1、如何自行架设 VPN 服务
VPN主要是通过加密方式在互联网上开通一条虚拟的安全有保障链路,用于传输需要保护的敏感信息。一般用于企业分支机构与总部之间互连\移动及家庭办公。如果想构建自己的VPN,需要购买带VPN功能的防火墙设备或专门的VPN设备就可以自行架设VPN接入服务了
2、服务器vpn搭建怎么搭?
你去到向日葵vpn的官网,里面有的。
一、创建VPN网络
1、生成成员主机
在计算机上安装向日葵客户端,登录并开启VPN模块
2、添加VPN网络成员
(1)点击【创建网络】标签,填写好网络信息,
(2)选择网络类型
(3)把服务器主机加入到中心节点,其他客户端主机加入到普通成员
创建完成后系统会自动分配一个虚拟IP给每一台主机,以后VPN成员主机间的通讯就依靠这个虚拟IP来
连接。
二、检测和访问
在客户端上,点击右下角“VPN”,会显示所创建的VPN网络,点击“Ping”进行测试。
在浏览器输入中心节点虚拟IP,就可以访问到OA系统了。
(在做任务,采纳我吧~)
3、如何架设VPN网路
VPN的基本配置06-06-21 14:23 发表于:《玩西祠滴上三楼》 分类:未分类
VPN的基本配置
VPN配置简单说明书
一、 IKE协商的阶段简单描述:
IKE协商可以和TCP的三次握手来类比,只不过IKE协商要比TCP的三次握手要复杂一些,IKE协商采用的UDP报文格式,默认端口是500,在主模式下,一个正常的IKE协商过程需要经过9个报文的来回,才最终建立起通信双方所需要的IPSec SA,然后双方利用该SA就可以对数据流进行加密和解密。下面结合简单描述一下协商的过程。
假设A和B进行通信,A作为发起方,A发送的第一个报文内容是本地所支持的IKE的策略(即下面所提到的Policy),该policy的内容有加密算法、hash算法、D-H组、认证方式、SA的生存时间等5个元素。这5个元素里面值得注意的是认证方式,目前采用的主要认证方式有预共享和数字证书。在简单的VPN应用中,一般采用预共享方式来认证身份。在本文的配置中也是以预共享为例来说明的。可以配置多个策略,对端只要有一个与其相同,对端就可以采用该policy,并在第二个报文中将该policy发送回来,表明采用该policy为后续的通信进行保护。第三和第四个报文是进行D-H交换的D-H公开值,这与具体的配置影响不大。在完成上面四个报文交换后,利用D-H算法,A和B就可以协商出一个公共的秘密,后续的密钥都是从该秘密衍生出来的。第五和第六个报文是身份验证过程,前面已经提高后,有两种身份验证方式——预共享和数字证书,在这里,A将其身份信息和一些其他信息发送给B,B接受到后,对A的身份进行验证,同时B将自己的身份信息也发送给A进行验证。采用预共享验证方式的时候,需要配置预共享密钥,标识身份有两种方式,其一是IP地址,其二是主机名(hostname)。在一般的配置中,可以选用IP地址来标识身份。完成前面六个报文交换的过程,就是完成IKE第一阶段的协商过程。如果打开调试信息,会看到IKE SA Establish(IKE SA已经建立),也称作主模式已经完成。
IKE的第二阶段是快速模式协商的过程。该模式中的三个报文主要是协商IPSec SA,利用第一阶段所协商出来的公共的秘密,可以为该三个报文进行加密。在配置中,主要涉及到数据流、变换集合以及对完美前向保护(PFS)的支持。在很多时候,会发现IKE SA已经建立成功,但是IPSec SA无法建立起来,这时最有可能的原因是数据流是否匹配(A所要保护的数据流是否和B所保护的数据流相对应)、变换集合是否一致以及pfs配置是否一致。
二、 IKE、IPSec配置基本步骤
1.配置IKE 策略(policy)
policy就是上图中的IKE策略。Policy里面的内容有hash算法、加密算法、D-H组、生存时间。可以配置多个policy,只要对端有一个相同的,双方就可以采用该policy,不过要主要policy中的认证方式,因为认证方式的不同会影响后续的配置不同。一般采用预共享(preshare)。在目前的安全路由器和VPN3020上的实现上都有默认的配置选项,也就是说如果你新增加一条策略后,即使什么都不配置,退出后,也会有默认值的。
2.配置预共享密钥(preshare)
在配置预共享密钥的时候,需要选择是IP地址还是Hostname来标识该密钥,如果对端是IP地址标识身份,就采用IP地址来标识密钥;如果对端是Hostname来标识身份,则采用hostname来标识密钥。
3.配置本端标识(localid)
本端标识有IP地址和Hostname,在安全路由器上,默认的是用IP地址来标识。即不配置本端标识,就表示是用IP地址来标识。
以上三个步骤就完成IKE的配置,以下是IPSec的配置:
4.配置数据流(access-list)
很容易理解,部署任何VPN都需要对数据流所限制,不可能对所有的数据流都进行加密(any to any)。配置好数据流后,在加密映射(map)中引用该数据流。
5.配置变换集合(transform-set)
变换集合是某个对等方能接受的一组IPSec协议和密码学算法。双方只要一致即可。注意,在VPN3020和带加密模块的安全路由器上支持国密办的SSP02算法。
6.配置加密映射(map)
为IPSec创建的加密映射条目使得用于建立IPSec安全联盟的各个部件协调工作,它包括以下部分:
l 所要保护的数据流(引用步骤4所配置的数据流)
l 对端的IP地址(这个是必须的,除非是动态加密映射,见本文后面的章节)
l 对所要保护的数据流采用什么加密算法和采用什么安全协议(引用步骤5所配置的变换集合)
l 是否需要支持PFS(双方要一致)
l SA的生存时间(是可选的,不配置的话有默认值)
7.应用(激活)加密映射
在安全路由器上是将该加密映射应用到接口上去,而在VPN3020上是激活(active)该map。
三、 动态加密映射技术
目前,安全路由器系列和VPN系列均支持动态加密映射。什么是动态加密映射?动态加密映射所应用的环境是什么呢?我们可以从以下的一个案例中来说明动态加密映射的概念。如下图:
在上图的网络拓扑中,MP803接入Internet的并不是宽带接入(固定IP地址),而是在通过电信ADSL拨号来获取到IP地址,不是固定的IP地址。这时候,对于上端MP2600A来说,就存在问题了,回想一下前面所描述的配置步骤,在步骤六中配置加密映射的时候,需要配置对端的peer IP地址,这时候怎么办呢?或许您想到——那我每次拨号获取到IP地址后,再在两端来配置IPSec——这种解决办法是OK的,只要客户或者您自己容忍每次MP803重新拨号后,您重新去更改配置。显然,这样方法充其量只能用来测试的。
动态加密映射就是用来解决这类问题的。顾名思义,动态加密映射,就是说,在配置加密映射的时候,不需要配置对端的peer IP地址。目前,安全路由器和VPN系列都支持动态加密映射,但由于两者实现上的差异,导致他们在配置动态加密映射的时候存在一些不同,在后文的实际配置案例中会讲到。
四、 NAT穿越略述
NAT穿越是指在两台VPN网关之间的还存在NAT设备,从原理来说,NAT和IPSec存在一定的矛盾。主要体现两点:NAT更改了IP数据包的IP源地址或者目的地址,这与IPSec协议中的AH认证头协议存在不可调和的矛盾,因此如果IPSec报文需要穿越NAT设备的话,在配置变换集合的时候就不能选用AH协议(目前,由于ESP协议也提供验证功能,AH使用很少);第二点是NAT设备的端口地址转换是针对TCP/UDP/ICMP等协议。对于ESP协议,没有相应的处理机制。具体详细资料请查看IETF的草案。此外,NAT穿越目前还没有国际标准,公司在国内率先实现了NAT穿越功能。目前,公司的安全路由器、VPN3020等都已经实现了NAT穿越。
NAT穿越对于路由器和VPN3020上的配置没有任何的改变。目前,公司的北京办和总部的互联的两台路由器建立隧道就是穿越了NAT。
五、 实际配置案例
案例1:路由器与路由器互通
网络拓扑如图所示:
网络拓扑1
需求:两台MP2600路由器,都有固定的公网IP地址,现在需要构建VPN,保护在两台路由器后面的网络。使PC1能够访问到PC2。
规划:使用IKE自动协商密钥,policy的参数设置,加密算法为des、验证算法为sha方式为预共享、D-H组为group 1;身份标识为IP地址,以IP地址作来标识预共享密钥;变换集合参数设置,隧道模式为tunnel、协议-算法为esp-des、esp-md5;不启用pfs;在配置注意,避免配置所要保护的数据流为any到any。首先是在实际使用过程中,不会有这样的需求,其次,这样会让很多本来不需要加密的通信无法通信。
4、如何快速搭建一个VPN
一台安装了Debian GNU/Linux 5.0的VPS。
当然理论上所有可以安装pptpd包的*nix系统都可以作为主机,教程中安装方式是基于Debian的apt-get命令,其他发行版请自行对照使用。
这台VPS的物理位置是Fremont, CA。
物理位置作为VPN这个应用本身并不重要,在这里提出只是多此一举。
安装服务器端软件
# apt-get install pptpd
Debian的包管理是所有发行版里最好的,所以这条命令打完就安装完毕了我们的pptp服务器端程序。
配置IP地址范围
编辑/etc/pptpd.conf,在最后添加如下地址:
localip 192.168.0.1
remoteip 192.168.0.234-238,192.168.0.245
这两句设置了当外部计算机通过pptp联接到vpn后所能拿到的ip地址范围和服务器的ip地址设置。
5、服务器简单,可怎么做VPN客户端
第一步:点击右下角的网络图标,然后选择“打开网络和共享中心”,再选择“更改适配器设置”。
第二步:在“菜单栏”点击“文件”, 如果没有看到菜单栏,请按下键盘上的Alt按键,即可显示菜单栏,选择“新建传入连接”(这个比较的重要)。
第三步:勾选选择允许使用VPN连接到本机的用户,如果用户还未创建,请点击“添加用户”。
选择其他用户连接VPN的方式,这里选择“通过Internet”,如果你的显示多项,请选择正确的方式。
第四步:接着设置网络参数,如果对方连接后可以使用本地网络的DHCP服务器,那么可以跳过此设置。如果本地网络没有DHCP服务器,必须就必须设置一下,请点击“Internet协议版本4(TCP/IP)”,点“属性”按钮,选择“指定IP地址”,比如我的IP是192.168.1开头的,那么这里设置一个没有被使用的IP段即可,比如从192.168.1.180到192.168.1.199。设置后请按确定,然后点击“允许访问”。
第五步:按照上述设置之后,其他用户就可以利用上面的账号以及你的IP地址利用VPN连接到你的网络了。此外,如果你有防火墙请允许1723和1701端口;如果你是内网用户请在路由器上做1723和1701端口的映射,一般做1723就行了。还有,现在一般稳定的VPN都需要支付一些费用。
6、服务器上搭建了vpn其他电脑怎么用
1、打开控制面板,进入网络和Internet界面。
2、点击“网络和共享中心”,在界面左下角有个“Internet选项”。
3、在新打开的界面点击“添加vpn”。
4、在新打开的窗口中填写“Internet地址”和“目标名称”,点击下一步。
5、在窗口中填入“用户名”和“密码”,点击连接。
6、最后会出现正在验证信息界面,等待一会儿就可以了。
7、如何在Windows服务器上架设VPN
在Windows服务器上架设VPN可以如下操作:
第一步,打开控制面板->管理工具->服务项目,禁用Windows防火墙服务。
第二步,打开控制面板->管理工具,双击“路由和远程访问”。然后右键点击服务器图标,再点击“配置并启用路由和远程访问”。
第三步,在“路由和远程服务器安装向导”中,选择“自定义配置”。
第四步,勾选“VPN访问”和“NAT和基本防火墙”。
第五步, 点击“完成”。系统提示“要开始服务吗?”,选择“是”。
第六步,接下来开始配置路由和远程访问,我们先点击本地服务旁边的+按钮,把左侧菜单展开,再点击IP路由选择旁边的+按钮。
第七步,下面配置静态IP地址。右键点击本地服务,点击属性,再点击IP选项卡。
第八步,点选“静态地址池”,点击“添加”。输入一个起始IP地址和结束IP地址范围,推荐输入192.168.1.100到192.168.1.254这个范围,因为192.168段属于本地保留IP段。最后点击“确定”。
第九步,右键点击“静态路由”,再点击“新建静态路由”。
第十步,目标和网络掩码都输入0,网关请和TCP/IP属性中的默认网关保持一致。
第十一步,删除“DHCP中继代理程序”中的“内部”项目。
第十二步,然后右键点击“DHCP中继代理程序”,再点击“新增接口”。
第十三步,选择“本地连接”,再点击“确定”,然后在弹出的对话框中点击“确定”。
第十四步,右键点击“NAT/基本防火墙”,再点击“新增接口”,然后选择“本地连接”,点击“确定”。
第十五步,在弹出的对话框中先点选“公共接口连接到Internet”,再勾选“在此接口上启用NAT”,最后点击“确定”。
第十六步,至此在路由和远程访问中的配置就完成了。下面是添加VPN用户的步骤,到计算机管理中添加一个用户,作为VPN连接的用户,把这个用户放到Guest组下面,并在用户属性->拨入->远程访问权限中设置成“允许访问”。 然后就是在你自己电脑上新建VPN连接,进行拨号测试了。要确定是否连接成功,请访问IP查询网站,看是否显示的是国外服务器的IP即可。