Mô tả:
LAB CẤU HÌNH SITE-TO-SITE VPN SỬ DỤNG OPEN-VPN
1. Yêu cầu của bài lab
• Xây dựng mô hình Site-to-Site VPN với phần mềm OPEN-VPN cho 1
doanh nghiệp có 2 chi nhánh.
2. Nội dung của bài lab
• Xây dựng 3 máy chủ chạy hệ điều hành CentOS-5.
• Trong đó 2 máy chủ có tên là VPN-Box1 và VPN-Box2.
• Máy chủ thứ 3 làm Gateway tên là Gateway giả lập làm ISP.
3. Kết quả của bài lab
• VPN-Box1 có thể kết nối được đến VPN-Box2 thông qua đường hầm
VPN.
4. Các Interface và IP sử dụng trong bài lab
• Máy chủ VPN-Box1 có 1 interface “eth0” có địa chỉ IP là 192.168.1.1 thuộc
mạng 192.168.1.0/24.
• Máy chủ VPN-Box2 có 1 interface “eth0” có địa chỉ IP là 192.168.2.2 thuộc
mạng 192.168.2.0/24.
• Máy chủ Gateway có 2 interface “eth0” có địa chỉ IP là 192.168.1.2 thuộc
mạng 192.168.1.0/24 và 1 interface “eth1” có địa chỉ IP là 192.168.2.1
thuộc mạng 192.168.2.0/24.
• Đường hầm VPN thuộc mạng 10.0.0.0/24.
5. Mô hình của bài lab
www.ipmac.vn
6. Các bước thực hiện bài lab
• Bước 1 : Cấu hình trên Gateway để VPN-Box1 truy cập được đến VPNBox2.
• Active tính năng “ IP Forwarding” để packet từ interface “eth0” truyền sang
được interface “eth1”.
[ Gateway] # vi /etc/sysctl.conf
sửa “net.ipv4.ip_forward = 0” thành “ net.ipv4.ip_forward = 1”
[ Gateway] # service network restart
• Cấu hình NAT để dịch địa chỉ từ mạng 192.168.1.0/24 sang mạng
192.168.2.0/24 sử dụng IPTABLES của Linux.
[ Gateway] # service iptables start
[ Gateway] # iptables -A POSTROUTING -t nat -o eth0 -s 192.168.1.0/24
-d 0/0 -j MASQUERADE
• Trên VPN-Box1 cấu hình lại địa chỉ gateway là IP của IP của “eth0” trên
máy Gateway.
[ Gateway] # route add default gw 192.168.1.2
www.ipmac.vn
• Bước 2 :
• Tìm kiếm 2 gói phần mềm openvpn và lzo version mới nhất trên website
rpmfind.net.
• Tiến hành cài đặt 2 gói phần mềm trên 2 máy VPN-Box1 và VPN-Box2
bằng công cụ quản lý gói rpm.
[ VPN-Box1] # rpm -ivh lzo-... .rpm
[ VPN-Box1] # rpm -ivh openvpn-... .rpm
[ VPN-Box2] # rpm -ivh lzo-... .rpm
[ VPN-Box2] # rpm -ivh openvpn-... .rpm
• Bước 3 : Tạo 1 shared-key trên VPN-Box1
[ VPN-Box1] # cd /etc/openvpn
[ VPN-Box1] # openvpn --genkey --secret /etc/openvpn/static.key
• Bước 4 : Tạo 1 file cấu hình của openvpn trên VPN-Box1
[ VPN-Box1] # vi /etc/openvpn/vpn-box1.net.conf
dev tun0
remote VPN-Box2
ifconfig 10.0.0.1 10.0.0.2
route 192.168.2.0 255.255.255.0
secret /etc/openvpn/static.key
daemon
lport 15000
rport 1194
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn/rA.example.net-status.log
log-append /var/log/openvpn/rA.example.net.log
ping-restart 60
ping 20
www.ipmac.vn
• Bước 5
• Tạo 1 thư mục tên “openvpn” trong thư mục /var/log
[ VPN-Box1] # cd /var/log
[ VPN-Box1] # mkdir openvpn
• Bước 6 : Tương tự bước 4 và bước 5 trên VPN-Box2
[ VPN-Box2] # vi /etc/openvpn/vpn-box2.net.conf
dev tun0
remote VPN-Box1
ifconfig 10.0.0.2 10.0.0.1
route 192.168.1.0 255.255.255.0
secret /etc/openvpn/static.key
daemon
lport 1194
rport 15000
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn/rA.example.net-status.log
log-append /var/log/openvpn/rA.example.net.log
ping-restart 60
ping 20
[ VPN-Box2] # mkdir /var/log/openvpn
[ VPN-Box2] # chown nobody nogroup /var/log/openvpn
• Bước 7 : Copy file “static.key” từ VPN-Box1 sang VPN-Box2 bằng SCP
[ VPN-Box1] # scp /etc/openvpn/static.key root@VPN-Box2:/etc/openvpn/
www.ipmac.vn
• Bước 8 : Cấu hình IPTABLES trên VPN-Box1 và VPN-Box2 để cho phép
những kết nối VPN từ port 15000 (UDP) trên VPN-Box1 đến port 1194
(UDP) trên VPN-Box2.
[ VPN-Box1] # iptables -A INPUT -p udp –sport 1194 –dport 15000 -j ACCEPT
[ VPN-Box1] # iptables -A OUTPUT -p udp –sport 15000 –dport 1194 -j ACCEPT
[ VPN-Box2] # iptables -A INPUT -p udp –sport 15000 –dport 1194 -j ACCEPT
[ VPN-Box1] # iptables -A OUTPUT -p udp –sport 1194 –dport 15000 -j ACCEPT
• Bước 9 : Kích hoạt dịch vụ open-vpn trên VPN-Box1, VPN-Box2 và kiểm
tra đường hầm tun0 đã được tạo hay chưa.
[ VPN-Box1] # /etc/init.d/openvpn start
[ VPN-Box2] # /etc/init.d/openvpn start
[ VPN-Box1] # ifconfig tun0
[ VPN-Box2] # ifconfig tun0
• Bước 10 ( Testing ) :
[ VPN-Box1] # ping 10.0.0.2
[ VPN-Box2] # ping 10.0.0.1
www.ipmac.vn
- Xem thêm -