Giải pháp sử dụng mã nguồn mở Vyatta thay thế Cisco và Fortinet (Phần V – OPENVPN)

Site-to-Site Mode with Pre-Shared Secret

1/ Cấu hình trên router V1

Tạo pre-shared key

vyatta@V1$  vpn openvpn-key generate /root/secret
copy tập tin /root/secret vào thư mục /root của router V2
vyatta@V1#  scp /root/secret  root@87.65.43.21:/root/

Tạo interface vtun0

vyatta@V1# set interfaces openvpn vtun0
vyatta@V1# set interfaces openvpn vtun0 local-address 192.168.1.1

vyatta@V1# set interfaces openvpn vtun0 mode site-to-site

vyatta@V1# set interfaces openvpn vtun0 remote-address 192.168.1.2

vyatta@V1# set interfaces openvpn vtun0 remote-host 87.65.43.21

vyatta@V1# set interfaces openvpn vtun0 shared-secret-key-file /root/secret

vyatta@V1# commit
vyatta@V1# show interfaces openvpn vtun0
local-address 192.168.1.1
mode site-to-site
remote-address 192.168.1.2
remote-host 87.65.43.21
shared-secret-key-file /root/secret

Cấu hình static route cho mạng 192.168.101.0/24

vyatta@V1# set protocols static interface-route 192.168.101.0/24
next-hop-interface vtun0

vyatta@V1# commit

2/ Cấu hình trên router V2

vyatta@V2# set interfaces openvpn vtun0
vyatta@V2# set interfaces openvpn vtun0 local-address 192.168.1.2

vyatta@V2# set interfaces openvpn vtun0 mode site-to-site

vyatta@V2# set interfaces openvpn vtun0 remote-address 192.168.1.1

vyatta@V2# set interfaces openvpn vtun0 remote-host 12.34.56.78

vyatta@V2# set interfaces openvpn vtun0 shared-secret-key-file /root/secret

vyatta@V2# commit

Xem file cấu hình

vyatta@V2# show interfaces openvpn vtun0
local-address 192.168.1.2
mode site-to-site
remote-address 192.168.1.1
remote-host 12.34.56.78
shared-secret-key-file /root/secret

Cấu hình static route cho mạng 192.168.100.0/24

vyatta@V2# set protocols static interface-route 192.168.100.0/24
next-hop-interface vtun0
vyatta@V2# commit

Site-to-Site Mode with TLS

1/ Cấu hình trên router V1

Đặt password cho tài khoản root là 123456

vyatta@V1# set system login user root
vyatta@V1# set system login user root authentication plaintext-password 123456
vyatta@V1# commit

Đăng nhập hệ thống với tài khoản root

Chuyển vào thư mục /usr/share/doc/openvpn/examples/easy-rsa/2.0/

root@V1#cd /usr/share/doc/openvpn/examples/easy-rsa/2.0/

Thi hành các lệnh sau, trả lời các câu hỏi khi được yêu cầu:

root@V1# source ./vars
root@V1# ./clean-all

root@V1# ./build-ca

sau khi thi hành lệnh trên sẽ tạo ra các tập tin ca.crt, ca.key trong thư mục /usr/share/doc/openvpn/examples/easy-rsa/2.0/keys

root@V1# ./build-key-server server1

sau khi thi hành lệnh trên sẽ tạo ra các tập tin server1.csr server1.crt, server1.key trong thư mục /usr/share/doc/openvpn/examples/easy-rsa/2.0/keys

root@V1# ./build-dh

sau khi thi hành lệnh trên sẽ tạo ra tập tin dh1024.pem trong thư mục /usr/share/doc/openvpn/examples/easy-rsa/2.0/keys

root@V1# ./build-key server2

sau khi thi hành lệnh trên sẽ tạo ra các tập tin server2.csr server2.crt, server2.key trong thư mục /usr/share/doc/openvpn/examples/easy-rsa/2.0/keys

copy các tập tin sau (ca.crt, dh1024.pem, server1.crt, server1.key) vào thư mục /root

root@V1# cp keys/ca.crt keys/dh1024.pem keys/server1.crt keys/server1.key /root/
copy các tập tin sau (ca.crt, server2.crt,server2.key) vào thư mục /root của router V2
root@V1# scp  keys/ca.crt root@87.65.43.21:/root/
root@V1# scp  keys/server2.crt root@87.65.43.21:/root/
root@V1# scp  keys/server2.key root@87.65.43.21:/root/

Tạo interface vtun0

root@V1# set interfaces openvpn vtun0
root@V1# set interfaces openvpn vtun0 local-address 192.168.1.1
root@V1# set interfaces openvpn vtun0 mode site-to-site
root@V1# set interfaces openvpn vtun0 remote-address 192.168.1.2

root@V1# set interfaces openvpn vtun0 remote-host 87.65.43.21

root@V1# set interfaces openvpn vtun0 tls

root@V1# set interfaces openvpn vtun0 tls role passive

root@V1# set interfaces openvpn vtun0 tls ca-cert-file /root/ca.crt

root@V1# set interfaces openvpn vtun0 tls cert-file /root/server1.crt

root@V1# set interfaces openvpn vtun0 tls dh-file /root/dh1024.pem

root@V1# set interfaces openvpn vtun0 tls key-file /root/server1.key

root@V1# commit
root@V1# show interfaces openvpn vtun0
local-address 192.168.1.1
mode site-to-site
remote-address 192.168.1.2
remote-host 87.65.43.21
tls {
role passive
ca-cert-file /root/ca.crt
cert-file /root/server1.crt
dh-file /root/dh1024.pem
key-file /root/server1.key
}

2/ Cấu hình trên router V2

Tạo interface vtun0

root@V2# set interfaces openvpn vtun0
root@V2# set interfaces openvpn vtun0 local-address 192.168.1.2

root@V2# set interfaces openvpn vtun0 remote-address 192.168.1.1

root@V2# set interfaces openvpn vtun0 remote-host 12.34.56.78

root@V2# set interfaces openvpn vtun0 tls
root@V2# set interfaces openvpn vtun0 tls role active
root@V2# set interfaces openvpn vtun0 tls ca-cert-file /root/ca.crt

root@V2# set interfaces openvpn vtun0 tls cert-file /root/server2.crt

root@V2# set interfaces openvpn vtun0 tls key-file /root/server2.key

root@V2# commit
vyatta@V2# show interfaces openvpn vtun0
local-address 192.168.1.2
mode site-to-site
remote-address 192.168.1.1
remote-host 12.34.56.78
tls {
role active
ca-cert-file /root/ca.crt
cert-file /root/server2.crt
key-file /root/server2.key
}

Hoàng Lâm (từ Vyatta)

About Tony Nguyễn
Tôi tên Tony tự Tèo trú tại thôn Tám, Trảng Thanh tỉnh Thừa Thiên. Thưở thiếu thời trí tuệ tôi thường thường, tuy thế tính tình thật thà thẳng thắng, thích thi thơ ...

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: