OpenVPN+FreeRADIUS开源VPN系统简介

OpenVPN+FreeRADIUS开源VPN系统简介2017年5月1.11.21.31.41.5VPN的概念1VPN的特点及应用领域VPN的开源实现OpenVPNOpenVPN对数据包的处理流程OpenVPN的相关组件及工作流程2.12.22.32.4安装MySQL2安装FreeRADIUS安装OpenVPN部署LNMP环境及MyWebSql3.13.23.33.43.5Web登录VPN系统3添加VPN账号配置客户端及拨号认证查看用户日志访问控制1.11.21.31.41.5VPN的概念1VPN的特点及应用领域VPN的开源实现OpenVPNOpenVPN对数据包的处理流程OpenVPN的相关组件及工作流程1.1VPN的概念VPN（虚拟专用网），利用不安全的互联网建立一条安全的、虚拟的专用隧道，进行安全通讯的一种技术。1.1VPN的概念Internet出差在家办公分支机构或合作伙伴企业内网1.11.21.31.41.5VPN的概念1VPN的特点及应用领域VPN的开源实现OpenVPNOpenVPN对数据包的处理流程OpenVPN的相关组件及工作流程1.2VPN的特点及应用领域信息的安全性：VPN采用安全隧道技术，确保信息资源的安全。系统的易扩充性：用户可以使用VPN技术方便的扩充企业网络。低成本高效益：基于现有的网络架构组建企业专用网络，可节省投资成本及维护成本。1.2VPN的特点及应用领域远程访问VPN：用户或移动用户与企业内网之间建立的VPN。企业内网Internet移动用户1.2VPN的特点及应用领域企业内部VPN：企业总部与分支机构建立的VPN。总部Internet分支机构1.2VPN的特点及应用领域企业外部VPN：企业与第三方机构建立的VPN企业Internet第三方机构1.11.21.31.41.5VPN的概念1VPN的特点及应用领域VPN的开源实现OpenVPNOpenVPN对数据包的处理流程OpenVPN的相关组件及工作流程1.3VPN的开源实现OpenVPNOpenVPN是Linux下VPN技术的开源实现，提供良好的性能和友好的用户GUI。OpenVPN允许使用用户名密码、证书进行身份认证，OpenVPN的技术核心是虚拟网卡，其次是SSL协议的实现，在企业中得到广泛应用。1.11.21.31.41.5VPN的概念1VPN的特点及应用领域VPN的开源实现OpenVPNOpenVPN对数据包的处理流程OpenVPN的相关组件及工作流程1.4OpenVPN对数据包的处理流程UserKernelUserProcessOpenVPNProcessTCP/IP协议栈物理网卡虚拟网卡1.4OpenVPN对数据包的处理流程UserKernelUserProcessOpenVPNProcessTCP/IP协议栈物理网卡虚拟网卡1.11.21.31.41.5VPN的概念1VPN的特点及应用领域VPN的开源实现OpenVPNOpenVPN对数据包的处理流程OpenVPN的相关组件及工作流程1.5OpenVPN的相关组件及工作流程Radiusplugin：OpenVPNServer端的插件，把接收到的客户端验证信息使用radius协议进行封装，并提交给radius服务器统一认证。FreeRADIUS：radius协议的开源实现即AAA服务器（认证、授权、审计），能够接受radius客户端（NAS）发送的认证请求，并返回认证结果。MySQL：统一存储用户信息，记录认证结果，此处与freeradiuis程序结合使用。1.5OpenVPN的相关组件及工作流程Nginx：提供web服务，此处通过B/S的方式管理数据库。PHP：处理php页面。MyWebSql：MySQL的Web管理工具，提供良好的用户界面，此处通过Web界面管理VPN账号、查询VPN用户认证结果。1.5OpenVPN的相关组件及工作流程OpenVPNServerOpenVPNClientFreeRADIUSMySQLMyWebSql1.通过web页面添加VPN账号。2.客户端拨号请求建立VPN连接。3.服务端将请求信息发送给radius服务器。4.radius服务器通过比对数据库，查看用户是否合法。1.5OpenVPN的相关组件及工作流程RadiuspluginNginx、PHP2.12.22.32.4安装MySQL2安装FreeRADIUS安装OpenVPN部署LNMP环境及MyWebSql2.1安装MySQL2.12.22.32.4安装MySQL2安装FreeRADIUS安装OpenVPN部署LNMP环境及MyWebSql2.2安装FreeRADIUS2.12.22.32.4安装MySQL2安装FreeRADIUS安装OpenVPN部署LNMP环境及MyWebSql2.3安装OpenVPN2.12.22.32.4安装MySQL2安装FreeRADIUS安装OpenVPN部署LNMP环境及MyWebSql2.4部署LNMP环境及MyWebSql2.4部署LNMP环境及MyWebSql3.13.23.33.43.5Web登录VPN系统3添加VPN账号配置客户端及拨号认证查看用户日志访问控制3.1Web登录VPN系统3.1Web登录VPN系统3.13.23.33.43.5Web登录VPN系统3添加VPN账号配置客户端及拨号认证查看用户日志访问控制3.2添加VPN账号3.2添加VPN账号3.2添加VPN账号3.2添加VPN账号3.13.23.33.43.5Web登录VPN系统3添加VPN账号配置客户端及拨号认证查看用户日志访问控制3.3配置客户端及拨号认证3.3配置客户端及拨号认证3.3配置客户端及拨号认证3.3配置客户端及拨号认证3.13.23.33.43.5Web登录VPN系统3添加VPN账号配置客户端及拨号认证查看用户日志访问控制3.4查看用户日志3.4查看用户日志3.13.23.33.43.5Web登录VPN系统3添加VPN账号配置客户端及拨号认证查看用户日志访问控制3.5访问控制iptables-AFORWARD-itun0-ptcp-s10.8.0.4-d192.168.1.121--dport22-jACCEPTiptables-AINPUT-itun0-ptcp-s10.8.0.5-d10.8.0.1--dport22-jACCEPTiptables-AINPUT-itun0-ptcp-s10.8.0.5-d10.8.0.1--dport8080-jACCEPTiptables-AFORWARD-itun0-s10.8.0.5-jACCEPT对管理员用户admin设定权限：对普通用户cloudp设定权限：由radius统一存储、统一管理VPN账号，无用户数量限制；采用B/S方式管理VPN登录账号；采用用户密码认证方式，无需维护复杂的CA系统；灵活的部署方式，OpenVPN和FreeRADIUS可以部署在不同的机器和不同的网络环境；前端多台OpenVPN接入和后端一台FreeRADIUS认证的部署方式；详细的日志记录；以静态的方式分配给客户端ip，结合iptables方便对源进行访问控制很好的穿越NAT。总结配置繁琐，出现问题不利于排查；在应用层对数据进行隧道封装，系统开销比较大。总结总结保证VPN服务器的安全，系统一定要开启防火墙，对外仅提供VPN服务；确保客户端配置文件“client.ovpn”的安全性，该配置文件包括：连接VPN服务器的ip、端口、ca.crt证书，该配置文件仅限有VPN业务需求的内部人员使用；定期更新根证书；确保VPN用户账号密码的安全，密码加密存储且不易破解；确保VPN服务器管理，Web管理仅允许管理员操作；程序是否存在代码上的漏洞，及时更新打补丁。