openvpn線路加密編寫
『壹』 PPTP和OpenVPN有什麼區別
PPTP點對點隧道協議(PPTP)是一種實現虛擬專用網路的方法。 PPTP使用用於封裝PPP數據包的TCP及GRE隧道控制通道。 OpenVPNOpenVPN是一免費開源軟體,以路由器或橋接配置和遠程訪問設備方式實現虛擬專用網路(VPN)創建安全的點對點或站對站連接的解決方案。它使用SSL / TLS安全加密,具有穿越網路地址轉換(NATs)和防火牆的功能。 在PPTP和OpenVPN二者之間做出選擇的一個重要考慮因素,也是我們無法控制的因素,就是有時互聯網服務供應商會阻止PPTP連接。次情況下我們無計可施,只能選擇使用OpenVPN。 PPTP具有一些獨特優勢,但此刻用OpenVPN會是不錯的選擇。 PPTP可以應用到幾乎所有的操作系統軟體,無需安裝任何軟體。它也兼容許多移動設備,如iphone,ipad和Windows移動,安裝簡易。相比之下,OpenVPN的安裝比PPTP要復雜一點,但只要按照正確的指示安裝則無太大困難。請注意OpenVPN不兼容移動設備。 PPTP加密技術使用密碼作為密鑰,它的數據流載有可獲取的混編密碼。如果中間有人攔截到了數據流並且破譯了密碼(盡管可能但很難),那麼他就可以破譯你的信息。然而OpenVPN使用非常強大的加密(Blowfish)技術。即使有人攔截你的數據流,他們也無計可施。這使得OpenVPN比PPTP安全得多。 選擇如果你希望得到高安全性以及更加關注數據安全傳輸問題,那麼你應該使用OpenVPN。如果您為了簡便或者想在移動設備上使用VPN那麼PPTP適合你。還有其他協議,例如L2P或IPSec,但他們在用戶友好或成本上沒有優勢。
『貳』 OPENVNP 什麼意思
VPN直譯就是虛擬專用通道,是提供給企業之間或者個人與公司之間安全數據傳輸的隧道,OpenVPN無疑是Linux下開源VPN的先鋒,提供了良好的性能和友好的用戶GUI。該軟體最早由James Yonan編寫。 OpenVPN logo
OpenVPN允許參與建立VPN的單點使用預設的私鑰,第三方證書,或者用戶名/密碼來進行身份驗證。它大量使用了OpenSSL加密庫,以及SSLv3/TLSv1協議。 總的答案為打開虛擬專用通道
『叄』 查看PPTP,L2TP,IPSec和OpenVPN的區別的源代碼
前面的 和後面的沒關系
pptp 普通的經過加密的vpn 加密的內容可以被破解
L2tp ipsec 經過加密的vpn 比pptp更強 有沒有破解就不清楚了
openvpn 國外的開源項目,有沒有被破解只有破解的人知道惡劣
『肆』 Openswan和freeswan的區別
openswan採用的是ipsec技術實現的VPN,由於在IP層實現,效率高,歷史悠久,網上相關的配置文章也多,穩定。可以實現p2p,p2net,net2net.
openvpn採用SSL技術實現,由於主要工作在應用層,效率低,如果單位流量比較大,還是不要用這個了。另個他採用了SSL技術,也不是我們通常所說的SSL VPN。
目前市場上比較流行的硬體VPN都是採用的ipsec技術。所以選擇第一種對你以後更換硬體有幫助。
基本上來說,市場上的硬體VPN產品很少採用openvpn這樣的技術的。
IPSEC工作原理
--------------------------------------------------------------------------------
虛擬專網是指在公共網路中建立專用網路,數據通過安全的「管道」在公共網路中傳播。使用VPN有節省成本、提供遠程訪問、擴展性強、便於管理和實現全面控制等好處,是目前和今後網路服務的重點項目。因此必須充分認識虛擬專網的技術特點,建立完善的服務體系。 VPN工作原理
目前建造虛擬專網的國際標准有IPSEC(RFC 1825-1829)和L2TP(草案draft-ietf-pppext-l2tp-10)。其中L2TP是虛擬專用撥號網路協議,是IETF根據各廠家協議(包括微軟公司的PPTP、Cisco的L2F)進行起草的,目前尚處於草案階段。IPSEC是一系列基於IP網路(包括Intranet、Extranet和Internet)的,由IETF正式定製的開放性IP安全標准,是虛擬專網的基礎,已經相當成熟可靠。L2TP協議草案中規定它(L2TP標准)必須以IPSEC為安全基礎(見draft-ietf-pppext-l2tp-security-01)。因此,闡述VPN的工作原理,主要是分析IPSEC的工作原理。
IPSEC提供三種不同的形式來保護通過公有或私有IP網路來傳送的私有數。
認證——作用是可以確定所接受的數據與所發送的數據是一致的,同時可以確定申請發送者在實際上是真實發送者,而不是偽裝的。
數據完整——作用是保證數據從原發地到目的地的傳送過程中沒有任何不可檢測的數據丟失與改變。
機密性——作用是使相應的接收者能獲取發送的真正內容,而無意獲取數據的接收者無法獲知數據的真正內容。
在IPSEC由三個基本要素來提供以上三種保護形式:認證協議頭(AH)、安全載入封裝(ESP)和互聯網密匙管理協議(IKMP)。認證協議頭和安全載入封裝可以通過分開或組合使用來達到所希望的保護等級。
認證協議頭(AH)是在所有數據包頭加入一個密碼。正如整個名稱所示,AH通過一個只有密匙持有人才知道的「數字簽名」來對用戶進行認證。這個簽名是數據包通過特別的演算法得出的獨特結果;AH還能維持數據的完整性,因為在傳輸過程中無論多小的變化被載入,數據包頭的數字簽名都能把它檢測出來。不過由於AH不能加密數據包所載入的內容,因而它不保證任何的機密性。兩個最普遍的AH標準是MD5和SHA-1,MD5使用最高到128位的密匙,而SHA-1通過最高到160位密匙提供更強的保護。
安全載入封裝(ESP)通過對數據包的全部數據和載入內容進行全加密來嚴格保證傳輸信息的機密性,這樣可以避免其他用戶通過監聽來打開信息交換的內容,因為只有受信任的用戶擁有密匙打開內容。ESP也能提供認證和維持數據的完整性。最主要的ESP標準是數據加密標准(DES),DES最高支持56位的密匙,而3DES使用三套密匙加密,那就相當於使用最高到168位的密匙。由於ESP實際上加密所有的數據,因而它比AH需要更多的處理時間,從而導致性能下降。
密匙管理包括密匙確定和密匙分發兩個方面,最多需要四個密匙:AH和ESP各兩個發送和接收密匙。密匙本身是一個二進制字元串,通常用十六進製表示,例如,一個56位的密匙可以表示為5F39DA752E0C25B4。注意全部長度總共是64位,包括了8位的奇偶校驗。56位的密匙(DES)足夠滿足大多數商業應用了。密匙管理包括手工和自動兩種方式,手工管理系統在有限的安全需要可以工作得很好,而自動管理系統能滿足其他所有的應用要求。
使用手工管理系統,密匙由管理站點確定然後分發到所有的遠程用戶。真實的密匙可以用隨機數字生成器或簡單的任意拼湊計算出來,每一個密匙可以根據集團的安全政策進行修改。 使用自動管理系統,可以動態地確定和分發密匙,顯然和名稱一樣,是自動的。自動管理系統具有一個中央控制點,集中的密匙管理者可以令自己更加安全,最大限度的發揮IPSEC的效用。
IPSEC的實現方式
IPSEC的一個最基本的優點是它可以在共享網路訪問設備,甚至是所有的主機和伺服器上完全實現,這很大程度避免了升級任何網路相關資源的需要。在客戶端,IPSEC架構允許使用在遠程訪問介入路由器或基於純軟體方式使用普通MODEM的PC機和工作站。而ESP通過兩種模式在應用上提供更多的彈性:傳送模式和隧道模式。
IPSEC Packet 可以在壓縮原始IP地址和數據的隧道模式使用
傳送模式通常當ESP在一台主機(客戶機或服務勤)上實現時使用,傳送模式使用原始明文IP頭,並且只加密數據,包括它的TCP和UDP頭。
隧道模式通常當ESP在關聯到多台主機的網路訪問介入裝置實現時使用,隧道模式處理整個IP數據包——包括全部TCP/IP或UDP/IP頭和數據,它用自己的地址做為源地址加入到新的IP頭。當隧道模式用在用戶終端設置時,它可以提供更多的便利來隱藏內部伺服器主機和客戶機的地址。
虛擬專網的加密演算法說明
--------------------------------------------------------------------------------
一、IPSec認證
IPSec認證包頭(AH)是一個用於提供IP數據報完整性和認證的機制。完整性保證數據報不被無意的或惡意的方式改變,而認證則驗證數據的來源(主機、用戶、網路等)。AH本身其實並不支持任何形式的加密,它不能保護通過Internet發送的數據的可信性。AH只是在加密的出口、進口或使用受到當地政府限制的情況下可以提高全球Intenret的安全性。當全部功能實現後,它將通過認證IP包並且減少基於IP欺騙的攻擊機率來提供更好的安全服務。AH使用的包頭放在標準的IPv4和IPv6包頭和下一個高層協議幀(如TCP、UDP、I CMP等)之間。
AH協議通過在整個IP數據報中實施一個消息文摘計算來提供完整性和認證服務。一個消息文摘就是一個特定的單向數據函數,它能夠創建數據報的唯一的數字指紋。消息文摘演算法的輸出結果放到AH包頭的認證數據(Authentication_Data)區。消息文摘5演算法(MD5)是一個單向數學函數。當應用到分組數據中時,它將整個數據分割成若干個128比特的信息分組。每個128比特為一組的信息是大分組數據的壓縮或摘要的表示。當以這種方式使用時,MD5隻提供數字的完整性服務。一個消息文摘在被發送之前和數據被接收到以後都可以根據一組數據計算出來。如果兩次計算出來的文摘值是一樣的,那麼分組數據在傳輸過程中就沒有被改變。這樣就防止了無意或惡意的竄改。在使用HMAC-MD5認證過的數據交換中,發送者使用以前交換過的密鑰來首次計算數據報的64比特分組的MD5文摘。從一系列的16比特中計算出來的文摘值被累加成一個值,然後放到AH包頭的認證數據區,隨後數據報被發送給接收者。接收者也必須知道密鑰值,以便計算出正確的消息文摘並且將其與接收到的認證消息文摘進行適配。如果計算出的和接收到的文摘值相等,那麼數據報在發送過程中就沒有被改變,而且可以相信是由只知道秘密密鑰的另一方發送的。
二、IPSec加密
封包安全協議(ESP)包頭提供IP數據報的完整性和可信性服務ESP協議是設計以兩種模式工作的:隧道(Tunneling)模式和傳輸(Transport)模式。兩者的區別在於IP數據報的ESP負載部分的內容不同。在隧道模式中,整個IP數據報都在ESP負載中進行封裝和加密。當這完成以後,真正的IP源地址和目的地址都可以被隱藏為Internet發送的普通數據。這種模式的一種典型用法就是在防火牆-防火牆之間通過虛擬專用網的連接時進行的主機或拓撲隱藏。在傳輸模式中,只有更高層協議幀(TCP、UDP、ICMP等)被放到加密後的IP數據報的ESP負載部分。在這種模式中,源和目的IP地址以及所有的IP包頭域都是不加密發送的。
IPSec要求在所有的ESP實現中使用一個通用的預設演算法即DES-CBC演算法。美國數據加密標准(DES)是一個現在使用得非常普遍的加密演算法。它最早是在由美國政府公布的,最初是用於商業應用。到現在所有DES專利的保護期都已經到期了,因此全球都有它的免費實現。IPSec ESP標准要求所有的ESP實現支持密碼分組鏈方式(CBC)的DES作為預設的演算法。DES-CBC通過對組成一個完整的IP數據包(隧道模式)或下一個更高的層協議幀(傳輸模式)的8比特數據分組中加入一個數據函數來工作。DES-CBC用8比特一組的加密數據(密文)來代替8比特一組的未加密數據(明文)。一個隨機的、8比特的初始化向量(IV)被用來加密第一個明文分組,以保證即使在明文信息開頭相同時也能保證加密信息的隨機性。DES-CBC主要是使用一個由通信各方共享的相同的密鑰。正因為如此,它被認為是一個對稱的密碼演算法。接收方只有使用由發送者用來加密數據的密鑰才能對加密數據進行解密。因此,DES-CBC演算法的有效性依賴於秘密密鑰的安全,ESP使用的DES-CBC的密鑰長度是56比特。
基於IPSec的VPN技術原理於實現
摘要:本文描述了VPN技術的基本原理以及IPSec規范,在此基礎上介紹了VPN技術的實現方法和幾種典型應用方案。最後,作者對VPN技術的推廣與應用提出了自己的看法。
1.引言
1998年被稱作「電子商務年」,而1999年則將是「政府上網年」。的確,Intemet作為具有世界范圍連通性的「第四媒體」,已經成為一個具有無限商機的場所。如何利用Intemet來開展商務活動,是目前各個企業討論的熱門話題。但將Internet實際運用到商業中,還存在一些亟待解決的問題,其中最重要的兩個問題是服務質量問題和安全問題。服務質量問題在有關廠商和ISP的努力下正在逐步得以解決,而VPN技術的產生為解決安全問題提供了一條有效途徑。
所謂VPN(VirtualPrivate Network,虛擬私有網路)是指將物理上分布在不同地點的網路通過公用骨幹網聯接而成邏輯上的虛擬子網,這里的公用網主要指Interet。為了保障信息在Internet上傳輸的安全性,VPN技術採用了認證、存取控制、機密性、數據完整性等措施,,以保證了信息在傳輸中不被偷看、篡改、復制。由於使用Internet進行傳輸相對於租用專線來說,費用極為低廉,所以VPN的出現使企業通過Internet既安全又經濟地傳輸私有的機密信息成為可能。
VPN技術除了可以節省費用外,還具有其它特點:
●伸縮性椂能夠隨著網路的擴張,很靈活的加以擴展。當增加新的用戶或子網時,只需修改已有網路軟體配置,在新增客戶機或網關上安裝相應軟體並接人Internet後,新的VPN即可工作。
●靈活性棗除了能夠方便地將新的子網擴充到企業的網路外,由於Intemet的全球連通性,VPN可以使企業隨時安全地將信息存取到全球的商貿夥伴和顧客。
●易於管理棗用專線將企業的各個子網連接起來時,隨著子網數量的增加,需要的專線數以幾何級數增長。而使用VPN時Internet的作用類似一個HUB,只需要將各個子網接入Internet即可,不需要進行各個線路的管理。
VPN既可以用於構建企業的Intranet,也可以用於構建Extranet。隨著全球電子商務熱的興起,VPN應用必將越來越廣泛。據Infonetics Reseach的預測,VPN的市場分額將從今天的兩億美元增長到2001年時的119億美元,其中VPN產品的銷售收入就要佔其中的十分之一。
2.基於IPSec規范的VPN技術
1)IPSec協議簡介
IPSec(1P Security)產生於IPv6的制定之中,用於提供IP層的安全性。由於所有支持TCP/IP協議的主機進行通信時,都要經過IP層的處理,所以提供了IP層的安全性就相當於為整個網路提供了安全通信的基礎。鑒於IPv4的應用仍然很廣泛,所以後來在IPSec的制定中也增添了對IPv4的支持。
最初的一組有關IPSec標准由IETF在1995年制定,但由於其中存在一些未解決的問題,從1997年開始IETF又開展了新一輪的IPSec的制定工作,截止至1998年11月份主要協議已經基本制定完成。不過這組新的協議仍然存在一些問題,預計在不久的將來IETF又會進行下一輪IPSec的修訂工作。
2)IPSec基本工作原理
IPSec的工作原理(如圖l所示)類似於包過濾防火牆,可以看作是對包過濾防火牆的一種擴展。當接收到一個IP數據包時,包過濾防火牆使用其頭部在一個規則表中進行匹配。當找到一個相匹配的規則時,包過濾防火牆就按照該規則制定的方法對接收到的IP數據包進行處理。 這里的處理工作只有兩種:丟棄或轉發。
圖1 IPSec工作原理示意圖
IPSec通過查詢SPD(Security P01icy Database安全策略資料庫)決定對接收到的IP數據包的處理。但是IPSec不同於包過濾防火牆的是,對IP數據包的處理方法除了丟棄,直接轉發(繞過IPSec)外,還有一種,即進行IPSec處理。正是這新增添的處理方法提供了比包過濾防火牆更進一步的網路安全性。
進行IPSec處理意味著對IP數據包進行加密和認證。包過濾防火牆只能控制來自或去往某個站點的IP數據包的通過,可以拒絕來自某個外部站點的IP數據包訪問內部某些站點,.也可以拒絕某個內部站點方對某些外部網站的訪問。但是包過濾防火牆不能保證自內部網路出去的數據包不被截取,也不能保證進入內部網路的數據包未經過篡改。只有在對IP數據包實施了加密和認證後,才能保證在外部網路傳輸的數據包的機密性,真實性,完整性,通過Internet進新安全的通信才成為可能。
IPSec既可以只對IP數據包進行加密,或只進行認證,也可以同時實施二者。但無論是進行加密還是進行認證,IPSec都有兩種工作模式,一種是與其前一節提到的協議工作方式類似的隧道模式,另一種是傳輸模式。
傳輸模式,如圖2所示,只對IP數據包的有效負載進行加密或認證。此時,繼續使用以前的IP頭部,只對IP頭部的部分域進行修改,而IPSec協議頭部插入到IP頭部和傳輸層頭部之間。
圖2 傳輸模式示意圖
隧道模式,如圖3所示,對整個IP數據色進行加密或認證。此時,需要新產生一個IP頭部,IPSec頭部被放在新產生的IP頭部和以前的IP數據包之間,從而組成一個新的IP頭部。
圖3隧道模式示意圖
3)IPSec中的三個主要協議
前面已經提到IPSec主要功能為加密和認證,為了進行加密和認證IPSec還需要有密鑰的管理和交換的功能,以便為加密和認證提供所需要的密鑰並對密鑰的使用進行管理。以上三方面的工作分別由AH,ESP和IKE三個協議規定。為了介紹這三個協議,需要先引人一個非常重要的術語棗SA(Securlty Association安全關聯)。所謂安全關聯是指安全服務與它服務的載體之間的一個「連接」。AH和ESP都需要使用SA,而IKE的主要功能就是SA的建立和維護。只要實現AH和ESP都必須提供對SA的支持。
通信雙方如果要用IPSec建立一條安全的傳輸通路,需要事先協商好將要採用的安全策略,包括使用的加密演算法、密鑰、密鑰的生存期等。當雙方協商好使用的安全策略後,我們就說雙方建立了一個SA。SA就是能向其上的數據傳輸提供某種IPSec安全保障的一個簡單連接,可以由AH或ESP提供。當給定了一個SA,就確定了IPSec要執行的處理,如加密,認證等。SA可以進行兩種方式的組合,分別為傳輸臨近和嵌套隧道。
1)ESP(Encapsulating Secuity Fayload)
ESP協議主要用來處理對IP數據包的加密,此外對認證也提供某種程度的支持。ESP是與具體的加密演算法相獨立的,幾乎可以支持各種對稱密鑰加密演算法,例如DES,TripleDES,RC5等。為了保證各種IPSec實現間的互操作性,目前ESP必須提供對56位DES演算法的支持。
ESP協議數據單元格式三個部分組成,除了頭部、加密數據部分外,在實施認證時還包含一個可選尾部。頭部有兩個域:安全策略索引(SPl)和序列號(Sequencenumber)。使用ESP進行安全通信之前,通信雙方需要先協商好一組將要採用的加密策略,包括使用的演算法、密鑰以及密鑰的有效期等。「安全策略索引」使用來標識發送方是使用哪組加密策略來處理IP數據包的,當接收方看到了這個序號就知道了對收到的IP數據包應該如何處理。「序列號」用來區分使用同一組加密策略的不同數據包。加密數據部分除了包含原IP數據包的有效負載,填充域(用來保證加密數據部分滿足塊加密的長度要求)包含其餘部分在傳輸時都是加密過的。其中「下一個頭部(Next Header)」用來指出有效負載部分使用的協議,可能是傳輸層協議(TCP或UDP),也可能還是IPSec協議(ESP或AH)。
通常,ESP可以作為IP的有效負載進行傳輸,這JFIP的頭UKB指出下廣個協議是ESP,而非TCP和UDP。由於採用了這種封裝形式,所以ESP可以使用舊有的網路進行傳輸。
前面已經提到用IPSec進行加密是可以有兩種工作模式,意味著ESP協議有兩種工作模式:傳輸模式(Transport Mode)和隧道模式(TunnelMode)。當ESP工作在傳輸模式時,採用當前的IP頭部。而在隧道模式時,侍整個IP數據包進行加密作為ESP的有效負載,並在ESP頭部前增添以網關地址為源地址的新的IP頭部,此時可以起到NAT的作用。
2)AH(Authentication Header)
AH只涉及到認證,不涉及到加密。AH雖然在功能上和ESP有些重復,但AH除了對可以對IP的有效負載進行認證外,還可以對IP頭部實施認證。主要是處理數據對,可以對IP頭部進行認證,而ESP的認證功能主要是面對IP的有效負載。為了提供最基本的功能並保證互操作性,AH必須包含對HMAC?/FONT>SHA和HMAC?/FONT>MD5(HMAC是一種SHA和MD5都支持的對稱式認證系統)的支持。
AH既可以單獨使用,也可在隧道模式下,或和ESP聯用。
3)IKE(Internet Key Exchange)
IKE協議主要是對密鑰交換進行管理,它主要包括三個功能:
●對使用的協議、加密演算法和密鑰進行協商。
●方便的密鑰交換機制(這可能需要周期性的進行)。
●跟蹤對以上這些約定的實施。
3.VPN系統的設計
如圖4所示,VPN的實現包含管理模塊、密鑰分配和生成模塊、身份認證模塊、數據加密/解密模塊、數據分組封裝/分解模塊和加密函數庫幾部分組成。
管理模塊負責整個系統的配置和管理。由管理模塊來決定採取何種傳輸模式,對哪些IP數據包進行加密/解密。由於對IP數據包進行加密需要消耗系統資源,增大網路延遲,因此對兩個安全網關之間所有的IP數據包提供VPN服務是不現實的。網路管理員可以通過管理模塊來指定對哪些IP數據包進行加密。Intranet內部用戶也可以通過Telnet協議傳送的專用命令,指定VPN系統對自已的IP數據包提供加密服務。
密鑰管理模塊負責完成身份認證和數據加密所需的密鑰生成和分配。其中密鑰的生成採取隨機生成的方式。各安全網關之間密鑰的分配採取手工分配的方式, 通過非網路傳輸的其它安全通信方式完成密鑰在各安全網關之間的傳送。各安全網關的密鑰存貯在密資料庫中,支持以IP地址為關鍵字的快速查詢獲取。
身份認證模塊對IP數據包完成數字簽名的運算。整個數字簽名的過程如圖5所示:
圖5 數字簽名
首先,發送方對數據進行哈希運算h=H(m),然後 用通信密鑰k對h進行加密得到簽名Signature={ h} key。發送方將簽名附在明文之後,一起傳送給接收方。 接收方收到數據後,首先用密鑰k對簽名進行解密得到 h,並將其與H(m)進行比較,如果二者一致,則表明數據是完整的。數字簽名在保證數據完整性的同時,也起到了身份認證的作用,因為只有在有密鑰的情況之下,才能對數據進行正確的簽名。
數據加密/解密模塊完成對IP數據包的加密和解密操作。可選的加密演算法有IDEA演算法和DES演算法。前者在用軟體方式實現時可以獲得較快的加密速度。為了 進一步提高系統效率,可以採用專用硬體的方式實現數據的加密和解密,這時採用DES演算法能得到較快的加密速度。隨著當前計算機運算能力的提高,DES演算法的安 全性開始受到挑戰,對於安全性要求更高的網路數據,數據加密/解密模塊可以提供TriPle DES加密服務。
數據分組的封裝/分解模塊實現對IP數據分組進行安全封裝或分解。當從安全網關發送IP數據分組時,數據分組封裝/分解模塊為IP數據分組附加上身份認
證頭AH和安全數據封裝頭ESP。當安全網關接收到IP 數據分組時,數據分組封裝/分解模塊對AH和ESP進行協議分析,並根據包頭信息進行身份驗證和數據解密。
加密函數庫為上述模塊提供統一的加密服務。加密 函數庫設計的一條基本原則是通過一個統一的函數介面界面與上述模塊進行通信。這樣可以根據實際的需
要,在掛接加密演算法和加密強度不同的函數庫時,其它模塊不需作出改動。
4.幾種典型的VPN應用方案
VPN的應用有兩種基本類型:撥號式VPN與專用式VPN。
撥號VPN為移動用戶與遠程辦公者提供遠程內部網訪問,這種形式的VPN是當前最流行的形式。撥號VPN業務也稱為「公司撥號外包」方式。按照隧道建立的場所,撥號VPN分為兩種:在用戶PC機上或在服務提供商的網路訪問伺服器(NAS)上。
專用VPN有多種形式,其共同的要素是為用戶提供IP服務,一般採用安全設備或客戶端的路由器等設備在IP網路上完成服務。通過在幀中繼或ATM網上安裝IP介面也可以提供IP服務。專用業務應用通過WAN將遠程辦公室與企業的內部網與外部網連接起來,這些業務的特點是多用戶與高速連接,為提供完整的VPN業務,企業與服務提供商經常將專用VPN與遠程訪問方案結合起來。
目前剛出現一種VPN知覺的網路,服務提供商將很快推出一系列新產品,專門用於提供商在向企業提供專用增值服務時對擴展性與靈活性的需求。
5.結束語
總之,VPN是一項綜合性的網路新技術,即使在網路高度發達的美國也才推出不久,但是已顯示出強大的生命力,Cisco、3Com、Ascend等公司已推出了各自的產品。但是VPN產品能否被廣泛接受主要取決於以下兩點:一是VPN方案能否以線路速度進行加密,否則將會產生瓶頸;二是能否調度和引導VPN的數據流到網路上的不同管理域。
在中國,由於網路基礎設施還比較落後,計算機應用水平也不高,因此目前對VPN技術的需求還不高,大多數廠商還處在徘徊觀望階段,但是隨著國民經濟信息化進程的加快,特別是政府上網、電子商務的推動,VPN技術將會大有用武之地。
『伍』 如何將 Synology NAS 設置為 VPN 伺服器
請依照下列步驟來在 DiskStation 上安裝 VPN Server。
以屬於 administrators 群組的帳號登入 DSM。
請前往主選單 > 套件中心來尋找並安裝 VPN Server。如需更多安裝套件的詳細說明,請參閱此篇教學文章。
3.設定 VPN 伺服器
現在,請前往主選單 > VPN Server 來開啟 VPN Server.在左側面板上,您會看到下列常用的通訊協定:PPTP、OpenVPN 與 L2TP/IPSec。在下面的區塊中,我們將介紹如何設定各個通訊協定。
3.1 PPTP
PPTP (點對點通道協議) 是常用的 VPN 解決方案,且大多數的用戶端 (包含 Windows、Mac、Linux 及行動裝置) 皆支援 PPTP。
在左側面板的設定區塊下,按一下 PPTP。
勾選啟動 PPTP VPN 伺服器。
現在,請依您的需求修改下列進階選項。
No MPPE:VPN 連線不會受到加密機制保護。
Require MPPE (40/128 bit):VPN 連線會受到 40-bit 或 128-bit (取決於用戶端設定) 加密機制保護。
Maximum MPPE (128 bit):VPN 連線會受到 128-bit 加密機制保護,提供最高層級的安全性。
PAP:VPN 用戶端的密碼在驗證過程中將不加密。
MS-CHAP v2:VPN 用戶端的密碼在驗證過程中將使用 Microsoft CHAP version 2 加密。
動態 IP 位址:在此輸入一組網路位址。VPN Server 會根據您所輸入的數值為 VPN 用戶端指派虛擬 IP 位址。例如,若您輸入「10.0.0.0」,則指派給 PPTP VPN 用戶端的虛擬 IP 位址范圍是「10.0.0.1」至「10.0.0.[最大連線數量]」。
最大連線數量:指定 VPN 連線的最大共同連線數量。
認證:選擇下列其中一個選項:
加密:若您選擇上述的 MS-CHAP v2 驗證,請選擇下列其中一項加密方式:
MTU:指定最大傳輸單元來限制 VPN 網路傳輸的資料封包大小。
手動設定 DNS:指定 DNS 伺服器的 IP 位址來發送給 VPN 用戶端。若停用此選項,DiskStation 目前所使用的 DNS 伺服器會被發送給用戶端。
按一下套用。
注意:
連線至 VPN 時,VPN 用戶端的驗證及加密設定必須與 VPN Server 上的設定相同,否則用戶端將無法成功進行連線。
為相容於大部分的 PPTP 用戶端,如:Windows、Mac OS、Mac iOS 與 Android 系統,預設的 MTU 值為 1400。若您的網路環境較為復雜,您可能需要設定一個較小的 MTU 值。若您經常收到逾時訊息或連線不穩定,請縮小您的 MTU 值設定。
請檢查您 DiskStation 與路由器上的連接埠轉送規則與防火牆設定,以確認 TCP 1723 埠已開啟。
部分路由器已內建 PPTP VPN 服務,因此可能佔用了 1723 連接埠。您需先透過路由器的管理介面停用其內建的 PPTP VPN 服務,才能使 VPN Server 正常運作。此外,部分舊式路由器可能會封鎖 GRE 協定 (即 IP 協定 47) ,造成 VPN 連線失敗。建議您使用支援 VPN pass-through 的路由器。
『陸』 PPTP+L2TP+OpenVPN+SSH那個路節點最少,速度最快
pptp、l2tp和openvpn都是實現vpn(虛擬專用網路)的一種方式。區別在於: 1、三種都可以在常用的系統平台使用,但L2tp不能在DDWRT上使用。 2、三種加密方式不同:PPtp支持40位、56位和128位加密,l2tp支持256位加密,openvpn可自定義160位-256位。 3、連接速度不同,分別為快速、快、一般。 4、埠不一樣,pptp為1723 TCP,l2tp為500 UDP、1701 UDP與5500 UDP,openvpn可根據需要自定義和更換。 5、防封鎖 方面,pptp和l2tp通過協議和埠很容易被封鎖,openvpn比較難封鎖。
『柒』 PPTP,L2TP,IPSec,OpenVPN和SSTP的區別
PPTP 是一個基於 PPP 的很基本的協議。PPTP 是微軟 Windows 平台第一個支持的 VPN 協議。PPTP 標准並沒有實際描述加密和授權特性,並且依賴於 PPP 協議的隧道來實現安全功能。
L2TP 是一個在 IETF RFC 3193 中被正式標准化的高級協議。推薦在需要安全加密的地方用來替代 PPTP。
OpenVPN 是一個高級的開源 VPN 解決方案,由 「OpenVPN technologies」 支持,並且已經成為開源網路領域里的事實標准。OpenVPN 使用成熟的 SSL/TLS 加密協議。
『捌』 關於兩地區域網通過廣域網互聯的的解決方案,200分,在線等
如果是以前的CS結構軟體,是需要的VPN。費用是很高的。
智贏軟體開發的BS結構軟體,遠程訪問是零成本,而且是集中化管理。
向您推薦智贏IPOWER商業版。
可通過「智贏軟體「官網F在線免費試用或下載試用
01 集成采購管理,銷售管理,庫存管理,財務管理,客戶管理,OA辦公,電子商務等。
02 採用bs架構,單機,區域網,互聯網均能使用。只要能上網,就能隨時隨地的管理。
03 智能表單處理,3D圖表分析。
04 集約化流程再造。
05 基礎包+套件的軟體應用模式,更自由,更靈活。
06 無需增加軟硬體及相關人員配置。一次購買,終生使用,終生免費升級。
07 實施周期短:傻瓜化安裝,安裝即用。
08 不限硬體,零客戶端成本維護,信息化成本最低。
09 各時間段的經營狀況綜合分析。
10 銷售機會及跟進記錄,下次跟進自動提醒,機不可失。
11 客戶服務及受理情況一目瞭然,提升企業服務質量。
12 往來單位的訂單,出貨,退貨等單據詳細記錄,每筆業務均有章可查。
13 對供應商供貨情況進行統計及趨勢分析,掌握供應商供貨變化及供貨量。
14 對客戶采購情況進行統計及趨勢分析,掌握客戶采購變化及采購量。
15 對往來單位利潤貢獻率進行分析,並進行年度趨勢分析。
16 對往來單位往來賬務明細分析,掌握每一往來單位應收/應試付款狀況及實收/實付比例。
17 應收/應付款單提前提醒或超期提醒,加速企業回攏資金。避免壞帳出現。
18 職員往來單位擁有量分析,掌握職員銷售能力或銷售潛能。職員銷售任務分配及考核。
19 每位職員詳細工作記錄,評價職員表現,有章可循。
20 對每位職員進行利潤貢獻率分析。
21 對職員分工進行明確許可權設置。
22 詳細的商品采購、銷售記錄。
23 對商品銷售進行分析,掌握各個時期旺銷/滯銷商品。
24 對各商品進行利潤貢獻率分析。
25 對商品存量進行分倉分析及存量上下限提醒功能,避免積壓或脫銷。
26 資金出入賬明細分析。
作為「web應用軟體領導者「的智贏軟體與其他軟體相比有何優勢呢?
與傳統CS軟體相比
(1) 單機,局限網,互聯網均可使用。克服傳統CS軟體使用局限,遠程通信需藉助第三方解決方案(如VPN)。
(2) 安裝部署十分簡單,只需將智贏軟體安裝在一台電腦上,其他用戶直接訪問此台IP即可,不用安裝客戶端。傳統軟體不僅需要安裝服務端,還得安裝客戶端,而且配置十分復雜,需要專業人員。
(3) 對硬體的要求極低,跨平台。傳統軟體對硬體的要求較高,隨著應用范圍的擴大,投資會連綿不絕,不能跨平台。
(4) 智贏軟體可與電子商務,移動商務完美結合,而傳統軟體先天無法實現。
(5) 智贏軟體不限用戶數,而傳統軟體會限定用戶數。用戶數越多,實施及管理成本就越高。
(6) 智贏軟體實施時間短,見效快,傻瓜化安裝,安裝即用。而傳統軟體相對較復雜,需要做安裝配置及網路集成等工作,實施周期長,見效慢。
(7) 智贏軟體維護成本極低,只需維護服務端。大大降低工作量。而傳統軟體不僅需要維護服務端,還需要維護客戶端,工作量極太。需專人維護。
(8) 無論是分支機構或出差在外,只要能上網,就能使用,隨時隨地的管理。而傳統軟體只能應用於區域網。
與傳統BS軟體相比
(1) 智贏軟體採用先進的虛擬窗口技術,讓操作變得如同桌面軟體一樣簡單,而傳統BS軟體採用瀏覽器彈出窗口模式,不僅操作不方便,而且速度慢。
(2) 智贏軟體採用AJAX技術,既增加了用戶體驗,又提升了執行速度,速度是傳統BS軟體的二倍。而傳統軟體因沒有採用此技術,每次打開或關閉窗口時,都會刷屏一次,每次刷屏頁面都得重新載入一次,嚴重影響速度。
(3) 智贏軟體特別注重對數據的處理能力,對數據進行優化,百萬級的數據檢索僅需0.0153秒,而傳統BS面對數據量大時,往往執行速度會很慢。
與SaaS 相比
(1) 靈活性:
我們知道,SAAS是租,就說明您僅有使用權而已,如果你想修改部分功能或添加其他模塊,就很難實現,而企業是不斷發展的,不同時期,對管理的要求也不一樣。
智贏軟體是獨立的B/S架構新型軟體,企業可以靈活配置,購買本軟體,企業可以安裝在單機,區域網及互聯網上,企業可修改或添加其他模塊,可以說是行業中最具靈活性產品之一。
(2) 性價比:
表面上,SAAS很便宜,其實不然,每月幾十元/月/用戶,如果企業有20用戶,哪么每年的租用成本至少也在萬元之上,看來綜合成本不低。
智贏軟體同樣採用B/S結構,不需要企業添加新硬體及人員,而智贏軟體的價格更是行業的價格底線,這比SaaS每年都花錢實惠多。
(3) 安全性及穩定性:
SAAS最大弊端在於安全性難以保障,一方面來自於信息竊取者,在這病毒滿天飛的時代,一不小心你的信息就可能被竊取;另一面來於信息的監管,如果軟體提供商監管不力,出賣你的信息;第三,在風雲變幻的世界,任何企業都不可必免存在生存危機,如果SAAS提供商破產或戰略轉移,都將對你的使用產生重大影響。
智贏軟體,信息安全企業說了算,企業可以將它部署在企業內部使用,也可以部署在外部使用,安全性更能保證;同時,智贏軟體對關鍵數據加密,最大限度的保障信息的安全。
『玖』 pptp不需要填密鑰
pptp不需要填密鑰如下
MPPE其實一般就是用於PPTP的一種加密協議,一般PPTP就是基於這個的。但是,這個協議本身是基於密鑰加密的,也就是另外的一系列名詞:
Microsoft Challenge Handshake Authentication Protocol (MS-CHAP),
Microsoft Challenge Handshake Authentication Protocol version 2 (MS-CHAP v2),
Extensible Authentication Protocol-Transport Level Security (EAP-TLS)
上述三個認證用來提供密鑰。於是就引出了最後的問題,能否被截獲。其實截獲的這個問題必然存在,截獲本身就是抓到報文。但是抓到報文不代表能夠解析出其中含義。所以破譯的問題至關重要。MPPE有硬傷,硬傷就是一旦密鑰知道了,那就徹底被破譯了。相比之下,OpenVPN就比PPTP好了,至少OpenVPN不是那麼容易被破譯(我也只是聽別人討論,對此言論不負其他責任)。但是OpenVPN在使用上可能有很大局限性,畢竟現在的手持終端設備並不是都支持的。而PPTP則是支持的十分廣泛,唯一的問題可能是運行商的問題。運行商非要封我PPTP,我也沒辦法。如果對加密要求並非時分重視的情況下,使用好的密碼機制,使用PPTP也是可以的。
『拾』 PPTP和OpenVPN有什麼區別
PPTP點對點隧道協議(PPTP)是一種實現虛擬專用網路的方法。 PPTP使用用於封裝PPP數據包的TCP及GRE隧道控制通道。
OpenVPNOpenVPN是一免費開源軟體,以路由器或橋接配置和遠程訪問設備方式實現虛擬專用網路(VPN)創建安全的點對點或站對站連接的解決方案。它使用SSL / TLS安全加密,具有穿越網路地址轉換(NATs)和防火牆的功能。
在PPTP和OpenVPN二者之間做出選擇的一個重要考慮因素,也是我們無法控制的因素,就是有時互聯網服務供應商會阻止PPTP連接。次情況下我們無計可施,只能選擇使用OpenVPN。 PPTP具有一些獨特優勢,但此刻用OpenVPN會是不錯的選擇。
PPTP可以應用到幾乎所有的操作系統軟體,無需安裝任何軟體。它也兼容許多移動設備,如iphone,ipad和Windows移動,安裝簡易。相比之下,OpenVPN的安裝比PPTP要復雜一點,但只要按照正確的指示安裝則無太大困難。請注意OpenVPN不兼容移動設備。
PPTP加密技術使用密碼作為密鑰,它的數據流載有可獲取的混編密碼。如果中間有人攔截到了數據流並且破譯了密碼(盡管可能但很難),那麼他就可以破譯你的信息。然而OpenVPN使用非常強大的加密(Blowfish)技術。即使有人攔截你的數據流,他們也無計可施。這使得OpenVPN比PPTP安全得多。
選擇如果你希望得到高安全性以及更加關注數據安全傳輸問題,那麼你應該使用OpenVPN。如果您為了簡便或者想在移動設備上使用VPN那麼PPTP適合你。還有其他協議,例如L2P或IPSec,但他們在用戶友好或成本上沒有優勢。