我想设置一个与 Hamachi 网络拓扑类似的 VPN:每台计算机都以“网格”的形式连接到另一台计算机,但它们之间的通信仍然是安全的。OpenVPN 可以做到这一点吗?
或者,如果这不可能的话,是否可以配置 VPN,使得客户端不需要信任服务器(我称之为“偏执”)?
答案1
可以使用 OpenVPN 的客户端到客户端选项,但所有客户端隧道都在服务器上终止。
定义信任?您可以使用“duplicate-cn”选项创建一个通用的 conf 文件。这样,拥有该文件的客户端就会受到服务器的信任/允许其连接。
答案2
OpenVPN 连接要求一端是客户端,另一端是服务器。
因此,您需要手动构建网格,确保每个节点都有服务器配置和客户端配置。每个节点都需要运行两个 OpenVPN 实例,一个用于客户端,一个用于服务器。
irouteOpenVPN 支持在其创建的虚拟接口后面通告可用的路由。因此,您可以让 OpenVPN 节点将不发往该节点的流量转发到另一个节点。同样,您需要使用配置文件中的语句手动设置此功能。
在每个配置文件中,您可以指定多个服务器供客户端尝试连接。因此,您可以为每个配置文件指定多个入口节点。
为了正确执行此操作,您需要为每个客户端和服务器对创建一个 CA。您可以妥协并为整个网格设置一个 CA。您可以进一步妥协并只设置密码,但您仍然需要证书来识别服务器。
我想,要想真正安全,您需要另一个内部虚拟网络,外部客户端不能直接访问该网络,但一旦进入虚拟网络,任何事物都可以访问该网络。
要追踪所有事情需要做大量工作,但肯定是可能的。
如果客户端不信任服务器,则需要使用加密通过服务器进行通信。您甚至可以在每个服务器上的网状网络内部运行 Tor,这样节点和服务之间的直接关联就很难建立。