查看: 22422|回复: 13
N2N VPN设置图文教程
本帖最后由 sutuo 于
14:14 编辑
openwrt&&N2N实现从家里防问公司网络
风飞雪 编写
n2n 与openvpn比
优点：不需要外网ip、不需要制做证书、设置简单
缺点：不支持tcp、不支持代理、不能从服务端推送路由表、安全性没openvpn好
公司网段 172.25.0.0
n2n IP:10.0.3.1
家里网段 192.168.1.0　&&（注：公司与家里网段不能相同）
n2n IP:10.0.3.2
也就是从家里防问172.25.0.0网络
88.86.108.50 82是一个公用服务器，使用公用服务器的好处是可以不用有外网ＩＰ
分组名、密钥随便填,但要与家里的n2n设置一样
添加一个接口n2n
公司openwrt路由器N2N设置
防火墙设置
添加zone　n2n
家里openwrt路由器N2N设置
分组名、密钥随便填,但要与公司的n2n设置一样
添加一个接口 n2n
防火墙设置
添加zone　n2n
添加静态路由表让172.25.0.0走10.0.3.1网关
静态路由表设置
我网络中有人在看电影所以延时高，平是在25~40ms之间
如果要双向访问(从公司访问家里192.168.1.0网段)，
就在公司openwrt路由上添加静态路由
对象:192.168.1.0
子网:255.255.255.0
网关:192.168.3.2
本帖子中包含更多资源
才可以下载或查看，没有帐号？
rg100a 0829&&n2n接口dhcp不显示ip，倒是有ipv6的地址
有几点疑问：
1、文中“88.86.108.50 82是一个公用服务器，使用公用服务器的好处是可以不用有外网”，这个公用服务器是怎么回事？是要自己申请还是怎么样？
2、我现在想访问学校的资源，但我能搞到的学校的IP地址段是有访问权限的，就是该IP可以访问外网，而外网不可以访问该IP，请问用此种方法是否可以让我在外网访问学校的资源？
热切期盼版主的回答！
本帖最后由 sutuo 于
08:47 编辑
superbillgates 发表于
有几点疑问：
1、文中“88.86.108.50 82是一个公用服务器，使用公用服务器的好处是可以不用有外网”，这个 ...
是不用有公网IP，你丢了关键字
2、如果你学校内可以上外网且没封端口，就可以
看你的图中，N2N接口的协议是“无”，这样这个接口IP地址怎么获得的？我这样设了之后，看N2N接口就没有IP地址啊
本帖最后由 sutuo 于
14:15 编辑
sunyancn 发表于
看你的图中，N2N接口的协议是“无”，这样这个接口IP地址怎么获得的？我这样设了之后，看N2N接口就没有IP地 ...
设置静太IP 10.0.3.x也可以， 因为n2n会自己设置ip,没注意n2n设置页面填了IP地址没
你重启一下n2n就有看到IP地址了
想问一下，建立VPN时，如何识别是自己所要访问的那个VPN呢？
如果按教程，community、key使用的都比较简单，例如community=openwrt、key=1234，使用相同的ipaddr、community、key，岂不是很容易造成冲突或者混乱？
家里的网通宽带ping不通super node(88.86.108.50)怎么办？
哪位高手帮忙PM个自用的super node吧，做一下测试先~~~十分感谢！
楼主！我有个疑问！我在学校PING不通88.86.108.50！
Powered by华为DHCP配置教程（二）
二、基于接口地址池DHCP服务器配置
1、设置接口地址池
接口地址池中地址只能分配给此接口下的客户端，仅适用于DHCP服务器与客户端在同一个网段，即不存在中继的场景。根据客户端的实际需要，可以选择采用动态地址分配方式或静态地址绑定方式。
不同于全局地址池，接口地址池下配置的网络配置信息对动态客户端和静态客户端同时生效。
[Huawei-GigabitEthernet0/0/2]ip address ?&&
& X.X.X.X&&&&& IP address
bootp-alloc& IP address allocated
dhcp-alloc&& IP address allocated
unnumbered&& Share an address with
another interface
[Huawei-GigabitEthernet0/0/2]ip address 192.168.1.1
INTEGER&0-32&& Length of IP
address mask
& X.X.X.X&&&&&&& IP address mask
[Huawei-GigabitEthernet0/0/2]ip address 192.168.1.1
& sub&& Indicate a subordinate address
2、配置基于接口地址池IP地址租期
[Huawei-GigabitEthernet0/0/2]dhcp server lease day ?
INTEGER&0-999&& Day, from 0
[Huawei-GigabitEthernet0/0/2]dhcp server lease day 1
& hour& Hour, from 0 to 23
[Huawei-GigabitEthernet0/0/2]dhcp server lease day 1
& minute& Minute, from 0 to 59
[Huawei-GigabitEthernet0/0/2]dhcp server lease day 1
hour 12 30 ?
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
[Huawei-GigabitEthernet0/0/2]dhcp server lease day 1
hour 12 minute ?
INTEGER&0-59&& Minute, from
[Huawei-GigabitEthernet0/0/2]dhcp server lease day 1
hour 12 minute 30 ?
3、设置采用接口地址池方式
[Huawei-GigabitEthernet0/0/2]dhcp select ?&
& global&&&& Local server&& # 采用全局地址池
interface& Interface server pool& # 采用接口地址池
& relay&&&&& DHCP relay&& #& 采用中继方式
[Huawei-GigabitEthernet0/0/2]dhcp select interface&
4、配置地址池中不参与自动分配的IP地址
[Huawei-GigabitEthernet0/0/2]dhcp server
excluded-ip-address ?
& X.X.X.X& The start IP address of the excluded IP
network section
[Huawei-GigabitEthernet0/0/2]dhcp server
excluded-ip-address 192.168.1.2 ?
& X.X.X.X& The end IP address of the excluded IP network
[Huawei-GigabitEthernet0/0/2]dhcp server
excluded-ip-address 192.168.1.2 192.168.1.10 ?
多次执行此命令，配置多个不参与自动分配的IP地址
5、采用静态地址绑定方式将接口地址池中的IP地址与MAC地址绑定
[Huawei-GigabitEthernet0/0/2]dhcp
server static-bind ip-address 192.168.1.20 ?
& mac-address&
MAC address for static bind
[Huawei-GigabitEthernet0/0/2]dhcp
server static-bind ip-address 192.168.1.20 mac-address ?
MAC address
[Huawei-GigabitEthernet0/0/2]dhcp
server static-bind ip-address 192.168.1.20 mac-address 11 ?
6、DHCP服务器在回应DHCP客户端时，强制插入指定的Option字段信息
[Huawei-GigabitEthernet0/0/2]dhcp
server force insert option 10
7、设置DHCP服务器给DHCP客户端的启动配置文件名称
[Huawei-GigabitEthernet0/0/2] dhcp server bootfile&bootfile
8、设置DHCP服务器给DHCP客户端获取启动配置文件的服务器名称
[Huawei-GigabitEthernet0/0/2]
DHCP服务器除了可以给客户端分配IP地址外，还可以提供客户端需要的网络配置参数，例如，启动配置文件等。启动配置文件一般存放在指定的文件服务器上，因此，需要保证DHCP客户端与获取启动配置文件的服务器之间路由可达。
9、使能DHCP服务器应答BOOTP请求的功能
[Huawei]dhcp
server bootp
10、使能DHCP服务器为BOOTP客户端动态分配地址的功能
[Huawei]dhcp
server bootp automatic
如果DHCP服务器所在网络中存在BOOTP客户端，设备作为DHCP服务器，可以实现为BOOTP客户端分配IP地址，除了通过执行命令dhcp server bootp automatic动态分配IP地址，还可以通过执行命令dhcp server static-bind&ip-address&ip-address&mac-addressmac-address以静态绑定方式为BOOTP客户端分配IP地址。
11、配置分配给DHCP客户端的DNS域名
[Huawei-GigabitEthernet0/0/2]dhcp& server domain-name ?
& STRING&1-50&& Domain name
[Huawei-GigabitEthernet0/0/2]dhcp& server domain-
12、为DHCP客户端指定DNS服务器的IP地址
[Huawei-GigabitEthernet0/0/2]dhcp
server dns-list 61.128.128.69 ?
& X.X.X.X&
IP address
13、配置DHCP客户端的NetBIOS服务器地址
[Huawei-GigabitEthernet0/0/2]dhcp
server nbns-list ?
& X.X.X.X&
IP address
14、配置DHCP客户端的NetBIOS节点类型
[Huawei-GigabitEthernet0/0/2]dhcp
server netbios-type ?
B-node, broadcast type node
H-node, hybrid type node
M-node, mixed type node
P-node, peer-to-peer type node
&&& DHCP客户端使用NetBIOS协议通信时，需要在主机名和IP地址之间建立映射关系。根据获取映射关系的方式不同，NetBIOS节点分为四种。
&&& b类节点（b-node）：“b”代表广播（broadcast），即此类节点采用广播的方式获取映射关系。
&&& p类节点（p-node）：“p”代表端到端（peer-to-peer），即此类节点采用单播与NetBIOS服务器通信的方式获取映射关系。
&&& m类节点（m-node）：“m”代表混合（mixed），是具有部分广播特性的p类节点，即先发送广播报文，没有获取到，再发送单播报文与服务器获取映射关系。
&&& h类节点（h-node）：“h”代表混合（hybrid），是具备“端对端”通信机制的b类节点，即先发送单播报文，没有获取到，再发送广播报文与服务器获取映射关系。
&&& 对于使用Microsoft Windows操作系统的计算机，都必须定义一个主机名，该名在系统安装时指定，如果不指定，则由系统随机生成。主机名在网络中保证唯一。
15、配置接口地址池DHCP自定义选项
&&& 随着DHCP的不断发展，新的Option选项会陆续出现，为了支持这些新的选项，可以通过手工定义的方式将新选项添加到DHCP服务器的属性列表中。
&&& 如果用户在DHCP服务器端配置了Option选项，DHCP客户端在申请IP地址的时候，会通过服务器端回应的DHCP报文获得Option选项中的配置信息。
&&& 设置Option选项时，请仔细查阅RFC文件，确保配置的正确性。
&&& 当Option内容包含密码信息时，配置为ascii或hex类型不安全，建议配置为cipher类型。同时，为提高安全性，建议密码至少包含小写字母、大写字母、数字、特殊字符这四种形式中的两种，并且密码长度不小于6个字符。
[Huawei-GigabitEthernet0/0/2]dhcp
server option ?
& INTEGER&1-254&& Option code, except values 1, 3, 6, 15, 44,
46, 50, 51, 52,53, 54, 55, 57, 58, 59, 61, 82, 121 and 184.
[Huawei-GigabitEthernet0/0/2]dhcp
server option 3 ?
& ascii&&&&&&
The DHCP option's type is a ASCII string
& hex&&&&&&&&
The DHCP option's type is a hex string
& ip-address&
The DHCP option's type is IP address
& sub-option&
Configure the DHCP sub-options
&您阅读这篇文章共花了：&
技术交流：欢迎在本文下方留言或加入QQ群:4079428互相学习。 &&&&
本文地址：
版权声明：若无注明，本文皆为“重庆网管”原创，转载请保留文章出处。中国领先的IT技术网站
51CTO旗下网站
讲解DHCP Server的配置
我们介绍了DHCP Server的交换机环境的使用和设置。那么这里就让我们来详细看看具体的内容吧。
作者：佚名来源：网络整理| 17:18
对于DHCP Server来说，我们接触最多的就是交换机和路由器的内容了。那么这里我们就来详细介绍一下交换机作DHCP Server的内容。
『配置环境参数』
1.&&& PC1､PC2的网卡均采用动态获取IP地址的方式
2.&&& PC1连接到交换机的以太网端口0/1,属于VLAN10;PC2连接到交换机的以太网端口0/2,属于VLAN20
3.&&& 三层交换机SwitchA的VLAN接口10地址为10.1.1.1/24,VLAN接口20地址为10.1.2.1/24
『组网需求』
1.&&& PC1可以动态获取10.1.1.0/24网段地址,并且网关地址为10.1.1.1;PC2可以动态获取10.1.2.0/24网段地址,并且网关地址为10.1.2.1
『DHCP Server配置流程流程』
可以完成对直接连接到三层交换机的PC机分配IP地址,也可以对通过DHCP中继设备连接到三层交换机的PC机分配IP地址｡
分配地址的方式可以采用接口方式,或者全局地址池方式｡
【SwitchA采用接口方式分配地址相关配置】
1.& 创建(进入)VLAN10
[SwitchA]vlan 10
2.& 将E0/1加入到VLAN10
[SwitchA-vlan10]port Ethernet 0/1
3.& 创建(进入)VLAN接口10
[SwitchA]interface Vlan-interface 10
4.& 为VLAN接口10配置IP地址
[SwitchA-Vlan-interface10]ip address 10.1.1.1 255.255.255.0
5.& 在VLAN接口10上选择接口方式分配IP地址
[SwitchA-Vlan-interface10]dhcp select interface
6.& 禁止将PC机的网关地址分配给用户
[SwitchA]dhcp server forbidden-ip 10.1.1.1
【SwitchA采用全局地址池方式分配地址相关配置】
1.& 创建(进入)VLAN10
[SwitchA]vlan 10
2.& 将E0/1加入到VLAN10
[SwitchA-vlan10]port Ethernet 0/1
3.& 创建(进入)VLAN接口10
[SwitchA]interface Vlan-interface 10
4.& 为VLAN接口10配置IP地址
[SwitchA-Vlan-interface10]ip address 10.1.1.1 255.255.255.0
5.& 在VLAN接口10上选择全局地址池方式分配IP地址
[SwitchA-Vlan-interface10]dhcp select global
6.& 创建全局地址池,并命名为&vlan10&
[SwitchA]dhcp server ip-pool vlan10
7.& 配置vlan10地址池给用户分配的地址范围以及用户的网关地址
[SwitchA-dhcp-vlan10]network 10.1.1.0 mask 255.255.255.0
[SwitchA-dhcp-vlan10]gateway-list 10.1.1.1
8.& 禁止将PC机的网关地址分配给用户
[SwitchA]dhcp server forbidden-ip 10.1.1.1
【补充说明】
以上配置以VLAN10的为例,VLAN20的配置参照VLAN10的配置即可｡在采用全局地址池方式时,需新建一个与&vlan10&不同名的全局地址池｡
经过以上配置,可以完成为PC1分配的IP地址为10.1.1.0/24,同时PC1的网关地址为10.1.1.1;为PC2分配的IP地址为10.1.2.0/24,同时PC2的网关地址为10.1.2.1｡
VLAN接口默认情况下以全局地址池方式进行地址分配,因此当VLAN接口配置了以全局地址池方式进行地址分配后,查看交换机当前配置时,在相应的VLAN接口下无法看到有关DHCP的配置｡
利用全局地址池方式,可以完成为用户分配与三层交换机本身VLAN接口地址不同网段的IP地址｡
2,DHCP Relay配置
『配置环境参数』
1.&& DHCPServer的IP地址为192.168.0.10/24
2.&& DHCPServer连接在交换机的G1/1端口,属于vlan100,网关即交换机vlan接口100的地址192.168.0.1/24
3.&&& E0/1-E0/10属于vlan10,网段地址10.10.1.1/24
4.&&& E0/11-E0/20属于vlan20,网段地址10.10.2.1/24
『组网需求』
1.&&& 在SwitchA上配置DHCP Relay使下面用户动态获取指定的相应网段的IP地址
2.&&& PC1､PC2均可以ping通自己的网关,同时PC1､PC2之间可以互访
『交换机DHCP Relay配置流程』
DHCP Relay的作用则是为了适应客户端和服务器不在同一网段的情况,通过Relay,不同子网的用户可以到同一个DHCP Server申请IP地址,这样便于地址池的管理和维护｡
【SwitchA相关配置】
1.& 全局使能DHCP功能(缺省情况下,DHCP功能处于使能状态)
[SwitchA]dhcp enable
2.& 创建(进入)VLAN100
[SwitchA]vlan 100
3.& 将G1/1加入到VLAN100
[SwitchA-vlan100]port GigabitEthernet 1/1
4.& 创建(进入)VLAN接口100
[SwitchA]interface Vlan-interface 100
5.& 为VLAN接口100配置IP地址
[SwitchA-Vlan-interface100]ip address 192.168.0.1 255.255.255.0
6.& 创建(进入)VLAN10
[SwitchA]vlan 10
7.& 将E0/1-E0/10加入到VLAN10
[SwitchA-vlan10]port Ethernet 0/1 to Ethernet 0/10
8.& 创建(进入)VLAN接口10
[SwitchA]interface Vlan-interface 10
9.& 为VLAN接口10配置IP地址
[SwitchA-Vlan-interface10]ip address 10.10.1.1 255.255.255.0
10. 使能VLAN接口10的DHCP中继功能
[SwitchA-Vlan-interface10]dhcp select relay
11. 为VLAN接口10配置DHCP服务器的地址
[SwitchA-Vlan-interface10]ip relay address 192.168.0.10
12. 创建(进入)VLAN20
[SwitchA-vlan10]vlan 20
13. 将E0/11-E0/20加入到VLAN20
[SwitchA-vlan20]port Ethernet 0/11 to Ethernet 0/20
14. 创建(进入)VLAN接口20
[SwitchA]interface Vlan-interface 20
15. 为VLAN接口20配置IP地址
[SwitchA-Vlan-interface20]ip address 10.10.2.1 255.255.255.0
16. 使能VLAN接口20的DHCP中继功能
[SwitchA-Vlan-interface20]dhcp select relay
17. 为VLAN接口20配置DHCP服务器的地址
[SwitchA-Vlan-interface20]ip relay address 192.168.0.10
【补充说明】
也可以在全局配置模式下,使能某个或某些VLAN接口上的DHCP中继功能,例如:[SwitchA]dhcp select relay interface Vlan-interface 10
3,DHCP Snooping
『配置环境参数』
1.&& DHCPServer连接在交换机SwitchA的G1/1端口,属于vlan10,IP地址为10.10.1.253/24
2.&&& 端口E0/1和E0/2同属于vlan10
『组网需求』
1.&&& PC1､PC2均可以从指定DHCP Server获取到IP地址
2.&&& 防止其他非法的DHCP Server影响网络中的主机
『交换机DHCP-Snooping配置流程』
当交换机开启了DHCP-Snooping后,会对DHCP报文进行侦听,并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息｡另外,DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口｡信任端口可以正常接 收并转发DHCP Offer报文,而不信任端口会将接收到的DHCP Offer报文丢弃｡这样,可以完成交换机对假冒DHCP Server的屏蔽作用,确保客户端从合法的DHCP Server获取IP地址｡
【SwitchA相关配置】
1.& 创建(进入)VLAN10
[SwitchA]vlan 10
2.& 将端口E0/1&#6和G1/1加入到VLAN10
[SwitchA-vlan10]port Ethernet 0/1 Ethernet 0/2 GigabitEthernet 1/1
3.& 全局使能dhcp-snooping功能
[SwitchA]dhcp-snooping
4.& 将端口G1/1配置为trust端口,
[SwitchA-GigabitEthernet1/1]dhcp-snooping trust
【补充说明】
由于DHCP服务器提供给用户包含了服务器分配给用户的IP地址的报文DD&dhcp offer&报文,由G1/1端口进入SwitchA并进行转发,因此需要将端口G1/1配置为&trust&端口｡如果SwitchA上行接口配置为 Trunk端口,并且连接到DHCP中继设备,也需要将上行端口配置为&trust&端口｡【责任编辑： TEL：（010）】
大家都在看猜你喜欢
头条原创专题专题专题
24H热文一周话题本月最赞
讲师：3人学习过
讲师：2人学习过
讲师：3人学习过
精选博文论坛热帖下载排行
本书的第1版获得过“2006年度全行业优秀畅销品种奖”。全书共15章，分别介绍了网管员职责和应具备的工作习惯、共享上网与访问控制方法、子...
订阅51CTO邮刊博客访问： 1154276
博文数量： 230
博客积分： 8233
博客等级： 中将
技术积分： 3469
注册时间：
IT168企业级官微
微信号：IT168qiye
系统架构师大会
微信号：SACC2013
分类： 网络与安全
# #号和;号开头的都是注释# 设置监听 IP，默认是监听所有 IP#local 116.6.45.23#Openvpn 服务器监听端口port 2194# 设置用 TCP 还是 UDP 协议？;proto tcpproto udp# 设置创建 tun 的路由 IP 通道，还是创建 tap 的以太网通道# 路由 IP 容易控制，所以推荐使用它；但如果如 IPX 等必须# 使用第二层才能通过的通讯，则可以用 tap 方式，tap 也# 就是以太网桥接dev tun# 配置 VPN 使用的网段，OpenVPN 会自动提供基于该网段的 DHCP# 服务，但不能和任何一方的局域网段重复，保证唯一# server 端 ip 默认会设为.1 的地址。server 10.9.0.0 255.255.255.0# 为客户端创建对应的路由,以另其通达公司网内部服务器# 但记住，公司网内部服务器也需要有可用路由返回到客户端push "route 172.18.2.0 255.255.255.0"# 维持一个客户端和 virtual IP 的对应表，以方便客户端重新# 连接可以获得同样的 IPifconfig-pool-persist&&& /usr/local/etc/ipp.txt# 用 OpenVPN 的 DHCP 功能为客户端提供指定的 DNS、WINS 等push "dhcp-option DNS 172.18.2.23"push "dhcp-option DNS 202.96.128.86"# 这里是重点，必须指定 SSL/TLS root certificate (ca),# certificate(cert), and private key (key)# ca 文件是服务端和客户端都必须使用的，但不需要 ca.key# 服务端和客户端指定各自的.crt 和.key# 请注意路径,可以使用以配置文件开始为根的相对路径,# 也可以使用绝对路径# 请小心存放.key 密钥文件ca /usr/local/etc/keys/ca.crtcert /usr/local/etc/keys/server.crtkey /usr/local/etc/keys/server.key# 指定 Diffie hellman parameters.dh /usr/local/etc/keys/dh1024.pem#用于吊销客户证书crl-verify /usr/local/etc/keys/vpncrl.pem#增强安全性# Generate with:# openvpn --genkey --secret ta.key## The server and each client must have# a copy of this key.# The second parameter should be 0# on the server and 1 on the clients.tls-auth /usr/local/etc/keys/ta.key 0# 设置服务端检测的间隔和超时时间 每 10 秒 ping 一次，如果 120 秒没有回应则认为对方已经 downkeepalive 10 120# 使用 lzo 压缩的通讯,服务端和客户端都必须配置comp-lzo# 输出短日志,每分钟刷新一次,以显示当前的客户端status /var/log/openvpn-status.log#设置日志要记录的级别。#0 只记录错误信息。#4 能记录普通的信息。#5 和 6 在连接出现问题时能帮助调试#9 是极端的，所有信息都会显示，甚至连包头等信息都显示（像 tcpdump）verb 4#相同信息的数量，如果连续出现 20 条相同的信息，将不记录到日志中。mute 20# 让 OpenVPN 以 nobody 用户和组来运行（安全）user nobodygroup nobody# The persist options will try to avoid# accessing certain resources on restart# that may no longer be accessible because# of the privilege downgrade.# 重启时仍保留一些状态persist-keypersist-tun&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 其他参数 ########################################################## 为特定的客户端指定 IP 或指定路由,该路由通常是客户端后面的# 内网网段,而不是服务端连接的网段# ccd 是/etc/openvpn 下的目录，其中建有希望限制的客户端 Common# Name 为文件名的文件,并通过下面的命令写入固定 IP 地址# 例如 Common Name 为 client1,则在/etc/openvpn/ccd/client1 写有：# ifconfig-push 10.9.0.1 10.9.0.2client-config-dir /usr/local/etc/ccd# 若客户端希望所有的流量都通过 VPN 传输,则可以使用该语句# 其会自动改变客户端的网关为 VPN 服务器,推荐关闭# 一旦设置，请小心服务端的 DHCP 设置问题;push "redirect-gateway"# 如果您希望有相同 Common Name 的客户端都可以登陆# 也可以注释下面的语句,推荐每个客户端都使用不用的 Common Name# 常用于测试;duplicate-cn# 设置最大用户数#max-clients 3# 打开管理界面,可以定义监控的 IP 和端口management localhost 7505# 缺省日志会记录在系统日志中，但也可以导向到其他地方# 建议调试的使用先不要设置,调试完成后再定义;log /var/log/openvpn/openvpn.log;log-append /var/log/openvpn/openvpn.log# 配置为以太网桥模式,但需要使用系统的桥接功能# 这里不需要使用;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100#记录日志，每次重新启动 openvpn 后删除原有的 log 信息log /var/log/openvpn.log#和 log 一致，每次重新启动 openvpn 后保留原有的 log 信息，新信息追加到文件最后;log-append openvpn.log#定义运行 openvpn 的用户user nobodygroup nobody#Run script or shell command cmd to validate client#virtual addresses or routes. 具体查看 manual;learn-address ./script#其它的一些需要 PUSH 给 Client#用于记录某个 Client 获得的 IP 地址，类似于 dhcpd.lease 文件，#防止 openvpn 重新启动后“忘记”Client 曾经使用过的 IP 地址ifconfig-pool-persist ipp.txt#Bridge 状态下类似 DHCPD 的配置，为客户分配地址，由于这里工作在路由模式，所以不使用;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100# 随机选择一个 Server 连接，否则按照顺序从上到下依次连接;remote-random# 始终重新解析 Server 的 IP 地址（如果 remote 后面跟的是域名）&&&&&&&&&&&&&&&& ，# 保证 Server IP 地址是动态的使用 DDNS 动态更新 DNS 后，Client 在自动重新连接时重新解析 Server 的IP 地址# 这样无需人为重新启动，即可重新接入 VPNresolv-retry infinite# 在本机不邦定任何端口监听 incoming 数据，Client 无需此操作，除非一对一的 VPN 有必要nobind# 如果你使用 HTTP 代理连接 VPN Server，把 Proxy 的 IP 地址和端口写到下面# 如果代理需要验证，使用 http-proxy server port [authfile] [auth-method]# 其中 authfile 是一个 2 行的文本文件，用户名和密码各占一行，auth-method 可以省略，详细信息查看 Manual;http-proxy-retry # retry on connection failures;http-proxy [proxy server] [proxy port #]# Server 使用 build-key-server 脚本什成的，在 x509 v3 扩展中加入了 ns-cert-type 选项# 防止 VPN client 使用他们的 keys ＋ DNS hack 欺骗 vpn client 连接他们假冒的 VPN Server# 因为他们的 CA 里没有这个扩展ns-cert-type servera.定义 tun 为使用路由方式的 VPNb.小心处理证书的路径，.key 文件要保存好，特别是 ca.key。（ca.key 不需要在 OpenVPN 中用到，可以另外保存）注意，每个虚拟 tun 网卡都是成对的，只有 inet addr 标识的才是用于 VPN 通讯。并且必须在/30 网段
阅读(16112) | 评论(0) | 转发(4) |
相关热门文章
给主人留下些什么吧！~~
请登录后评论。设备作为DHCP SERVER给终端分配IP地址，其中PC是在VRF的网络中。
正常配置DHCP相关的配置，将三层接口绑定在VPN实例中，此时PC可以正常获取IP地址。
设备接收到终端的dhcp报文，底层驱动直接上送平台，不携带任何标示所在VPN的信息，软件不做区分可以给VPN实例中的PC正常分配IP地址的。
ip vpn-instance 123
&route-distinguisher 1:3
interface Vlan-interface1
&ip binding vpn-instance 123
&ip address 100.1.1.254 255.255.255.0
dhcp server ip-pool pool001
&network 100.1.1.0 mask 255.255.255.0
&dhcp enable
查看设备的地址分配情况：
&s5800&display& dhcp server& ip-in-use& all
Pool utilization: 0.39%
&IP address&&&&&& Client-identifier/&&& Lease expiration&&&&&&&&& Type
&&&&&&&&&&&&&&&&& Hardware address
&100.1.1.1&&&&&&& c434-6b25-0bac&&&&&&& Apr 28 :30&&&&& Auto:COMMITTED
&--- total 1 entry ---
V7平台的设备实现做了变化，从某个VPN三层接口接收的dhcp请求报文只能在绑定了对应vpn-instance实例的地址池下获取地址，具体配置如下：
ip vpn-instance 123
&route-distinguisher 1:3
&dhcp enable
dhcp server ip-pool pool001
&vpn-instance 123
&gateway-list 100.1.1.254
&network 100.1.1.0 mask 255.255.255.0
interface Vlan-interface1
&ip binding vpn-instance 123
&ip address 100.1.1.254 255.255.255.0
配置关键点及注意事项
对于vpn-instance实例下的PC获取IP地址，V7设备需要绑定vpn-instance实例，V5不需要。
还可输 200 字
0 个赞 | 301 次点击
1 个赞 | 21 次点击
4 个赞 | 18 次点击
0 个赞 | 31 次点击
1 个赞 | 28 次点击
0 个赞 | 17 次点击
2 个赞 | 18 次点击
3 个赞 | 29 次点击
4 个赞 | 28 次点击
2 个赞 | 24 次点击
近期专家排名
最近发表 39 篇文章
最近发表 25 篇文章
最近发表 15 篇文章
44 个赞 | 6514 次点击
39 个赞 | 5921 次点击
42 个赞 | 4883 次点击
42 个赞 | 4604 次点击
38 个赞 | 4046 次点击