| blob | 7e86a66acbdfade855d156b055b7489acb52333d |
1 ref: http://tech.ccidnet.com/art/308/20031224/77483_1.html
2 谈谈如何使用Linux建立IP隧道
3 发布时间:2003.12.24 15:54 来源:LinuxAid 作者:ideal
5 摘要
7 随着互联网中IPv4可用地址的日益减少,越来越多的企业开始采用NAT方式上网,可用公网IP地址越来越少,而通过互联网访问内部服务器的需求却不断增加,因此本文对linux环境下建立通过互联网的IP隧道的方法,以实现对内部服务器的访问进行一些初浅的探讨,希望能起到抛砖引玉的作用。
9 方法一:基于SSH的加密通道
11 SSH (Secure Shell)是一套安全的网络连接程序,它可以实现通过网络远程登录其他系统,它就是加密的telnet协议。但是OPENSSH除了具有远程登录功能以外,更可以建立加密IP隧道。
13 我们这里假设Alice.org服务器位于某个企业网的内网,其IP地址为 192.168.2.200,它通过NAT方式可以访问互联网。我们现在需要通过位于互联网上的名字为bob.org的机器里访问Alice,也就是远程登录Alice。这时候我们就需要在bob和alice之间建立IP隧道。我们首先登录Alice,执行命令:
15 # ssh -R 11022:127.0.0.1:22 ideal@211.1.1.1
17 该命令表示登录服务器211.1.1.1,并将服务器的11022定向为本地的22 号端口。执行完该命令以后,会提示输入ideal用户密码,输入以后就会登录到远程服务器bob。这时在bob上netstat -ln就会发现11022端口监听,保持从alice到bob的ssh连接不断开。从互联网任何位置登录服务器bob以后,我们可以通过该隧道登录到 alice服务器,执行以下命令:
19 # ssh localhost -p 11022
21 该命令表示连接本地的11022端口,因为我们已经创建了从alice到bob的隧道,因此连接本地的11022端口实际上就是通过隧道访问alice的22端口号。
23 这样通过这个隧道就可以实现登录位于内部网的服务器alice,但是因为ssh命令中指定了源端口,这种隧道一般只能支持一种协议,对于特定应用则具有加密带来的安全性的优点,但灵活性则不够,而且为了保证隧道畅通,从alice到 bob的ssh连接不能断开,也就意味着用户不能退出alice,否则隧道就会关闭。
25 方法二:使用vtun建立IP隧道
27 VTun (Virtual TUNnel,http://vtun.sourceforge.net)是一个功能很强的软件,可以利用它来建立 IP虚拟隧道,而且隧道的数目可以不受限制,完全依照机器的能力而定,并且在此基础上应用上可以实现VPN、移动IP等功能。
29 Vtun所支持的通道并且具有多种功能特性:
31 加密:支持基于CHAP的认证、并采用BlowFish 128bit密钥。
32 压缩:支持zlib、lzo等多种压缩算法。
33 通信整形:平台无关,允许分别限制进入和流出通道的速率。
35 Vtun支持以下类型通道:
37 IP tunnel (tun):支持ppp的IP隧道。
38 以太网隧道(Ethernet tunnel):支持可以实现以太网封装的各种协议,如:IPX、Appletalk、Bridge等。
39 串口通道(Serial tunnel,tty):支持串行电缆的传输方式,如:PPP、SLIP等。
40 管道通道(Pipe tunnel,pipe):支持所有能使用Unix管道的程序。
42 Vtun支持多种平台,包括:Linux、BSD以及 Solaris。
44 下载软件:
46 http://prdownloads.sourceforge.net/vtun/vtun-2.6.tar.gz
48 http://vtun.sourceforge.net/tun/tun-1.1.tar.gz
50 网络介绍
52 bob.org拥有固定ip(211.1.1.1),所以作为vtun的服务器端。 alice.org没有固定的ip,采用的是NAT接入方式,因为没有固定公网IP地址,也没有域名。alice.org应该作为VPN的客户端,通过 vtund连接bob.org服务器,建立VPN通道。
54 首先确保两台服务器都允许IP forwarding。这点可以通过运行命令:
56 # /sbin/sysctl -w net.ipv4.ip_forward=1
58 如果希望永久打开,则可以通过编辑/etc/sysctl.conf文件,将其中的net.ipv4.ipforward=0行改成net.ipv4.ipforward=1来实现。
60 安装tun设备
62 在安装vtun之前我们首先要安装虚拟通道点到点设备(Virtual Point-to-Point(TUN) and Ethernet(TAP) devices),将会在/dev中产生两个虚拟通道设备/dev/tunX(字符设备)和tunX(virtual Point-to-Point interface,虚拟点到点接口)。
64 安装vtun-1.1.tar.gz:
66 1. 解压软件:
68 # tar xvfz tun-1.1.tar.gz
70 2. 配置:
72 # cd tun-1.1
73 # ./ configure
75 注意:安装tun需要系统安装有和当前内核版本一致的内核源代码,因此建议安装位于安装光盘的内核源代码RPM包。
77 3. 安装:
79 # make install
81 4. 加在内核模块
83 # modprobe tun
85 如果希望系统启动时自动加载该模块,则编辑/etc/modules.conf,添加:
87 alias char-major-90 tun #2.2.x内核
88 alias char-major-10-200 tun #2.4.x内核
90 这样就完成了对ip隧道驱动tunX的安装。查看内核模块,看tun是否被正确安装:
92 # lsmod
93 Module Size Used by
94 tun 4064 3
96 安装Vtund
98 解压缩:
99 #tar xvfz vtun-2.6.tar.gz
100 #cd vtund
102 配置:
104 # ./configure --disable-lzo --disable-zlib --disable-shaper
106 注:我们这里不打算压缩和流量成形,因此需要带这些参数,如果希望支持压缩,则需要先安装lzo或者zlib软件。
108 编译安装:
110 # make install
112 默认情况下,vtund被安装在/usr/local/sbin/目录下,而默认的配置文件则为/usr/local/etc/vtund.conf中。需要在两台机器上分别安装vtund和tun驱动,其中bob.org服务器上的 vtund以服务器方式运行,而alice.org的vtund以客户端方式运行。
114 vtund.conf配置文件说明:
116 vtund.conf文件是vtund配置文件。Vtund.conf文件格式为:
118 name {
119 keyword value;
120 keyword value;
121 ..
122 }
124 关键字定义值后的分号是必须的,name后必须有完整的{}。Name可以有以下几个值:
126 options:定义通用选项,例如端口号等信息;
127 default:所有会话的默认值;
128 session(可以为任意名,用于识别一个会话):指定该会话的特定值,用以覆盖default中的定义。
130 下面是作为作者实际运行环境中以服务器方式运行的vtund.conf的内容:
132 options { # bob.org,隧道IP地址为10.0.2.2
133 port 5000; # vtund服务器监听端口
134 ppp /usr/sbin/pppd;
135 ifconfig /sbin/ifconfig;
136 route /sbin/route;
137 firewall /sbin/ipchains;
138 # vtund需要调用的各种程序的路径信息;
139 }
140 # 默认会话选项
141 default {
142 type tun; #
143 proto udp;# 下层采用UDP协议
144 comp no; # 不对会话压缩
145 encr no; # 不对会话加密
146 keepalive yes #保证连接一直激活;
148 alice { # 主机alice建立的会话特定选项,可以覆盖默认会话选项的配置
149 pass alice; # 回话建立密钥
150 type tun; # 通道类型为IP隧道方式
151 proto tcp; # 采用下层tcp协议
152 comp no; # 不对会话压缩
153 encr no; # 不对会话加密
154 keepalive yes; # Keep connection alive
156 up {#连接建立时,首先应该运行的命令
157 ifconfig "%% 10.0.2.2 pointopoint 10.0.1.2 mtu 1450";
158 #首先激活接口,其中采用ppp建立连接,ppp本地IP为10.0.2.2,
159 #而远程IP分配为10.0.1.2。
160 program /sbin/arp "-sD 10.0.1.2 eth0 pub"; #配置arp表项
161 route "add -net 10.0.1.0 netmask 255.255.255.0 gw 10.0.2.2";
162 # 添加路由
163 };
164 down {#连接建立时,首先应该运行的命令
165 program "/sbin/arp -d 10.0.1.2 -i eth0";
166 };
167 }
170 vtund的更详细说明请参考man vtund.conf的帮助手册内容。
171 下面是作为作者实际运行环境中以客户端方式运行的vtund.conf的内容:
173 客户端(yyy.org VPN_IP=10.0.1.2):
175 options {
177 port 5000;
178 ppp /usr/sbin/pppd;
179 ifconfig /sbin/ifconfig;
180 route /sbin/route;
181 firewall /sbin/ipchains;
183 }
185 alice {
187 pass alice;
188 keepalive yes;
190 up {
192 ifconfig "%% 10.0.1.2 pointopoint 10.0.2.2 mtu 1450";
193 program /sbin/arp "-sD 10.0.2.2 eth0 pub";
194 route "add -net 10.0.2.0 netmask 255.255.255.0 gw 10.0.1.2";
195 firewall "-A forward -s 10.0.0.0/24 -d 10.0.2.0/24 -j ACCEPT";
197 };
199 down {
201 firewall "-D forward -s 10.0.0.0/24 -d 10.0.2.0/24 -j ACCEPT";
202 program "/sbin/arp -d 10.0.2.2 -i eth0";
204 };
205 }
207 启动vtund
209 服务器端(bob.org):只须以root身份执行/usr/sbin/vtund -s就可以了,如果希望系统启动后自动建立VPN通道,可以将这个命令加入/etc/rc.d/rc.local中。
211 客户端(alice.org):只须以root身份执行/usr/local/sbin/vtund alice bob.org就可以了,如果希望系统启动后自动建立VPN通道,可以将这个命令加入/etc/rc.d/rc.local中。
213 如果连接建立起来以后,在alice上运行ifconfig应该有以下的输出:
215 tun0 Link encap:Point-to-Point Protocol
216 inet addr:10.0.1.2 P-t-P:10.0.2.2 Mask:255.255.255.255
217 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1450 Metric:1
218 RX packets:0 errors:0 dropped:0 overruns:0 frame:0
219 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
220 collisions:0 txqueuelen:10
221 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
223 可以看到,系统多了一个网络接口tun0,其IP地址为10.0.1.2,而对端(服务器端)IP地址则为10.0.2.2。这时在alice或者bob上,可以建立静态路由信息或者直接连接对端的网络或主机,实现跨越互联网的VPN隧道,当然该隧道并没有加密。
225 注:如果在客户端运行vtund alice bob.org后连接无建立,则应该注意查看内核是否加载了tun0模块。