Board logo

標題: 【香港一人一VPN Server】—— 4291# DD-WRT OpenVPN Multi Certs 教学 [打印本頁]

作者: yhfung    時間: 2009-2-3 17:04     標題: 【香港一人一VPN Server】—— 4291# DD-WRT OpenVPN Multi Certs 教学

提示: 作者被禁止或刪除 內容自動屏蔽
作者: yhfung    時間: 2009-2-3 17:32

提示: 作者被禁止或刪除 內容自動屏蔽
作者: yhfung    時間: 2009-2-3 18:35

提示: 作者被禁止或刪除 內容自動屏蔽
作者: kitho    時間: 2009-2-3 18:48

我有興趣~~~

小弟有基本既NETWORK知識~
作者: yhfung    時間: 2009-2-3 20:23

提示: 作者被禁止或刪除 內容自動屏蔽
作者: yhfung    時間: 2009-2-3 20:55

提示: 作者被禁止或刪除 內容自動屏蔽
作者: yhfung    時間: 2009-2-3 21:28

提示: 作者被禁止或刪除 內容自動屏蔽
作者: kitho    時間: 2009-2-3 22:11

想問下樓主既定義一人一VPN為

HOME ROUTER仔 <---> LAPTOP
HOME ROUTER仔 <--->出街
起VPN SERVER 比MULTI USER?
作者: hkcwnet    時間: 2009-2-3 22:49

剛在家中裝左 Netscreen 5GT, 等我set 好再搵你試
作者: yhfung    時間: 2009-2-3 22:54

提示: 作者被禁止或刪除 內容自動屏蔽
作者: yhfung    時間: 2009-2-3 22:55

提示: 作者被禁止或刪除 內容自動屏蔽
作者: kitho    時間: 2009-2-3 23:01

你意思是 家中起vpn server, 由街外connect?
作者: hoho425    時間: 2009-2-3 23:08

買不起netscreen這個東西,我是用server2003 架了個vpn pptp 來用的,可能對應用方面是不夠其他穩定,但對於用家,pptp是個比較簡單設定的vpn。
作者: yhfung    時間: 2009-2-3 23:49

提示: 作者被禁止或刪除 內容自動屏蔽
作者: yhfung    時間: 2009-2-3 23:50

提示: 作者被禁止或刪除 內容自動屏蔽
作者: HOMEINNS    時間: 2009-2-4 00:43

提示: 作者被禁止或刪除 內容自動屏蔽
作者: kitho    時間: 2009-2-4 00:50

DEL......

[ 本帖最後由 kitho 於 2009-2-4 00:59 編輯 ]
作者: kitho    時間: 2009-2-4 00:58

原帖由 HOMEINNS 於 2009-2-4 00:43 發表

小弟在國内的家擁有目前國内家用寬帶最高速的 10MBps (Both Upload and download)  LAN login 形式的 China Telecom  高速 ISP (類似香港的 HKBN)

國内普通的老百姓目前還是用龜速的 2M~3M ADSL,  我國内的家的10MBps  ...


如以家用黎講, hkbn 應該係最好~
我想研究site to site vpn~~

之前掂過下隻fortigate60B,~~
NOW 想試買2隻L3 CISCO SWITCH...
有機會一齊玩下

[ 本帖最後由 kitho 於 2009-2-4 01:00 編輯 ]
作者: madcow    時間: 2009-2-4 01:08

原帖由 kitho 於 2009-2-4 12:58 AM 發表


如以家用黎講, hkbn 應該係最好~
我想研究site to site vpn~~

之前掂過下隻fortigate60B,~~
NOW 想試買2隻L3 CISCO SWITCH...
有機會一齊玩下


L3 CISCO SWITCH ...... 幾餅o野一隻
作者: lamsoft    時間: 2009-2-4 01:09

家裡有使用VPN, 但主要用途用來破解防火牆, 透過443 port來進行其他通訊 :P
作者: yhfung    時間: 2009-2-4 01:12

提示: 作者被禁止或刪除 內容自動屏蔽
作者: lamsoft    時間: 2009-2-4 01:16

原帖由 yhfung 於 2009-2-4 01:12 發表


能詳細說說嗎,可能其他member會有非常大的興趣。

角色

使用軟件: softether
功能很大, 可以透過ssh, direct port, proxy來連接vpn server
公司就 算有firewall都奈你不可.......只要有443 port開通就可以
作者: kitho    時間: 2009-2-4 01:18

原帖由 madcow 於 2009-2-4 01:08 發表

L3 CISCO SWITCH ...... 幾餅o野一隻


我諗住買2手...or 3手...還掂有cco..唔怕
作者: kitho    時間: 2009-2-4 01:19

原帖由 lamsoft 於 2009-2-4 01:16 發表

使用軟件: softether
功能很大, 可以透過ssh, direct port, proxy來連接vpn server
公司就 算有firewall都奈你不可.......只要有443 port開通就可以



443...用ssl port?
作者: lamsoft    時間: 2009-2-4 01:24

原帖由 kitho 於 2009-2-4 01:19 發表



443...用ssl port?

443 HTTPS SSL SHA1/MD5加密...
firewall無法知道內裡數據是甚麼~

[ 本帖最後由 lamsoft 於 2009-2-4 01:24 編輯 ]
作者: 出入平安    時間: 2009-2-4 01:26

原帖由 lamsoft 於 2009-2-4 01:09 發表
家裡有使用VPN, 但主要用途用來破解防火牆, 透過443 port來進行其他通訊 :P


我都用緊 , 不過唔好太揚, D NETWORK ADMIN唔係傻架

比pptp好, pptp過唔到proxy ..
作者: yhfung    時間: 2009-2-4 01:31

提示: 作者被禁止或刪除 內容自動屏蔽
作者: lamsoft    時間: 2009-2-4 01:32

原帖由 出入平安 於 2009-2-4 01:26 發表


我都用緊 , 不過唔好太揚, D NETWORK ADMIN唔係傻架

比pptp好, pptp過唔到proxy ..

咁佢會知係softether既data,  但至少data encrypted, 唔知入面係乜..
作者: 出入平安    時間: 2009-2-4 01:44

原帖由 lamsoft 於 2009-2-4 01:32 發表

咁佢會知係softether既data,  但至少data encrypted, 唔知入面係乜..

  不過免費版softether好似不再提供了
作者: kitho    時間: 2009-2-4 01:57

原帖由 lamsoft 於 2009-2-4 01:32 發表

咁佢會知係softether既data,  但至少data encrypted, 唔知入面係乜..

啊?
呢隻我又未用過~~我用過一隻豬 IPIG

乜都好易SET
作者: yhfung    時間: 2009-2-4 11:01

提示: 作者被禁止或刪除 內容自動屏蔽
作者: HOMEINNS    時間: 2009-2-4 11:04

提示: 作者被禁止或刪除 內容自動屏蔽
作者: ban_account    時間: 2009-2-4 15:06

原帖由 HOMEINNS 於 2009-2-4 11:04 發表
哇,原來一山還有一山高,  HKEPC 真是破網高手雲集。

咱們這些常駐在國内工作的港燦破網老鼠雖然人口衆多(高達20萬之眾),但我們的破網要求其實很低,不需要動用軍用標準的加密(443 HTTPS SSL SHA1/MD5加密),反正都是一些公開的 ...


SSL VPN是屬於Application layer,是用來解決IPSec 設定複雜和需要系統支援問題。因為SSL VPN所有設定都只需要在server setting ,而client 只需要有一個支援SSL Brower就可以使用了。
而IPSec其實都支援用SHA-1/MD5加密,只不過大部份IPSec router只支援AES、DES、3DES加密技術而已。
不過AES其實不比SHA-1弱,相反AES 256bits還更強。當然SHA都會進化,所以有SHA-2家族出現。為何叫家族?因為SHA-2有四個成員SHA-224、SHA-224、 SHA-256、 SHA-384、SHA-512都是按照加密鑰位元長命名。

[ 本帖最後由 ban_account 於 2009-2-4 15:23 編輯 ]
作者: yhfung    時間: 2009-2-4 15:30

提示: 作者被禁止或刪除 內容自動屏蔽
作者: kitho    時間: 2009-2-4 16:40

原帖由 ban_account 於 2009-2-4 15:06 發表


SSL VPN是屬於Application layer,是用來解決IPSec 設定複雜和需要系統支援問題。因為SSL VPN所有設定都只需要在server setting ,而client 只需要有一個支援SSL Brower就可以使用了。
而IPSec其實都支援用SHA-1/MD5加 ...



補充一下
有一種叫MPLS 既技術~~有冇師兄有研究?
呢個SO POWERFUL~~
作者: ban_account    時間: 2009-2-4 17:36

原帖由 kitho 於 2009-2-4 16:40 發表



補充一下
有一種叫MPLS 既技術~~有冇師兄有研究?
呢個SO POWERFUL~~



師兄指MPLS 是不是Multi Protocol Label Switching這個?
作者: kitho    時間: 2009-2-4 18:12

原帖由 ban_account 於 2009-2-4 17:36 發表



師兄指MPLS 是不是Multi Protocol Label Switching這個?



對呀~~~
師兄都有研究嗎?
作者: ban_account    時間: 2009-2-4 19:28

MPLS原先設計是用來加快 IP Packets 傳送,最先是用在  synchronous optical networking。其後發展在ATM、 frame relay 及 Ethernetd。當中class of service (CoS)這技術可以使MPLS在real time application (e.g. VoIP)應用上更加合適。
作者: ban_account    時間: 2009-2-4 19:39

其實VPN應用原本是透過internet進行原本只可以在LAN的application。
而IPSec是因為IP Protocol 資料傳送不可靠而出現,透過IPSec應用可以使資料傳送得到資料正確保證。
所以IPSec 可以在不加密資料下應用,因為只需要加密證書(AH)就可以了,因為只要證明資料是由那個傳送者送出就可以了。
作者: yhfung    時間: 2009-2-4 19:52

提示: 作者被禁止或刪除 內容自動屏蔽
作者: ban_account    時間: 2009-2-4 20:00

原帖由 yhfung 於 2009-2-4 19:52 發表
VPN技术参考网站,值得大家一看。



  • http://computer.howstuffworks.com/vpn.htm



  • 很好的網站。很扼要說了VPN各種技術和應用,容易使人明白。
    謝謝師兄
    作者: rhkl    時間: 2009-2-4 20:04

    提示: 作者被禁止或刪除 內容自動屏蔽
    作者: yhfung    時間: 2009-2-4 23:47

    提示: 作者被禁止或刪除 內容自動屏蔽
    作者: kitho    時間: 2009-2-5 02:44

    原帖由 yhfung 於 2009-2-4 23:47 發表
    谢谢版主的信息。

    其实我只用过PPTP和SSL VPN,但是在我的用过的经验,PPTP是最快,而SSL比较慢。

    角色


    SSL 個CAL 唔同...不能相提並論...
    作者: kennylam777    時間: 2009-2-5 05:35

    原帖由 rhkl 於 2009-2-4 20:04 發表
    PPTP VPN 是不會Block 的,因為跨國企業、廠家都會用,但兼容性實在不敢恭維。(兩邊Router要設定PPTP Passthrough)

    IPSec VPN 最安全,但門檻極高、建構費用昂貴。

    SSL VPN 安全度和兼容性最好,建構成本低,但設定上有難度(主 ...


    國內家用寬頻Block VPN唔出奇, 至少深圳Cable已經block左PPTP......
    其實Windows server 2008都有SSL VPN, 叫做SSTP, 不過麻煩程度比OpenVPN仲要高, 因為要gen cert之餘仲要搞埋Trusted root先用得
    作者: kennylam777    時間: 2009-2-5 05:37

    原帖由 lamsoft 於 2009-2-4 01:16 發表

    使用軟件: softether
    功能很大, 可以透過ssh, direct port, proxy來連接vpn server
    公司就 算有firewall都奈你不可.......只要有443 port開通就可以


    幾年前已經用過......可惜1.0版功能實在有限, SoftEther 2.0冇英文之餘仲要收錢
    而家會用OpenVPN取代, 呢排試緊MS個SSTP都OK, 暫時都係OpenVPN比較flexible
    作者: yhfung    時間: 2009-2-5 12:33     標題: 回覆 46# 的帖子

    提示: 作者被禁止或刪除 內容自動屏蔽
    作者: tamtsin038    時間: 2009-2-5 14:49     標題: 回覆 47# 的帖子

    對一般user來講,OpenVPN都幾難set下,我上次整佐成晚
    作者: giantgerald    時間: 2009-2-5 15:58

    我隻zyxel 460n 有ipsec vpn 功能
    但係睇完manual後有d位唔識set

    manual: ftp://ftp.zyxel.com/NBG-460N/user_guide/NBG-460N_3.60_Ed2.pdf

    Page 206

    請問authentication method同埋ike應該點set?
    thanks

    [ 本帖最後由 giantgerald 於 2009-2-5 16:09 編輯 ]
    作者: ban_account    時間: 2009-2-5 16:28

    原帖由 giantgerald 於 2009-2-5 15:58 發表
    我隻zyxel 460n 有ipsec vpn 功能
    但係睇完manual後有d位唔識set

    manual: ftp://ftp.zyxel.com/NBG-460N/user_guide/NBG-460N_3.60_Ed2.pdf

    Page 206

    請問authentication method同埋ike應 ...



    authentication method 是設定vpn gateway ip (router本身) 和給vpn Client IP
    IKE那裡是設定加密用那種algorithm和pre-share key(加密用密碼),Encapsulation Mode用Tunnel。IPSec Protocol 如果要安全可以用AH加ESP,如果想速度快可以只用AH。

    可以用winodws內置IPSec/L2TP Client
    作者: mdws2002    時間: 2009-2-5 18:06

    原帖由 lamsoft 於 2009-2-4 01:16 發表

    使用軟件: softether
    功能很大, 可以透過ssh, direct port, proxy來連接vpn server
    公司就 算有firewall都奈你不可.......只要有443 port開通就可以

    呢個我目前都使用中。
    配搭Sygate Home Network將屋企個網絡帶到世界不同地方。
    祇可惜,暫時該軟件版本祇有1.0免費,而且祇有英文版本才可以正常安裝Virtual Hub,另外Vista不支援Virtual Hub,祇能作Client使用。
    作者: type4    時間: 2009-2-5 18:52

    我就用退役的epc701 做vpnserver(openvpn)
    setting (tap tunnel + bridge)
    之前因為自己沒有兩個寬頻,要出街才能測試...(同一subnet問題)
    現在試到用virtral box connect....
    還可作極速測試添
    不過唔知準唔準...
    PC(WIRELESS CONNECT)
    tomato wbr-54g   15xKB (125MHZ) cpu usage (80%)
    epc vpnserver 1.0xMB(533MHZ) cpu usage (27%)
    作者: yhfung    時間: 2009-2-5 19:04

    提示: 作者被禁止或刪除 內容自動屏蔽
    作者: giantgerald    時間: 2009-2-5 19:36

    原帖由 ban_account 於 2009-2-5 16:28 發表



    authentication method 是設定vpn gateway ip (router本身) 和給vpn Client IP
    IKE那裡是設定加密用那種algorithm和pre-share key(加密用密碼),Encapsulation Mode用Tunnel。IPSec Protocol 如果要 ...

    thanks
    Local ID Type
    Local Content
    Peer ID Type
    Peer Content
    呢四個應該點SET
    同埋CONNECT個時要用咩username同pw?
    thanks
    作者: lamsoft    時間: 2009-2-5 20:02

    原帖由 mdws2002 於 2009-2-5 18:06 發表

    呢個我目前都使用中。
    配搭Sygate Home Network將屋企個網絡帶到世界不同地方。
    祇可惜,暫時該軟件版本祇有1.0免費,而且祇有英文版本才可以正常安裝Virtual Hub,另外Vista不支援Virtual Hub,祇能作Client使用。

    暫時我知的只有這隻可以用https協定穿firewall...
    功能上不夠大, 但這個功能已經比其他vpn軟件好好了
    作者: type4    時間: 2009-2-5 20:25

    我用openvpn都可以用443接回家,但不知是否公司沒有block到呢...
    (其他port過唔到)
    to yhfung:圖我要遲啲先覆到你,因為有少少複雜...
    作者: type4    時間: 2009-2-5 21:41

    to yhfung:
    主機 q6600 winxp(ip 192.168.1.2 gateway 192.168.1.1)行virtual box
    virtual box Gateway 10.10.1.15
    virtual box 內的 xp 10.10.1.16 gateway 10.10.1.15
    再由virtual box 內的xp 行vpnclient connect vpnserver 得到ip 192.168.1.x gateway 192.168.1.1
    之後從nas wed download 一個100mb file 作測試
    作者: lamsoft    時間: 2009-2-5 21:50

    原帖由 type4 於 2009-2-5 20:25 發表
    我用openvpn都可以用443接回家,但不知是否公司沒有block到呢...
    (其他port過唔到)
    to yhfung:圖我要遲啲先覆到你,因為有少少複雜...

    咁我遲下都要研究下呢一隻野先
    謝謝 :)
    作者: yhfung    時間: 2009-2-5 21:52

    提示: 作者被禁止或刪除 內容自動屏蔽
    作者: 出入平安    時間: 2009-2-5 22:23

    VISTA  可以在兩張INTERFACE各自拿一個IP
    作者: yhfung    時間: 2009-2-5 22:31

    提示: 作者被禁止或刪除 內容自動屏蔽
    作者: type4    時間: 2009-2-5 22:32

    因為測試速度關係,所以只經內聯網經vpnserver download bandwidth.
    而且主機本身是同router同一subnet(192.168.1.x)關係,無得用vpnclient再取同一subnet ip(192.168.1.x)和internet本人因用i-cable所以得 1.5Mb upload ~16xKB
    用router upload已經是可以做到最大了,試 epc不到 作vpnserver 的速度
    所以用內聯和virtual box來試.

    而 virtual box 是虛疑機器 能在 xp 內安裝多個系統(eg server 2003, linux, win98),而且能同時執行幾個系統.(即在xp 內 行幾個xp 或 2003 或 linux)
    如在virtual box 執行xp 時,它會把自己作為router派ip 給 虛疑機內的xp系統.
    是個測試software的好工具

    我想問下pptp同一subnet 會撞嗎?
    作者: yhfung    時間: 2009-2-5 22:38

    提示: 作者被禁止或刪除 內容自動屏蔽
    作者: ban_account    時間: 2009-2-5 22:54

    原帖由 yhfung 於 2009-2-5 22:38 發表
    谢谢type4的宝贵信息。

    在PPTP里,一般都是Server-Client模式,所以没有这个subnet问题。如果两个Routers(一边行VPN Server,另外一边行VPN Client),我估计两边可能要有不同的subnet(这个我没有试过)。

    角色


    PPTP可以用同一subnet,不過小心不要分派在原本intranet已用的IP address,因為會撞IP。
    作者: yhfung    時間: 2009-2-5 22:58

    提示: 作者被禁止或刪除 內容自動屏蔽
    作者: ban_account    時間: 2009-2-5 22:59

    原帖由 type4 於 2009-2-5 20:25 發表
    我用openvpn都可以用443接回家,但不知是否公司沒有block到呢...
    (其他port過唔到)
    to yhfung:圖我要遲啲先覆到你,因為有少少複雜...


    Port443不會 Block 因為當要進入有需要安全性認證網站是需要用Port443行SSL。
    e.g. Microsoft Exchange OWA、CRM.....
    作者: type4    時間: 2009-2-5 23:00

    sorry 我的圖應該有少少問題.
    應該在virtral box 內 xp 是 10.10.1.16 而不是 192.168.1.16
    所以看得怪怪的...
    圖中192.168.1.16 是從vpnclient 得來的
    作者: joes    時間: 2009-2-5 23:02

    我想問...沒有人用L2TP的嗎?
    L2TP不是比PPTP安全嗎?
    作者: type4    時間: 2009-2-5 23:06     標題: 回覆 66# 的帖子

    即是可以從這個洞溜出去...
    firewall 也管不了嗎??
    作者: ban_account    時間: 2009-2-5 23:17

    原帖由 type4 於 2009-2-5 23:06 發表
    即是可以從這個洞溜出去...
    firewall 也管不了嗎??


    不是firewall管不了,而是SSL VPN就是https來運作除非不需要進入加密安全網頁(e.g. 銀行網上服務)。
    作者: ban_account    時間: 2009-2-5 23:26

    原帖由 joes 於 2009-2-5 23:02 發表
    我想問...沒有人用L2TP的嗎?
    L2TP不是比PPTP安全嗎?


    L2TP就是用IPSec了,我們一直說IPSec就是IPSec/L2TP VPN
    作者: yhfung    時間: 2009-2-6 13:36

    提示: 作者被禁止或刪除 內容自動屏蔽
    作者: yhfung    時間: 2009-2-8 01:20

    提示: 作者被禁止或刪除 內容自動屏蔽
    作者: type4    時間: 2009-2-8 10:22

    tomato openvpn
    http://bbs.et8.net/bbs/showthread.php?goto=lastpost&t=958622
    作者: yhfung    時間: 2009-2-8 23:49

    提示: 作者被禁止或刪除 內容自動屏蔽
    作者: type4    時間: 2009-2-9 19:44

    我是用很舊的buffalo wrb-54g 做openvpn的.openvpn 的好處是可以幫我通過443 ssl port位不怕被firewall block.  讓我能被firewall 封鎖21 port的情況下用ftp download.
    作者: yhfung    時間: 2009-2-10 12:04

    提示: 作者被禁止或刪除 內容自動屏蔽
    作者: yhfung    時間: 2009-2-11 00:47

    提示: 作者被禁止或刪除 內容自動屏蔽
    作者: thomas329    時間: 2009-2-11 01:05

    http://www.hkepc.com/forum/viewt ... &extra=page%3D1

    希望大家幫幫手,想client跟server IP行network,我係用software openVPN

    [ 本帖最後由 thomas329 於 2009-2-11 01:07 編輯 ]
    作者: yhfung    時間: 2009-2-11 17:26

    提示: 作者被禁止或刪除 內容自動屏蔽
    作者: type4    時間: 2009-2-11 21:25

    To:thomas329
    用的是windows版 or linux???

    [ 本帖最後由 type4 於 2009-2-11 23:23 編輯 ]
    作者: thomas329    時間: 2009-2-12 00:21

    是windows
    作者: type4    時間: 2009-2-12 18:03

    因為我是用linux server 的所以答唔到你,
    但你可以用接橋器把openvpn lan 和 你的區域連線連接.然後在server.opvn的
    ;push "redirect gateway"  的分號刪除再試.
    作者: 浮雲1965    時間: 2009-2-12 20:40     標題: 一條線同時裝2個vpn servers? 求助

    小弟要請教各位大大:
    小弟的香港公司有條BB100(加1顆固定ip); 用的router 是 Linksys WRT54G.
    小弟想問: 以往我是用一臺電腦,行windows server 2000, 裝左openvpn, 這樣我在公司外, 就可經此openvpn, 連進公司的內網。但最近我國內的朋友連香港頻頻連不上(不論是看網頁還是玩香港的online game); 所以我想在條BB100上, 多加個vpn, 讓國內的朋友可經此vpn突破封鎖。請問如何能在一條線上裝2個vpn servers呢?我是最近打算將Linksys WRT54G flash DD-WRT個v24.sp1.vpn firmware.
    作者: saigal    時間: 2009-2-12 21:39

    如果是openvpn的話.set 唔同port就得了.
    作者: yhfung    時間: 2009-2-15 09:09

    提示: 作者被禁止或刪除 內容自動屏蔽
    作者: type4    時間: 2009-2-15 10:02

    我想問下windows是否能多人登入vpn 嗎?
    因為我要在街作測試linux vpn server setting 先要兩個server.(linux and router with different port)
    因為如果不setting 不正確會被關在外面,而且我還想知到windows vpnserver能setport位嗎?
    作者: yhfung    時間: 2009-2-15 11:51

    提示: 作者被禁止或刪除 內容自動屏蔽
    作者: type4    時間: 2009-2-15 12:47

    openvpn for linux server and windows client setting
    Source 忘記了
    ****************************************************************************************
    aptitude install openvpn bridge-utils

    cd /etc/init.d
    nano bridge


    程式碼:
    #!/bin/bash  
    # Create global variables   
    # Define Bridge Interface
    br="br0"
    # Define list of TAP interfaces to be bridged,
    # for example tap="tap0 tap1 tap2".
    tap="tap0"
    # Define physical ethernet interface to be bridged
    # with TAP interface(s) above.
    eth="eth0"
    eth_ip="172.16.0.5"
    eth_netmask="255.255.255.0"
    eth_broadcast="172.16.0.255"
    gw="172.16.0.1"   
    start_bridge () {   
    #################################   
    # Set up Ethernet bridge on Linux   
    # Requires: bridge-utils   
    #################################   
    for t in $tap; do
    openvpn --mktun --dev $t   
    done   
    for t in $tap; do
    ifconfig $t 0.0.0.0 promisc up   
    done
    ifconfig $eth 0.0.0.0 promisc up
    brctl addbr $br
    brctl addif $br $eth
    for t in $tap; do
    brctl addif $br $t   
    done   
    ifconfig $br $eth_ip netmask $eth_netmask broadcast $eth_broadcast up   
    route add default gw $gw $br
    }
    stop_bridge () {   
    ####################################   
    # Tear Down Ethernet bridge on Linux   
    ####################################   
    ifconfig $br down
    brctl delbr $br   
    for t in $tap; do
    openvpn --rmtun --dev $t   
    done   
    ifconfig $eth $eth_ip netmask $eth_netmask broadcast $eth_broadcast up   
    route add default gw $gw $eth
    }  
    case "$1" in
    start)   
    echo -n "Starting Bridge"   
    start_bridge   
    ;;
    stop)   
    echo -n "Stopping Bridge"   
    stop_bridge   
    ;;
    restart)   
    stop_bridge   
    sleep 2   
    start_bridge   
    ;;
    *)   
    echo "Usage: $0 {start|stop|restart}" >&2   
    exit 1   
    ;;
    esac

    *******************************************************************************************


    cd /etc/openvpn
    cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/ /etc/openvpn
    cd 2.0
    nano vars
    #this is to ensure secure data 只節錄要填寫的地方,不可以空白
             export KEY_SIZE=1024  //也可以2048
             # These are the default values for fields
             # which will be placed in the certificate.
             # Don't leave any of these fields blank.
             export KEY_COUNTRY="TW"
             export KEY_PROVINCE="Taiwan"
             export KEY_CITY="Taipei"
             export KEY_ORG="Doctorvoice"
             export KEY_EMAIL="doctorvoice@gmail.com"
    . ./vars
    ./clean-all
    ./build-ca

    ./build-key-server server
    #generate client key with or without password,選擇一種就好了
    ./build-key-pass amigo
    ./build-key amigo

    ./build-dh
    cd keys
    openssl dhparam -out dh1024.pem 1024
    cd ..
    openvpn --genkey --secret ta.key
    ****************************************************************************************************
    nano server.conf

    程式碼:
    # Which local IP address should OpenVPN
    # listen on? (optional)
    local 172.16.0.5
    port 1194
    # TCP or UDP server?
    proto udp
    #This is key to configuring our bridge
    dev tap0
    #direct these to your generated files
    ca /etc/openvpn/2.0/keys/ca.crt
    cert /etc/openvpn/2.0/keys/server.crt
    key /etc/openvpn/2.0/keys/server.key   
    dh /etc/openvpn/2.0/keys/dh1024.pem
    ifconfig-pool-persist ipp.txt
    #ensure the range of ip addresses you use in the last  two arguments
    # of this statement are not in use by  either the DHCP server or any other
    # device on your  internal network.
    server-bridge 172.16.0.5 255.255.255.0 172.16.0.60 172.16.0.70
    #needed to allow communication to internal network
    client-to-client
    keepalive 10 120
    #encryption - very important ;)
    #AES encryption is backed by many security firms
    #however if you are concerned about speed use blowfish: "BF-CB"
    cipher AES-128-CBC  
    #if you have another subnet you need to provide the route
    #push "route 173.23.2.0 255.255.255.0"
    #server id protection
    #tls-auth ta.key 0
    #compression for network speed
    comp-lzo
    # if packets are too large fragment them (only really useful if you have an old router)
    #fragment 1400
    #limit the number of connections
    max-clients 5
    #some secuurity settings
    # do not use if running server on Windows
    user nobody
    group nogroup
    persist-key
    persist-tun
    #log file settings
    status openvpn-status.log
    verb 3
    # authentication plugin
    #forces client to have a linux acount in order to connect
    plugin /usr/lib/openvpn/openvpn-auth-pam.so login

    nano client.conf

    程式碼:
    client
    dev tap
    proto udp
    # change this to your server's address
    remote 172.16.0.5 1194
    resolv-retry infinite
    nobind
    persist-key
    persist-tun
    # Point the key and crt files to  
    # the ones for this user
    tls-client
    ca ca.crt
    cert amigo.crt
    key amigo.key
    #ensure that we are talking to a server
    ns-cert-type server
    #confirm we are talking to the correct server
    #tls-auth ta.key 1
    # Select a cryptographic cipher.
    # If the cipher option is used on the server
    # then you must also specify it here.
    cipher AES-128-CBC
    # Enable compression on the VPN link.
    comp-lzo
    #fragment large packets
    # I found I needed this for some games but it is
    # not required
    #fragment 1400  
    # enable user/pass authentication
    # auth-user-pass

    /etc/init.d/bridge start
    openvpn /etc/openvpn/2.0/server.conf

    Windows XP Client端
    下載並安裝openvpn-gui
    http://openvpn.se/files/install_ ... i-1.0.3-install.exe
    取得伺服器產生的client.conf, ca.crt, amigo.crt, amigo.key給client amigo使用
    將client.conf適度修改指向ca.crt, amigo.crt, amigo.key的正確位置,然後更改檔名為client.ovpn放置在c:\program files\openvpn\config\

    程式碼:
    #client.ovpn
    client
    dev tap
    proto udp
    # change this to your server's address
    remote 172.16.0.5 1194
    resolv-retry infinite
    nobind
    persist-key
    persist-tun
    # Point the key and crt files to  
    # the ones for this user
    tls-client
    ca c:\\program files\\openvpn\\config\\ca.crt
    cert c:\\openvpn\\keys\\amigo.crt
    key c:\\openvpn\\keys\\amigo.key
    #ensure that we are talking to a server
    ns-cert-type server
    #confirm we are talking to the correct server
    #tls-auth ta.key 1
    # Select a cryptographic cipher.
    # If the cipher option is used on the server
    # then you must also specify it here.
    cipher AES-128-CBC
    # Enable compression on the VPN link.
    comp-lzo
    #fragment large packets
    # I found I needed this for some games but it is
    # not required
    #fragment 1400  
    # enable user/pass authentication
    # auth-user-pass

    openvpn-gui開機之後就自動啟動了,只要在右下角的工作列上openvpn-gui按連結就可以完成連線。
    作者: yhfung    時間: 2009-2-17 00:13     標題: 回覆 86# 的帖子

    提示: 作者被禁止或刪除 內容自動屏蔽
    作者: yhfung    時間: 2009-2-17 08:07

    提示: 作者被禁止或刪除 內容自動屏蔽
    作者: yhfung    時間: 2009-2-17 15:25

    提示: 作者被禁止或刪除 內容自動屏蔽
    作者: thomas329    時間: 2009-2-17 16:34

    原帖由 yhfung 於 2009-2-17 08:07 發表
    Different VPN Port Assignment

    pptp VPN : port  1723
    open VPN : port 1194
    IPSec VPN : port 500
    SSL VPN : port 443

    如果大家发现有不对的地方,请PM我,我会作适当的更进。

    角色

    我在學校試連回家始終都是不能連接,問過相熟的人說是因為學校的電腦都將「所有」對外的port封掉了...

    但有可能將「所有」port封掉嗎?
    作者: yhfung    時間: 2009-2-17 18:44

    提示: 作者被禁止或刪除 內容自動屏蔽
    作者: yhfung    時間: 2009-2-18 08:35

    提示: 作者被禁止或刪除 內容自動屏蔽
    作者: johnnysho    時間: 2009-2-18 10:32

    原帖由 hkcwnet 於 2009-2-3 22:49 發表
    剛在家中裝左 Netscreen 5GT, 等我set 好再搵你試

    Netscreen 5GT邊度有賣??
    作者: yytly    時間: 2009-2-18 12:49

    原帖由 hkcwnet 於 2009-2-3 22:49 發表
    剛在家中裝左 Netscreen 5GT, 等我set 好再搵你試

    家裡用Netscreen 太有錢了。
    作者: yhfung    時間: 2009-2-20 21:49

    提示: 作者被禁止或刪除 內容自動屏蔽
    作者: daemongmong    時間: 2009-2-22 04:16

    我認為,如果在香港時候有發表一些文章,在內地最好不要使用ISP提供的IP(不論是否獨立IP也好),因為ISP有客戶的上網資料。所以,最理想的是使用外國的付費個人VPN服務。
    作者: daemongmong    時間: 2009-2-22 04:19

    香港家居正在使用具有IPSec服務的VPN寬頻路由器,但沒有獨立IP,在內地不敢使用自己設立的VPN,只能使用「鐵~噢~R」,但速度相當慢,要關閉所有圖像。





    歡迎光臨 電腦領域 HKEPC Hardware (https://www.hkepc.com/forum/) Powered by Discuz! 7.2