創建基於 UNIX 的 VPN：指針、指南和陷阱？

• 有人有創建基於 UNIX 的虛擬專用網路的第一手經驗嗎？
• 可用於完成此任務的最佳 VPN 客戶端/工具有哪些？
• 有什麼我應該避免的常見陷阱嗎？

在我的特殊情況下，我的主要興趣在於與 Debian 兼容的解決方案。我的主要目標是讓它正常工作，因為我以前沒有做過，但在我不想使用 SSH 連接的情況下，我可以看到一些可能的好處。

在 linux 中，您有兩個主要選擇：

• ipsec 兼容 vpn - 使用freeswan / openswan / strongswan。我記得設置起來非常困難……
• 非標準化$$ but really good $$sslvpn- openvpn。很容易設置。

第二個真的很棒，我已經在生產中使用它幾年了。它在 debian 中作為標準包提供。它在數十兆比特的容量下表現相當不錯

$$ hundreds as well, but i dont have that fast internet connections between offices $$ openvpn的一些提示：

• 為了更安全，不要使用“共享秘密”類型的密鑰，而是創建證書頒發機構並使用由它簽名的密鑰。
• 如果可能的話，使用 tun 模式而不是 tap$$ route traffic via vpn instead of bridging two ethernet segments over it $$
• 如果您選擇證書頒發機構解決方案 - 請記住密鑰過期。為自己設置幾個提醒以重新生成密鑰。
• 為了安全起見，請使用 opensvn 內置的軟體看門狗$$ ping-restart option $$+ 添加一個簡單的 bash 腳本來循環檢查 openvpn 程序是否正在執行。在過去的 3 年中，openpn 為我死了 ~2 次。
• 盡可能在 udp 上使用隧道$$ instead of tcp $$. 我在 nat 後面的辦公室遇到了 vpn 問題$$ where linux box was behind cheap dlink router i could not control $$一段時間後 udp 數據包被阻止 - 在那種情況下，我被迫使用 tcp。
• 從防火牆/ nat 後面享受 openvpn .. 只要一側有公共 ip 並且可以通過一個埠上的 tcp 或 udp 訪問 - 您可以為其建立 vpn，另一個節點不需要有公共 ip！

引用自：https://serverfault.com/questions/27148