配置“GW1 <----> PC1”隧道连接

本小节主要描述如何创建第 2 条 SSL ××× 隧道,用于在 GW1、PC1 之间建立点到点的安全连接,以便 Windows XP 客户端能够从 Internet 中安全的接入总部的 ××× 网络,进一步访问两地的局域网络。

第一步、配置主服务器(GW1)——北京

1. 创建 PC1 用户端密钥

在 GW1 服务器上为 PC1 网管机建立单独的密钥文件,注意 Common Name 不要和其他密钥重复。生成的密钥文件必需放置到/etc/open***/keys/目录中(可以直接调整 KEY_DIR 变量)。

[root@gw1 ~]# cd /soft_dir/open***-2.0.9/easy-rsa/

[root@gw1 easy-rsa]# source vars

NOTE: when you run ./clean-all, I will be doing a rm -rf on /soft_dir/open***-2.0.9/easy-rsa/keys

[root@gw1 easy-rsa]# export KEY_DIR=/etc/open***/keys/

[root@gw1 easy-rsa]# ./build-key client-pc1

Generating a 1024 bit RSA private key

.........++++++

...............++++++

writing new private key to 'client-pc1.key'

-----

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [CN]:

State or Province Name (full name) [BeiJing]:

Locality Name (eg, city) [BISHKEK]:

Organization Name (eg, company) [BENET.Inc]:

Organizational Unit Name (eg, section) []:

Common Name (eg, your name or your server's hostname) []:client-pc1.benet.com

Email Address [***adm@benet.com]:

Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []:

An optional company name []:

Using configuration from /soft_dir/open***-2.0.9/easy-rsa/openssl.cnf

Check that the request matches the signature

Signature ok

The Subject's Distinguished Name is as follows

countryName :PRINTABLE:'CN'

stateOrProvinceName :PRINTABLE:'BeiJing'

localityName :PRINTABLE:'BISHKEK'

organizationName :PRINTABLE:'BENET.Inc'

commonName :PRINTABLE:'client-pc1.benet.com'

emailAddress :IA5STRING:'***adm@benet.com'

Certificate is to be certified until Jul 12 06:10:23 2020 GMT (3650 days)

Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y

Write out database with 1 new entries

Data Base Updated

2. 创建第 2 个服务配置文件

该配置文件用于建立“GW1 <----> PC1”隧道连接,将使用 tun1 设备、监听 UDP 1195 端口。

[root@gw1 ~]# vim /etc/open***/gw1_tun1.conf

local 173.74.75.76

port 1195 //为第 2 条隧道开启新的 1195 端口监听服务

proto udp

dev tun

ca keys/ca.crt

cert keys/gw1.crt

key keys/gw1.key

dh keys/dh1024.pem

server 10.9.0.0 255.255.255.0 //设置第 2 条隧道的虚拟网络地址

ifconfig-pool-persist ipp.txt

push "route 192.168.1.0 255.255.255.0" //为 PC1 添加到 LAN1 的路由

push "route 192.168.2.0 255.255.255.0" //为 PC1 添加到 LAN2 的路由

push "route 10.8.0.0 255.255.255.0" //为 PC1 添加到 GW2 的路由

push "dhcp-options DNS 202.106.0.20"

client-to-client

client-config-dir ccd

keepalive 10 120

tls-auth keys/ta.key 0

cipher BF-CBC

comp-lzo

max-clients 10

user nobody

group nobody

persist-key

persist-tun

status open***-status-2.log //启用新的日志文件

log-append open***-2.log

verb 3

mute 20

3. 建立用于 PC1 的 ccd 配置文件

[root@gw1 ~]# vim /etc/open***/ccd/client-pc1.benet.com

ifconfig-push 10.9.0.2 10.9.0.1

4. 重新启动 Open××× 服务

重启 open*** 服务后应在 1194、1195 端口分别监听服务。

[root@gw1 ~]# service open*** restart

正在关闭open***: [确定]

正在启动 open***: [确定]

[root@gw1 ~]# netstat -anp | grep open***

udp 0 0 173.74.75.76:1194 0.0.0.0:* 11793/open***

udp 0 0 173.74.75.76:1195 0.0.0.0:* 11810/open***

第二步、配置 Windows XP 客户机(PC1)——上海

1. 配置 IP 地址及 Internet 连接(略)

2. 安装 Open×××-GUI 客户端工具

双击下载的 open***-2.0.9-gui-1.0.3-install.exe文件,按照向 导提示安装 即可。若只 作 为Open×××客户端使用,安装时可以不勾选定制组件列表中的“Open××× Service”(如图所示)。

clip_p_w_picpath001

clip_p_w_picpath002

3. 下载证书和密钥文件

下载在GW1主服务器端创建的ca.crt、ta.key、client-pc1.key、client-pc1.crt 文件。

将下载的密钥等相关文件复制到Open×××配置文件目录下(默认为C:\ProgramFiles\Open×××\config\)。注意保留好备份。

clip_p_w_picpath004

clip_p_w_picpath006

4. 创建 PC1 用户端配置文件

使用 Windwos XP 系统自带的记事本工具创建客户端配置文件 client-pc1.o***,文件内容可以参考范例(C:\Program Files\Open×××\sample-config\client.o***)。

Microsoft Windows [版本 5.2.3790]

(C) 版权所有 1985-2003 Microsoft Corp.

C:\Documents and Settings\Administrator&gt; notepad client-pc1.o***

client

dev tun

proto udp

remote 173.74.75.76 1195

resolv-retry infinite

nobind

persist-key

persist-tun

ca ca.crt

cert client-pc1.crt

key client-pc1.key

ns-cert-type server

tls-auth ta.key 1

cipher BF-CBC

comp-lzo

verb 3

mute 20

将建好的配置文件保存到C:\Program Files\Open×××\config\文件夹下(如图所示)。

clip_p_w_picpath008

client-pc1.o*** 文件存放位置

5. 建立 Open××× 连接

方法一:在 Windows XP 任务栏右侧(系统托盘区)的 Open×××-GUI 图标上点击右键,

选择“Connect”,即可使用创建好的配置文件建立 ××× 连接

方法二:在创建好的 client-pc1.o*** 文件上点击右键,选择“Start Open××× on this config

file”即可。——用此方法可以查看建立连接的过程信息,适合用于调试/排错。

第三步、验证 SSL ××× 连接

1. GW1 服务器的 ××× 接口状态

GW1 主服务器将会新增接口 tun1,IP 地址为 10.9.0.1,点对点对端地址为 10.9.0.2

[root@gw1 ~]# ifconfig tun1

tun1 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00

inet addr:10.9.0.1 P-t-P:10.9.0.2 Mask:255.255.255.255

UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1

RX packets:0 errors:0 dropped:0 overruns:0 frame:0

TX packets:17 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:100

RX bytes:0 (0.0 b) TX bytes:840 (840.0 b)

2. Windows XP 客户机 PC1 的 ××× 接口状态

使用 Open×××-GUI 连接成功以后,系统将会增加一个“TAP-Win32 Adapter V8”的本地连接,用户可以通过“开始 ---&gt; 设置 ---&gt; 网络连接”进行查看。

clip_p_w_picpath010

clip_p_w_picpath012

客户机 PC1 的 ××× 接口地址

3. 测试 PC1 与 GW1、GW2 之间的连接

1) 连接GW1(如图所示)

clip_p_w_picpath014

PC1 到 GW1 的 ping 测试

2) 连接GW2,使用ping测试(如图所示)

clip_p_w_picpath016

PC1 到 GW2 的 ping 测试

4. 测试 PC1 与 LAN1 中主机之间的连接

连接LAN1 中的主机,使用ping测试(如图1示)、tracert路由追踪(如图2示)。

clip_p_w_picpath018

图1 PC1 到 LAN1 中主机的 ping 测试

clip_p_w_picpath020

图2 PC1 到 LAN1 中主机的 tracert 路由追踪

5. 测试 PC1 与 LAN2 中主机之间的连接

连接LAN2 中的主机,使用ping测试(如图 8.10所示)、tracert路由追踪(如图所示)。

clip_p_w_picpath022

PC1 到 LAN2 中主机的 ping 测试

clip_p_w_picpath024

PC1 到 LAN2 中主机的 tracert 路由追踪

 

附:详细的PDF完整技术文档下载:http://down.51cto.com/data/102973