企业网络优化指南之隧道技术_服务器端和每个客户端的证书必须使用唯一的common name服务器端和每个客户端的证

隧道技术

目录

一、部署背景介绍。.... 1

二、部署此系统Linux系统 命令参考以及解释。.... 1

三、FRR部署。.... 2

四、安装openvpn. 4

五、ospf部署。.... 19

六、致谢。.... 22

一、部署背景介绍。

由于互联网的不可靠性质以及不确定性质。我们访问一些特定应用的时候链接缓慢。由于实际生产需要更快更便捷的网络访问。比如访问谷歌访问以及跨国企业的一些跨国跨地域之间的访问。因此我们应用如下的一套开源的linux代码实现。我们所需要的特定以及复杂的网络访问需求。

我们选择openvpn技术来实现点对点网络的连通性。选用这个的优点是它可以单播，有一个公网地址即可。开源免费。工作在7层。这个是有好处的需要慢慢去品了。

二、部署此系统Linux系统 命令参考以及解释。

1. /usr/bin/nohup #在后台运行的意思。
2. /usr/sbin/openvpn#编译安装后调用的启动命令路径
3. >> /tmp/openvpn.log 2>&1 &#后台允许并记录日志。

4、/usr/bin/nohup openvpn /etc/openvpn/server/server.ovpn >> /tmp/openvpn.log 2>&1 &   上边三个组合起来可以这样用。

1. ip route add 172.0.30.0/24 via 172.16.1.2 #linux添加一条路由。
2. ps -ef | grep openvpn | awk '{print $2}'  | xargs kill -9#自动杀死一个特定进程。
3. tcpdump -i tun0 #抓包工具
4. iftop #看流量工具
5. ping 172.16.1.10 -I 10.8.1.1 #linux带源ping
6. iptables -t nat -A POSTROUTING -s 172.0.30.0/24 -j MASQUERADE #防火墙做NAT。
7. iptables-save #查看linux防火墙规则。

12、chown -R ubuntu:ubuntu hk03_to_xa01#linux修改文件用户以及组属性R代表下边    全部都整。

1. 1. scp  root@1.1.1.1:/home/123.py  ./ #拷贝一个文件当然可以*目录下全部文件。

14、vim /etc/sysctl.conf #配置linux系统做ip转发主要参数net.ipv4.ip_forward=1 要去掉注释。

1. 1. ip add#查看linux网卡信息等同于ifconfig
   2. netstat -anltup #查看linux开放端口号可以和ps配合使用。
   3. vim vim /etc/netplan/00-installer-config.yaml #linux网卡配置文件。
   4. netplan apply #重新加载网卡信息。
   5. history#查看linux命令历史。
   6. ip route  ip rule #命令不解释了。
   7. 修改更新源为阿里源#进系统先搞这个。
   8. apt update#更新系统
   9. apt upgrade -y 彻底更新系统。
   10. 修改更新源为阿里源

三、FRR部署。

1. 1. 安装依赖： apt-get install  git autoconf automake libtool make libreadline-dev texinfo  pkg-config libpam0g-dev libjson-c-dev bison flex  libc-ares-dev python3-dev python3-sphinx  install-info build-essential libsnmp-dev perl libcap-dev python2 libelf-dev libunwind-de
   2. 确保系统有/usr/bin/python环境，如果没有可以使用系统默认的python3，将python3通过软连接到 /usr/bin/python（ln -sb /usr/bin/python3 /usr/bin/python）。
   3. 编译libyang

先安装cmake和 libpcre2-dev或pcre2-devel(这里我选择安装libpcre2-dev)

apt install cmake libpcre2-dev -y

git clone https://github.com/CESNET/libyang.git

cd libyang

git checkout v2.0.0

mkdir build; cd build

cmake -D CMAKE_INSTALL_PREFIX:PATH=/usr -D \CMAKE_BUILD_TYPE:String="Release" ..

make

sudo make install

1. 1. 安装 Protobuf， ZeroMQ

sudo apt-get install protobuf-c-compiler libprotobuf-c-dev

apt-get install libzmq5 libzmq3-dev -y

.

1. 1. 添加 FRR 用户和组

sudo groupadd -r -g 92 frr

sudo groupadd -r -g 85 frrvty

sudo adduser --system --ingroup frr --home /var/run/frr/  --gecos "FRR suite" --shell /sbin/nologin frr

sudo usermod -a -G frrvty frr

1. 1. 编译安装FRR

git clone https://github.com/frrouting/frr.git frr

cd frr

./bootstrap.sh

./configure \

  --prefix=/usr \

  --includedir=\${prefix}/include \

  -- bindir=\${prefix}/bin \

  --sbindir=\${prefix}/lib/frr \

  --libdir=\${prefix}/lib/frr \

  --libexecdir=\${prefix}/lib/frr \

  --localstatedir=/var/run/frr \

  --sysconfdir=/etc/frr \

  --with-moduledir=\${prefix}/lib/frr/modules \

  --with-libyang-pluginsdir=\${prefix}/lib/frr/libyang_plugins \

  --enable-configfile-mask=0640 \

  --enable-logfile-mask=0640 \

  --enable-snmp=agentx \

  --enable-multipath=64 \

  --enable-user=frr \

  --enable-group=frr \

  --enable-vty-group=frrvty \

  --with-pkg-git-version \

  --with-pkg-extra-version=-MyOwnFRRVersion

make

sudo make install

1. 1. 安装FRR配置文件

sudo install -m 775 -o frr -g frr -d /var/log/frr

sudo install -m 775 -o frr -g frrvty -d /etc/frr

sudo install -m 640 -o frr -g frrvty tools/etc/frr/vtysh.conf /etc/frr/vtysh

sudo install -m 640 -o frr -g frr tools/etc/frr/frr.conf /etc/frr/frr.conf

sudo install -m 640 -o frr -g frr tools/etc/frr/daemons.conf /etc/frr/daemons

sudo install -m 640 -o frr -g frr tools/etc/frr/daemons /etc/frr/daemons

1. 1. 调整系统

编辑/etc/sysctl.conf并取消注释以下值：

net.ipv4.ip_forward=1

net.ipv6.conf.all.forwarding=1

sysctl -p

1. 1. 添加 MPLS 内核模块（可选项便于我们更好的去支持扩展问题）

Ubuntu 20.04 附带内核 5.4；默认情况下存在 MPLS 模块。要启用，请将以下几行

添加到/etc/modules-load.d/modules.conf

# Load MPLS Kernel Modules

mpls_router

mpls_iptunnel

#并在正在运行的系统上加载内核模块：

sudo modprobe mpls-router mpls-iptunnel

1. 1. 启用 MPLS 转发

# 编辑/etc/sysctl.conf和以下几行。确保为net.mpls.conf.eth0.inputMPLS

# 使用的每个接口添加一行：

# Enable MPLS Label processing on all interfaces

net.mpls.conf.eth0.input=1

net.mpls.conf.eth1.input=1

net.mpls.conf.eth2.input=1

net.mpls.platform_labels=100000

1. 1. 安装服务文件

sudo install -m 644 tools/frr.service /etc/systemd/system/frr.service

sudo systemctl enable frr

1. 1. 启用守护进程

# 编辑FRR配置文件，选择需要启用的协议功能组件

vim /etc/frr/daemons

1. 1. 启动 FRR

systemctl start frr

#启动后可以使用netstat -nlpt看下端口是否正常。

1. 1. 进入frr

直接vtysh即可。这个有点类似cisco enaber哈哈。

四、安装openvpn

1. 1. 安装openvpn

推荐去官网下载源码包

1. 1. 安装依赖.

apt-get install wget gcc libc6-dev libssl-dev liblzo2-dev libpam0g-dev

1. 1. 下载源码并编译

cd /opt

wget https://swupdate.openvpn.org/community/releases/openvpn-2.5.4.tar.gz

tar -xf openvpn-2.5.4.tar.gz

cd openvpn-2.5.4

./configure

make && make install

# 编译好之后程序在/usr/local/sbin/openvpn

1. 1. 使用easy-rsa配置证书

apt install easy-rsa

mkdir -p /etc/openvpn/easy-rsa/server

cp -r /usr/share/easy-rsa/* /etc/openvpn/easy-rsa/server/

cd /etc/openvpn/easy-rsa/server/

root@VM-0-6-ubuntu:/etc/openvpn/easy-rsa/server# tree .#看结构

1. 1. 生成证书

创建一个新的 PKI 和 CA证书

./easyrsa init-pki #先初始化出空pki

init-pki complete; you may now create a CA or requests.

Your newly created PKI dir is: /etc/openvpn/easy-rsa/server/pki

# ./easyrsa build-ca nopass

# 创建ca,配置为不使用密码

1. 1. 创建服务端证书

# ./easyrsa gen-req server nopass

1. 1. 签约服务端证书

# ./easyrsa sign server server

1. 1. 生成DH验证文件Diffie-Hellman(用于增强openvpn安全性)

1. 1. 创建客户端证书

mkdir -p /etc/openvpn/easy-rsa/client

cd /etc/openvpn/easy-rsa/client/

cp -r /usr/share/easy-rsa/* /etc/openvpn/easy-rsa/client/

root@VM-0-6-ubuntu:/etc/openvpn/easy-rsa/client# tree .

1. 1. 生成证书

1. 1. 签约客户端证书

1. 1. 服务端所需要的文件

mkdir -p /etc/openvpn/certs

# cd /etc/openvpn/certs

# cp /etc/openvpn/easy-rsa/server/pki/dh.pem .

# cp /etc/openvpn/easy-rsa/server/pki/ca.crt .

# cp /etc/openvpn/easy-rsa/server/pki/issued/server.crt .

# cp /etc/openvpn/easy-rsa/server/pki/private/server.key .

1. 1. 客户端所需的文件

cd /etc/openvpn/certs/client/zhujh/

cp /etc/openvpn/easy-rsa/server/pki/ca.crt .

cp /etc/openvpn/easy-rsa/server/pki/issued/zhujh.crt .

cp /etc/openvpn/easy-rsa/client/pki/private/zhujh.key .

1. 1. 服务器配置文件

root@VM-0-6-ubuntu:/etc/openvpn# cd /etc/openvpn

root@VM-0-6-ubuntu:/etc/openvpn# vim /etc/openvpn/server.ovpn

root@VM-0-6-ubuntu:/etc/openvpn# cat server.ovpn

这里推荐JoyLau大神整理的文档http://blog.joylau.cn/2020/05/28/OpenVPN-Config/ 非常全面在此借用了。

#################################################

# 多客户端服务器的OpenVPN 2.0配置文件示例          #

#                                               #

# 本文件用于多客户端<->单服务器端的                #

# OpenVPN服务器端配置                            #

#                                               #

# OpenVPN也支持单机<->单机的配置                  #

# (在网站上的示例页面更多信息)                    #

#                                               #

# 这个配置可以在Windows或Linux/BSD系统上工作。     #

# Windows的路径名需要加双引号并使用双反斜杠，如：   #

# "C:\\Program Files\\OpenVPN\\config\\foo.key" #

#                                               #

# 前面加'#'或';'的是注释                          #

#################################################

# OpenVPN应该监听哪个本地IP地址（可选）

# 如果不设置，默认监听所有IP

;local a.b.c.d

# OpenVPN应该监听哪个端口(TCP/UDP)

# 如果想在同一台计算机上运行多个OpenVPN实例，可以使用不同的端口号来区分它们

# 在防火墙上打开这个端口

port 1194

# 服务器使用TCP还是UDP协议

;proto tcp

proto udp

# 指定OpenVPN创建的通信隧道类型

# "dev tun"将会创建一个路由IP隧道

# "dev tap"将会创建一个以太网隧道

# 如果是以太网桥接模式，并且提前创建了一个名为"tap0"的与以太网接口进行桥接的虚拟接口，则你可以使用"dev tap0"

# 如果想控制VPN的访问策略，必须为TUN/TAP接口创建防火墙规则

# 在非Windows系统中，可以给出明确的单位编号，如"tun0"

# 在Windows中，也可以使用"dev-node"

# 在大多数系统上，除非部分或完全禁用了TUN/TAP接口的防火墙，否则VPN将不起作用。

;dev tap

dev tun

# 如果想配置多个隧道，需要用到网络连接面板中TAP-Win32适配器的名称(如"MyTap")

# 在XP SP2或更高版本的系统中，可能需要有选择地禁用掉针对TAP适配器的防火墙

# 通常情况下，非Windows系统则不需要该指令。

;dev-node MyTap

# 设置SSL/TLS根证书(ca)、证书(cert)和私钥(key)。

# 每个客户端和服务器端都需要它们各自的证书和私钥文件。

# 服务器端和所有的客户端都将使用相同的CA证书文件。

#

# 通过easy-rsa目录下的一系列脚本可以生成所需的证书和私钥。

# 服务器端和每个客户端的证书必须使用唯一的Common Name。

#

# 也可以使用遵循X509标准的任何密钥管理系统来生成证书和私钥。

# OpenVPN也支持使用一个PKCS #12格式的密钥文件(详情查看站点手册页面的"pkcs12"指令)

ca ca.crt

cert server.crt

key server.key  # 该文件应该保密

# 迪菲·赫尔曼参数

# 使用如下命令生成：

#   openssl dhparam -out dh2048.pem 2048

dh dh2048.pem

# 网络拓扑结构

# 应该为子网(通过IP寻址)

# 除非必须支持Windows客户端v2.0.9及更低版本(net30即每个客户端/30)

# 默认为"net30"(不建议)

;topology subnet

# 设置服务器端模式，并提供一个VPN子网，以从中为客户端分配IP地址

# 本例中服务器端自身占用10.8.0.1，其他的将分配给客户端使用

# 每个客户端将能够通过10.8.0.1访问服务器

# 如果使用的是以太网桥接模式，注释掉本行。更多信息请查看官方手册页面。

server 10.8.0.0 255.255.255.0

# 在此文件中维护客户端与虚拟IP地址之间的关联记录

# 如果OpenVPN重启，重新连接的客户端可以被分配到先前分配的虚拟IP地址

ifconfig-pool-persist ipp.txt

# 该指令仅针对以太网桥接模式

# 首先，必须使用操作系统的桥接能力将以太网网卡接口和TAP接口进行桥接

# 然后，需要手动设置桥接接口的IP地址、子网掩码，这里假设为10.8.0.4和255.255.255.0

# 最后，必须指定子网的一个IP范围(例如从10.8.0.50开始，到10.8.0.100结束)，以便于分配给连接的客户端

# 如果不是以太网桥接模式，直接注释掉这行指令即可

;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100

# 该指令仅针对使用DHCP代理的以太网桥接模式

# 此时客户端将请求服务器端的DHCP服务器，从而获得分配给它的IP地址和DNS服务器地址

# 在此之前，也需要先将以太网网卡接口和TAP接口进行桥接

# 注意：该指令仅用于OpenVPN客户端(如Windows)，并且该客户端的TAP适配器需要绑定到一个DHCP客户端上

;server-bridge

# 推送路由信息到客户端，以允许客户端能够连接到服务器后的其他私有子网

# 即允许客户端访问VPN服务器可访问的其他局域网

# 记住，这些私有子网还需要将OpenVPN客户端地址池（10.8.0.0/255.255.255.0）路由回到OpenVPN服务器

;push "route 192.168.10.0 255.255.255.0"

;push "route 192.168.20.0 255.255.255.0"

# 要为指定的客户端分配特定的IP地址，或者客户端后的私有子网也要访问VPN

# 可以针对该客户端的配置文件使用ccd子目录

# 请参阅手册页获取更多信息

# 示例1：假设有个Common Name为"Thelonious"的客户端后有一个小型子网也要连接到VPN

# 该子网为192.168.40.128/255.255.255.248

# 首先，去掉下面两行指令的注释：

;client-config-dir ccd

;route 192.168.40.128 255.255.255.248

# 然后创建一个文件ccd/Thelonious，该文件的内容为(没有"#")：

#   iroute 192.168.40.128 255.255.255.248

# 客户端所在的子网就可以访问VPN了

# 注意，这个指令只能在基于路由模式而不是基于桥接模式下才能生效

# 比如，你使用了"dev tun"和"server"指令

# 示例1：假设要给Thelonious分配一个固定的IP地址10.9.0.1

# 首先，去掉下面两行指令的注释：

;client-config-dir ccd

;route 10.9.0.0 255.255.255.252

# 然后在文件ccd/Thelonious中添加如下指令(没有"#")：

#   ifconfig-push 10.9.0.1 10.9.0.2

# 如果想要为不同群组的客户端启用不同的防火墙访问策略，你可以使用如下两种方法：

# (1)运行多个OpenVPN守护进程，每个进程对应一个群组，并为每个进程(群组)启用适当的防火墙规则

# (2)(进阶)创建一个脚本来动态地修改响应于来自不同客户的防火墙规则

# 关于learn-address脚本的更多信息请参考官方手册页面

;learn-address ./script

# 如果启用该行指令，所有客户端的默认网关都将重定向到VPN

# 这将导致诸如web浏览器、DNS查询等所有客户端流量都经过VPN

# (为确保能正常工作，OpenVPN服务器所在计算机可能需要在TUN/TAP接口与以太网之间使用NAT或桥接技术进行连接)

;push "redirect-gateway def1 bypass-dhcp"

# 某些具体的Windows网络设置可以被推送到客户端，例如DNS或WINS服务器地址

# 下列地址来自opendns.com提供的Public DNS服务器

;push "dhcp-option DNS 208.67.222.222"

;push "dhcp-option DNS 208.67.220.220"

# 去掉该行指令的注释将允许不同的客户端之间互相访问

# 默认情况，客户端只能访问服务器

# 为了确保客户端只能看见服务器，还可以在服务器端的TUN/TAP接口上设置适当的防火墙规则

;client-to-client

# 如果多个客户端可能使用相同的证书/私钥文件或Common Name进行连接，那么可以取消该指令的注释

# 建议该指令仅用于测试目的。对于生产环境使用而言，每个客户端都应该拥有自己的证书和私钥

# 如果没有为每个客户端分别生成Common Name唯一的证书/私钥，可以取消该行的注释(不推荐这样做)

;duplicate-cn

# keepalive指令将导致类似于ping命令的消息被来回发送，以便于服务器端和客户端知道对方何时被关闭

# 每10秒钟ping一次，如果120秒内都没有收到对方的回复，则表示远程连接已经关闭

keepalive 10 120

# 出于SSL/TLS之外更多的安全考虑，创建一个"HMAC 防火墙"可以帮助抵御DoS攻击和UDP端口淹没攻击

# 可以使用以下命令来生成：

#   openvpn --genkey --secret ta.key

#

# 服务器和每个客户端都需要拥有该密钥的一个拷贝

# 第二个参数在服务器端应该为'0'，在客户端应该为'1'

tls-auth ta.key 0  # 该文件应该保密

# 选择一个密码加密算法，该配置项也必须复制到每个客户端配置文件中

# 注意，v2.4客户端/服务器将自动以TLS模式协商AES-256-GCM，请参阅手册中的ncp-cipher选项

cipher AES-256-CBC

# 在VPN链接上启用压缩并将选项推送到客户端（仅适用于v2.4 +，对于早期版本，请参阅下文）

;compress lz4-v2

;push "compress lz4-v2"

# 对于与旧客户端兼容的压缩，使用comp-lzo

# 如果在此启用，还必须在客户端配置文件中启用它

;comp-lzo

# 允许并发连接的客户端的最大数量

;max-clients 100

# 初始化后减少OpenVPN守护进程的权限是一个好主意

# 该指令仅限于非Windows系统中使用

;user nobody

;group nobody

# 持久化选项可以尽量避免访问那些在重启之后由于用户权限降低而无法访问的某些资源

persist-key

persist-tun

# 输出一个简短的状态文件，用于显示当前的连接状态，该文件每分钟都会清空并重写一次

status openvpn-status.log

# 默认情况下，日志消息将写入syslog(在Windows系统中，如果以服务方式运行，日志消息将写入OpenVPN安装目录的log文件夹中)

# 可以使用log或者log-append来改变这种默认设置

# "log"方式在每次启动时都会清空之前的日志文件

# "log-append"是在之前的日志内容后进行追加

# 你可以使用两种方式之一(不要同时使用)

;log         openvpn.log

;log-append  openvpn.log

# 为日志文件设置适当的冗余级别(0~9)

# 冗余级别越高，输出的信息越详细

#

# 0 表示静默运行，只记录致命错误

# 4 表示合理的常规用法

# 5和6 可以帮助调试连接错误

# 9 表示极度冗余，输出非常详细的日志信息

verb 3

# 忽略过多的重复信息

# 相同类别的信息只有前20条会输出到日志文件中

;mute 20

# 通知客户端，当服务器重新启动时，可以自动重新连接

# 只能是UDP协议使用，TCP使用的话不能启动服务

explicit-exit-notify 1

# （如果不添加该指令则）默认值3600，也就是一个小时进行一次TSL重新协商

# 这个参数在服务端和客户端设置都有效

# 如果两边都设置了，就按照时间短的设定优先

# 当两边同时设置成0，表示禁用TSL重协商。使用OTP认证需要禁用

reneg-sec 0

1. 1. 创建用户

# groupadd openvpn

# useradd openvpn -g openvpn

# echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf

# sysctl -p

1. 1. 启动

添加iptables规则,使服务器可以转发数据包到外网，通过配置nat将vpn网段IP转发

# 到server内网,10.8.0.0/24是vpn网段

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j MASQUERADE

/usr/local/sbin/openvpn /etc/openvpn/server.ovpn

1. 1. 客户端

客户连接服务器时，需要前面/etc/openvpn/certs/client/zhujh下的证书密钥文件和

/etc/openvpn下的client.ovpn从服务器上scp到客户端服务器上连接。

##############################################

# 多客户端的OpenVPN 2.0的客户端配置文件示例     #

#                                            #

# 该配置文件可以被多个客户端使用                #

# 不过每个客户端都应该有自己的证书和密钥文件     #

#                                            #

# 在Windows上此配置文件的后缀应该是".ovpn"     #

# 在Linux/BSD系统中后缀是".conf"              #

##############################################

# 指定这是一个客户端，这将从服务器获取某些配置文件指令

client

# 使用与服务器上相同的设置

# 在大多数系统中，除非部分禁用或者完全禁用了TUN/TAP接口的防火墙，否则VPN将不起作用

;dev tap

dev tun

# 在Windows系统中，如果想配置多个隧道，则需要该指令

# 需要用到网络连接面板中TAP-Win32适配器的名称(例如"MyTap")

# 在XP SP2或更高版本的系统中，可能需要禁用掉针对TAP适配器的防火墙

;dev-node MyTap

# 指定连接的服务器是采用TCP还是UDP协议

# 使用与服务器上相同的设置

;proto tcp

proto udp

# 指定服务器的主机名(或IP)以及端口号

# 如果有多个VPN服务器，为了实现负载均衡，可以设置多个remote指令

remote my-server-1 1194

;remote my-server-2 1194

# 如果指定了多个remote指令，启用该指令将随机连接其中的一台服务器

# 否则，客户端将按照指定的先后顺序依次尝试连接服务器

;remote-random

# 启用该指令，与服务器连接中断后将自动重新连接，

# 这在网络不稳定的情况下(例如：笔记本电脑无线网络)非常有用

resolv-retry infinite

# 大多数客户端不需要绑定本机特定的端口号

nobind

# 在初始化完毕后，降低OpenVPN的权限(该指令仅限于非Windows系统中使用)

;user nobody

;group nobody

# 持久化选项可以尽量避免访问在重启时由于用户权限降低而无法访问的某些资源

persist-key

persist-tun

# 如果通过HTTP代理方式来连接到实际的VPN服务器

# 在此处指定代理服务器的主机名(或IP)和端口号

# 如果代理服务器需要身份认证，请参考官方手册

;http-proxy-retry  # 连接失败时自动重试

;http-proxy [proxy server] [proxy port #]

# 无线网络通常会产生大量的重复数据包

# 设置此标识将忽略掉重复数据包的警告信息

;mute-replay-warnings

# SSL/TLS参数配置

# 更多描述信息请参考服务器端配置文件

# 最好为每个客户端单独分配.crt/.key文件对

# 单个CA证书可以供所有客户端使用

ca ca.crt

cert client.crt

key client.key

# 通过检查证书具有正确的密钥使用设置来验证服务器证书

# 这是防止此处讨论的潜在攻击的重要预防措施：

#  http://openvpn.net/howto.html#mitm

#

# 要使用此功能，EasyRSA生成服务器证书的时候进行相关设置

remote-cert-tls server

# 如果在服务器上使用tls-auth密钥，那么每个客户端也必须拥有密钥

tls-auth ta.key 1

# 选择一个加密算法，服务器使用的算法选项，也必须在这里指定它

# 注意，v2.4客户端/服务器将自动以TLS模式协商AES-256-GCM。

# 另请参阅手册中的ncp-cipher选项

cipher AES-256-CBC

# 在VPN连接中启用压缩

# 除非在服务器配置文件中启用，否则不要启用它

;comp-lzo

# 设置日志文件冗余级别(0~9)

# 0 表示静默运行，只记录致命错误

# 4 表示合理的常规用法

# 5和6 可以帮助调试连接错误

# 9 表示极度冗余，输出非常详细的日志信息

verb 3

# 忽略过多的重复信息

# 相同类别的信息只有前20条会输出到日志文件中

;mute 20

# （如果不添加该指令则）默认值3600，也就是一个小时进行一次TSL重新协商

# 这个参数在服务端和客户端设置都有效

# 如果两边都设置了，就按照时间短的设定优先

# 当两边同时设置成0，表示禁用TSL重协商。使用OTP认证需要禁用

reneg-sec 0

1. 1. 客户端拨号链接

直接openvpn client.ovpn 即可

五、ospf部署。

1. 1. 部署目的

要是实现单一的链接其实很简单不用看如下内容。但是要想实现更好的扩展以及冗余性质。我部署了如下多活系统实现高可用。

1. 1. 部署示意图：

1. 1. HUB点部署

ip route 0.0.0.0/1 10.0.8.1

ip route 128.0.0.0/1 10.0.8.1

!

interface tun0

 ip ospf 5 area 0 10.8.3.1

 ip ospf network broadcast

exit

!

router ospf 5

 ospf router-id 1.1.1.1

 redistribute static route-map DEFAULT

exit

!

ip prefix-list DEFAULT seq 5 permit 0.0.0.0/1

ip prefix-list DEFAULT seq 10 permit 128.0.0.0/1

!

route-map DEFAULT permit 10

 match ip address prefix-list DEFAULT

exit

1. 1. Spoke点部署

ip route 172.0.30.0/24 172.16.1.9

ip route 43.129.203.136/32 172.16.254.1

ip route 43.135.92.5/32 172.16.254.1

ip route 172.0.100.3/32 172.16.254.1

!

interface tun0

 ip ospf 5 area 0

 ip ospf network broadcast

 ip ospf priority 0

exit

!

interface tun1

 ip ospf 6 area 0

 ip ospf network broadcast

 ip ospf priority 0

exit

!

interface ens192

 ip ospf 5 area 0

 ip ospf 6 area 0

exit

!

interface ens224

 ip ospf 5 area 0

 ip ospf 6 area 0

exit

!

router ospf 5

 ospf router-id 1.1.1.12

 redistribute static route-map LAN

exit

!

router ospf 6

 ospf router-id 1.1.1.13

 redistribute static route-map LAN

exit

!

ip prefix-list LAN seq 5 permit 172.0.30.0/24

!

route-map LAN permit 10

 match ip address prefix-list LAN

exit

!

route-map ospf permit 1

exit

!

end

1. 1. 效果展示：

HUB节点

Spoke节点展示

六、致谢。

最后感谢我的同事朋友们对我的大力支持。感谢洋哥。

                                             主要编辑：朱金辉、季田瑞、白宗保