Tài liệu Labopenvpn

LAB CẤU HÌNH SITE-TO-SITE VPN SỬ DỤNG OPEN-VPN 1. Yêu cầu của bài lab • Xây dựng mô hình Site-to-Site VPN với phần mềm OPEN-VPN cho 1 doanh nghiệp có 2 chi nhánh. 2. Nội dung của bài lab • Xây dựng 3 máy chủ chạy hệ điều hành CentOS-5. • Trong đó 2 máy chủ có tên là VPN-Box1 và VPN-Box2. • Máy chủ thứ 3 làm Gateway tên là Gateway giả lập làm ISP. 3. Kết quả của bài lab • VPN-Box1 có thể kết nối được đến VPN-Box2 thông qua đường hầm VPN. 4. Các Interface và IP sử dụng trong bài lab • Máy chủ VPN-Box1 có 1 interface “eth0” có địa chỉ IP là 192.168.1.1 thuộc mạng 192.168.1.0/24. • Máy chủ VPN-Box2 có 1 interface “eth0” có địa chỉ IP là 192.168.2.2 thuộc mạng 192.168.2.0/24. • Máy chủ Gateway có 2 interface “eth0” có địa chỉ IP là 192.168.1.2 thuộc mạng 192.168.1.0/24 và 1 interface “eth1” có địa chỉ IP là 192.168.2.1 thuộc mạng 192.168.2.0/24. • Đường hầm VPN thuộc mạng 10.0.0.0/24. 5. Mô hình của bài lab www.ipmac.vn 6. Các bước thực hiện bài lab • Bước 1 : Cấu hình trên Gateway để VPN-Box1 truy cập được đến VPNBox2. • Active tính năng “ IP Forwarding” để packet từ interface “eth0” truyền sang được interface “eth1”. [ Gateway] # vi /etc/sysctl.conf sửa “net.ipv4.ip_forward = 0” thành “ net.ipv4.ip_forward = 1” [ Gateway] # service network restart • Cấu hình NAT để dịch địa chỉ từ mạng 192.168.1.0/24 sang mạng 192.168.2.0/24 sử dụng IPTABLES của Linux. [ Gateway] # service iptables start [ Gateway] # iptables -A POSTROUTING -t nat -o eth0 -s 192.168.1.0/24 -d 0/0 -j MASQUERADE • Trên VPN-Box1 cấu hình lại địa chỉ gateway là IP của IP của “eth0” trên máy Gateway. [ Gateway] # route add default gw 192.168.1.2 www.ipmac.vn • Bước 2 : • Tìm kiếm 2 gói phần mềm openvpn và lzo version mới nhất trên website rpmfind.net. • Tiến hành cài đặt 2 gói phần mềm trên 2 máy VPN-Box1 và VPN-Box2 bằng công cụ quản lý gói rpm. [ VPN-Box1] # rpm -ivh lzo-... .rpm [ VPN-Box1] # rpm -ivh openvpn-... .rpm [ VPN-Box2] # rpm -ivh lzo-... .rpm [ VPN-Box2] # rpm -ivh openvpn-... .rpm • Bước 3 : Tạo 1 shared-key trên VPN-Box1 [ VPN-Box1] # cd /etc/openvpn [ VPN-Box1] # openvpn --genkey --secret /etc/openvpn/static.key • Bước 4 : Tạo 1 file cấu hình của openvpn trên VPN-Box1 [ VPN-Box1] # vi /etc/openvpn/vpn-box1.net.conf dev tun0 remote VPN-Box2 ifconfig 10.0.0.1 10.0.0.2 route 192.168.2.0 255.255.255.0 secret /etc/openvpn/static.key daemon lport 15000 rport 1194 user nobody group nogroup persist-key persist-tun status /var/log/openvpn/rA.example.net-status.log log-append /var/log/openvpn/rA.example.net.log ping-restart 60 ping 20 www.ipmac.vn • Bước 5 • Tạo 1 thư mục tên “openvpn” trong thư mục /var/log [ VPN-Box1] # cd /var/log [ VPN-Box1] # mkdir openvpn • Bước 6 : Tương tự bước 4 và bước 5 trên VPN-Box2 [ VPN-Box2] # vi /etc/openvpn/vpn-box2.net.conf dev tun0 remote VPN-Box1 ifconfig 10.0.0.2 10.0.0.1 route 192.168.1.0 255.255.255.0 secret /etc/openvpn/static.key daemon lport 1194 rport 15000 user nobody group nogroup persist-key persist-tun status /var/log/openvpn/rA.example.net-status.log log-append /var/log/openvpn/rA.example.net.log ping-restart 60 ping 20 [ VPN-Box2] # mkdir /var/log/openvpn [ VPN-Box2] # chown nobody nogroup /var/log/openvpn • Bước 7 : Copy file “static.key” từ VPN-Box1 sang VPN-Box2 bằng SCP [ VPN-Box1] # scp /etc/openvpn/static.key root@VPN-Box2:/etc/openvpn/ www.ipmac.vn • Bước 8 : Cấu hình IPTABLES trên VPN-Box1 và VPN-Box2 để cho phép những kết nối VPN từ port 15000 (UDP) trên VPN-Box1 đến port 1194 (UDP) trên VPN-Box2. [ VPN-Box1] # iptables -A INPUT -p udp –sport 1194 –dport 15000 -j ACCEPT [ VPN-Box1] # iptables -A OUTPUT -p udp –sport 15000 –dport 1194 -j ACCEPT [ VPN-Box2] # iptables -A INPUT -p udp –sport 15000 –dport 1194 -j ACCEPT [ VPN-Box1] # iptables -A OUTPUT -p udp –sport 1194 –dport 15000 -j ACCEPT • Bước 9 : Kích hoạt dịch vụ open-vpn trên VPN-Box1, VPN-Box2 và kiểm tra đường hầm tun0 đã được tạo hay chưa. [ VPN-Box1] # /etc/init.d/openvpn start [ VPN-Box2] # /etc/init.d/openvpn start [ VPN-Box1] # ifconfig tun0 [ VPN-Box2] # ifconfig tun0 • Bước 10 ( Testing ) : [ VPN-Box1] # ping 10.0.0.2 [ VPN-Box2] # ping 10.0.0.1 www.ipmac.vn