使用OpenVPN构建快速VPN

有许多可以免费获得的VPN产品；一些是内核级的比如openswan而且相当难以配置。由http://openvpn.net/提供的OpenVPN不需要向内核打补丁而且可以非常简单易懂。

虚拟专用网（VPN）是连接到远程网络并且使之看上去像本地网络的一种方法。这意味着你可以连接到你的工作地点并且自由访问资源（如果在工作端也进行了配置），例如共享打印机，工作文档等。

有许多可以免费获得的VPN产品；一些是内核级的比如openswan而且相当难以配置。由http://openvpn.net/提供的OpenVPN不需要向内核打补丁而且可以非常简单易懂。如果你想使用它的许多特性，配置是相当困难的，但是对于一个快速客户端/服务器VPN，你可以在几分钟内建立并运行。

第一步是安装OpenVPN；可以通过编译源码或安装来自你的供应商的包来完成（例如Mandriva，Debian以及其他以一个urpmi或apt-get方式提供OpenVPN包的供应商）。

在你想建立VPN的两个系统上安装了OpenVPN之后，你需要确定如何配置它们以相互连接。最简单的方法是使用一个静态的、预共享的密钥。这存在某些缺点，例如缺乏到服务器的多个客户端，但是对于直接的客户端/服务器场景，它很有效。它也是最简单的安装。

要生成密钥，执行：

# openvpn --genkey --secret static.key

这个文件需要保存于客户端和服务器上，所以通过ssh或者通过诸如软盘或CD这样一些安全方法复制它。

在服务器上，将static.key放在OpenVPN专用的目录中，例如/etc/openvpn/。在这个相同的目录下，创建一个server.conf文件。/etc/openvpn/server.conf文件内容就像：

dev tun

ifconfig 10.10.10.1 10.10.10.2

secret static.key

你可以使用任何未被使用的子网来替换上面给出的10.10.10.0。

在客户端，最好将static.key移动到/etc/openvpn并且用下面的内容创建/etc/openvpn/client.conf：

remote vpn.domain.com

dev tun

ifconfig 10.10.10.2 10.10.10.1

secret static.key

用服务器的主机名或IP地址替换vpn.domain.com。同样，保证UDP端口1194在你的防火墙规则中对双方地址允许接收通信。

在服务器上，用以下命令开启openvpn：

# openvpn --config /etc/openvpn/server.conf

在客户端依葫芦画瓢。现在你应该能够从两端ping到对方主机。如果ping不到，可能某个系统没有正确地允许UDP端口1194的通信。你还应该能够连接在本地LAN中允许的任何服务。

OpenVPN配置起来既可以是简单的，也可以是富有挑战性的。其最大优势之一是它不需要复杂的补丁和编译内核，是跨平台的（有针对Windows，OS X以及其他操作系统的版本）而且能够以一个快速并且轻松的方式将一台远程主机连接到另一台主机。

（责任编辑：陈毅东）

查看本文的国际来源