1. 群暉NAS安裝VPN Server 套件三種服務協議設定
我們在群暉nas里安裝VPN Server 套件可以把我們的群暉nas變成一個VPN伺服器,我們可以安全的在遠端存取Synology NAS 區域網內分享的資源,群暉的VPN server整合了常用的通訊協定: PPTP、OpenVPN 、 L2TP/IPSec,當我們啟用了nas的vpn服務,會影響系統的網路性能。
我們先來了解一下三種協議:
PPTP
PPTP (Point-to-Point Tunneling Protocol,點對點信道協議) 是常用的 VPN 解決方案,且大多數的客戶端 (包含 Windows、Mac、Linux 及行動裝置) 皆支持。
若要啟動 PPTP VPN 伺服器:
1、開啟 VPN Server 並前往左側面板的 PPTP。
2、勾選啟動 PPTP VPN 伺服器。
3、在動態 IP 地址欄位輸入 VPN 伺服器的虛擬 IP 地址。請參閱下方的關於動態 IP 地址來了解更多信息。
4、設定最大聯機數量來限制 VPN 聯機的共同聯機數量。
5、設定同一賬號最多聯機數量來限制使用同一個賬號所進行 VPN 聯機的共同聯機數量。
6、從認證下拉式選單中選擇下列任一項目來認證 VPN 客戶端:
PAP:認證過程中,將不加密 VPN 客戶端的密碼。
MS-CHAP v2:認證過程中,將使用 Microsoft CHAP version 2 加密 VPN 客戶端的密碼。
7、若您選擇 MS-CHAP v2 驗證,請從加密下拉式選單中選擇下列任一項目來加密 VPN 聯機:
No MPPE:VPN 聯機不會受到加密機制保護。
Optional MPPE:客戶端設定將決定 VPN 聯機會 / 不會受到 40-bit 或 128-bit 加密機制保護。
Require MPPE:客戶端設定將決定 VPN 聯機會受到 40-bit 或 128-bit 加密機制保護。
8、設定 MTU (最大傳輸單元) 來限制 VPN 網路傳輸的數據封包大小。
9、勾選手動設定 DNS 並指派 DNS 伺服器的 IP 地址來發送給 PPTP 客戶端。若停用此選項,則會將 Synology NAS 目前所使用的 DNS 伺服器發送給客戶端。
10、單擊套用來讓變更生效。
注意:
聯機至 VPN 時,VPN 客戶端的驗證及加密設定必須與 VPN Server 上的相同,否則客戶端將無法成功聯機。
為兼容於運行在 Windows、Mac OS、iOS 與 Android 系統的大部分 PPTP 客戶端,預設的 MTU 值為 1400。若您的網路環境較為復雜,可能需要設定一個較小的 MTU 值。若您經常收到逾時訊息或聯機不穩定,請降低 MTU 值。
請檢查 Synology NAS 與路由器上的埠轉送規則與防火牆設定,確認 TCP 1723 埠已開啟。
部分路由器內建 PPTP VPN 服務,因此可能已佔用 1723 埠。您需先透過路由器的管理介面關閉其內建的 PPTP VPN 服務,才能確保 VPN Server 上的 PPTP VPN 服務可以正常運作。此外,部分舊式路由器可能會封鎖 GRE 協議 (IP 協議 47),造成 VPN 聯機失敗;建議使用支持 VPN pass-through 聯機的路由器。
OpenVPN
OpenVPN 是開放原始碼的 VPN 服務解決方案,會以 SSL / TLS 加密機制保護 VPN 聯機。
若要啟動 OpenVPN VPN 伺服器:
1、開啟 VPN Server,前往左側面板的 OpenVPN。
2、勾選啟動 OpenVPN 伺服器。
3、在動態 IP 地址欄位輸入 VPN 伺服器的虛擬內部 IP 地址。請參閱下方的關於動態 IP 地址來了解更多信息。
4、設定最大聯機數量來限制 VPN 聯機的共同聯機數量。
5、設定同一賬號最多聯機數量來限制使用同一個賬號進行 VPN 聯機的共同聯機數量。
6、為 OpenVPN 數據傳輸設定埠與通訊協議。您可以決定要將何種協議的數據封包透過 VPN 轉送至 Synology NAS 的哪個埠。默認值為 UDP 埠 1194
注意: 為確保 Synology NAS 上的服務可以正常運作,請避免將同樣的一組埠與通訊協議指派給其他 Synology 服務。請參閱此篇應用教學以了解更多信息。
7、在加密下拉式選單中擇一,以加密 VPN 信道中的數據封包。
8、在驗證下拉式選單中擇一,以驗證 VPN 客戶端。
9、若要在傳輸數據時壓縮數據,請勾選啟動 VPN 壓縮聯機。此選項可提升傳輸速度,但可能會消耗較多系統資源。
10、勾選允許客戶端存取伺服器的區域網絡來讓客戶端存取伺服器的區域網絡。
11、勾選啟動 IPv6 伺服器模式來啟動 OpenVPN 伺服器,以傳送 IPv6 地址。您必須先在控制面板 > 網路 > 網路介面中,透過 6in4/6to4/DHCP-PD 取得 Prefix,並在此頁面中選擇該 Prefix。
12、單擊套用來讓變更生效。
注意:
VPN Server 不支持站台對站台的橋接模式。
請檢查 Synology NAS 與路由器上的埠轉送規則與防火牆設定,確認 UDP 1194 埠已開啟。
在 Windows Vista 或 Windows 7 上執行 OpenVPN GUI 時,請注意,UAC (用戶帳戶控制) 預設為開啟。此設定開啟時,需使用以系統管理員身份執行選項來透過 OpenVPN GUI 進行聯機。
在 Windows 上透過 OpenVPN GUI 啟動 IPv6 伺服器模式時,請注意以下事項:
VPN 所使用的介面名稱不可包含空格,例如:LAN 1 須變更為 LAN1。
重新導向網關 (redirect-gateway) 選項須由客戶端於 openvpn.ovpn 檔案中設定。若您不想設定此選項,應手動設定 VPN 介面的 DNS。您可以使用 Google IPv6 DNS:2001:4860:4860::8888。
若要匯出配置文件:
單擊匯出配置文件。OpenVPN 讓 VPN 伺服器可頒發證書供客戶端使用。所匯出的檔案為 zip 壓縮文件,其中包含 ca.crt (VPN 伺服器的憑證檔案)、openvpn.ovpn (客戶端使用的配置文件案),以及 README.txt (客戶端如何設定 OpenVPN 聯機的簡易說明)。
注意:
每次啟動 VPN Server 時,便會自動復制、使用顯示於控制面板 > 安全性 > 憑證之憑證。若您需使用第三方憑證,請到控制台 > 安全性 > 憑證 > 新增來匯入憑證,並重新啟動 VPN Server。
每次修改憑證文件 (顯示於控制面板 > 安全性 > 憑證) 後,VPN Server 將會自動重新啟動。
L2TP/IPSec
L2TP (Layer 2 Tunneling Protocol) over IPSec 提供更安全的虛擬私有網路,且大多數的客戶端 (如 Windows、Mac、Linux 及行動裝置) 皆支持。
若要啟動 L2TP/IPSec VPN 伺服器:
1、開啟 VPN Server 並前往左側面板的 L2TP/IPSec。
2、勾選啟動 L2TP/IPSec VPN 伺服器。
3、在動態 IP 地址欄位輸入 VPN 伺服器的虛擬 IP 地址。請參閱下方的關於動態 IP 地址來了解更多信息。
4、設定最大聯機數量來限制 VPN 聯機的共同聯機數量。
5、設定同一賬號最多聯機數量來限制使用同一個賬號進行 VPN 聯機的共同聯機數量。
6、從認證下拉式選單中選擇下列任一項目來認證 VPN 客戶端:
PAP:認證過程中,將不加密 VPN 客戶端的密碼。
MS-CHAP v2:認證過程中,將使用 Microsoft CHAP version 2 加密 VPN 客戶端的密碼。
7、設定 MTU (最大傳輸單元) 來限制 VPN 網路傳輸的數據封包大小。
8、勾選手動設定 DNS 並指派 DNS 伺服器的 IP 地址來發送給 L2TP/IPSec 客戶端。若停用此選項,則會將 Synology NAS 目前所使用的 DNS 伺服器發送給客戶端。
9、若要發揮 VPN 最大效能,選取執行核心 (kernel) 模式。
10、輸入並確認預先共享密鑰。您應將此密鑰提供給 L2TP/IPSec VPN 使用者以驗證聯機。
11、勾選啟動 SHA2-256 兼容模式 (96 bit),以讓特定客戶端 (非 RFC 標准) 可以使用 L2TP/IPSec 聯機。
12、單擊套用來讓變更生效。
注意:
聯機至 VPN 時,VPN 客戶端的驗證及加密設定必須與 VPN Server 上的設定相同,否則客戶端將無法成功進行聯機。
為兼容於運行在 Windows、Mac OS、iOS 與 Android 系統的大部分 L2TP/IPSec 客戶端,預設的 MTU 值為 1400。若您的網路環境較為復雜,可能需要設定一個較小的 MTU 值。若您經常收到逾時訊息或聯機不穩定,請降低 MTU 值。
請檢查 Synology NAS 與路由器上的埠轉送規則與防火牆設定,以確認 UDP 1701、500、4500 埠已開啟。
部分路由器內建 L2TP 或 IPSec VPN 服務,因此可能已佔用 1701、500 或 4500 埠。您需先透過路由器的管理介面關閉其內建的 L2TP 或 IPsec VPN 服務,才能確保 VPN Server 上的 L2TP/IPsec VPN 服務可以正常運作。建議使用支持 VPN pass-through 聯機的路由器。
關於動態 IP 地址
VPN Server 會依據您在動態 IP 地址中輸入的數字,從虛擬 IP 地址范圍中選擇一個 IP 地址來分配給 VPN 客戶端使用。例如:若 VPN 伺服器的動態 IP 地址設定為「10.0.0.0」,則 PPTP VPN 客戶端的虛擬 IP 地址范圍為「10.0.0.1」至「10.0.0.[最大聯機數量]」;OpenVPN 客戶端的虛擬 IP 地址范圍則為「10.0.0.2」至「10.0.0.255」。
重要事項: 指定 VPN 伺服器的動態 IP 地址之前,請注意:
1、VPN 伺服器可使用的動態 IP 地址必須為下列其一:
從「10.0.0.0」至「10.255.255.0」
從「172.16.0.0」至「172.31.255.0」
從「192.168.0.0」至「192.168.255.0」
2、您指定的 VPN 伺服器動態 IP 地址以及指派給 VPN 客戶端的虛擬 IP 地址,皆不能與區域網絡中任一已使用的 IP 地址沖突。
關於客戶端進行 VPN 聯機時使用的網關設定
使用 VPN 聯機至 Synology NAS 的區域網絡之,客戶端可能需要為 VPN 聯機變更網關設定;否則,在 VPN 聯機建立之後,它們可能會無法聯機至網際網路。
2. 如何搭建VPN來開伺服器
這個是VPN的搭建問題
啟用路由遠程訪問
啟用設置NAT防火牆
新建遠程訪問策略,具體VPN搭建可網路
3. VPN相關技術
當您通過Internet使用VPN時,它會在兩個設備/網路之間創建專用且加密的隧道。現在作為VPN,你很難對數據進行竊聽,即使它被侵入,因為這是數據被加密,從這個加密數據中獲取任何信息幾乎是不可能的。有幾種VPN隧道協議,如PPTP(點對點隧道協議),L2TP(第二層隧道協議),IPSec(Internet協議安全),SSL(安全套接字層)等,用於創建VPN隧道。
IPSec實現
工作於TCP/IP第三層IP層上網路數據安全地一整套體系結構;包括網路認證協議AH(Authentication Header,認證頭)、ESP(Encapsulating Security Payload,封裝安全載荷)、IKE(Internet Key Exchange,網際網路密鑰交換又稱isakmp)和用於網路認證及加密的一些演算法等。其中,AH協議和ESP協議用於提供安全服務,IKE協議用於密鑰交換。
整個IPSec VPN地實現基本簡化為兩個SA協商完成
SA(security association):是兩個通信實體經協商建立起來地一種協議,它們決定了用來保護數據包安全地IPsec協議,轉碼方式,密鑰,以及密鑰地有效存在時間等等
IKE(isakmp)SA: 協商對IKE數據流進行加密以及對對等體進行驗證地演算法(對密鑰地加密和peer地認證) 對等體之間只能存在一個
第一階段:建立ISAKMPSA協商的是以下信息:
1、對等體之間採用何種方式做認證,是預共享密鑰還是數字證書。
2、雙方使用哪種加密演算法(DES、3DES)
3、雙方使用哪種HMAC方式,是MD5還是SHA
4、雙方使用哪種Diffie-Hellman密鑰組
5、使用哪種協商模式(主模式或主動模式)
6、協商SA的生存期
IPSec SA: 協商對對等體之間地IP數據流進行加密地演算法 對等體之間可以存在多個
第二階段:建立IPsecSA協商的是以下信息:
1、雙方使用哪種封裝技術,AH還是ESP
2、雙方使用哪種加密演算法
3、雙方使用哪種HMAC方式,是MD5還是SHA
4、使用哪種傳輸模式,是隧道模式還是傳輸模式
5、協商SA的生存期
名詞解釋:
AH協議(IP協議號為51): 提供數據源認證、數據完整性校驗和防報文重放功能,它能保護通信免受篡改,但不能防止竊聽,適合用於傳輸非機密數據。AH的工作原理是在每一個數據包上添加一個身份驗證報文頭,此報文頭插在標准IP包頭後面,對數據提供完整性保護。可選擇的認證演算法有MD5(Message Digest)、SHA-1(Secure Hash Algorithm)等。
ESP協議(IP協議號為50): 提供加密、數據源認證、數據完整性校驗和防報文重放功能。ESP的工作原理是在每一個數據包的標准IP包頭後面添加一個ESP報文頭,並在數據包後面追加一個ESP尾。與AH協議不同的是,ESP將需要保護的用戶數據進行加密後再封裝到IP包中,以保證數據的機密性。常見的加密演算法有DES、3DES、AES等。同時,作為可選項,用戶可以選擇MD5、SHA-1演算法保證報文的完整性和真實性。
IPSec有兩種工作模式:
隧道(tunnel)模式: 用戶的整個IP數據包被用來計算AH或ESP頭,AH或ESP頭以及ESP加密的用戶數據被封裝在一個新的IP數據包中。通常,隧道模式應用在兩個安全網關之間的通訊。
傳輸(transport)模式: 只是傳輸層數據被用來計算AH或ESP頭,AH或ESP頭以及ESP加密的用戶數據被放置在原IP包頭後面。通常,傳輸模式應用在兩台主機之間的通訊,或一台主機和一個安全網關之間的通訊。
1. 數據認證
數據認證有如下兩方面的概念:
身份認證:身份認證確認通信雙方的身份。支持兩種認證方法:預共享密鑰(pre-shared-key)認證和基於PKI的數字簽名(rsa-signature)認證。
身份保護:身份數據在密鑰產生之後加密傳送,實現了對身份數據的保護。
2. DH
DH(Diffie-Hellman,交換及密鑰分發)演算法是一種公共密鑰演算法。通信雙方在不傳輸密鑰的情況下通過交換一些數據,計算出共享的密鑰。即使第三者(如黑客)截獲了雙方用於計算密鑰的所有交換數據,由於其復雜度很高,不足以計算出真正的密鑰。所以,DH交換技術可以保證雙方能夠安全地獲得公有信息。
3. PFS
PFS(Perfect Forward Secrecy,完善的前向安全性)特性是一種安全特性,指一個密鑰被破解,並不影響其他密鑰的安全性,因為這些密鑰間沒有派生關系。對於IPsec,是通過在IKE階段2協商中增加一次密鑰交換來實現的。PFS特性是由DH演算法保障的。
IKE的交換過程
IKE使用了兩個階段為IPsec進行密鑰協商並建立SA:
第一階段,通信各方彼此間建立了一個已通過身份認證和安全保護的通道,即建立一個ISAKMP SA。第一階段有主模式(Main Mode)和野蠻模式(Aggressive Mode)兩種IKE交換方法。
第二階段,用在第一階段建立的安全隧道為IPsec協商安全服務,即為IPsec協商具體的SA,建立用於最終的IP數據安全傳輸的IPsec SA。
如圖2-1所示,第一階段主模式的IKE協商過程中包含三對消息:
l 第一對叫SA交換,是協商確認有關安全策略的過程;
l 第二對消息叫密鑰交換,交換Diffie-Hellman公共值和輔助數據(如:隨機數),密鑰材料在這個階段產生;
l 最後一對消息是ID信息和認證數據交換,進行身份認證和對整個第一階段交換內容的認證。
野蠻模式交換與主模式交換的主要差別在於,野蠻模式不提供身份保護,只交換3條消息。在對身份保護要求不高的場合,使用交換報文較少的野蠻模式可以提高協商的速度;在對身份保護要求較高的場合,則應該使用主模式。
IKE在IPsec中的作用
l 因為有了IKE,IPsec很多參數(如:密鑰)都可以自動建立,降低了手工配置的復雜度。
l IKE協議中的DH交換過程,每次的計算和產生的結果都是不相關的。每次SA的建立都運行DH交換過程,保證了每個SA所使用的密鑰互不相關。
l IPsec使用AH或ESP報文頭中的序列號實現防重放。此序列號是一個32比特的值,此數溢出後,為實現防重放,SA需要重新建立,這個過程需要IKE協議的配合。
l 對安全通信的各方身份的認證和管理,將影響到IPsec的部署。IPsec的大規模使用,必須有CA(Certificate Authority,認證中心)或其他集中管理身份數據的機構的參與。
l IKE提供端與端之間動態認證。
IPsec與IKE的關系
圖 5 IPsec與IKE的關系圖
從圖2-2中我們可以看出IKE和IPsec的關系:
l IKE是UDP之上的一個應用層協議,是IPsec的信令協議;
l IKE為IPsec協商建立SA,並把建立的參數及生成的密鑰交給IPsec;
l IPsec使用IKE建立的SA對IP報文加密或認證處理。
SSL VPN簡介
SSL VPN是以SSL協議為安全基礎的VPN遠程接入技術,移動辦公人員(在SSL VPN中被稱為遠程用戶)使用SSL VPN可以安全、方便的接入企業內網,訪問企業內網資源,提高工作效率。
SSL VPN技術優勢:
無客戶端的便捷部署
應用層接入的安全保護
企業延伸的效率提升
SSL協議從身份認證、機密性、完整性三個方面確保了數據通信的安全 。
SSL VPN實現私密性 完整性 不可否認 源認證
SSL VPN的特點:
採用B/S架構,遠程用戶無需安裝額外軟體,可直接使用瀏覽器訪問內網資源。
SSL VPN可根據遠程用戶訪問內網資源的不同,對其訪問許可權進行高細粒度控制。
提供了本地認證、伺服器認證、認證匿名和證書挑戰多種身份認證方式,提高身份認證的靈活性。
可以使用主機檢查策略。
緩存清理策略用於清理遠程用戶訪問內網過程中在終端上留下的訪問哼唧,加固用戶的信息安全。
PN類型詳解 PPTP VPN
PPTP:點對點隧道協議,一種支持多協議虛擬專用網路(VPN)的網路技術,工作在第二層數據鏈路層。以同樣工作在第二層的點對點傳輸協議(PPP)為基礎,PPTP將PPP幀封裝成IP數據包,以便於在互聯網上傳輸並可以通過密碼驗證協議(PAP),可擴展認證協議(EAP)增加安全性。遠程用戶能夠通過安裝有點對點協議的操作系統訪問公司網路資源。
PPTP VPN的實現需要:客戶機和伺服器之間必須有聯通並且可用的IP網路。
該VPN可在Windows、Linux環境下搭建,或者通過配置路由器來實現。
L2F:第二層轉發協議。 用於建立跨越公共網路的安全隧道來將ISP POP連接到企業內部網關。這個隧道建立了一個用戶與企業客戶網路間的虛擬點對點連接。 L2F允許高層協議的鏈路層隧道技術,使得把原始撥號伺服器的位置和撥號協議連接終止與提供的網路訪問位置分離成為可能。
L2TP VPN
L2TP:二層隧道協議,結合PPTP與L2F兩種二層隧道協議的優點,為眾多公司接受。 L2TP擴展了PPP模型,它使用PPP來封裝用戶數據,允許多協議通過隧道傳送,作為安全性增強,L2TP與IPSec(Internet協議安全性)結合——L2TP/IPsec, L2TP基於UDP協議,因此L2TP不保證數據消息的可靠投遞,若數據丟失,不予重傳。
L2TP 的實現:與PPTP不同, PPTP要求網路為IP網路,L2TP要求面向數據包的點對點連接。
該VPN可在Windows、Linux環境下搭建,或者通過配置防火牆、路由器來實現。
MPLS VPN
MPLS:多協議標簽交換(MPLS)是一種用於快速數據包交換和路由的體系,它為網路數據流量提供了目標、路由地址、轉發和交換等能力。更特殊的是,它具有管理各種不同形式通信流的機制。
它提供了一種方式,將IP地址映射為簡單的具有固定長度的標簽,用於不同的包轉發和包交換技術。
傳統的VPN是基於 PPTP L2TP等隧道協議來實現私有網路間數據流在公網上的傳送。而LSP本身就是公網上的隧道,所以用MPLS來實現VPN有天然的優勢。
基於MPLS的VPN就是通過LSP將私有網路的不同分支聯結起來,形成一個統一的網路。基於MPLS的VPN還支持對不同VPN間的互通控制。
MPLSVPN網路主要由CE、PE和P等3部分組成:
CE(Customer Edge):用戶網路邊緣設備,可以是路由器 交換機 主機。
PE(Provider Edge):是服務商邊緣路由器,位於骨幹網路。
P(Provider):是服務提供商網路中的骨幹路由器
SSL工作Socket層,IPsec工作在網路層.
SSL(安全套接層)是一個基於標準的加密協議,提供加密和身份識別服務。SSL廣泛應用於在互聯網上提供加密的通訊。SSL最普通的應用是在網路瀏覽器中通過HTTPS實現的。然而,SSL是一種透明的協議,對用戶基本上是不可見的,它可應用於任何基於TCP/IP的應用程序。
通用路由封裝協議GRE(Generic Routing Encapsulation) 提供了 將一種協議的報文封裝在另一種協議報文中 的機制,是一種 隧道封裝技術 。GRE可以 封裝組播數據 ,並可以 和IPSec結合使用 ,從而保證語音、視頻等組播業務的安全
IPSec 用於在兩個端點之間提供安全的IP通信,但只能加密並傳播單播數據,無法加密和傳輸語音、視頻、動態路由協議信息等組播數據流量
GRE屬於網路層協議 IP協議號為47
GRE的優點總結:
GRE實現機制簡單,對隧道兩端的設備負擔小
GRE隧道可以通過IPv4網路連通多種網路協議的本地網路,有效利用了原有的網路架構,降低成本
GRE隧道擴展了跳數受限網路協議的工作范圍,支持企業靈活設計網路拓撲
GRE隧道可以封裝組播數據,和IPSec結合使用時可以保證語音、視頻等組播業務的安全
GRE隧道支持使能MPLS LDP,使用GRE隧道承載MPLS LDP報文,建立LDP LSP,實現MPLS骨幹網的互通
GRE隧道將不連續的子網連接起來,用於組建實現企業總部和分支間安全的連接
GRE屬於網路層協議 IP協議號為47
GRE的優點總結:
GRE實現機制簡單,對隧道兩端的設備負擔小
GRE隧道可以通過IPv4網路連通多種網路協議的本地網路,有效利用了原有的網路架構,降低成本
GRE隧道擴展了跳數受限網路協議的工作范圍,支持企業靈活設計網路拓撲
GRE隧道可以封裝組播數據,和IPSec結合使用時可以保證語音、視頻等組播業務的安全
GRE隧道支持使能MPLS LDP,使用GRE隧道承載MPLS LDP報文,建立LDP LSP,實現MPLS骨幹網的互通
GRE隧道將不連續的子網連接起來,用於組建,實現企業總部和分支間安全的連接
隧道介面
GRE隧道是通過隧道兩端的 Tunnel介面 建立的,所以需要在隧道兩端的設備上分別配置 Tunnel介面 。對於GRE的Tunnel介面,需要指定其協議類型為GRE、源地址或源介面、目的地址和Tunnel介面IP地址
隧道介面(tunnel介面) 是為實現報文的封裝而提供的一種點對點類型的虛擬介面 與loopback介面類似 都是一種 邏輯接
GRE隧道介麵包含 源地址 、 目的地址 和 隧道介面IP地址 和 封裝類型
Tunnel的源地址:配置報文傳輸協議中的源地址。
當配置地址類型時,直接作為源地址使用
當配置類型為源介面時,取該介面的IP地址作為源地址使用
Tunnel的目的地址 :配置報文傳輸協議中的目的地址
Tunnel介面IP地址 :為了在Tunnel介面上啟用動態路由協議,或使用靜態路由協議發布Tunnel介面,需要為Tunnel介面分配IP地址。Tunnel介面的IP地址可以不是公網地址,甚至可以借用其他介面的IP地址以節約IP地址。但是當Tunnel介面借用IP地址後,該地址不能直接通過tunnel口互通,因此在借用IP地址情況下,必須配置靜態路由或路由協議先實現借用地址的互通性,才能實現Tunnel的互通。
L2TP基本概念:
L2TP(Layer 2 Tunneling Protocol) VPN是一種用於承載PPP報文的隧道技術,該技術主要應用在遠程辦公場景中為出差員工遠程訪問企業內網資源提供接入服務。
L2TP VPN的優點:
身份驗證機制,支持本地認證,支持Radius伺服器等認證方式
多協議傳輸,L2TP傳輸PPP數據包,PPP本身可以傳輸多協議,而不僅僅是IP可以在PPP數據包內封裝多種協議
計費認證地址分配
可在LAC和LNS兩處同時計費,即ISP處(用於產生賬單)及企業網關(用於付費及審計)。L2TP能夠提供數據傳輸的出入包數、位元組數以及連接的起始、結束時間等計費數據,可根據這些數據方便地進行網路計費
LNS可放置於企業網的USG之後,對遠端用戶地址進行動態分配和管理,可支持私有地址應用
不受NAT限制穿越,支持遠程接入,靈活的身份驗證及時以及高度的安全性,L2TP協議本身並不提供連接的安全性,但它可以依賴於PPP提供的認證(CHAP、PAP等),因此具有PP所具有的所有安全特性。
L2TP和PPTP區別:
L2TP:公有協議、UDP1701、支持隧道驗證,支持多個協議,多個隧道,壓縮位元組,支持三種模式
PPTP:私有協議、TCP1723、不支持隧道驗證,只支持IP、只支持點到點
PPTP:
點對點隧道協議(PPTP)是由包括Microsoft和3com等公司組成的PPTP論壇開發的,一種點對點隧道協議,基於拔號使用的PPP協議使用PAP或CHAP之類的加密演算法,或者使用Microsoft的點對點加密演算法MPPE。
L2TP:
第二層隧道協議(L2TP)是IETF基於L2F(Cisco的2層轉發協議)開發的PPTP後續版本,是一種工業標准Internet隧道協議。
兩者的主要區別主要有以下幾點:
PPTP只能在兩端間建立單一隧道,L2TP支持在兩端點間使用多隧道,這樣可以針對不同的用戶創建不同的服務質量
L2TP可以提供隧道驗證機制,而PPTP不能提供這樣的機制,但當L2TP或PPTP與IPSec共同使用時,可以由IPSec提供隧道驗證,不需要在第二層協議上提供隧道驗證機制
PPTP要求互聯網路為IP網路,而L2TP只要求隧道媒介提供面向數據包的點對點連接,L2TP可以在IP(使用UDP),FR,ATM,x.25網路上使用
L2TP可以提供包頭壓縮。當壓縮包頭時,系統開銷(voerhead)佔用4個位元組,而PPTP協議下要佔用6個位元組
4. 搭建Linux系統的VPS的步驟教程
Linux繼承了Unix以網路為核心的設計思想,是一個性能穩定的多用戶網路 操作系統 。有用戶想要在Linux上搭建vps這篇 文章 主要介紹了實例講解搭建Linux系統的VPS的步驟,包括防火牆和SSH等基本軟體的部署 方法 ,非常細致,需要的朋友可以參考下
前期准備
需要購買一台擁有 root 許可權的 VPS ,我選擇的是 搬瓦工 ,當時購買的是 512 M 內存 5 G SSD,500 G 流量/月, 9.99 刀每年,但是好像現在這種低價套餐已經結束了。有意的朋友可以看一下其他的套餐或者別的公司的 VPS。有的朋友說 DigitalOcean 的速度非常快,看YouTube直接 1440p,但是我還沒測試過,目前搬瓦工的速度能滿足我的需求,而且 DO 的價格比較昂貴。
伺服器購買後,安裝 CentOS7,因為以下教程都是基於 CentOS7 的,安裝新的 OS 後,搬瓦工會告訴你 SSH 的埠和 root 的密碼,這些是自己無法自定義的,要記住了如果實在忘了也可以重置 root 密碼,或者直接使用搬瓦工提供的在線SSH登錄來操作也可,就是反應比較慢,所以我們以後還是常用 ssh 登錄來配置 VPS ,Mac 下直接使用終端就好,win 下自行尋找一個 ssh 工具就好。
登錄 ssh 的命令:
復制代碼代碼如下:
$ ssh -p vps 端 口號 root@vpsIP 地址
登錄上以後就相當於在本地操作一樣了,你可以使用各種 Linux 命令來操作了。
配置防火牆
如果 SSH 無法登錄,那說明防火牆關閉了 SSH 埠,需要通過在線 SSH 登錄進去關閉防火牆重新配置。
清除防火牆配置
復制代碼代碼如下:
$ iptables -F
清除 iptabels 所有表項,同時 nat 設置也沒了,但是我們後續的腳本里會配置的,不用擔心。如果 SSH 登錄正常就不用管防火牆。
安裝 firewalld
復制代碼代碼如下:
$ yum install firewalld firewall-config
$ systemctl start firewalld
P.S. 我在安裝完 firewalld 之後然後啟動服務的時候一直顯示失敗,然後重啟了一遍伺服器就可以正常的啟動 firewalld 服務了,有類似情況的朋友可以重啟一下伺服器。
修改 SSH 埠
復制代碼代碼如下:
$ vi /usr/lib/firewalld/services/ssh.xml
會出現以下的內容:
復制代碼代碼如下:
SSH
Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.
將 port=」22」,修改成搬瓦工提供給你的埠號,然後重載 firewalld 就 OK。
vi 的命令: 按 「i」 是編輯模式,編輯後按 「esc」 退出編輯模式,然後按 Shift 輸入「:」 和 「wq」 保存退出 vi。
復制代碼代碼如下:
$ firewall-cmd --permanent --add-service=ssh
$ firewall-cmd --reload
OK,現在准備工作都已就緒,安裝了源,安裝配置了防火牆,下一步開始搭建服務了。
搭建 Shadowsocks 服務
這個服務是最簡單也是最常用的。
安裝組件
復制代碼代碼如下:
$ yum install m2crypto python-setuptools
$ easy_install pip
$ pip install shadowsocks
安裝時部分組件需要輸入 Y 確認。小內存 VPS 可以分別安裝組件。
安裝完成後配置伺服器參數
復制代碼代碼如下:
$ vi /etc/shadowsocks.json
寫入如下配置:
復制代碼代碼如下:
{
"server":"0.0.0.0",
"server_port":8388,
"local_address": "127.0.0.1",
"local_port":1080,
"password":"mypassword",
"timeout":300,
"method":"aes-256-cfb",
"fast_open": false,
"workers": 1
}
將上面的 mypassword 替換成你的密碼, server_port 也是可以修改的,例如 443 是 Shadowsocks 客戶端默認的埠號。
如果需要修改埠,需要在防火牆里打開響應的埠,用 firewalld 操作就比較簡單了:
復制代碼代碼如下:
$ vi /usr/lib/firewalld/services/ss.xml
下面代碼粘貼到裡面:
復制代碼代碼如下:
SS
Shadowsocks port
保存退出,然後重啟 firewalld 服務:
復制代碼代碼如下:
$ firewall-cmd --permanent --add-service=ss
$ firewall-cmd --reload
運行命令,啟動 Shadowsocks 服務
運行下面的命令:
復制代碼代碼如下:
$ ssserver -c /etc/shadowsocks.json
至此 shadowsocks 搭建完成,shadowsocks 已經可以使用,如果你沒有過高的要求,下面的步驟可以省略,下面是後台運行 Shadowsocks 的步驟。
安裝 supervisor 實現後台運行
運行以下命令下載 supervisor:
復制代碼代碼如下:
$ yum install python-setuptools
$ easy_install supervisor
然後創建配置文件:
復制代碼代碼如下:
$ echo_supervisord_conf > /etc/supervisord.conf
修改配置文件:
復制代碼代碼如下:
$ vi /etc/supervisord.conf
在文件末尾添加:
復制代碼代碼如下:
[program:ssserver]command = ssserver -c /etc/shadowsocks.json
autostart=true
autorestart=true
startsecs=3
設置 supervisord 開機啟動,編輯啟動文件:
復制代碼代碼如下:
$ vi /etc/rc.local
在末尾另起一行添加:
復制代碼代碼如下:
$ supervisord
保存退出(和上文類似)。另 centOS7 還需要為 rc.local 添加執行許可權:
復制代碼代碼如下:
$ chmod +x /etc/rc.local
至此運用 supervisord 控制 Shadowsocks 開機自啟和後台運行設置完成。重啟伺服器即可。
搭建 Strongswan 實現在 iOS 上連接 VPN
補充:Linux基本命令
1.ls命令:
格式::ls [選項] [目錄或文件]
功能:對於目錄,列出該目錄下的所有子目錄與文件;對於文件,列出文件名以及其他信息。
常用選項:
-a :列出目錄下的所有文件,包括以 . 開頭的隱含文件。
-d :將目錄像文件一樣顯示,而不是顯示其他文件。
-i :輸出文件的i節點的索引信息。
-k :以k位元組的形式表示文件的大小。
-l :列出文件的詳細信息。
-n :用數字的UID,GID代替名稱。
-F : 在每個文件名後面附上一個字元以說明該文件的類型,「*」表示可執行的普通文 件;「/」表示目錄;「@」表示符號鏈接;「l」表示FIFOS;「=」表示套接字。
2.cd命令
格式:cd [目錄名稱]
常用選項:
cd .. 返回上一級目錄。
cd ../.. 將當前目錄向上移動兩級。
cd - 返回最近訪問目錄。
3.pwd命令
格式: pwd
功能:顯示出當前工作目錄的絕對路徑。
相關閱讀:Linux主要特性
完全兼容POSIX1.0標准
這使得可以在Linux下通過相應的模擬器運行常見的DOS、Windows的程序。這為用戶從Windows轉到Linux奠定了基礎。許多用戶在考慮使用Linux時,就想到以前在Windows下常見的程序是否能正常運行,這一點就消除了他們的疑慮。
多用戶、多任務
Linux支持多用戶,各個用戶對於自己的文件設備有自己特殊的權利,保證了各用戶之間互不影響。多任務則是現在電腦最主要的一個特點,Linux可以使多個程序同時並獨立地運行。
良好的界面
Linux同時具有字元界面和圖形界面。在字元界面用戶可以通過鍵盤輸入相應的指令來進行操作。它同時也提供了類似Windows圖形界面的X-Window系統,用戶可以使用滑鼠對其進行操作。在X-Window環境中就和在Windows中相似,可以說是一個Linux版的Windows。
支持多種平台
Linux可以運行在多種硬體平台上,如具有x86、680x0、SPARC、Alpha等處理器的平台。此外Linux還是一種嵌入式操作系統,可以運行在掌上電腦、機頂盒或游戲機上。2001年1月份發布的Linux 2.4版內核已經能夠完全支持Intel 64位晶元架構。同時Linux也支持多處理器技術。多個處理器同時工作,使系統性能大大提高。
搭建Linux系統的VPS的步驟相關文章:
1. Linux VPS中使用Crontab實現定時重啟任務
2. Linux系統怎麼用命令釋放內存
3. Linux伺服器上的PPTP 搭建方法有哪些
4. VPS怎麼設置安全配置
5. Linux查看操作系統安裝時間的方法總結