我可以将多个 openvpn 客户端连接到单个 openvpn 服务器吗?以下设置适用于单个用户
这是服务器配置(openvpn.conf)
port 1194
proto udp
dev tun
secret openvpn-key.txt
ifconfig 192.168.2.1 192.168.2.2
keepalive 10 120
comp-lzo
persist-key
persist-tun
status server-tcp.log
verb 3
这是客户端配置
dev tun
proto udp
remote HOSTNAME_IS_HERE 1194
resolv-retry infinite
nobind
secret openvpn-key.txt
ifconfig 192.168.2.2 192.168.2.1
comp-lzo
verb 3
dhcp-option DNS 172.16.0.23
redirect-gateway def1
等/系统配置
*nat
:POSTROUTING ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -s 192.168.2.0/24 -d 0.0.0.0/0 -o eth0 -j MASQUERADE
COMMIT
一切正常,直到第二个用户尝试使用相同的 VPN 密钥等进行连接。如何允许多个用户?
多年来,我使用了一些 VPN 解决方案。大多数都难以设置、连接缓慢和/或行为不端(更换系统驱动程序、相互干扰等)。
我以前从未使用过的一种解决方案是内置于 Windows 中的一种。这主要是因为基础设施人员总是拒绝使用它,因为他们声称它“不安全”。
现在我终于有机会使用它(在 Windows 7 上),哇,轻而易举!易于设置,表现良好,几乎可以立即连接,自动使用我的登录凭据进行身份验证,并与 UI 完美集成。我不得不说,除非它真的不安全,否则如果我再也不必使用其他 VPN 产品,我会很高兴。
我收集了过去依赖 PPTP 的 Windows VPN,这被认为是不安全的。但在 Windows 7/2008 中,它支持 L2TP/IPSec、SSTP 和 IKEv2,并使用 EAP 或 CHAP/CHAPv2 进行身份验证。这对我来说似乎是最新的。
但我只是一个卑微的开发人员。知情人士可以告诉我这件事的内幕吗?
我有一个我一直在修补的 Ubuntu Lucid Lynx VM。我想建立一个 VPN,我很高兴学习如何自己做,但大量的选择让我头晕目眩,所以我只是在寻找指针。
我想为我的设置考虑的因素
所以我的问题是:
16 个 IPSec VPN 隧道
8 个 L2TP VPN 隧道(拨入:4,拨出:4)
8 个 PPTP VPN 隧道(拨入:4,拨出:4)
我们在公共数据中心租用了许多主机。数据中心不提供私有 VLAN;所有主机都会收到一个(或多个)公共 IPv4/IPv6 地址。主机配备非常现代的 CPU(Haswell 四核,3.4GHz)并具有 Gbit 上行链路。数据中心的不同区域(房间?楼层?建筑物?)与 - 据我所知 - Gbit 或 500Mbit 链路互连。我们的主机正在运行 debian wheezy。目前,我们运行的主机略高于 10 台,预计在不久的将来还会增长。
我正在寻找一种方法来让所有主机安全且保密地相互通信。第 3 层很好,第 2 层还可以(但不是必需的)。由于我无法访问 VLAN,因此它必须是某种类型的 VPN。
对我来说重要的是:
我们目前正在使用tinc。它滴答作响 [2] 和 [4],但我只达到了 960Mbit/s 线速的大约 600Mbit/s(单工),并且我完全失去了一个核心。此外,tinc 1.1 - 目前正在开发中 - 还不是多线程的,所以我坚持单核性能。
传统的 IPSec 是不可能的,因为它需要一个中心元素,或要配置的 sh*tload 隧道(以实现 [2])。带有机会性加密的 IPsec 将是一个解决方案,但我不确定它是否曾经将其转化为稳定的生产代码。
我今天偶然发现了tcpcrypt。除了缺少身份验证,它看起来像我想要的。用户空间的实现听起来很慢,但所有其他 VPN 也是如此。他们谈到内核实现。我还没有尝试过,我对它的行为很感兴趣 [1] 和 [3]。
还有哪些其他选择?不在AWS 上的人们在做什么?
附加信息
我对 GCM 感兴趣,希望它能减少 CPU 占用空间。请参阅 …
我必须在 Linux 服务器上设置防火墙(我以前的所有经验都是使用 Windows)。我的规则很简单 - 禁止所有,允许所有端口,允许特定 IP 子网的一些端口,而网络虽小但复杂(每个主机在至少 2 192.168 ... 网络中有 IP,每个人都可以互连许多不同的方式)。我认为使用 iptables 包装器会使系统在逻辑上过于复杂,从而引入许多不必要的实体,最好保持简单并直接使用 iptables。
你能推荐一个关于如何编写 iptables 规则的快速介绍吗?
我们真的不能让任何可能需要通过 VPN 连接访问的机器进入睡眠状态吗?
(我问这个是关于服务器故障的,因为它与 VPN 服务器有关,而不是关于最终用户 PC 的睡眠)
我刚刚使用strongswan(4.5)建立了一个站点到站点的VPN隧道。隧道看起来不错并且连接到另一侧,但似乎路由流量通过隧道存在问题。
任何的想法?
谢谢!
+----------------------------------+
|Dedicated server: starfleet | +-----------------+
| | | CISCO ASA |
| +-------------------------| internet | |
| |eth0: XX.XX.XX.195/29 +-------------------| YY.YYY.YYY.155 |
| +-------------------------| +------+----------+
| |virbr1: 192.168.100.1/24 | |
| +----+--------------------| |
| | | |
| | | +-----------------+
| | | |network |
| +-------+ | | |
| | | |172.30.20.0/27 |
| | | +-----------------+
| +------------------------------+ |
| | kvm server: enterprise | |
| | | |
| …我有我的个人 VPN,连接多个设备,以便它们可以在始终可访问的网络上拥有固定的 IP 地址(只要它们连接到 Internet)。这对我来说是必要的,因为我的设备可能在移动中,在不同的和不可预测的网络上(4G 网络手机,大学里的笔记本电脑,家里的家庭服务器),而且我有一个需要连接到它们的备份服务器(有时,我也必须)。
我也在考虑安装类似 syncthing 的东西,这也可能受益于更低的延迟和更紧密的节点。
另外,我很懒,我喜欢从我的智能手机播放/暂停在我的家庭服务器上播放的音乐,这可能不在同一个网络上(应该,但并非总是如此)。
这意味着我有一个 OpenVPN 服务器,并且openvpn客户端在每台设备上运行。它们都连接到服务器,任何两个节点的任何流量都必须经过服务器,服务器相对较远,吞吐量非常有限。这意味着延迟和缓慢。当我按下“暂停”按钮时,实际暂停音乐最多可能需要 10 秒钟。即使两个节点实际上都在同一个 LAN 上(因为它们通过 VPN 进行通信)。嗯。
理想情况下,应该存在某种创建 VPN 的方法,能够找到节点之间的最短路径,并尝试直接连接它们。类似于 Skype 与超级节点合作的方式?
虽然服务器离这里很远,但其中一个节点有一个公共 IP 地址,其他节点可以访问。它可以充当它们的服务器——即使它不是服务器本身,尽管对于某些节点来说它是更好的选择。
我想我可以做一些类似于同时运行客户端和服务器的事情,并在该节点上桥接它们,但这看起来并不优雅。它是骇人听闻的,它使 PKI 复杂化,它拆分了 VPN。我不喜欢。
虽然我可以使用像 PPTP 这样的简单 VPN,它确实不能确保通信安全,但我决定不想费心配置 Bacula 来加密节点之间的连接,这意味着 VPN 内部的流量是简单的。VPN 封装是唯一的安全性,因此它应该不会很弱。但是,任何解决“网状”式 VPN 没有保密性的东西都已经是一个好的开始——我会确保流量开始通过 SSL/TLS。
这看起来像是其他人可能遇到的问题,并且现在已经解决了。有这样的吗?
我也有可能以错误的方式看待这个问题,但到目前为止,它看起来是确保我始终可以远程连接到我的任何设备的最佳方法,无论我在哪里,或者它们在哪里。
我在开发机器上使用 Hyper-V 有多种原因,我最大的烦恼之一是我无法在虚拟机中进行剪切和粘贴。
我已经经历了所有的选择,但找不到任何似乎允许这样做的东西。有没有人有什么好的解决方案?
我考虑过通过 RDP 连接到 VM 而不是使用 VPN Client,但是我的一个 VM 主要用于通过 VPN 连接到另一个网络,当我尝试 RDP 到那台机器然后连接到 VPN(使用 Cisco AnyConnect),我收到一条错误消息,说我无法通过 RDP 会话连接到 VPN)。