OpenVPN简介及架构详解

OpenVPN简介

1 简介
    VPN（Virtual Private Network）直译就是虚拟专用通道，是提供给企业之间或者个人与公司之间安全数据传输的隧道。

OpenVPN无疑是Linux下开源VPN的先锋，提供了良好的性能和友好的用户GUI。该软件最早由James Yonan编写。OpenVPN允许参与建立VPN的单点使用预设的私钥，第三方证书，或者用户名/密码来进行身份验证。它大量使用了OpenSSL加密库，以及SSLv3/TLSv1协议。OpenVPN能在Linux、xBSD、Mac OS X与Windows上运行。

2 原理
    OpenVpn的技术核心是虚拟网卡，其次是SSL协议实现：
    虚拟网卡是使用网络底层编程技术实现的一个驱动软件，安装后在主机上多出现一个网卡，可以像其它网卡一样进行配置。服务程序可以在应用层打开虚拟网卡，如果应用软件（如IE）向虚拟网卡发送数据，则服务程序可以读取到该数据，如果服务程序写合适的数据到虚拟网卡，应用软件也可以接收得到。虚拟网卡在很多的操作系统下都有相应的实现，这也是OpenVpn能够跨平台一个很重要的理由。
    在OpenVpn中，如果用户访问一个远程的虚拟地址（属于虚拟网卡配用的地址系列，区别于真实地址），则操作系统会通过路由机制将数据包（TUN模式）或数据帧（TAP模式）发送到虚拟网卡上，服务程序接收该数据并进行相应的处理后，通过SOCKET从外网上发送出去，远程服务程序通过SOCKET从外网上接收数据，并进行相应的处理后，发送给虚拟网卡，则应用软件可以接收到，完成了一个单向传输的过程，反之亦然。
3 加密
    OpenVPN使用OpenSSL库加密数据与控制信息：它使用了OpenSSL的加密以及验证功能，意味着，它能够使用任何OpenSSL支持的算法。它提供了可选的数据包HMAC功能以提高连接的安全性。此外，OpenSSL的硬件加速也能提高它的性能。
4 网络
    OpenVPN所有的通信都基于一个单一的IP端口，默认使用UDP协议通讯，同时TCP也被支持。OpenVPN连接能通过大多数的代理服务器，并且能够在NAT的环境中很好地工作。服务端具有向客户端“推送”某些网络配置信息的功能，这些信息包括：IP地址、路由设置等。OpenVPN提供了两种虚拟网络接口：通用Tun/Tap驱动，通过它们，可以建立三层IP隧道，或者虚拟二层以太网，后者可以传送任何类型的二层以太网络数据。传送的数据可通过LZO算法压缩。IANA（Internet Assigned Numbers Authority）指定给OpenVPN的官方端口为1194。OpenVPN 2.0以后版本每个进程可以同时管理数个并发的隧道。
    OpenVPN使用通用网络协议（TCP与UDP）的特点使它成为IPsec等协议的理想替代，尤其是在ISP（Internet service provider）过滤某些特定VPN协议的情况下。
在选择协议时候，需要注意2个加密隧道之间的网络状况，如有高延迟或者丢包较多的情况下，请选择TCP协议作为底层协议，UDP协议由于存在无连接和重传机制，导致要隧道上层的协议进行重传，效率非常低下
5 身份验证
    OpenVPN提供了多种身份验证方式，用以确认连接双方的身份，包括：
    预享私钥
    第三方证书
    用户名／密码组合
    预享密钥最为简单，但同时它只能用于创建点对点的VPN；基于PKI的第三方证书提供了最完善的功能，但是需要额外维护一个PKI证书系统。OpenVPN2.0后引入了用户名／口令组合的身份验证方式，它可以省略客户端证书，但是仍需要一份服务器证书用作加密。
6 功能与端口
    OpenVPN所有的通信都基于一个单一的IP端口，默认使用UDP协议通讯，同时也支持TCP。IANA（Internet Assigned Numbers Authority）指定给OpenVPN的官方端口为1194。OpenVPN 2.0以后版本每个进程可以同时管理数个并发的隧道。OpenVPN使用通用网络协议（TCP与UDP）的特点使它成为IPsec等协议的理想替代，尤其是在ISP（Internet service provider）过滤某些特定VPN协议的情况下。
    OpenVPN连接能通过大多数的代理服务器，并且能够在NAT的环境中很好地工作。
    服务端具有向客户端“推送”某些网络配置信息的功能，这些信息包括：IP地址、路由设置等。
    OpenVPN提供了两种虚拟网络接口：通用Tun/Tap驱动，通过它们，可以创建三层IP隧道，或者虚拟二层以太网，后者可以传送任何类型的二层以太网络数据。
    传送的数据可通过LZO算法压缩。
7 安全
    OpenVPN与生俱来便具备了许多安全特性：它在用户空间运行，无须对内核及网络协议栈作修改；初始完毕后以chroot方式运行，放弃root权限；使用mlockall以防止敏感数据交换到磁盘。

OpenVPN通过PKCS#11支持硬件加密标识，如智能卡。

OpenVPN架构解析

VPN，英文全称是Virtual Private Network，字面解释可理解为：虚拟私有网络；VPN可以运行为Point-to-Point模式，也可以运行为Server模式，在Server模式下，VPN服务器可作为网关设备使用，用以给处于外部的不安全网络环境中的Client提供安全访问内网服务的通道(如下图所示):


以Server模式运行的VPN其走包流程如图所示：



这个流程图是根据OpenVPN源代码绘制而成，第一幅图假设的是一个VPN进程发包而另一个VPN进程收包，可以看到，无论是发包还是收包，包都需要在协议栈中走两趟，其中，VPN采用了虚拟的TUN网卡设备来与内核进行交互，途中的Char Device其实代表的应该是其驱动程序，用来沟通用户态与内核态
第二幅图中采用的是如最上面的拓扑图显式的那样，CS模式下的拓扑结构，其中Client产生包的过程已经忽略(参考第一幅走包流程即可)，在Server收到包之后最终会将其转发给内网的Target。
PS：
VPN是一个很有内涵的开源程序，无论是学习其加密算法，拓扑架构，包处理算法，亦或程序设计模式均可进行深入研究。