设为首页 - 加入收藏 ASP站长网(Aspzz.Cn)- 科技、建站、经验、云计算、5G、大数据,站长网!
热搜: 手机 数据 公司
当前位置: 首页 > 服务器 > 安全 > 正文

什么是VPN?看运维专家聊聊VPN的那些事儿(2)

发布时间:2021-01-12 01:25 所属栏目:53 来源:网络整理
导读:虽然他提供了很多功能,相当于傻瓜式地自动安装了,不过有几点建议: 不要用他自带的nat功能,自己用IPTABLES做nat好些 自带有dhcp功能,如果是要做复杂的网段控制,特别是vlan功能,建议另行搭建dhcpd服务并在/etc/sysco

虽然他提供了很多功能,相当于傻瓜式地自动安装了,不过有几点建议:

  1. 不要用他自带的nat功能,自己用IPTABLES做nat好些
  2. 自带有dhcp功能,如果是要做复杂的网段控制,特别是vlan功能,建议另行搭建dhcpd服务并在/etc/sysconfig/dhcpd加入多个监听的网卡.
  3. 如果可行的话,建议导入正规的证书,因为如果是做sstp的话会在用户端校验证书,否则用户体验非常不好甚至是直接失败.
  4. 帐号认证可以使用radius服务器,方便和别的帐号系统联动,我们用的是CISCO的ISE设备.
    由于各类网络运营商的限制,可以同时开启多个类型vpn给用户备用.

下面简单介绍下命令行的使用,因为想要自动化还得靠这个.

#进入命令行管理界面
./vpncmd server:port /SERVER /HUB:hub_name /PASSWORD:password
#在命令行管理界面的子命令:
#查看帮助,每个命令都可以用help查看详细参数
help
#查看当前用户和流量
SessionList
#用户的增删查改
UserCreate UserDelete UserList UserSet
上面几个常用的命令基本可以满足我们的需求了,通过管道传入即可实现命令行自动化管理.

不过这个软件有个遗憾,多个vpn协议中不支持pptp类型.

三、应用场景

应用场景比较多,这里小列举下.

3.1 加密跨网访问

国际网络不好时候,用来翻墙访问github之类的地址,这个是最常见的用法.

还有个是被媒体揭秘过的借VPN方案利用运营商的定向免费流量来谋取暴利的跨网访问等,不过这个定向的免费流量利用方式不一定靠谱,不推荐.

3.2 网游加速器

基于国内的各种网络环境,特别是小运营商的网络质量很让人伤心,一些游戏运营商会开发些经过封装的“VPN软件”,取名XX加速器,比如可以通过本地路由把游戏服务器的网段通过vpn技术导向服务端,服务端那里再经过一些逻辑处理取就近资源或者直接使用高质量的BGP网络进行转发以提高用户访问质量.

3.3 特殊网络审计

这个也就是上面ppp协议那里的实现方法,用于一些特殊场合的精细化访问控制和审计.

3.4 随机出口IP方案

之前又说个改变用户出口IP的事情,这里顺带一个解决方案,比如可以在服务器上既做提供vpn给用户的服务端,同时也可以做全球不同地方的客户端,然后通过控制IPTABLES的nat来切换vpn用户的出口.

如果不方便在全球部署服务器的话可以在机房拉一条ADSL到服务器的另外一个网卡,然后通过pppoe-start来拨号,通过自动重拨来更改出口IP.大致框架如下:

注意这里设置默认网关往ADSL出口的时候需要针对原本机IP做策略路由才可以保证网络是通的.

在/etc/iproute2/rt_tables里面加入101 benji
然后本机策略路由:
/sbin/ip route add default via 原网关 dev em1 table benji
/sbin/ip rule add from 原IP table benji

这样才可以保证ADSL出口不影响原IP的访问.

3.5 弱网模拟
手游在弱网环境下的测试也可以用vpn加上tc来模拟,这个在游戏精细化运维时候有用得上.命令参考如下:

#添加root根
tc qdisc add dev eth0 root handle 1: prio
#配置这个id是丢包30%,上下浮动2%
tc qdisc add dev eth0 parent 1:1 handle 2: netem loss 30% 2%
#或者是延迟500ms,上下浮动20ms
tc qdisc add dev eth0 parent 1:1 handle 2: netem delay 500ms 20ms
#然后设置
tc filter add dev eth0 parent 1:0 protocol ip pref 55 handle ::55 u32 match ip dst 目的IP flowid 2:1
#测试完之后,删除命令
tc qdisc del dev eth0 root

经过tc的控制,手机网络会控制地非常精准,用来做弱网模拟很不错.

四、小结

总的来说,经历过多个vpn之后发现juniper的防火墙提供的vpn是最繁琐和死板的,还有license限制,pptp/l2tp的最灵活,最后最实用的是同时可以提供多个vpn协议的softethervpn.

VPN给人的印象也不应停留在非法的领域,具体用处还是挺多的,不过尽量不要使用网络上公开的那种vpn,在vpn服务端那里可能存在各种中间人劫持甚至包括针对https的攻击.

原文来自微信公众号:运维军团

(编辑:ASP站长网)
相关内容
网友评论
推荐文章
    热点阅读

      【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱nqiang002@foxmail.com我们将及时予以处理。

      建议您使用1366×768 分辨率、Microsoft Internet Explorer 11浏览器以获得本站的出色浏览效果

      Copygight © 2008-2023 http://www.aspzz.cn All Rights Reserved. ASP站长网

      站长:nqiang002#foxmail.com(请把#换成@)