我计划在几个站点上设置一些 ClearOS 盒,并希望在远程站点和主站点之间建立站点到站点的 VPN(所有站点都运行 ClearOS enterprise 5.2sp1/最新版本)。
我找到了一些关于如何将 ClearOS 设置到 VPN 的参考资料,例如使用 IPSEC 的 cisco 设备,以及使用 PPTP 的设备。但是对于这些方法,它没有提到如何配置 2 个 ClearOS 盒以通过 ipsec 或 pptp 相互通信。
我还看到了有关安装 OpenVPN 和使用 OpenVPN 客户端软件通过 VPN 连接到 ClearOS 盒的文档。我可能会将其用于个人用户通过 VPN 连接,但我有一些小型站点(1 到 10 个用户)将拥有自己的 ClearOS 盒,并且需要创建站点到站点 VPN 链接回主站点的 OpenVPN 盒。
这可能吗?您能给我提供文档或其他信息吗?或者基本上,怎么做?
一些更新:
我确实找到了一个询问同样的基本问题,用户在两台 clearos 机器之间设置了 vpn(安装 ipsec vpn 模块后),只是没有在 LANS 之间传输流量 - 最后一篇帖子声称您必须编辑一些文件(/etc/ipsec.conf)并将 leftnexthop rightnexthop 值设置为 %direct。之后,它应该可以工作。难道就这么简单吗?
我也发布到 清除基础,他们告诉我一些文档用于设置 ipsec 非托管 vpn。这看起来不错,但是,我很可能需要弄清楚至少在一端如何处理动态 dns 类型设置。此外,多 wan 是什么意思?最后,当 vpn 连接断开时究竟会发生什么 - 有人必须重新启动该盒子还是?
答案1
OpenVPN 网站上有两种不同的设置/安装说明,标准操作指南和静态密钥操作指南。静态密钥仅适用于 2 台机器的设置。
您将需要遵循标准操作方法:http://openvpn.net/index.php/open-source/documentation/howto.html
基本上,您需要 2 个配置文件,1 个用于服务器,1 个用于客户端。您需要为服务器创建证书和密钥对,对于所有客户端,每个客户端都需要自己的证书和服务器证书的副本。还要注意客户端 LAN 和服务器 LAN 具有相同“子网”的陷阱。如果是同一个子网(如 192.168.1.x),客户端将无法轻松访问服务器 LAN。
如果您遇到困难,请随意留下评论,我已经多次经历过这种设置。
答案2
可以将 ClearOS-Boxes 与 openvpn 连接起来。您必须将一个盒子设置为服务器,以允许使用 openvpn 的用户身份登录,并下载四个文件:证书颁发机构、证书、密钥和 Linux 配置文件。将这些文件保存在客户端盒子上的一个目录中。现在,您可以使用“openvpn configurationfilename.ovpn”在此盒子上启动 openvpn 客户端。它应该会询问您的用户名和密码并登录。
自动执行此过程的问题是 clearos 会在 ldap 上对用户进行身份验证。您可以删除它,但每个拥有密钥的 openvpn 用户都可以登录。删除 ldap-authentication 的方法如下:注释客户端配置中的“auth-user-pass”行和服务器上文件 /etc/openvpn/clients.conf 中的“plugin /usr/share/openvpn/plugin/lib/openvpn-auth-ldap.so /etc/openvpn/auth-ldap”行
也许有更好的方法来禁用一个用户的密码验证。