1、如何自行架設 VPN 服務
VPN主要是通過加密方式在互聯網上開通一條虛擬的安全有保障鏈路,用於傳輸需要保護的敏感信息。一般用於企業分支機構與總部之間互連\移動及家庭辦公。如果想構建自己的VPN,需要購買帶VPN功能的防火牆設備或專門的VPN設備就可以自行架設VPN接入服務了
2、伺服器vpn搭建怎麼搭?
你去到向日葵vpn的官網,裡面有的。
一、創建VPN網路
1、生成成員主機
在計算機上安裝向日葵客戶端,登錄並開啟VPN模塊
2、添加VPN網路成員
(1)點擊【創建網路】標簽,填寫好網路信息,
(2)選擇網路類型
(3)把伺服器主機加入到中心節點,其他客戶端主機加入到普通成員
創建完成後系統會自動分配一個虛擬IP給每一台主機,以後VPN成員主機間的通訊就依靠這個虛擬IP來
連接。
二、檢測和訪問
在客戶端上,點擊右下角「VPN」,會顯示所創建的VPN網路,點擊「Ping」進行測試。
在瀏覽器輸入中心節點虛擬IP,就可以訪問到OA系統了。
(在做任務,採納我吧~)
3、如何架設VPN網路
VPN的基本配置06-06-21 14:23 發表於:《玩西祠滴上三樓》 分類:未分類
VPN的基本配置
VPN配置簡單說明書
一、 IKE協商的階段簡單描述:
IKE協商可以和TCP的三次握手來類比,只不過IKE協商要比TCP的三次握手要復雜一些,IKE協商採用的UDP報文格式,默認埠是500,在主模式下,一個正常的IKE協商過程需要經過9個報文的來回,才最終建立起通信雙方所需要的IPSec SA,然後雙方利用該SA就可以對數據流進行加密和解密。下面結合簡單描述一下協商的過程。
假設A和B進行通信,A作為發起方,A發送的第一個報文內容是本地所支持的IKE的策略(即下面所提到的Policy),該policy的內容有加密演算法、hash演算法、D-H組、認證方式、SA的生存時間等5個元素。這5個元素裡面值得注意的是認證方式,目前採用的主要認證方式有預共享和數字證書。在簡單的VPN應用中,一般採用預共享方式來認證身份。在本文的配置中也是以預共享為例來說明的。可以配置多個策略,對端只要有一個與其相同,對端就可以採用該policy,並在第二個報文中將該policy發送回來,表明採用該policy為後續的通信進行保護。第三和第四個報文是進行D-H交換的D-H公開值,這與具體的配置影響不大。在完成上面四個報文交換後,利用D-H演算法,A和B就可以協商出一個公共的秘密,後續的密鑰都是從該秘密衍生出來的。第五和第六個報文是身份驗證過程,前面已經提高後,有兩種身份驗證方式——預共享和數字證書,在這里,A將其身份信息和一些其他信息發送給B,B接受到後,對A的身份進行驗證,同時B將自己的身份信息也發送給A進行驗證。採用預共享驗證方式的時候,需要配置預共享密鑰,標識身份有兩種方式,其一是IP地址,其二是主機名(hostname)。在一般的配置中,可以選用IP地址來標識身份。完成前面六個報文交換的過程,就是完成IKE第一階段的協商過程。如果打開調試信息,會看到IKE SA Establish(IKE SA已經建立),也稱作主模式已經完成。
IKE的第二階段是快速模式協商的過程。該模式中的三個報文主要是協商IPSec SA,利用第一階段所協商出來的公共的秘密,可以為該三個報文進行加密。在配置中,主要涉及到數據流、變換集合以及對完美前向保護(PFS)的支持。在很多時候,會發現IKE SA已經建立成功,但是IPSec SA無法建立起來,這時最有可能的原因是數據流是否匹配(A所要保護的數據流是否和B所保護的數據流相對應)、變換集合是否一致以及pfs配置是否一致。
二、 IKE、IPSec配置基本步驟
1.配置IKE 策略(policy)
policy就是上圖中的IKE策略。Policy裡面的內容有hash演算法、加密演算法、D-H組、生存時間。可以配置多個policy,只要對端有一個相同的,雙方就可以採用該policy,不過要主要policy中的認證方式,因為認證方式的不同會影響後續的配置不同。一般採用預共享(preshare)。在目前的安全路由器和VPN3020上的實現上都有默認的配置選項,也就是說如果你新增加一條策略後,即使什麼都不配置,退出後,也會有默認值的。
2.配置預共享密鑰(preshare)
在配置預共享密鑰的時候,需要選擇是IP地址還是Hostname來標識該密鑰,如果對端是IP地址標識身份,就採用IP地址來標識密鑰;如果對端是Hostname來標識身份,則採用hostname來標識密鑰。
3.配置本端標識(localid)
本端標識有IP地址和Hostname,在安全路由器上,默認的是用IP地址來標識。即不配置本端標識,就表示是用IP地址來標識。
以上三個步驟就完成IKE的配置,以下是IPSec的配置:
4.配置數據流(access-list)
很容易理解,部署任何VPN都需要對數據流所限制,不可能對所有的數據流都進行加密(any to any)。配置好數據流後,在加密映射(map)中引用該數據流。
5.配置變換集合(transform-set)
變換集合是某個對等方能接受的一組IPSec協議和密碼學演算法。雙方只要一致即可。注意,在VPN3020和帶加密模塊的安全路由器上支持國密辦的SSP02演算法。
6.配置加密映射(map)
為IPSec創建的加密映射條目使得用於建立IPSec安全聯盟的各個部件協調工作,它包括以下部分:
l 所要保護的數據流(引用步驟4所配置的數據流)
l 對端的IP地址(這個是必須的,除非是動態加密映射,見本文後面的章節)
l 對所要保護的數據流採用什麼加密演算法和採用什麼安全協議(引用步驟5所配置的變換集合)
l 是否需要支持PFS(雙方要一致)
l SA的生存時間(是可選的,不配置的話有默認值)
7.應用(激活)加密映射
在安全路由器上是將該加密映射應用到介面上去,而在VPN3020上是激活(active)該map。
三、 動態加密映射技術
目前,安全路由器系列和VPN系列均支持動態加密映射。什麼是動態加密映射?動態加密映射所應用的環境是什麼呢?我們可以從以下的一個案例中來說明動態加密映射的概念。如下圖:
在上圖的網路拓撲中,MP803接入Internet的並不是寬頻接入(固定IP地址),而是在通過電信ADSL撥號來獲取到IP地址,不是固定的IP地址。這時候,對於上端MP2600A來說,就存在問題了,回想一下前面所描述的配置步驟,在步驟六中配置加密映射的時候,需要配置對端的peer IP地址,這時候怎麼辦呢?或許您想到——那我每次撥號獲取到IP地址後,再在兩端來配置IPSec——這種解決辦法是OK的,只要客戶或者您自己容忍每次MP803重新撥號後,您重新去更改配置。顯然,這樣方法充其量只能用來測試的。
動態加密映射就是用來解決這類問題的。顧名思義,動態加密映射,就是說,在配置加密映射的時候,不需要配置對端的peer IP地址。目前,安全路由器和VPN系列都支持動態加密映射,但由於兩者實現上的差異,導致他們在配置動態加密映射的時候存在一些不同,在後文的實際配置案例中會講到。
四、 NAT穿越略述
NAT穿越是指在兩台VPN網關之間的還存在NAT設備,從原理來說,NAT和IPSec存在一定的矛盾。主要體現兩點:NAT更改了IP數據包的IP源地址或者目的地址,這與IPSec協議中的AH認證頭協議存在不可調和的矛盾,因此如果IPSec報文需要穿越NAT設備的話,在配置變換集合的時候就不能選用AH協議(目前,由於ESP協議也提供驗證功能,AH使用很少);第二點是NAT設備的埠地址轉換是針對TCP/UDP/ICMP等協議。對於ESP協議,沒有相應的處理機制。具體詳細資料請查看IETF的草案。此外,NAT穿越目前還沒有國際標准,公司在國內率先實現了NAT穿越功能。目前,公司的安全路由器、VPN3020等都已經實現了NAT穿越。
NAT穿越對於路由器和VPN3020上的配置沒有任何的改變。目前,公司的北京辦和總部的互聯的兩台路由器建立隧道就是穿越了NAT。
五、 實際配置案例
案例1:路由器與路由器互通
網路拓撲如圖所示:
網路拓撲1
需求:兩台MP2600路由器,都有固定的公網IP地址,現在需要構建VPN,保護在兩台路由器後面的網路。使PC1能夠訪問到PC2。
規劃:使用IKE自動協商密鑰,policy的參數設置,加密演算法為des、驗證演算法為sha方式為預共享、D-H組為group 1;身份標識為IP地址,以IP地址作來標識預共享密鑰;變換集合參數設置,隧道模式為tunnel、協議-演算法為esp-des、esp-md5;不啟用pfs;在配置注意,避免配置所要保護的數據流為any到any。首先是在實際使用過程中,不會有這樣的需求,其次,這樣會讓很多本來不需要加密的通信無法通信。
4、如何快速搭建一個VPN
一台安裝了Debian GNU/Linux 5.0的VPS。
當然理論上所有可以安裝pptpd包的*nix系統都可以作為主機,教程中安裝方式是基於Debian的apt-get命令,其他發行版請自行對照使用。
這台VPS的物理位置是Fremont, CA。
物理位置作為VPN這個應用本身並不重要,在這里提出只是多此一舉。
安裝伺服器端軟體
# apt-get install pptpd
Debian的包管理是所有發行版里最好的,所以這條命令打完就安裝完畢了我們的pptp伺服器端程序。
配置IP地址范圍
編輯/etc/pptpd.conf,在最後添加如下地址:
localip 192.168.0.1
remoteip 192.168.0.234-238,192.168.0.245
這兩句設置了當外部計算機通過pptp聯接到vpn後所能拿到的ip地址范圍和伺服器的ip地址設置。
5、伺服器簡單,可怎麼做VPN客戶端
第一步:點擊右下角的網路圖標,然後選擇「打開網路和共享中心」,再選擇「更改適配器設置」。
第二步:在「菜單欄」點擊「文件」, 如果沒有看到菜單欄,請按下鍵盤上的Alt按鍵,即可顯示菜單欄,選擇「新建傳入連接」(這個比較的重要)。
第三步:勾選選擇允許使用VPN連接到本機的用戶,如果用戶還未創建,請點擊「添加用戶」。
選擇其他用戶連接VPN的方式,這里選擇「通過Internet」,如果你的顯示多項,請選擇正確的方式。
第四步:接著設置網路參數,如果對方連接後可以使用本地網路的DHCP伺服器,那麼可以跳過此設置。如果本地網路沒有DHCP伺服器,必須就必須設置一下,請點擊「Internet協議版本4(TCP/IP)」,點「屬性」按鈕,選擇「指定IP地址」,比如我的IP是192.168.1開頭的,那麼這里設置一個沒有被使用的IP段即可,比如從192.168.1.180到192.168.1.199。設置後請按確定,然後點擊「允許訪問」。
第五步:按照上述設置之後,其他用戶就可以利用上面的賬號以及你的IP地址利用VPN連接到你的網路了。此外,如果你有防火牆請允許1723和1701埠;如果你是內網用戶請在路由器上做1723和1701埠的映射,一般做1723就行了。還有,現在一般穩定的VPN都需要支付一些費用。
6、伺服器上搭建了vpn其他電腦怎麼用
1、打開控制面板,進入網路和Internet界面。
2、點擊「網路和共享中心」,在界面左下角有個「Internet選項」。
3、在新打開的界面點擊「添加vpn」。
4、在新打開的窗口中填寫「Internet地址」和「目標名稱」,點擊下一步。
5、在窗口中填入「用戶名」和「密碼」,點擊連接。
6、最後會出現正在驗證信息界面,等待一會兒就可以了。
7、如何在Windows伺服器上架設VPN
在Windows伺服器上架設VPN可以如下操作:
第一步,打開控制面板->管理工具->服務項目,禁用Windows防火牆服務。
第二步,打開控制面板->管理工具,雙擊「路由和遠程訪問」。然後右鍵點擊伺服器圖標,再點擊「配置並啟用路由和遠程訪問」。
第三步,在「路由和遠程伺服器安裝向導」中,選擇「自定義配置」。
第四步,勾選「VPN訪問」和「NAT和基本防火牆」。
第五步, 點擊「完成」。系統提示「要開始服務嗎?」,選擇「是」。
第六步,接下來開始配置路由和遠程訪問,我們先點擊本地服務旁邊的+按鈕,把左側菜單展開,再點擊IP路由選擇旁邊的+按鈕。
第七步,下面配置靜態IP地址。右鍵點擊本地服務,點擊屬性,再點擊IP選項卡。
第八步,點選「靜態地址池」,點擊「添加」。輸入一個起始IP地址和結束IP地址范圍,推薦輸入192.168.1.100到192.168.1.254這個范圍,因為192.168段屬於本地保留IP段。最後點擊「確定」。
第九步,右鍵點擊「靜態路由」,再點擊「新建靜態路由」。
第十步,目標和網路掩碼都輸入0,網關請和TCP/IP屬性中的默認網關保持一致。
第十一步,刪除「DHCP中繼代理程序」中的「內部」項目。
第十二步,然後右鍵點擊「DHCP中繼代理程序」,再點擊「新增介面」。
第十三步,選擇「本地連接」,再點擊「確定」,然後在彈出的對話框中點擊「確定」。
第十四步,右鍵點擊「NAT/基本防火牆」,再點擊「新增介面」,然後選擇「本地連接」,點擊「確定」。
第十五步,在彈出的對話框中先點選「公共介面連接到Internet」,再勾選「在此介面上啟用NAT」,最後點擊「確定」。
第十六步,至此在路由和遠程訪問中的配置就完成了。下面是添加VPN用戶的步驟,到計算機管理中添加一個用戶,作為VPN連接的用戶,把這個用戶放到Guest組下面,並在用戶屬性->撥入->遠程訪問許可權中設置成「允許訪問」。 然後就是在你自己電腦上新建VPN連接,進行撥號測試了。要確定是否連接成功,請訪問IP查詢網站,看是否顯示的是國外伺服器的IP即可。