类别:VPN / 日期:2021-04-13 / 浏览:10494 / 评论:0
手上用一台极路由3路由器,刷了老毛子padavan系统(RT-AC1200HP-GPIO-12-JI3-128M_3.4.3.9-099.trx)。由于最近研究了ROS的ovpn,兴趣正浓,也研究一下pavadan的openvpn。
说明:
1、OpenVPN有两种工作模式:路由和桥接。路由模式工作在OSI第3层,广播包无法透过VPN,但其效率高,可扩展性(scalability)强。桥接模式工作在OSI第2层,允许广播包透过VPN,不需要设置路由,但效率和可扩展性较路由模式差。本文所述配置使用路由模式。
2、openvpn支持TCP和UDP,端口支持自定义避免太常用。
3、如果是二级路由搭建服务器,可以由上到下一路绑定DHCP固定IP分配+DMZ主机。和搭建PPTP服务器大同小异。
4、铁通线路对搭建openvpn服务器不友善,但支持客户端连接。
5、关于加密算法:
由于之前的ROS上采用的是aes 256,如下图所示。所以也只对aes感兴趣,以下是网上摘录关于aes的一些知识。
---------------摘录----------------------
AES最常见的有3种方案,分别是AES-128、AES-192和AES-256,它们的区别在于密钥长度不同,AES-128的密钥长度为16bytes(128bit/8,即16bytes),后两者分别为24bytes和32bytes。密钥越长,安全强度越高,但伴随运算轮数的增加,带来的运算开销就会更大,所以用户应根据不同应用场合进行合理选择。用户在应用过程中,除了关注密钥长度外,还应注意确认算法模式。
之前项目老大问我:AES128和AES256主要区别和安全程度是多少?他们对于机器的消耗是怎样的?两者性能如何?实际开发如何选择?(下面是三位知乎同学回答的)
AES相比同类对称加密算法速度算是非常快,比如在有AES-NI的x86服务器至少能达到几百M/s的速度。安全性在可预见的未来是基本等同的,因为即使是128位也足够复杂无法被暴力破解。现在112位密码还在商业应用,而128位是112位的几万倍,所以在实务中用128位比较划算(稍节约资源)。
AES256比128大概需要多花40%的时间,用于多出的4轮round key生成以及对应的SPN操作。另外,产生256-bit的密钥可能也需要比128位密钥多些开销,不过这部分开销应该可以忽略。
安全程度自然是256比128安全,因为目前除了暴力破解,并没有十分有效的代数攻击方法。针对具体的AES-256或AES-128的软/硬件实现有特定的攻击方式,不好一概而论。
AES128和AES256主要区别是密钥长度不同(分别是128bits,256bits)、加密处理轮数不同(分别是10轮,14轮),后者强度高于前者。当前AES是较为安全的公认的对称加密算法。
因此,一般来说采用ASE128就足够了。
-------------------------------------
注意:在padavan中,默认是采用blowfish 128加密的,如下图:
好了,说明到此为止。以下是操作步骤:
一、启用VPN服务器
黄色提醒证书不用管它。修改默认端口,加密采用AES 128bit,注意“通过VPN路由所有客户端的流量?”选择是。其它的参考下图配置,点下面‘应用本页面设置’。
二、创建证书
跳转到 “OPENVPN的证书及密钥”页,点 “生成”。等几分钟出现一堆密匙说明生产完成。注意:days valid是证书有效期天数,可以根据实际情况增减。
如图,生成证书,应用本页面
记得点“应用页面设置”。试过刷新下,发现没保存到,要重新生成。
四、建立账号
添加客户端用户。这里有bug。要先切过去PPTP服务器,添加用户名和密码,然后切回来openvpn服务器,才能添加成功。
创建账号后,每个账号后面都有一个client.ovpn的文件,导出到本地电脑中。
五、修改client.ovpn文件内容
用记事本打开刚才的client.ovpn,第四行改为域名或固定公网IP。还一个最关键的,要在【;float】后面加一行:auth-user-pass。如果不增加这条命令,会无法输入用户名和密码。保存。
七、测试
将client.ovpn放在对应的文件夹或手机上,进行连接。具体方法请看我之前的文章《openVPN客户端之:Windows客户端》、《RouterOS 的 OpenVPN配置(国内最完整笔记)》最后的测试部分。
全文完。