在構(gòu)建VPN時(shí)，我們經(jīng)常會(huì)遇到這樣的困惑：配置簡(jiǎn)單的VPN往往不太安全（如PPTP）；配置安全的VPN往往過(guò)于復(fù)雜(如IPSec)，而且基于IPSec的VPN無(wú)法很好地解決NAT的穿透問題。但是用OpenVPN就能構(gòu)建既安全又高效的VPN，從而解決以上問題。
　　OpenVPN是一套全功能的SSL VPN解決方案，它包含多種配置應(yīng)用，包括遠(yuǎn)程訪問、站對(duì)站虛擬私網(wǎng)、WiFi安全，以及負(fù)載均衡、容錯(cuò)性好的企業(yè)級(jí)遠(yuǎn)程訪問方案。它具有跨平臺(tái)的可移植性、良好的穩(wěn)定性、成千上萬(wàn)個(gè)客戶端支持的可伸展性、支持動(dòng)態(tài)IP地址及NAT等主要特征。
　　本文介紹一個(gè)應(yīng)用開放源碼軟件OpenVPN構(gòu)建基于SSL/TLS的校園VPN案例?？蛻舳藢⑼ㄟ^(guò)校園服務(wù)端的防火墻，穿透NAT，建立基于TLS認(rèn)證方式的VPN。該案例在我校的校園網(wǎng)中應(yīng)用，穩(wěn)定性很好。
　　
　　一、軟件環(huán)境
　　
　　VPN服務(wù)端采用Windows2003 Server +OpenVPN for Windows 2000/XP and higher。客戶端采用WindowsXP-SP2 +OpenVPN for Windows 2000/XP and higher。
　　
　　二、網(wǎng)絡(luò)環(huán)境
　　
　　VPN Server→Firewall→Internet→ADSL→Client，即服務(wù)端的VPN服務(wù)器通過(guò)一臺(tái)防火墻連接到因特網(wǎng)，客戶端多采用ADSL方式上網(wǎng)。
　　服務(wù)端主要網(wǎng)絡(luò)設(shè)備IP分配情況：防火墻的對(duì)外網(wǎng)卡(eth0)IP為61.1.1.1（公網(wǎng)地址），對(duì)內(nèi)的網(wǎng)卡(eth1)IP為192.168.10.1/24。VPN服務(wù)器上有一塊物理網(wǎng)卡，IP為192.168.10.2/24。
　　
　　三、安裝OpenVPN for Windows 2000/XP and higher
　　
　　OpenVPN for Windows 2000/XP and higher 安裝包下載地址是http://openvpn.net/download.html。服務(wù)端和客戶端安裝使用相同的軟件包。
　　在服務(wù)端按默認(rèn)方式安裝OpenVPN，安裝系統(tǒng)會(huì)自動(dòng)創(chuàng)建一個(gè)名為TAP-Win32 Adapter V8的虛擬網(wǎng)絡(luò)設(shè)備，安裝完成后可以在C:\\Program Files\\OpenVPN看到以下幾個(gè)目錄：bin (放置OpenVPN的主程序)、config(放置配置文件)、driver(放置設(shè)備驅(qū)動(dòng)文件)、easy-rsa(放置快速生成密鑰的批處理文件)、log (放置Server的日志文件)、sample-config(放置配置文件模板)。
　　
　　四、配置VPN Server
　　
　　在命令提示符下進(jìn)入C:\\Program Files\\OpenVPN\\easy-rsa目錄，以下操作如沒有特別說(shuō)明均在此目錄中進(jìn)行。
　　
　　(一)進(jìn)行初始化
　　1.運(yùn)行init-config.bat。
　　2.修改vars文件，為了縮小篇幅，只保留了實(shí)際修改部分。
　　set KEY_COUNTRY= CN #定義你所在的國(guó)家，2個(gè)字符
　　set KEY_PROVINCE=JX #定義你所在的省份
　　set KEY_CITY=DAYU #定義你所在的城市
　　set KEY_ORG=DYZX #定義你所在的組織
　　set KEY_EMAIL=jxlibin@163.com #定義你的郵件地址
　　
　　(二) 生成CA和Cert/Key
　　1.創(chuàng)建CA的公鑰和私鑰
　　(1）運(yùn)行vars，使上述修改的變量生效。
　　(2）運(yùn)行clean-all，初始化Keys目錄，創(chuàng)建Keys目錄和所需要的文件。
　　(3）運(yùn)行build-ca，生成Root CA證書，用于簽發(fā)Server和Client證書。
　　完成以上步驟后系統(tǒng)會(huì)在keys目錄中創(chuàng)建ca.crt、ca.key、index.txt、serial四個(gè)文件。
　　2.建立Diffie Hellman文件
　　執(zhí)行build-dh，生成TLS server需要使用的文件dh1024.pem。
　　3.創(chuàng)建Server端的cert和key文件
　　執(zhí)行build-key-server server，server為創(chuàng)建后的文件名，分別為server.crt、server.key。
　　4.創(chuàng)建Client端的cert和key文件
　　執(zhí)行build-key client，為其他Client頒發(fā)證書，簽發(fā)新證書直接使用build-key命令。
　　以上生成的密鑰文件均放在Keys目錄中。將ca.crt、server.crt、server.key、dh1024.pem四個(gè)文件從Keys目錄拷貝到Server的C:\\Program Files\\OpenVPN \\config目錄中。
　　
　　(三)寫Server端配置文件server.ovpn
　　詳細(xì)配置請(qǐng)查看文件C:\\Program Files\\OpenVPN \\ sample-config\\ server.ovpn，以下為本案例server.ovpn文件關(guān)鍵配置項(xiàng)。
　　port 5000 #申明使用的端口
　　proto udp #申明使用的協(xié)議，默認(rèn)使用UDP。
　　dev tap#申明使用的設(shè)備，可選tap或tun。tap是第二層設(shè)備，支持鏈路層協(xié)議；tun是Ip層的點(diǎn)對(duì)點(diǎn)協(xié)議。
　　ca ca.crt #申明使用的ROOT CA
　　cert server.crt #申明Server使用的證書文件
　　key server.key #申明Server使用的證書對(duì)應(yīng)的key
　　dh dh1024.pem #申明使用的Diffie-Hellman文件
　　server 192.168.0.0 255.255.255.0 #設(shè)置server模式，192.168.0.1自動(dòng)分配給VPN Server，VPN客戶可動(dòng)態(tài)獲取其他地址。
　　push "route 192.168.10.0 255.255.255.0"#通過(guò)VPN Server往Client push路由
　　把配置的電子文件Server.ovpn保存到C:\\Program Files\\OpenVPN\\config 目錄中。
　　
　　五、配置VPN Client
　　
　　在客戶端同樣按默認(rèn)方式安裝OpenVPN，把在VPN服務(wù)器中生成的ca.crt、client.crt、client.key三個(gè)文件一并拷貝到客戶機(jī)的C:\\Program Files\\OpenVPN\\config 目錄中。
　　寫客戶端配置文件client.ovpn，以下是本案例client.ovpn文件關(guān)鍵配置項(xiàng)。
　　client#申明是一個(gè)client
　　dev tap #申明使用的設(shè)備
　　proto udp #申明使用的協(xié)議
　　remote 61.1.1.1 5000 #設(shè)置遠(yuǎn)程Server的IP地址和端口
　　ca ca.crt #申明使用的ROOT CA
　　cert client.crt#申明Client使用的證書文件
　　key client.key #申明Client使用的證書對(duì)應(yīng)的key
　　把配置文件client.ovpn保存到C:\\Program Files\\OpenVPN\\config 目錄中。
　　
　　六、設(shè)置Firewall和NAT
　　
　　1.在服務(wù)端防火墻上開啟外網(wǎng)IP（61.1.1.1）的 UDP 端口5000。
　　2.把防火墻外網(wǎng)IP（61.1.1.1）、UDP端口5000映射到VPN服務(wù)器IP（192.168.10.2）、UDP端口5000。
　　
　　七、調(diào)試網(wǎng)絡(luò)
　　
　　為了提高調(diào)試的效率，可以先在服務(wù)端進(jìn)行本地調(diào)試，待本地調(diào)試成功后再到遠(yuǎn)程客戶端進(jìn)行遠(yuǎn)程調(diào)試。注意：?jiǎn)?dòng)OpenVPN 服務(wù)之前要先啟動(dòng)VPN服務(wù)器的LAN路由服務(wù)。
　　調(diào)試步驟：
　　1.啟動(dòng)服務(wù)端OpenVPN ：右擊Server.ovpn，選擇菜單 Start OpenVPN on this config file。
　　2.啟動(dòng)客戶端OpenVPN ：右擊Client.ovpn，選擇菜單Start OpenVPN on this config file。
　　3.啟動(dòng)OpenVPN時(shí)注意觀察屏幕的提示信息，如果在配置文件中開啟了Log選項(xiàng)可以查看Log文件記錄。在啟動(dòng)過(guò)程中如果屏幕出現(xiàn)錯(cuò)誤提示，請(qǐng)根據(jù)出錯(cuò)提示排錯(cuò)。
　　4.如果服務(wù)端和客戶端均啟動(dòng)正常，在客戶端中可以Ping通192.168.0.1和192.168.10.2 兩個(gè)地址。如果前一個(gè)地址Ping不通，說(shuō)明VPN隧道沒有建立，請(qǐng)仔細(xì)對(duì)照本文，逐一對(duì)照排查故障。如果后一個(gè)地址Ping不通，則是客戶端的路由問題，請(qǐng)檢查Server.ovpn配置項(xiàng)push "route 192.168.10.0 255.255.255.0"是否開啟。
　　
　　八、設(shè)置自動(dòng)啟動(dòng)OpenVPN服務(wù)
　　
　　在VPN調(diào)試成功后，為了省去手工運(yùn)行OpenVPN的麻煩，可以在VPN服務(wù)端和VPN客戶端設(shè)置自動(dòng)啟動(dòng)OpenVPN Service。設(shè)置方法是依次打開Windows 2003和XP的管理工具→服務(wù)→OpenVPN Service服務(wù)屬性，在“啟動(dòng)類型”欄選擇“自動(dòng)”，確定后退出。以后系統(tǒng)每次啟動(dòng)時(shí)將自動(dòng)調(diào)用配置文件啟動(dòng)OpenVPN服務(wù)。
　　至此，基于點(diǎn)對(duì)多點(diǎn)的OpenVPN配置及調(diào)試完成。OpenVPN也可以實(shí)現(xiàn)基于點(diǎn)對(duì)點(diǎn)的VPN，如應(yīng)用在教育城域網(wǎng)中，有條件的讀者可以自己試一試。
　　
　?。ㄗ髡邌挝唬航鞔笥嘀袑W(xué)）