技术与应用 ｗ’Ⅳｗ．Ｉｔｅｄｕ．ｏｒｇ．ＣＲ网络与资源应用叨儿塾融豳丝篓鼻 用ＯｐｅｎＶＰＮ构建高效安全的ＶＰＮ 口／李彬 在构建ＶＰＮ时，我们经常会遇到这样的困惑：配会自动创建一个名为ＴＡＰ—Ｗｉｎ３２ＡｄａｐｔｅｒＶ８的 置简单的ＶＰＮ往往不太安全（如ＰＰＴＰ）；配置安全虚拟网络设备，安装完成后可以在Ｃ：＼Ｐｒｏｇｒａｉｎ 的ＶＰＮ往往过于复杂（如ＩＰＳｅｃ），而且基于ＩＰＳｅｃＦｉｌｅｓ＼ＯｐｅｎＶＰＮ看到以下几个目录：ｂｉｎ（放置 的ＶＰＮ无法很好地解决ＮＡＴ的穿透问题。但是用ｏＰｅｎＶＰＮ的主程序）、ｃｏｎｆｉｇ（放置配置文件）、 ＯｐｅｎＶＰＮ就能构建既安全又高效的ＶＰＮ，从而解决ｄｒｉｖｅｒ（放置设备驱动文件）、ｅａｓｙ—ｒｓａ（放置陕速生 以上问题。成密钥的批处理文件）、ｌｏｇ（放置Ｓｅｒｖｅｒ的日志文 ＯｐｅｎＶＰＮ是一套全功能的ＳＳＬＶＰＮ解决方案，件）、ｓａｍＰｌｅ—ｃｏｎｆｉｇ（放置配置文件模板）。 它包含多种配置应用，包括远程访问、站对站虚拟私 四配置ＶＰＮＳｅｒｖｅｌ－ 网、ＷｉＦｉ安全，以及负载均衡、容错性好的企业级 远程访问方案。它具有跨平台的可移植性、良好的稳在命令提示符下进入ｃ：＼ｐｒｏｇｒａｍ 定性、成千上万个客户端支持的可伸展性、支持动态Ｆｉｌｅｓ＼ＯｐｅｎＶＰＮ＼ｅａｓｙ—ｒｓａ目录，以下操作如没 ＩＰ地址及ＮＡＴ等主要特征。有特别说明均在此目录中进行。 本文介绍一个应用开放源码软件ＯｐｅｎＶＰＮ构建（一）进行初始化 基于ＳＳＬ／ＴＬＳ的校园ＶＰＮ案例。客户端将通过校 １．运行ｉｎｉｔ—ｃｏｎｆｉｇ．ｂａｔ。 园服务端的防火墙，穿透ＮＡＴ，建立基于ＴＬＳ认证 ２．修改ｖａｒｓ文件，为了缩小篇幅，只保留了实 方式的ＶＰＮ。该案例在我校的校园网中应用，稳定 际修改部分。 性很好。 ｓｅｔＫＥＹＣｏＵＮＴＲＹ＝ＣＮ＃定义你所在的国 软件环境— 一家，２个字符 ｓｅｔＫＥＹＰＲｏＶＩＮＣＥ＝ＪＸ＃定义你所在的省份 ＶＰＮ服务端采用Ｗｉｎｄｏｗｓ２００３Ｓｅｒｖｅｒ— ｓｅｔＫＥＹＣＩＴＹ＝ＤＡＹＵ＃定义你所在的城市 ＋ＯｐｅｎＶＰＮｆｏｒＷｉｎｄｏｗｓ２０００／ＸＰａｎｄｈｉｇｈｅｒ。＿ ｓｅｔＫＥＹＯＲＧ＝ＤＹＺ×＃定义你所在的组织 客户端采用ＷｉｎｄｏｗｓＸＰ—ＳＰ２＋ＯｐｅｎＶＰＮｆｏｒ＿ ｓｅｔＫＥＹＥＭＡＩＬ＝ｊｘＩｉｂｉｎ＠１６３．ｃｏｒｎ＃定义你的 Ｗｉｎｄｏｗｓ２０００／ＸＰａｎｄｈｉｇｈｅｒ。＿ 邮件地址 二网络环境 （二）生成ＣＡ和Ｃｅｒｔ／Ｋｅｙ ＶＰＮＳｅｒｖｅｒ—Ｆｉｒｅｗａ１ｌ—Ｉｎｔｅｒｎｅｔ—ＡＤＳＬ１．创建ＣＡ的公钥和私钥 Ｃｌｉｅｎｔ，即服务端的ＶＰＮ服务器通过一台防火墙 —（１）运行ｖａｒｓ，使上述修改的变量生效。 连接到因特网，客户端多采用ＡＤＳＬ方式上网。 （２）运行ｃｌｅａｎ—ａｌｌ，初始化Ｋｅｙｓ目录，创建 服务端主要网络设备ＩＰ分配情况：防火墙的对 Ｋｅｙｓ目录和所需要的文件。 外网卡（ｅｔｈ０）ＩＰ为６１．１．１．１（公网ｔ￣ｔｌｋ），对内的网 （３）运行ｂｕｉｌｄ—ｃａ，生成ＲｏｏｔＣＡ证书，用 卡（ｅｔｈ１）ＩＰ为ｌ９２．１６８．１０．１／２４。ＶＰＮ服务器上有 于签发Ｓｅｒｙｅｒ和Ｃｌｉｅｎｔ证书。 块物理网卡，ＩＰ为ｌ９２．１６８．１０．２／２４。 一完成以上步骤后系统会在ｋｅＹｓ目录中创建ｃａ． 三安装ＯｐｅｎＶＰＮｆｏｒＷｉｎｄｏｗｓ２０００／ｃｒｔ、ｃａ．ｋｅｙ、ｉｎｄｅｘ．ｔｘｔ、ｓｅｒｉａｌ四个文件。 ＸＰａｎｄｈｉｇｈｅｒ２．建立ＤｉｆｆｉｅＨｅｌｌｍａｎ文件 执行ｂｕｉｌｄ—ｄｈ，生成ＴＬＳｓｅｒｖｅｒ需要使用的 ＯｐｅｎＶＰＮｆｏｒＷｉｎｄｏｗｓ２０００／ＸＰａｎｄｈｉｇｈｅｒ 文件ｄｈｌ０２４．Ｐｅｍ。 安装包下载地址是ｈｔｔＰ：／／ｏＰｅｎｖＰｎ．ｎｅｔ／ ｄｏｗｎｉｏａｄ．ｈｔｉｎ１。服务端和客户端安装使用相同的软３．创建Ｓｅｒｖｅｒ端的ｃｅｒｔ和ｋｅｙ文件 件包。执行ｂｕｉＩｄ—ｋｅｙ—ｓｅｒｖｅｒｓｅｒｖｅｒ，ｓｅｒｖｅｒ为创 在服务端按默认方式安装ＯＰｅｎＶＰＮ，安装系统建后的文件名，分别为ｓｅｒｙｅｒ．ｃｒｔ、ｓｅｒｖｅｒ．ｋｅｙ。 １３４Ｉ中小学信息技术教育ＩＩ２００７年第７－８期