部分分離,使它們都可以獨立地變化。它是一種對象結構型模式,又稱爲柄體(Handle and Body)模式或接口(Interface)模式。在軟件系統中,某些類型由於自身的邏輯,它具有兩個或多個維度的變化,那

培根不加盐 2020-06-20 08:39:50

橋樑模式和適配器模式的區別

橋樑模式和適配器模式的區別 很多時候經常容易把橋接模式和適配器模式弄混。那什麼時候用橋接,什麼時候用適配器呢 ?共同點:橋接和適配器都是讓兩個東西配合工作不同點:出發點不同。         適配器:改變已有的兩個接口,讓他們相容。  

Enjoy_Code 2020-06-19 16:40:11

橋接模式於外發設計的應用思路

文章目錄一 設計模式二 設計原則2.1 單一職責2.2 里氏替換2.3 依賴倒置2.4 接口隔離2.5 知道最少2.6 開閉三 外發需求四 橋接模式五 維度抽象六 應用裝配七 加深優化八 結語 一 設計模式   今天在同事工位上看

柠檬睡客 2020-06-17 03:39:54