利用OpenVPN构建安全的跨平台虚拟专用网络
1. 静态密钥与PKI的对比
使用静态密钥存在一个问题,即会失去完美前向保密性,因为静态密钥从不改变。如果攻击者设法嗅探并捕获网络流量,然后获取并破解了加密密钥,那么攻击者就可以解密过去和未来的所有数据。而OpenVPN支持使用公钥基础设施(PKI),虽然设置起来更复杂,但能确保完美前向保密性。OpenVPN的PKI使用复杂的过程生成四种不同的加密密钥,包括单独的加密/解密发送和加密/解密接收密钥,这些密钥每小时更换一次。因此,即使攻击者成功破解,最多也只能一次解密一小时的流量,之后就得重新开始。
2. 使用静态密钥连接远程Linux客户端
- 问题:在之前的配置都正常工作的情况下,如何为生产VPN服务器进行设置,以便从家用Linux PC连接到工作网络。工作网络有静态、可路由的IP地址,家用PC与工作网络和OpenVPN地址无重叠,OpenVPN服务器位于边界路由器上。
- 解决方案:
- 生成并分发共享静态密钥。
- 在配置文件中添加更多选项,并配置防火墙以允许VPN流量。
- 复制客户端和服务器配置文件,使用自己的IP地址和域名。
- 服务器配置文件
openvpn server2.conf:
- 服务器配置文件
