我负责为一组员工设置一套“封闭网络”服务器,但我不知道从哪里开始。下面是初始要求、我的想法和我的问题。
要求:
1. 任何软件都需要开源。2
. 用户不懂技术,他们将通过自己的计算机进行连接,我们可以假设他们拥有这些计算机的管理员权限,因此他们可以根据需要安装/运行软件。3
. 他们可以从网络上的任何地方连接到这个封闭的网络。4
. 我们不会提供一条隧道来处理所有事情,只处理往返服务器的流量。5
. 此连接应该是安全的。(可能是 SSH?只是一个想法)
6. 员工使用 Windows、Linux 和 MacOSX。7.
每个用户都需要一个用户名/密码
8. 每个用户登录所用时间的日志需要保存在某个地方。
我的思路:
我最初想使用 openVPN,但据我所知,它通过 VPN 网络传输所有内容,并且无法连接到所有 3 个 PC 平台,这无法满足上面发布的要求。
问题:
1. 我对 vpn 尤其是 openVPN 的理解是否正确?
2. 是否有任何基于 Web 的解决方案,以便员工不必在计算机上安装 vpn 客户端。也许我可以有一个 Web 登录,将用户 IP 添加到防火墙白名单,然后在一段时间不活动后将其删除(只是一个想法)?
3. 我是否完全错过了什么或有更好的方法?
4. 任何想法、思路、资源、网站链接等都会有所帮助。
总结我需要一种方法来对不同 PC 平台上的任意一组服务器进行用户身份验证。
感谢您的时间。
编辑: 感谢大家的帮助,但我认为我只需要迈出这一步,尝试设置一个装有必要软件的 Debian 盒子,然后在遇到问题时提出问题。我考虑得太多了,这占用了大量的时间。所以我的行动计划如下
- 设置 Debian 服务器。
- 安装公司所需的必要服务器软件。
- 安装 openVPN
- ...
我仍然对设置用户名/密码帐户以及登录时间和用户感到困惑,但我会在遇到这个问题时解决这个问题。
您是否发现我当前的行动计划存在任何问题或缺陷?
答案1
广告
- 不,不是。OpenVPN 不支持要求让所有流量都通过 VPN 接口进行隧道传输。您可以特别选择要创建的由 VPN 处理的路由。此外,OpenVPN 可用于各种平台,包括 Windows、Linux 和 OS X。
- 有很多SSL VPN基于浏览器的解决方案。查看它们是否能满足您的需求。
- & 4. - 不知道,您遗漏了以有意义的方式评估这一点所需的任何细节。
由于 OpenVPN 功能非常丰富,因此它很可能满足您的需求。但它也是一个相当复杂的软件包,具有大量配置选项,因此在设置时要做好一些准备 - “按我的意思做”按钮尚未实现。
答案2
由于有如此多不同的用户和平台连接到此网络,我还会假设您也从 VPN 服务器“背后”保护您的网络。基本上,只需为 OpenVPN 使用的 tun/tap 接口创建特定规则,以确保仅进行有效流量,具体取决于您必须提供的服务。
正如 syneticon-dj 已经指出的那样,OpenVPN 不需要您通过隧道接口发送所有流量。事实上,您可以选择在客户端或服务器端设置或推送路由到客户端,或者如您所提到的,将 OpenVPN 接口设置为默认网关(使用 Windows 的客户端路由)
#Network Route
route 192.168.1.0 255.255.255.0
#Single host route trough a given server (1.2.3.4 over 10.20.30.40)
route 1.2.3.4 255.255.255.255 10.20.30.40
在 Mac OS 上我选择的客户端是隧道图在 Windows 和 Linux 上OpenVPN本身。
验证人员身份的最佳和最安全方法是为每个用户生成证书。这样您就可以在服务器端轻松撤销它们,并且连接可以紧密密封(取决于您的密钥大小);)
要在服务器上启用日志记录,只需将以下几行添加到服务器配置中
status /var/log/openvpn/server.status
log-append /var/log/openvpn/server.log
verb 3
(该文件夹需要存在,并具有正确的权限)
第一个文件用于快速使用,以检查哪个用户登录。第二个文件为您提供每个连接的详细日志。
PS:Logrotate 配置,因为 OpenVPN 永远不会旋转日志本身……;)
/var/log/openvpn/*.log {
daily
copytruncate
missingok
rotate 7
delaycompress
notifempty
}