Linux
創建基於 UNIX 的 VPN:指針、指南和陷阱?
- 有人有創建基於 UNIX 的虛擬專用網路的第一手經驗嗎?
- 可用於完成此任務的最佳 VPN 客戶端/工具有哪些?
- 有什麼我應該避免的常見陷阱嗎?
在我的特殊情況下,我的主要興趣在於與 Debian 兼容的解決方案。我的主要目標是讓它正常工作,因為我以前沒有做過,但在我不想使用 SSH 連接的情況下,我可以看到一些可能的好處。
在 linux 中,您有兩個主要選擇:
- ipsec 兼容 vpn - 使用freeswan / openswan / strongswan。我記得設置起來非常困難……
- 非標準化$$ but really good $$sslvpn- openvpn。很容易設置。
第二個真的很棒,我已經在生產中使用它幾年了。它在 debian 中作為標準包提供。它在數十兆比特的容量下表現相當不錯
$$ hundreds as well, but i dont have that fast internet connections between offices $$ openvpn的一些提示:
- 為了更安全,不要使用“共享秘密”類型的密鑰,而是創建證書頒發機構並使用由它簽名的密鑰。
- 如果可能的話,使用 tun 模式而不是 tap$$ route traffic via vpn instead of bridging two ethernet segments over it $$
- 如果您選擇證書頒發機構解決方案 - 請記住密鑰過期。為自己設置幾個提醒以重新生成密鑰。
- 為了安全起見,請使用 opensvn 內置的軟體看門狗$$ ping-restart option $$+ 添加一個簡單的 bash 腳本來循環檢查 openvpn 程序是否正在執行。在過去的 3 年中,openpn 為我死了 ~2 次。
- 盡可能在 udp 上使用隧道$$ instead of tcp $$. 我在 nat 後面的辦公室遇到了 vpn 問題$$ where linux box was behind cheap dlink router i could not control $$一段時間後 udp 數據包被阻止 - 在那種情況下,我被迫使用 tcp。
- 從防火牆/ nat 後面享受 openvpn .. 只要一側有公共 ip 並且可以通過一個埠上的 tcp 或 udp 訪問 - 您可以為其建立 vpn,另一個節點不需要有公共 ip!