标签:vpn

发表于
TUN与TAP是操作系统内核中的虚拟网络设备。 无论用哪个,直接后果都会在系统中多出一块虚拟的网卡来。 TAP等同于一个以太网设备,它操作第二层数据包如以太网数据帧。 TUN模拟了网络层设备,操作第三层数据包比如IP数据封包。 简单说TAP二层TUN三层。...
发表于
PPTP PPTP(Point-to-Point Tunneling Protocol,点对点隧道协议)是由微软为了在拨号网络方面创建VPN而成立的一个团队开发而生,因此长期以来一直都是其企业内部的VPN标准协议。它也是一个通过搭配各种认证方法(通常是MS-CHAP v2)以提供安全性的VPN协议。因为PPTP协议作为一个在几乎所有有VPN能力的平台和设备上都可以无需安装额外软件而使用的标准,它至今仍然是企业和VPN供应商们的热门选择。同时,它有着低计算开销即可实现的优势(通俗地说就是运行速度很快)。 几乎所有平台都内置好了PPTP协议的VPN客户端 非常易于搭建 不够安全(弱势的MSCHAPv2依旧被广泛使用) 绝对妥协于NSA L2TP 以及 L2TP/IPsec L2TP(Layer 2 Tunnel Protocol,第二层隧道协议)是一种协议本身不对通过的流量进行加密或实施保密措施的VPN协议。也正是因为这个原因,L2TP通常会结合IPsec加密套件(如下所述,类似于一种密码)来实现,以此提供安全性和隐私性。 L2TP/IPsec已经被内置于所有现代化操作系统以及具有VPN功能的设置,同时它也如PPTP一般,操作简单、可快速搭建(实际上它与PPTP使用的设备通常也是相同的)。 L2tp/IPsec会进行两次数据封装,这似乎会让速度慢下来。不过首先,它的加密解密行为发生在内核之中,...
发表于
首先,声明一下,https://getcarina.com ,是无法运行ikev2类型的的容器的,因为权限不够,无法拿到建立vpn所需的权限。 这篇文章只能在自己的vps上搭。 步骤如下: 1、拉回来镜像,ikev2-vpn-server docker pull gaomd/ikev2-vpn-server 2、启动服务端,注意--privileged参数,这个是必须的 docker run -d --name ikev2-vpn-server --privileged -p 500:500/udp -p 4500:4500/udp gaomd/ikev2-vpn-server 搞定,只需要四步即可完成相对比较难搞的ikev2的安装, 如果你要使用ikev2,只需要再往docker 容器里面传入相对应的参数,比如我想制作ios8的配置文件,给iPhone 用户使用,哪么我只需要传入 3、生成iphone客户端配置文件 docker run...
发表于
此类的文章应该很多了。 实际搭建过程中费了点劲,记录一下,以备下次再次搭建: 一、黑色星期五的时候抢购了Chicagovps的6美刀一年的VPS,首先跑到控制台去,查看确认一下TUN/TAP是Enable的: 二、下载lzo,编译安装: wget http://www.rendoumi.com/soft/lzo-1.08.tar.gz tar zxvf lzo-1.08.tar.gz cd lzo-1.08 ./configure --prefix=/usr/local/lzo make make install vi /etc/ld/so.conf /usr/local/lzo/lib ldconfig -v...
发表于
不知不觉公司的openvpn都有200多人了。得管控一下,正好服务器用得是fail2ban,那就用这个好了 修改: /etc/fail2ban/filter.d/openvpn.conf # vi /etc/fail2ban/filter.d/openvpn.conf ------ [Definition] failregex * [a-b]*ovpn-server.*:.<HOST>:[0-9]{4,5} TLS Auth Error:.* [a-b]*ovpn-server.*:.<HOST>:[0-9]{4,5} VERIFY ERROR:.* [a-b]*ovpn-server.*:.<HOST>:[0-9]{4,5}...
发表于
上一篇说了wvdial,很简单吧。实际上wvdial隐藏了很多东西,用pppd来看看真实的拨号过程吧: 其实modem拨号认证的方式有两种,一种是显示明文的login:(username:)方式,另一种是显示乱码的pap(chap)方式。 ①首先: vi /etc/ppp/options lock crtscts defaultroute noauth ②清理一下老的连接: killall pppd rm /var/lock/LCK..ttyS0 ③找出认证的方式: /usr/sbin/pppd /dev/ttyS0 115200 debug connect "/usr/sbin/chat -v '' 'AT&F0' OK ATD0,28929191 CONNECT 'dc'...
发表于
Linux下配置Modem拨号有两种方式,传统的pppd方式和简单的wvdial方式。 公司为了跟建设银行建立专线,首先用电话线拨号进行测试。 买回来一个外置的Modem,接在服务器的com1口上,电话测试一下,OK没问题。 就开始配置吧: 先说简单的wvdial: wvdial的配置方法超级简单, wvdialconf /etc/wvdial.conf 它会自动测出系统的Modem,稍微修改一下,加几个参数: vi /etc/wvdial.conf [Dialer Defaults] Modem = /dev/ttyS0 Baud = 115200 Init1 = ATZ Init2 = ATQ0 V1 E1 S0=0 &C1 &D2 +FCLASS=0 ISDN = 0 Auto Reconnect = on Modem Type...
发表于
openvpn server can't use udp port 这个问题非常古怪,我们有两个机房。分别在两边假设了openvpn服务器,一个机房就完全正常。另一个机房的openvpn如果是tcp就没问题,如果是udp就报错,无法连接。把正常机房的openvpn完全复制一份拿过去,也是一样报错,太郁闷了! 错误提示是: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) 非常古怪啊: 在内网用nc来试验udp是否正常: nc -ul 1194 在内网随便找一台机器测试: nc -u xxxx 1194 然后两边随便输入字符测试,没问题。 然后从公网测试,就出问题了。nc连接上以后,只能发送一次数据,然后管道就断裂了,无法再传数据。...
发表于
openvpn fix ip range 其实openvpn一个客户端是需要占4个ip的,服务器一个,客户端一个,网关一个,广播一个。所以客户端的地址绝对不可能连续。 如下表的配对表,服务器是1、5、9、13、17......,客户端是2、6、10、14......: [ 1, 2] [ 5, 6] [ 9, 10] [ 13, 14] [ 17, 18] [ 21, 22] [ 25, 26] [ 29, 30] [ 33, 34] [ 37, 38] [ 41, 42] [ 45, 46] [ 49, 50] [ 53, 54] [ 57, 58]...
发表于
other vpn - tinc vpn有很多种做法,ppp、openvpn、ipsec等,还有一种就是tinc了,为什么要用这个呢? 之前是一直用openvpn和ppp,但是openvpn有个毛病,就是客户端的ip不连续,简单说就是服务器ip是192.168.0.1的话,第一台客户端ip是192.168.0.2,那么第二台客户端就不能是192.168.0.3,因为每台客户端占了一对ip,而且运行ifconfig查看网卡的话,会显示一个无比难看的mac地址,真是接受不能:HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00,而且要固定ip的话也很麻烦,需要写个文件。 ppp就更不用说了,链接根本不可控,经常性的断线。比来比去还是tinc比较自由,ip都是可控的,静态路由也是可以写脚本控制的。而且是有iphone客户端的。 OK,下载tinc,编译安装: wget http://www.rendoumi.com/soft/tinc-1....
发表于
Cisco ASA5520 VPN线路的监控 公司从事第三方支付工作,跟很多银行都有合作关系,拉了很多专线直通银行,双方建立VPN,两端都是Cisco的设备,但是,这些线路有时候会莫名其妙的断掉,关键是程序不知道啊,老是重连,一直等到客服反映客户投诉,查一圈程序后才知道。这在生产环境上可是行不通的,找来了所谓Cisco高手,也搞不明白为什么老断,没办法,于是写了两个监控脚本,使用Ping检测VPN对端的状况,一旦Ping不通,就用脚本登陆防火墙,自动重启VPN。 在安装之前,先安装一个能从命令行发送邮件的软件Email来发送报警邮件,否则每台机器都起sendmail,没什么必要: wget http://www.rendoumi.com/soft/email-3.1.4.tar.gz tar zxvf email-3.1.4.tar.gz cd email-3.1.4 ./configure...