OpenVPN+FreeRADIUS开源VPN系统简介

2
2.3 2.4
部署LNMP环境及MyWebSql
2.2 安装FreeRADIUS
2.1 2.2
安装MySQL 安装FreeRADIUS 安装OpenVPN
2
2.3 2.4
部署LNMP环境及MyWebSql
2.3 安装OpenVPN
2.1 2.2
安装MySQL 安装FreeRADIUS 安装OpenVPN
User Process
OpenVPN Process
User Kernel
TCP/IP 协议栈
物理网卡
虚拟网卡
1.4 OpenVPN对数据包的处理流程
User Process
OpenVPN Process
User Kernel
TCP/IP 协议栈
物理网卡
虚拟网卡
1.1 1.2
VPN的概念 VPN的特点及应用领域 VPN的开源实现OpenVPN
OpenVPN + FreeRADIUS
开源VPN系统简介
2017年5月
1.1 1.2
VPN的概念 VPN的特点及应用领域 VPN的开源实现OpenVPN
1
1.3 1.4 1.5
OpenVPN对数据包的处理流程
OpenVPN的相关组件及工作流程
2.1 2.2
安装MySQL 安装FreeRADIUS 安装OpenVPN
查看用户日志
访问控制
3.3 配置客户端及拨号认证
3.3 配置客户端及拨号认证
3.3 配置客户端及拨号认证
3.3 配置客户端及拨号认证
3.1 3.2
Web登录VPN系统 添加VPN账号 配置客户端及拨号认证
3
3.3 3.4 3.5
查看用户日志
访问控制
3.4 查看用户日志
3.4 查看用户日志
2
2.3 2.4
部署LNMP环境及MyWebSql
2.4 部署LNMP环境及MyWebSql
2.4 部署LNMP环境及MyWebSql
3.1 3.2
Web登录VPN系统 添加VPN账号 配置客户端及拨号认证
3
3.3 3.4 3.5
查看用户日志
访问控制
3.1 Web登录VPN系统
3.1 Web登录VPN系统
Internet
第三方机构
企业
1.1 1.2
VPN的概念 VPN的特点及应用领域 VPN的开源实现OpenVPN
1
1.3 1.4 1.5
OpenVPN对数据包的处理流程
OpenVPN的相关组件及工作流程
1.3 VPN的开源实现OpenVPN
OpenVPN 是Linux下VPN技术的开源实现，提供良好的性 能和友好的用户GUI。OpenVPN允许使用用户名密码、证书进
1
1.3 1.4 1.5
OpenVPN对数据包的处理流程
OpenVPN的相关组件及工作流程
1.2 VPN的特点及应用领域
信息的安全性：VPN采用安全隧道技术，确保信息资源的安全。
系统的易扩充性：用户可以使用VPN技术方便的扩充企业网络。
低成本高效益：基于现有的网络架构组建企业专用网络，可节省
3.1 3.2
Web登录VPN系统 添加VPN账号 配置客户端及拨号认证
3
3.3 3.4 3.5
查看用户日志
访问控制
3.5 访问控制
对管理员用户admin设定权限： iptables -A INPUT -i tun0 -p tcp -s 10.8.0.5 -d 10.8.0.1 --dport 22 -j ACCEPT iptables -A INPUT -i tun0 -p tcp -s 10.8.0.5 -d 10.8.0.1 --dport 8080 -j ACCEPT iptables -A FORWARD -i tun0 -s 10.8.0.5 -j ACCEPT
2
2.3 2.4
部署LNMP环境及MyWebSql
3.1 3.2
Web登录VPN系统 添加VPN账号 配置客户端及拨号认证
3
3.3 3.4 3.5
查看用户日志
访问控制
1.1 1.2
VPN的概念 VPN的特点及应用领域 VPN的开源实现OpenVPN
1
1.3 1.4 1.5
OpenVPN对数据包的处理流程
行身份认证，OpenVPN的技术核心是虚拟网卡，其次是SSL协
议的实现，在企业中得到广泛应用。
1.1 1.2
VPN的概念 VPN的特点及应用领域 VPN的开源实现OpenVPN
1
1.3 1.4 1.5
OpenVPN对数据包的处理流程
OpenVPN的相关组件及工作流程
1.4 OpenVPN对数据包的处理流程
配置繁琐，出现问题不利于排查； 在应用层对数据进行隧道封装，系统开销比较大。
总结
保证VPN服务器的安全，系统一定要开启防火墙，对外仅提供VPN服务； 确保客户端配置文件“client.ovpn”的安全性，该配置文件包括：连接VPN
总结
服务器的ip、端口、ca.crt证书，该配置文件仅限有VPN业务需求的内部 人员使用； 定期更新根证书； 确保VPN用户账号密码的安全，密码加密存储且不易破解；
确保VPN服务器管理，Web管理仅允许管理员操作；
程序是否存在代码上的漏洞，及时更新打补丁。
3.1 3.2
Web登录VPN系统 添加VPN账号 配置客户端及拨号认证
3
3.3 3.4 3.5
查看用户日志
访问控制
3.2 添加VPN账号
3.2 添加VPN账号
3.2 添加VPN账号
3.2 添加VPN账号
3.1 3.2
Web登录VPN系统 添加VPN账号 配置客户端及拨号认证
3
3.3 3.4 3.5
OpenVPN的相关组件及工作流程
1.1 VPN的概念
VPN（虚拟专用网），利用不安全的互联网建立一条安
全的、虚拟的专用隧道，进行安全通讯的一种技术。
1.1 VPN的概念
出差
在家办公
Internet
企业内网
分支机构或合作伙伴
1.1 1.2
VPN的概念 VPN的特点及应用领域 VPN的开源实现OpenVPN
投资成本及维护成本。
1.2 VPN的特点及应用领域
远程访问VPN：用户或移动用户与企业内网之间建立的VPN。
Internet
移动用户
企业内网
1.2 VPN的特点及应用领域
企业内部VPN：企业总部与分支机构建立的VPN。
Internet
分支机构
总部
1.2 VPN的特点及应用领域
企业外部VPN：企业与第三方机构建立的VPN
采用用户密码认证方式，无需维护复杂的CA系统；
总结
灵活的部署方式，OpenVPN和FreeRADIUS可以部署在不同的机器和 不同的网络环境；前端多台OpenVPN接入和后端一台FreeRADIUS认 证的部署方式； 详细的日志记录； 以静态的方式分配给客户端ip，结合iptables方便对源进行访问控制 很好的穿越NAT。
1.5 OpenVPN的相关组件及工作流程
1.5 OpenVPN的相关组件及工作流程
2.客户端拨 号请求建立 VPN连接。
OpenVPN Client
OpenVPN Server Radiusplugin
MyWebSql Nginx、PHP
1.通过web 页面添加 VPN账号。
3.服务端将请 求信息发送给 radius服务器。
FreeRADIUS
MySQL
4.radius服务器 通过比对数据 库，查看用户 是否合法。
2.1 2.2
安装MySQL 安装FreeRADIUS 安装OpenVPN
2
2.3 2.4
部署LNMP环境及MyWebSql
2.1 安装MySQL
2.1 2.2
安装MySQL 安装FreeRADIUS 安装OpenVPN
1
1.3 1.4 1.5
OpenVPN对数据包的处Fra bibliotek流程OpenVPN的相关组件及工作流程
1.5 OpenVPN的相关组件及工作流程
Radiusplugin：OpenVPN Server端的插件，把接收到的客户
端验证信息使用radius协议进行封装，并提交给radius服务
器统一认证。 FreeRADIUS：radius协议的开源实现即AAA服务器（认证、 授权、审计），能够接受radius客户端（NAS）发送的认证 请求，并返回认证结果。
MySQL：统一存储用户信息，记录认证结果，此处与
freeradiuis程序结合使用。
1.5 OpenVPN的相关组件及工作流程
Nginx：提供web服务，此处通过B/S的方式管理数据库。
PHP：处理php页面。
MyWebSql：MySQL的Web管理工具，提供良好的用户界面， 此处通过Web界面管理VPN账号、查询VPN用户认证结果。
对普通用户cloudp设定权限： iptables -A FORWARD -i tun0 -p tcp -s 10.8.0.4 -d 192.168.1.121 --dport 22 -j ACCEPT
由radius统一存储、统一管理VPN账号，无用户数量限制； 采用B/S方式管理VPN登录账号；