典型案例收集-OpenVPN不同网段的访问控制(转)
一、案例1
针对不同的客户端指定不同的等级和权限。 通常的方法是:
1、每个客户端分配不同的IP地址;
2、利用防火墙对不同的IP地址进行控制;
例如:
1、公司内部网段是10.66.4.0/24;
2、所有人允许访问Email服务器为10.66.4.4,但不能访问其他服务器;
3、特定的客户组允许访问Samba服务器为10.66.4.12,不能访问其他服务器;
4、管理员能访问所有公司内网服务器。
根据上述的要求,我们可以对OpenVPN服务端进行配置:(而不需要修改客户端配置文件)
server.conf增加:
#10.8.0.0是给所有VPN客户端的IP段;
server 10.8.0.0 255.255.255.0
#10.8.1.0是给管理员分配的IP段;
server 10.8.1.0 255.255.255.0
#10.8.2.0就是给特定用户组分配的IP段;
server 10.8.2.0 255.255.255.0
#下面是定义服务器读取特殊客户端配置文件的目录为ccd;
client-config-dir ccd
通过上面的配置,今后我们就可以对指定的客户进行特殊的定义了。配置文件应该放在ccd目录下:
ccd/sysadmin1:
ifconfig-push 10.8.1.1 10.8.1.2
ccd/contractor1:
ifconfig-push 10.8.2.1 10.8.2.2
ccd/contractor2:
ifconfig-push 10.8.2.5 10.8.2.6
注意:
1、文件名就是客户的Common Name,OpenVPN是根据该名称来获得指定客户端的;
2、客户端的IP地址不是任意指定的,由于Windows的TAP驱动必须采用/30网段的IP,为兼容该协议,应从特定的IP地址中选择,而且是成组出现的;(可参考第一份文章附录介绍)
那最后,剩下的就是用iptables防火墙做限制即可:(假设PLOICY为Deny)
iptables -A FORWARD -i tun0 -s 10.8.0.0/24 -d 10.66.4.4 -j ACCEPT
iptables -A FORWARD -i tun0 -s 10.8.1.0/24 -d 10.66.4.0/24 -j ACCEPT
iptables -A FORWARD -i tun0 -s 10.8.2.0/24 -d 10.66.4.12 -j ACCEPT
二、案例2
让客户端内部子网可与服务端内部网互通,其实也就是实现点对点互连了。
引用
要求如下:
1、客户端的子网网段必须唯一;
2、客户端的Common Name要唯一,而且不能在服务器的配置文件中配置有duplicate-cn;
3、客户端打开IP Forward(路由转发)和允许TUN、TAP进入;
OK,那假设客户端子网为192.168.4.0,并且客户端网关和客户端OpenVPN是同一服务器,那可以这样配置:
server.conf增加:
#下面是定义服务器读取特殊客户端配置文件的目录为ccd;
client-config-dir ccd
#服务器增加到192.168.4.0/24的路由
route 192.168.4.0 255.255.255.0
#允许客户端子网互通
client-to-client
#让所有客户端都增加到192.168.4.0/24的路由
push "route 192.168.4.0 255.255.255.0"
然后,对指定的客户端建立配置文件。
mkdir /etc/openvpn/ccd
在ccd目录下建立一个与客户端Common Name相同名字的文件名,并加入:
#这是告诉服务器,我(客户端)的子网网段是192.168.4.0/24;
iroute 192.168.4.0 255.255.255.0
注意:
1、若OpenVPN Server不是服务端子网的网关,则必须在服务端子网网关加入指向192.168.4.0/24的路由;
2、若客户端的OpenVPN Client也不是客户端子网的网关,同样的,也必须加入对应的路由,如:
route add -net 192.168.4.0 netmask 255.255.255.0 gw 10.8.0.5 dev eth0
总而言之,就是必须让网关通过VPN服务器,可路由到所有的VPN子网,这无论是对于服务端还是客户端都是必须定义的。
三、案例3
OpenVPN内部提供了DHCP的服务,而不需要依赖外部的DHCP服务器。同样,也提供了DHCP服务的一些配置参数:
server.conf配置:
#定义客户端的DNS服务器地址
push "dhcp-options DNS 192.168.228.1"
#定义客户端的WINS服务器地址
push "dhcp-options WINS 192.168.228.1"
#让客户端发起的所有IP请求都通过OpenVPN服务器
push "redirect-gateway def1"
其中,最后一项配置会修改客户端的默认路由为OpenVPN服务器。这样,通常还必须加入NAT转换:
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
这样,所有客户端当和OpenVPN服务器连接后,就可以把该服务器作为对外的路由服务器使用了。(类似Proxy)
四、案例4
前面案例提到的,都是由服务端先生成客户端证书,然后分发到客户端,让客户端通过证书连接到服务器上。但有时候,这样的分发是比较麻烦的(也不安全)。这样,我们可以考虑另外一种方式:
只在服务端制作客户端证书,而客户端只需要有ca.crt文件,而不需要拿到客户端证书,当登陆服务器的时候是通过用户名和密码即可登陆OpenVPN服务器。
◎服务端配置:(以Linux版为例)
OpenVPN可以通过插件(plugin)方式支持上述的用户名认证,在Linux下以PAM为例,必须先增加用户:
useradd -M test
passwd test
然后修改server.conf增加:
#使用PAM插件
plugin /usr/share/openvpn/plugin/lib/openvpn-auth-pam.so login
#客户端可以不提供证书
client-cert-not-required
#用户登陆的用户名就是Common Name
username-as-common-name
注意:
1、若不增加client-cert-not-required语句,默认PAM认证和证书验证是需要同时通过才能建立连接的;
2、OpenVPN是基于SSL连接,所以,上述设置只是让客户端不用提供证书,但却必须提供ca.crt;
3、而且OpenVPN服务器也必须用客户端使用的登陆名(如:test)建立相同Common Name的证书,否则客户端登陆的时候,服务器会提示找不到对应证书,而不能建立连接。
◎客户端配置:
client.conf增加:
#激活登陆认证方式
auth-user-pass
#修改认证证书,保留ca.crt即可,客户端证书可以不要了
ca ./easy-rsa/keys/ca.crt
#cert ./easy-rsa/keys/client1.crt
#key ./easy-rsa/keys/client1.key
这样,当手动启动客户端的时候,即会提示用户名和密码。(用户名和密码为登陆服务器PAM认证,通过后,OpenVPN会提取用户名作为Common Name,并验证客户端证书,若也通过,则连接搭建成功)
※问题:若采用该方式,如何使用后台服务启动客户端?
答:可以先建立一个文件author-keys(用户名和密码各一行),然后修改配置文件
auth-user-pass author-keys
另其从中读取该文件以通过验证。
但前提是必须在编译的时候增加--enable-password-save参数。
五、其他
1)若客户端不能访问OpenVPN使用的1194端口,可通过HTTP Proxy,但有要求:
1、OpenVPN连接要使用tcp方式,而不能使用udp方式;
2、客户端配置加入:
http-proxy ip port
2)OpenVPN负载均衡
要使用OpenVPN负载均衡,可以这样做:
1、可以建立多台服务器,除server配置不同外,其余相同:
server1
server 10.8.0.0 255.255.255.0
server2
server 10.8.1.0 255.255.255.0
server3
server 10.8.2.0 255.255.255.0
2、客户端可以用多点尝试进行配置:
#默认从上往下尝试
remote server1 port
remote server2 port
#也可以改为随机连接
remote-random
#为防止DNS解析错误导致不进行后续的尝试,可以加入下面的语句
resolv-retry 60
3)撤回证书
前面已经提到,可以单方面的通过服务器撤回客户端证书,在easy-rsa目录下:
source ./vars
./revoke-full client2
会生成crl.pem文件。把文件拷入对应目录,如keys。然后修改server.conf:
引用
crl-verify ./easy-rsa/keys/crl.pem
即可。(CRL List对于新客户是马上生效的,而且不需要重启服务器)
六、加强OpenVPN的安全性
1、创建tls-auth
openvpn --genkey --secret ta.key
server.conf:
tls-auth ta.key 0
client.conf:
tls-auth ta.key 1
2、使用UDP协议
因为UDP一般不会有DoS攻击,而且能能防止端口被扫描,能保证更安全。
3、使用nobody用户和组运行服务
对于非Win的服务器,可以在配置中加入:
user nobody
group nobody
4、使用chroot
5、使用Large RSA keys
可以通过修改./easy-rsa/vars中的KEY_SIZE,增加到2048。但要注意,该修改必须重建所有的keys、以及配置文件。
6、使用Large symmetric keys
可以在配置文件中加入:
cipher AES-256-CBC
7、把ca.key单独存放
最后,也是最重要的一点。从前面的配置文件可以看到,无论是服务端,还是客户端都不需要使用ca.key文件的。但该文件却很重要,所以,我们应该把它另外保存好,而不是放在服务器上哦!
8、还有一种安全问题,就是Man-in-the-Middle攻击。
也就是模拟server连接另一个client。
参考:
http://blog.csdn.net/cnbird2008/article/details/6037243(以上内容转自此篇文章)
http://blog.csdn.net/chenghuikai/article/details/62891112
典型案例收集-OpenVPN不同网段的访问控制(转)的更多相关文章
- 典型案例收集-使用OpenVPN连通多个机房内网(转)(静态路由)
说明: 1.这篇文章主要是使用静态路由表实现的多个机房通过VPN连接后的子网机房互通. 2.OpenVPN使用的是桥接模式(server-bridge和dev tap),这个是关键点,只有这样设置才可 ...
- 典型案例收集-使用OpenVPN连通多个机房内网(iptables+静态路由)
说明: 1.这个方案是我最初实现的方案,目的在于OpenVPN连通后使其能访问各自的子网,实现互通. 2.主要以iptables为主,这个是关键点,并且这种方式配置iptables十分复杂,最后加入了 ...
- NB-IoT的相关资料整理(基本概念,技术优势,典型案例和当前的进展)
人与人之间的通讯规模已近天花板,物与物的则刚刚进入增长快车道.随着可穿戴.车联网.智能抄表等新兴市场的开启,工业4.0.智慧城市.智慧农业等理念照进现实,万物互联的时代正加速到来. 一 ...
- HBase基本知识介绍及典型案例分析
本次分享的内容主要分为以下五点: HBase基本知识: HBase读写流程: RowKey设计要点: HBase生态介绍: HBase典型案例分析. 首先我们简单介绍一下 HBase 是什么. HBa ...
- elasticsearch中的mapping映射配置与查询典型案例
elasticsearch中的mapping映射配置与查询典型案例 elasticsearch中的mapping映射配置示例比如要搭建个中文新闻信息的搜索引擎,新闻有"标题".&q ...
- 【Java新特性】Lambda表达式典型案例,你想要的的都在这儿了!!
写在前面 不得不说,有些小伙伴的学习热情真高,学完了Lambda表达式的语法,想来几个典型案例再强化下.于是问冰河能否给几个Lambda表达式的典型使用示例.于是乎,便有了这篇文章. 案例一 需求 调 ...
- 一个典型案例为你解读TDSQL 全时态数据库系统
欢迎大家前往腾讯云+社区,获取更多腾讯海量技术实践干货哦~ 本文由腾讯技术工程官方号发表在腾讯云+社区 经典案例 增量抽取.增量计算等都是T-TDSQL的经典案例.如下以增量计算为例,来分析T-TDS ...
- Active Directory渗透测试典型案例
0x01 前言 我有几个客户在渗透测试之前来找我,说他们的系统安全做得非常好,因为他们的漏洞扫描显示没有严重的漏洞并且已准备好进行安全测试,这使我在15分钟内利用AD中的错误配置获得了域管理员权限. ...
- CSS典型案例实践
CSS案例实践 一.层布局:定位元素重叠 在CSS中可以通过z-index属性来确定定位元素的层叠等级.需要注意的是: z-index属性只有在元素的position属性取值为relative.abs ...
随机推荐
- HDU 4614 Vases and Flowers(线段树+记录区间始末点或乱搞)
题目链接:http://acm.hdu.edu.cn/showproblem.php?pid=4614 题目大意:有n个空花瓶,有两种操作: 操作①:给出两个数字A,B,表示从第A个花瓶开始插花,插B ...
- Python股票信息抓取(二)
在一的基础上,想着把所有的折线图放在一个图中,然后图的结果如图所示: 不是略丑,是很丑~ 依然的单进程,只是将图标结果放在了一张图里 代码如下: #-*-coding:utf-8 -*- import ...
- Porting of cURL to Android OS using NDK (from The Software Rogue)
Porting of cURL to Android OS using NDK In continuing my journey into Android territory, I decided ...
- Valid Sudoku&&Sudoku Solver
Valid Sudoku Determine if a Sudoku is valid, according to: Sudoku Puzzles - The Rules. The Sudoku bo ...
- 线性SVM的推导
线性SVM算法的一般过程 线性SVM的推导 超平面方程 SVM是用来分类的.给定一系列输入数据(n维向量),需要找到一个切分界线(n-1维的超平面),这里假定数据是线性可分的.比如,二维数据的超平面是 ...
- 实现celery中出现拥挤队列时,及时发邮件通知
里面有几个常用的功能,以后值得借鉴. 如获取脚本目录,IP,获取shell返回值,发送邮件等.. 上午写完,中午测试,下午上线~~ #!/usr/bin/env python # -*- coding ...
- 第 17 章 使用API
在本章中,我们将学习如何编写一个独立的程序,并对其获取的数据进行可视化.这个程序将使用Web应用编程接口(API)自动请求网站的特定信息而不是整个网页,再对这些信息进行可视化.由于这样编写的程序始终使 ...
- vue引入自己写的js文件
话不多说,直接上代码呀~ 先来个结构图: 中规中矩的vue-cli就写了一个自己的js文件 那么我想要引入到vue组件里. 1.首先写我的js文件 2.引入到vue组件!!!一定要用{}把方法名拿过来 ...
- 【ASP.NET MVC】Ajax提交表单
下面这段代码主要有几个特点: 1.Ajax提交表单 2.表单中有一个<input type="file"/> 3.当选择完图片后,利用AJAX提交表单,并在执行成功后返 ...
- thinkphp5.0安装
ThinkPHP5的环境要求如下: PHP >= 5.4.0 PDO PHP Extension MBstring PHP Extension CURL PHP Extension 严格来说,T ...