2011年3月13日 星期日

openVPN-AS 極速架設SSL-VPN伺服器



VPN(Virtual private network)虛擬私人網路是一項可以建立遠端連線的技術,我們耳熟能詳的有發展歷史悠久的pptpVPN點對點撥號連線,這從當初數據機撥號連線的年代就已經被善加利用,也是微軟windows平台內建最早支援的VPN協定,但是發展至今,pptp已經不再是VPN的最佳選擇,怎麼說呢?例如員工B出差到大陸,想藉由台北總公司架設的pptpVPN伺服器連回台灣享用總公司的網路資源,但無奈大陸地區對於網路資訊的封鎖管理甚嚴,不僅台灣許多IP被封鎖,甚至連通訊埠也做阻擋的動作,像pptp這種使用TCP 1732port與GRE47通訊協定的網路服務就有被防火牆阻擋的可能,遠從大陸,近的恐怕連本地一般企業都可能對這些埠口做管制,在這個資訊爆炸的年代,實在很難想像還有甚麼資訊流通是可以被封鎖的,也因此SSLVPN這項新技術應孕而生,拯救眾多苦難的鄉民於網海之中。

SSL-VPN走的通訊埠口是https的443 port,又利用SSL加密封包,所以既不會被阻擋又可保有資訊傳輸的安全性,正常來說應該沒有一個防火牆會阻擋網頁通訊埠口吧?這也正是SSL-VPN的優勢,它會比其他VPN伺服器更不容易被防火牆阻擋,一般來說想要使用SSLVPN這項服務通常是購買網路設備來達成,知名品牌Juniper正是提供這項服務設備的領導者,而次等品牌最便宜少說也是萬元起跳,若是想利用Linux安裝這項服務也不是辦不到,開源軟體openVPN就可以達到這樣的功能,openVPN旗下的openVPN Access Server服務提供了親和力十足的Web管理介面與彈指間的安裝設定流程,這也是本次tomy168要為各位介紹的VPN救星openVPN-AS,以下我們採用64位元的Ubuntu 10.04LTS作為伺服端來做架設SSLVPN伺服器的介紹。




官網下載64位元的deb整合包並點擊執行安裝

至下列位置執行ovpn-init這個script檔案進行安裝設定

問題幾乎都可採用預設值,管理帳號部分建議使用root,否則你還要另外對openvpn這個帳號做密碼設定

新版本1.70已經不需要免費LicenseKey,所以空白略過即可。

請在瀏覽器輸入該伺服器在區網的IP,這邊要注意協定為https喔!

如果是Firefox的話請新增例外網站即可進入管理介面

其實URL的地方不加上943端口也是可以登入的。

登入admin管理頁面後出現了直覺式的gui提供管理員做維護。

授權部分預設免費贈送2個連線,若要增加數量的話需要付費購買LicenseKey。

極重要的部分,請輸入Internet辨識您的IP或FQDN,若您的VPN伺服器藏在防火牆後面,那可不能輸入區網的IP喔!

這邊也請注意,VPN用戶自動取得的IP範圍,請依您的網路環境設定適合的位置。

那麼要設定連線端用戶也很簡單,這邊預設是可輸入本機PAM認證的user。

若企業內部採用WindowsAD環境的話也可以使用LDAP認證。

openVPN-AS提供上線用戶列表方便管理員檢視。

Log報告更貼心地提供了詳盡的連線細節以便管理員備查。

用戶端部分,請於瀏覽器網址列輸入伺服器網址,請注意yourFQDN處是指對INTERNET的Public IP喔!

首先windows Client用戶須先下載用戶端Plugin軟體進行安裝。

openVPN Client軟體安裝完畢後請依圖進行連線,FQDN處請改為您的網址或實體IP。

原本無法連線被封鎖的網站...

因為連上了SSLVPN後,透過VPN伺服器已經可以正常上網囉。




SSLVPN的魅力不僅是可以解決網頁被封鎖的困擾,企業環境更可利用SSLVPN讓員工在家裡也可以連回公司的區域網路進行作業辦公,openVPN其實在架設上非常困難繁瑣,幸好推出了openVPN-AS這項產品,讓我們可以輕鬆享受SSLVPN的服務,在官網也提供了VM虛擬機器的家電檔案,想測試的玩家們不妨利用虛擬機器嘗試看看,基本上只要稍有網路概論程度的玩家們應該都可以輕鬆駕馭這套軟體,其實架設伺服器通常不是一件困難的事情,重點還是在於如何應用與設計,水可載舟亦可覆舟,SSLVPN是一雙面刃,若廣泛的運用於用戶之間,以IT的角度來說是難以應付的,但我認為大勢所趨不可擋,這就是網路的本質,還請各位小心使用,祝大家使用愉快啊!

0 意見: