openvpn线路加密编写
‘壹’ PPTP和OpenVPN有什么区别
PPTP点对点隧道协议(PPTP)是一种实现虚拟专用网络的方法。 PPTP使用用于封装PPP数据包的TCP及GRE隧道控制通道。 OpenVPNOpenVPN是一免费开源软件,以路由器或桥接配置和远程访问设备方式实现虚拟专用网络(VPN)创建安全的点对点或站对站连接的解决方案。它使用SSL / TLS安全加密,具有穿越网络地址转换(NATs)和防火墙的功能。 在PPTP和OpenVPN二者之间做出选择的一个重要考虑因素,也是我们无法控制的因素,就是有时互联网服务供应商会阻止PPTP连接。次情况下我们无计可施,只能选择使用OpenVPN。 PPTP具有一些独特优势,但此刻用OpenVPN会是不错的选择。 PPTP可以应用到几乎所有的操作系统软件,无需安装任何软件。它也兼容许多移动设备,如iphone,ipad和Windows移动,安装简易。相比之下,OpenVPN的安装比PPTP要复杂一点,但只要按照正确的指示安装则无太大困难。请注意OpenVPN不兼容移动设备。 PPTP加密技术使用密码作为密钥,它的数据流载有可获取的混编密码。如果中间有人拦截到了数据流并且破译了密码(尽管可能但很难),那么他就可以破译你的信息。然而OpenVPN使用非常强大的加密(Blowfish)技术。即使有人拦截你的数据流,他们也无计可施。这使得OpenVPN比PPTP安全得多。 选择如果你希望得到高安全性以及更加关注数据安全传输问题,那么你应该使用OpenVPN。如果您为了简便或者想在移动设备上使用VPN那么PPTP适合你。还有其他协议,例如L2P或IPSec,但他们在用户友好或成本上没有优势。
‘贰’ OPENVNP 什么意思
VPN直译就是虚拟专用通道,是提供给企业之间或者个人与公司之间安全数据传输的隧道,OpenVPN无疑是Linux下开源VPN的先锋,提供了良好的性能和友好的用户GUI。该软件最早由James Yonan编写。 OpenVPN logo
OpenVPN允许参与建立VPN的单点使用预设的私钥,第三方证书,或者用户名/密码来进行身份验证。它大量使用了OpenSSL加密库,以及SSLv3/TLSv1协议。 总的答案为打开虚拟专用通道
‘叁’ 查看PPTP,L2TP,IPSec和OpenVPN的区别的源代码
前面的 和后面的没关系
pptp 普通的经过加密的vpn 加密的内容可以被破解
L2tp ipsec 经过加密的vpn 比pptp更强 有没有破解就不清楚了
openvpn 国外的开源项目,有没有被破解只有破解的人知道恶劣
‘肆’ Openswan和freeswan的区别
openswan采用的是ipsec技术实现的VPN,由于在IP层实现,效率高,历史悠久,网上相关的配置文章也多,稳定。可以实现p2p,p2net,net2net.
openvpn采用SSL技术实现,由于主要工作在应用层,效率低,如果单位流量比较大,还是不要用这个了。另个他采用了SSL技术,也不是我们通常所说的SSL VPN。
目前市场上比较流行的硬件VPN都是采用的ipsec技术。所以选择第一种对你以后更换硬件有帮助。
基本上来说,市场上的硬件VPN产品很少采用openvpn这样的技术的。
IPSEC工作原理
--------------------------------------------------------------------------------
虚拟专网是指在公共网络中建立专用网络,数据通过安全的“管道”在公共网络中传播。使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处,是目前和今后网络服务的重点项目。因此必须充分认识虚拟专网的技术特点,建立完善的服务体系。 VPN工作原理
目前建造虚拟专网的国际标准有IPSEC(RFC 1825-1829)和L2TP(草案draft-ietf-pppext-l2tp-10)。其中L2TP是虚拟专用拨号网络协议,是IETF根据各厂家协议(包括微软公司的PPTP、Cisco的L2F)进行起草的,目前尚处于草案阶段。IPSEC是一系列基于IP网络(包括Intranet、Extranet和Internet)的,由IETF正式定制的开放性IP安全标准,是虚拟专网的基础,已经相当成熟可靠。L2TP协议草案中规定它(L2TP标准)必须以IPSEC为安全基础(见draft-ietf-pppext-l2tp-security-01)。因此,阐述VPN的工作原理,主要是分析IPSEC的工作原理。
IPSEC提供三种不同的形式来保护通过公有或私有IP网络来传送的私有数。
认证——作用是可以确定所接受的数据与所发送的数据是一致的,同时可以确定申请发送者在实际上是真实发送者,而不是伪装的。
数据完整——作用是保证数据从原发地到目的地的传送过程中没有任何不可检测的数据丢失与改变。
机密性——作用是使相应的接收者能获取发送的真正内容,而无意获取数据的接收者无法获知数据的真正内容。
在IPSEC由三个基本要素来提供以上三种保护形式:认证协议头(AH)、安全加载封装(ESP)和互联网密匙管理协议(IKMP)。认证协议头和安全加载封装可以通过分开或组合使用来达到所希望的保护等级。
认证协议头(AH)是在所有数据包头加入一个密码。正如整个名称所示,AH通过一个只有密匙持有人才知道的“数字签名”来对用户进行认证。这个签名是数据包通过特别的算法得出的独特结果;AH还能维持数据的完整性,因为在传输过程中无论多小的变化被加载,数据包头的数字签名都能把它检测出来。不过由于AH不能加密数据包所加载的内容,因而它不保证任何的机密性。两个最普遍的AH标准是MD5和SHA-1,MD5使用最高到128位的密匙,而SHA-1通过最高到160位密匙提供更强的保护。
安全加载封装(ESP)通过对数据包的全部数据和加载内容进行全加密来严格保证传输信息的机密性,这样可以避免其他用户通过监听来打开信息交换的内容,因为只有受信任的用户拥有密匙打开内容。ESP也能提供认证和维持数据的完整性。最主要的ESP标准是数据加密标准(DES),DES最高支持56位的密匙,而3DES使用三套密匙加密,那就相当于使用最高到168位的密匙。由于ESP实际上加密所有的数据,因而它比AH需要更多的处理时间,从而导致性能下降。
密匙管理包括密匙确定和密匙分发两个方面,最多需要四个密匙:AH和ESP各两个发送和接收密匙。密匙本身是一个二进制字符串,通常用十六进制表示,例如,一个56位的密匙可以表示为5F39DA752E0C25B4。注意全部长度总共是64位,包括了8位的奇偶校验。56位的密匙(DES)足够满足大多数商业应用了。密匙管理包括手工和自动两种方式,手工管理系统在有限的安全需要可以工作得很好,而自动管理系统能满足其他所有的应用要求。
使用手工管理系统,密匙由管理站点确定然后分发到所有的远程用户。真实的密匙可以用随机数字生成器或简单的任意拼凑计算出来,每一个密匙可以根据集团的安全政策进行修改。 使用自动管理系统,可以动态地确定和分发密匙,显然和名称一样,是自动的。自动管理系统具有一个中央控制点,集中的密匙管理者可以令自己更加安全,最大限度的发挥IPSEC的效用。
IPSEC的实现方式
IPSEC的一个最基本的优点是它可以在共享网络访问设备,甚至是所有的主机和服务器上完全实现,这很大程度避免了升级任何网络相关资源的需要。在客户端,IPSEC架构允许使用在远程访问介入路由器或基于纯软件方式使用普通MODEM的PC机和工作站。而ESP通过两种模式在应用上提供更多的弹性:传送模式和隧道模式。
IPSEC Packet 可以在压缩原始IP地址和数据的隧道模式使用
传送模式通常当ESP在一台主机(客户机或服务勤)上实现时使用,传送模式使用原始明文IP头,并且只加密数据,包括它的TCP和UDP头。
隧道模式通常当ESP在关联到多台主机的网络访问介入装置实现时使用,隧道模式处理整个IP数据包——包括全部TCP/IP或UDP/IP头和数据,它用自己的地址做为源地址加入到新的IP头。当隧道模式用在用户终端设置时,它可以提供更多的便利来隐藏内部服务器主机和客户机的地址。
虚拟专网的加密算法说明
--------------------------------------------------------------------------------
一、IPSec认证
IPSec认证包头(AH)是一个用于提供IP数据报完整性和认证的机制。完整性保证数据报不被无意的或恶意的方式改变,而认证则验证数据的来源(主机、用户、网络等)。AH本身其实并不支持任何形式的加密,它不能保护通过Internet发送的数据的可信性。AH只是在加密的出口、进口或使用受到当地政府限制的情况下可以提高全球Intenret的安全性。当全部功能实现后,它将通过认证IP包并且减少基于IP欺骗的攻击机率来提供更好的安全服务。AH使用的包头放在标准的IPv4和IPv6包头和下一个高层协议帧(如TCP、UDP、I CMP等)之间。
AH协议通过在整个IP数据报中实施一个消息文摘计算来提供完整性和认证服务。一个消息文摘就是一个特定的单向数据函数,它能够创建数据报的唯一的数字指纹。消息文摘算法的输出结果放到AH包头的认证数据(Authentication_Data)区。消息文摘5算法(MD5)是一个单向数学函数。当应用到分组数据中时,它将整个数据分割成若干个128比特的信息分组。每个128比特为一组的信息是大分组数据的压缩或摘要的表示。当以这种方式使用时,MD5只提供数字的完整性服务。一个消息文摘在被发送之前和数据被接收到以后都可以根据一组数据计算出来。如果两次计算出来的文摘值是一样的,那么分组数据在传输过程中就没有被改变。这样就防止了无意或恶意的窜改。在使用HMAC-MD5认证过的数据交换中,发送者使用以前交换过的密钥来首次计算数据报的64比特分组的MD5文摘。从一系列的16比特中计算出来的文摘值被累加成一个值,然后放到AH包头的认证数据区,随后数据报被发送给接收者。接收者也必须知道密钥值,以便计算出正确的消息文摘并且将其与接收到的认证消息文摘进行适配。如果计算出的和接收到的文摘值相等,那么数据报在发送过程中就没有被改变,而且可以相信是由只知道秘密密钥的另一方发送的。
二、IPSec加密
封包安全协议(ESP)包头提供IP数据报的完整性和可信性服务ESP协议是设计以两种模式工作的:隧道(Tunneling)模式和传输(Transport)模式。两者的区别在于IP数据报的ESP负载部分的内容不同。在隧道模式中,整个IP数据报都在ESP负载中进行封装和加密。当这完成以后,真正的IP源地址和目的地址都可以被隐藏为Internet发送的普通数据。这种模式的一种典型用法就是在防火墙-防火墙之间通过虚拟专用网的连接时进行的主机或拓扑隐藏。在传输模式中,只有更高层协议帧(TCP、UDP、ICMP等)被放到加密后的IP数据报的ESP负载部分。在这种模式中,源和目的IP地址以及所有的IP包头域都是不加密发送的。
IPSec要求在所有的ESP实现中使用一个通用的缺省算法即DES-CBC算法。美国数据加密标准(DES)是一个现在使用得非常普遍的加密算法。它最早是在由美国政府公布的,最初是用于商业应用。到现在所有DES专利的保护期都已经到期了,因此全球都有它的免费实现。IPSec ESP标准要求所有的ESP实现支持密码分组链方式(CBC)的DES作为缺省的算法。DES-CBC通过对组成一个完整的IP数据包(隧道模式)或下一个更高的层协议帧(传输模式)的8比特数据分组中加入一个数据函数来工作。DES-CBC用8比特一组的加密数据(密文)来代替8比特一组的未加密数据(明文)。一个随机的、8比特的初始化向量(IV)被用来加密第一个明文分组,以保证即使在明文信息开头相同时也能保证加密信息的随机性。DES-CBC主要是使用一个由通信各方共享的相同的密钥。正因为如此,它被认为是一个对称的密码算法。接收方只有使用由发送者用来加密数据的密钥才能对加密数据进行解密。因此,DES-CBC算法的有效性依赖于秘密密钥的安全,ESP使用的DES-CBC的密钥长度是56比特。
基于IPSec的VPN技术原理于实现
摘要:本文描述了VPN技术的基本原理以及IPSec规范,在此基础上介绍了VPN技术的实现方法和几种典型应用方案。最后,作者对VPN技术的推广与应用提出了自己的看法。
1.引言
1998年被称作“电子商务年”,而1999年则将是“政府上网年”。的确,Intemet作为具有世界范围连通性的“第四媒体”,已经成为一个具有无限商机的场所。如何利用Intemet来开展商务活动,是目前各个企业讨论的热门话题。但将Internet实际运用到商业中,还存在一些亟待解决的问题,其中最重要的两个问题是服务质量问题和安全问题。服务质量问题在有关厂商和ISP的努力下正在逐步得以解决,而VPN技术的产生为解决安全问题提供了一条有效途径。
所谓VPN(VirtualPrivate Network,虚拟私有网络)是指将物理上分布在不同地点的网络通过公用骨干网联接而成逻辑上的虚拟子网,这里的公用网主要指Interet。为了保障信息在Internet上传输的安全性,VPN技术采用了认证、存取控制、机密性、数据完整性等措施,,以保证了信息在传输中不被偷看、篡改、复制。由于使用Internet进行传输相对于租用专线来说,费用极为低廉,所以VPN的出现使企业通过Internet既安全又经济地传输私有的机密信息成为可能。
VPN技术除了可以节省费用外,还具有其它特点:
●伸缩性椂能够随着网络的扩张,很灵活的加以扩展。当增加新的用户或子网时,只需修改已有网络软件配置,在新增客户机或网关上安装相应软件并接人Internet后,新的VPN即可工作。
●灵活性枣除了能够方便地将新的子网扩充到企业的网络外,由于Intemet的全球连通性,VPN可以使企业随时安全地将信息存取到全球的商贸伙伴和顾客。
●易于管理枣用专线将企业的各个子网连接起来时,随着子网数量的增加,需要的专线数以几何级数增长。而使用VPN时Internet的作用类似一个HUB,只需要将各个子网接入Internet即可,不需要进行各个线路的管理。
VPN既可以用于构建企业的Intranet,也可以用于构建Extranet。随着全球电子商务热的兴起,VPN应用必将越来越广泛。据Infonetics Reseach的预测,VPN的市场分额将从今天的两亿美元增长到2001年时的119亿美元,其中VPN产品的销售收入就要占其中的十分之一。
2.基于IPSec规范的VPN技术
1)IPSec协议简介
IPSec(1P Security)产生于IPv6的制定之中,用于提供IP层的安全性。由于所有支持TCP/IP协议的主机进行通信时,都要经过IP层的处理,所以提供了IP层的安全性就相当于为整个网络提供了安全通信的基础。鉴于IPv4的应用仍然很广泛,所以后来在IPSec的制定中也增添了对IPv4的支持。
最初的一组有关IPSec标准由IETF在1995年制定,但由于其中存在一些未解决的问题,从1997年开始IETF又开展了新一轮的IPSec的制定工作,截止至1998年11月份主要协议已经基本制定完成。不过这组新的协议仍然存在一些问题,预计在不久的将来IETF又会进行下一轮IPSec的修订工作。
2)IPSec基本工作原理
IPSec的工作原理(如图l所示)类似于包过滤防火墙,可以看作是对包过滤防火墙的一种扩展。当接收到一个IP数据包时,包过滤防火墙使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时,包过滤防火墙就按照该规则制定的方法对接收到的IP数据包进行处理。 这里的处理工作只有两种:丢弃或转发。
图1 IPSec工作原理示意图
IPSec通过查询SPD(Security P01icy Database安全策略数据库)决定对接收到的IP数据包的处理。但是IPSec不同于包过滤防火墙的是,对IP数据包的处理方法除了丢弃,直接转发(绕过IPSec)外,还有一种,即进行IPSec处理。正是这新增添的处理方法提供了比包过滤防火墙更进一步的网络安全性。
进行IPSec处理意味着对IP数据包进行加密和认证。包过滤防火墙只能控制来自或去往某个站点的IP数据包的通过,可以拒绝来自某个外部站点的IP数据包访问内部某些站点,.也可以拒绝某个内部站点方对某些外部网站的访问。但是包过滤防火墙不能保证自内部网络出去的数据包不被截取,也不能保证进入内部网络的数据包未经过篡改。只有在对IP数据包实施了加密和认证后,才能保证在外部网络传输的数据包的机密性,真实性,完整性,通过Internet进新安全的通信才成为可能。
IPSec既可以只对IP数据包进行加密,或只进行认证,也可以同时实施二者。但无论是进行加密还是进行认证,IPSec都有两种工作模式,一种是与其前一节提到的协议工作方式类似的隧道模式,另一种是传输模式。
传输模式,如图2所示,只对IP数据包的有效负载进行加密或认证。此时,继续使用以前的IP头部,只对IP头部的部分域进行修改,而IPSec协议头部插入到IP头部和传输层头部之间。
图2 传输模式示意图
隧道模式,如图3所示,对整个IP数据色进行加密或认证。此时,需要新产生一个IP头部,IPSec头部被放在新产生的IP头部和以前的IP数据包之间,从而组成一个新的IP头部。
图3隧道模式示意图
3)IPSec中的三个主要协议
前面已经提到IPSec主要功能为加密和认证,为了进行加密和认证IPSec还需要有密钥的管理和交换的功能,以便为加密和认证提供所需要的密钥并对密钥的使用进行管理。以上三方面的工作分别由AH,ESP和IKE三个协议规定。为了介绍这三个协议,需要先引人一个非常重要的术语枣SA(Securlty Association安全关联)。所谓安全关联是指安全服务与它服务的载体之间的一个“连接”。AH和ESP都需要使用SA,而IKE的主要功能就是SA的建立和维护。只要实现AH和ESP都必须提供对SA的支持。
通信双方如果要用IPSec建立一条安全的传输通路,需要事先协商好将要采用的安全策略,包括使用的加密算法、密钥、密钥的生存期等。当双方协商好使用的安全策略后,我们就说双方建立了一个SA。SA就是能向其上的数据传输提供某种IPSec安全保障的一个简单连接,可以由AH或ESP提供。当给定了一个SA,就确定了IPSec要执行的处理,如加密,认证等。SA可以进行两种方式的组合,分别为传输临近和嵌套隧道。
1)ESP(Encapsulating Secuity Fayload)
ESP协议主要用来处理对IP数据包的加密,此外对认证也提供某种程度的支持。ESP是与具体的加密算法相独立的,几乎可以支持各种对称密钥加密算法,例如DES,TripleDES,RC5等。为了保证各种IPSec实现间的互操作性,目前ESP必须提供对56位DES算法的支持。
ESP协议数据单元格式三个部分组成,除了头部、加密数据部分外,在实施认证时还包含一个可选尾部。头部有两个域:安全策略索引(SPl)和序列号(Sequencenumber)。使用ESP进行安全通信之前,通信双方需要先协商好一组将要采用的加密策略,包括使用的算法、密钥以及密钥的有效期等。“安全策略索引”使用来标识发送方是使用哪组加密策略来处理IP数据包的,当接收方看到了这个序号就知道了对收到的IP数据包应该如何处理。“序列号”用来区分使用同一组加密策略的不同数据包。加密数据部分除了包含原IP数据包的有效负载,填充域(用来保证加密数据部分满足块加密的长度要求)包含其余部分在传输时都是加密过的。其中“下一个头部(Next Header)”用来指出有效负载部分使用的协议,可能是传输层协议(TCP或UDP),也可能还是IPSec协议(ESP或AH)。
通常,ESP可以作为IP的有效负载进行传输,这JFIP的头UKB指出下广个协议是ESP,而非TCP和UDP。由于采用了这种封装形式,所以ESP可以使用旧有的网络进行传输。
前面已经提到用IPSec进行加密是可以有两种工作模式,意味着ESP协议有两种工作模式:传输模式(Transport Mode)和隧道模式(TunnelMode)。当ESP工作在传输模式时,采用当前的IP头部。而在隧道模式时,侍整个IP数据包进行加密作为ESP的有效负载,并在ESP头部前增添以网关地址为源地址的新的IP头部,此时可以起到NAT的作用。
2)AH(Authentication Header)
AH只涉及到认证,不涉及到加密。AH虽然在功能上和ESP有些重复,但AH除了对可以对IP的有效负载进行认证外,还可以对IP头部实施认证。主要是处理数据对,可以对IP头部进行认证,而ESP的认证功能主要是面对IP的有效负载。为了提供最基本的功能并保证互操作性,AH必须包含对HMAC?/FONT>SHA和HMAC?/FONT>MD5(HMAC是一种SHA和MD5都支持的对称式认证系统)的支持。
AH既可以单独使用,也可在隧道模式下,或和ESP联用。
3)IKE(Internet Key Exchange)
IKE协议主要是对密钥交换进行管理,它主要包括三个功能:
●对使用的协议、加密算法和密钥进行协商。
●方便的密钥交换机制(这可能需要周期性的进行)。
●跟踪对以上这些约定的实施。
3.VPN系统的设计
如图4所示,VPN的实现包含管理模块、密钥分配和生成模块、身份认证模块、数据加密/解密模块、数据分组封装/分解模块和加密函数库几部分组成。
管理模块负责整个系统的配置和管理。由管理模块来决定采取何种传输模式,对哪些IP数据包进行加密/解密。由于对IP数据包进行加密需要消耗系统资源,增大网络延迟,因此对两个安全网关之间所有的IP数据包提供VPN服务是不现实的。网络管理员可以通过管理模块来指定对哪些IP数据包进行加密。Intranet内部用户也可以通过Telnet协议传送的专用命令,指定VPN系统对自已的IP数据包提供加密服务。
密钥管理模块负责完成身份认证和数据加密所需的密钥生成和分配。其中密钥的生成采取随机生成的方式。各安全网关之间密钥的分配采取手工分配的方式, 通过非网络传输的其它安全通信方式完成密钥在各安全网关之间的传送。各安全网关的密钥存贮在密数据库中,支持以IP地址为关键字的快速查询获取。
身份认证模块对IP数据包完成数字签名的运算。整个数字签名的过程如图5所示:
图5 数字签名
首先,发送方对数据进行哈希运算h=H(m),然后 用通信密钥k对h进行加密得到签名Signature={ h} key。发送方将签名附在明文之后,一起传送给接收方。 接收方收到数据后,首先用密钥k对签名进行解密得到 h,并将其与H(m)进行比较,如果二者一致,则表明数据是完整的。数字签名在保证数据完整性的同时,也起到了身份认证的作用,因为只有在有密钥的情况之下,才能对数据进行正确的签名。
数据加密/解密模块完成对IP数据包的加密和解密操作。可选的加密算法有IDEA算法和DES算法。前者在用软件方式实现时可以获得较快的加密速度。为了 进一步提高系统效率,可以采用专用硬件的方式实现数据的加密和解密,这时采用DES算法能得到较快的加密速度。随着当前计算机运算能力的提高,DES算法的安 全性开始受到挑战,对于安全性要求更高的网络数据,数据加密/解密模块可以提供TriPle DES加密服务。
数据分组的封装/分解模块实现对IP数据分组进行安全封装或分解。当从安全网关发送IP数据分组时,数据分组封装/分解模块为IP数据分组附加上身份认
证头AH和安全数据封装头ESP。当安全网关接收到IP 数据分组时,数据分组封装/分解模块对AH和ESP进行协议分析,并根据包头信息进行身份验证和数据解密。
加密函数库为上述模块提供统一的加密服务。加密 函数库设计的一条基本原则是通过一个统一的函数接口界面与上述模块进行通信。这样可以根据实际的需
要,在挂接加密算法和加密强度不同的函数库时,其它模块不需作出改动。
4.几种典型的VPN应用方案
VPN的应用有两种基本类型:拨号式VPN与专用式VPN。
拨号VPN为移动用户与远程办公者提供远程内部网访问,这种形式的VPN是当前最流行的形式。拨号VPN业务也称为“公司拨号外包”方式。按照隧道建立的场所,拨号VPN分为两种:在用户PC机上或在服务提供商的网络访问服务器(NAS)上。
专用VPN有多种形式,其共同的要素是为用户提供IP服务,一般采用安全设备或客户端的路由器等设备在IP网络上完成服务。通过在帧中继或ATM网上安装IP接口也可以提供IP服务。专用业务应用通过WAN将远程办公室与企业的内部网与外部网连接起来,这些业务的特点是多用户与高速连接,为提供完整的VPN业务,企业与服务提供商经常将专用VPN与远程访问方案结合起来。
目前刚出现一种VPN知觉的网络,服务提供商将很快推出一系列新产品,专门用于提供商在向企业提供专用增值服务时对扩展性与灵活性的需求。
5.结束语
总之,VPN是一项综合性的网络新技术,即使在网络高度发达的美国也才推出不久,但是已显示出强大的生命力,Cisco、3Com、Ascend等公司已推出了各自的产品。但是VPN产品能否被广泛接受主要取决于以下两点:一是VPN方案能否以线路速度进行加密,否则将会产生瓶颈;二是能否调度和引导VPN的数据流到网络上的不同管理域。
在中国,由于网络基础设施还比较落后,计算机应用水平也不高,因此目前对VPN技术的需求还不高,大多数厂商还处在徘徊观望阶段,但是随着国民经济信息化进程的加快,特别是政府上网、电子商务的推动,VPN技术将会大有用武之地。
‘伍’ 如何将 Synology NAS 设置为 VPN 服务器
请依照下列步骤来在 DiskStation 上安装 VPN Server。
以属于 administrators 群组的帐号登入 DSM。
请前往主选单 > 套件中心来寻找并安装 VPN Server。如需更多安装套件的详细说明,请参阅此篇教学文章。
3.设定 VPN 服务器
现在,请前往主选单 > VPN Server 来开启 VPN Server.在左侧面板上,您会看到下列常用的通讯协定:PPTP、OpenVPN 与 L2TP/IPSec。在下面的区块中,我们将介绍如何设定各个通讯协定。
3.1 PPTP
PPTP (点对点通道协议) 是常用的 VPN 解决方案,且大多数的用户端 (包含 Windows、Mac、Linux 及行动装置) 皆支援 PPTP。
在左侧面板的设定区块下,按一下 PPTP。
勾选启动 PPTP VPN 服务器。
现在,请依您的需求修改下列进阶选项。
No MPPE:VPN 连线不会受到加密机制保护。
Require MPPE (40/128 bit):VPN 连线会受到 40-bit 或 128-bit (取决于用户端设定) 加密机制保护。
Maximum MPPE (128 bit):VPN 连线会受到 128-bit 加密机制保护,提供最高层级的安全性。
PAP:VPN 用户端的密码在验证过程中将不加密。
MS-CHAP v2:VPN 用户端的密码在验证过程中将使用 Microsoft CHAP version 2 加密。
动态 IP 位址:在此输入一组网路位址。VPN Server 会根据您所输入的数值为 VPN 用户端指派虚拟 IP 位址。例如,若您输入“10.0.0.0”,则指派给 PPTP VPN 用户端的虚拟 IP 位址范围是“10.0.0.1”至“10.0.0.[最大连线数量]”。
最大连线数量:指定 VPN 连线的最大共同连线数量。
认证:选择下列其中一个选项:
加密:若您选择上述的 MS-CHAP v2 验证,请选择下列其中一项加密方式:
MTU:指定最大传输单元来限制 VPN 网路传输的资料封包大小。
手动设定 DNS:指定 DNS 服务器的 IP 位址来发送给 VPN 用户端。若停用此选项,DiskStation 目前所使用的 DNS 服务器会被发送给用户端。
按一下套用。
注意:
连线至 VPN 时,VPN 用户端的验证及加密设定必须与 VPN Server 上的设定相同,否则用户端将无法成功进行连线。
为相容于大部分的 PPTP 用户端,如:Windows、Mac OS、Mac iOS 与 Android 系统,预设的 MTU 值为 1400。若您的网路环境较为复杂,您可能需要设定一个较小的 MTU 值。若您经常收到逾时讯息或连线不稳定,请缩小您的 MTU 值设定。
请检查您 DiskStation 与路由器上的连接端口转送规则与防火墙设定,以确认 TCP 1723 端口已开启。
部分路由器已内建 PPTP VPN 服务,因此可能占用了 1723 连接端口。您需先透过路由器的管理接口停用其内建的 PPTP VPN 服务,才能使 VPN Server 正常运作。此外,部分旧式路由器可能会封锁 GRE 协定 (即 IP 协定 47) ,造成 VPN 连线失败。建议您使用支援 VPN pass-through 的路由器。
‘陆’ PPTP+L2TP+OpenVPN+SSH那个路节点最少,速度最快
pptp、l2tp和openvpn都是实现vpn(虚拟专用网络)的一种方式。区别在于: 1、三种都可以在常用的系统平台使用,但L2tp不能在DDWRT上使用。 2、三种加密方式不同:PPtp支持40位、56位和128位加密,l2tp支持256位加密,openvpn可自定义160位-256位。 3、连接速度不同,分别为快速、快、一般。 4、端口不一样,pptp为1723 TCP,l2tp为500 UDP、1701 UDP与5500 UDP,openvpn可根据需要自定义和更换。 5、防封锁 方面,pptp和l2tp通过协议和端口很容易被封锁,openvpn比较难封锁。
‘柒’ PPTP,L2TP,IPSec,OpenVPN和SSTP的区别
PPTP 是一个基于 PPP 的很基本的协议。PPTP 是微软 Windows 平台第一个支持的 VPN 协议。PPTP 标准并没有实际描述加密和授权特性,并且依赖于 PPP 协议的隧道来实现安全功能。
L2TP 是一个在 IETF RFC 3193 中被正式标准化的高级协议。推荐在需要安全加密的地方用来替代 PPTP。
OpenVPN 是一个高级的开源 VPN 解决方案,由 “OpenVPN technologies” 支持,并且已经成为开源网络领域里的事实标准。OpenVPN 使用成熟的 SSL/TLS 加密协议。
‘捌’ 关于两地局域网通过广域网互联的的解决方案,200分,在线等
如果是以前的CS结构软件,是需要的VPN。费用是很高的。
智赢软件开发的BS结构软件,远程访问是零成本,而且是集中化管理。
向您推荐智赢IPOWER商业版。
可通过“智赢软件“官网F在线免费试用或下载试用
01 集成采购管理,销售管理,库存管理,财务管理,客户管理,OA办公,电子商务等。
02 采用bs架构,单机,局域网,互联网均能使用。只要能上网,就能随时随地的管理。
03 智能表单处理,3D图表分析。
04 集约化流程再造。
05 基础包+套件的软件应用模式,更自由,更灵活。
06 无需增加软硬件及相关人员配置。一次购买,终生使用,终生免费升级。
07 实施周期短:傻瓜化安装,安装即用。
08 不限硬件,零客户端成本维护,信息化成本最低。
09 各时间段的经营状况综合分析。
10 销售机会及跟进记录,下次跟进自动提醒,机不可失。
11 客户服务及受理情况一目了然,提升企业服务质量。
12 往来单位的订单,出货,退货等单据详细记录,每笔业务均有章可查。
13 对供应商供货情况进行统计及趋势分析,掌握供应商供货变化及供货量。
14 对客户采购情况进行统计及趋势分析,掌握客户采购变化及采购量。
15 对往来单位利润贡献率进行分析,并进行年度趋势分析。
16 对往来单位往来账务明细分析,掌握每一往来单位应收/应试付款状况及实收/实付比例。
17 应收/应付款单提前提醒或超期提醒,加速企业回拢资金。避免坏帐出现。
18 职员往来单位拥有量分析,掌握职员销售能力或销售潜能。职员销售任务分配及考核。
19 每位职员详细工作记录,评价职员表现,有章可循。
20 对每位职员进行利润贡献率分析。
21 对职员分工进行明确权限设置。
22 详细的商品采购、销售记录。
23 对商品销售进行分析,掌握各个时期旺销/滞销商品。
24 对各商品进行利润贡献率分析。
25 对商品存量进行分仓分析及存量上下限提醒功能,避免积压或脱销。
26 资金出入账明细分析。
作为“web应用软件领导者“的智赢软件与其他软件相比有何优势呢?
与传统CS软件相比
(1) 单机,局限网,互联网均可使用。克服传统CS软件使用局限,远程通信需借助第三方解决方案(如VPN)。
(2) 安装部署十分简单,只需将智赢软件安装在一台电脑上,其他用户直接访问此台IP即可,不用安装客户端。传统软件不仅需要安装服务端,还得安装客户端,而且配置十分复杂,需要专业人员。
(3) 对硬件的要求极低,跨平台。传统软件对硬件的要求较高,随着应用范围的扩大,投资会连绵不绝,不能跨平台。
(4) 智赢软件可与电子商务,移动商务完美结合,而传统软件先天无法实现。
(5) 智赢软件不限用户数,而传统软件会限定用户数。用户数越多,实施及管理成本就越高。
(6) 智赢软件实施时间短,见效快,傻瓜化安装,安装即用。而传统软件相对较复杂,需要做安装配置及网络集成等工作,实施周期长,见效慢。
(7) 智赢软件维护成本极低,只需维护服务端。大大降低工作量。而传统软件不仅需要维护服务端,还需要维护客户端,工作量极太。需专人维护。
(8) 无论是分支机构或出差在外,只要能上网,就能使用,随时随地的管理。而传统软件只能应用于局域网。
与传统BS软件相比
(1) 智赢软件采用先进的虚拟窗口技术,让操作变得如同桌面软件一样简单,而传统BS软件采用浏览器弹出窗口模式,不仅操作不方便,而且速度慢。
(2) 智赢软件采用AJAX技术,既增加了用户体验,又提升了执行速度,速度是传统BS软件的二倍。而传统软件因没有采用此技术,每次打开或关闭窗口时,都会刷屏一次,每次刷屏页面都得重新加载一次,严重影响速度。
(3) 智赢软件特别注重对数据的处理能力,对数据进行优化,百万级的数据检索仅需0.0153秒,而传统BS面对数据量大时,往往执行速度会很慢。
与SaaS 相比
(1) 灵活性:
我们知道,SAAS是租,就说明您仅有使用权而已,如果你想修改部分功能或添加其他模块,就很难实现,而企业是不断发展的,不同时期,对管理的要求也不一样。
智赢软件是独立的B/S架构新型软件,企业可以灵活配置,购买本软件,企业可以安装在单机,局域网及互联网上,企业可修改或添加其他模块,可以说是行业中最具灵活性产品之一。
(2) 性价比:
表面上,SAAS很便宜,其实不然,每月几十元/月/用户,如果企业有20用户,哪么每年的租用成本至少也在万元之上,看来综合成本不低。
智赢软件同样采用B/S结构,不需要企业添加新硬件及人员,而智赢软件的价格更是行业的价格底线,这比SaaS每年都花钱实惠多。
(3) 安全性及稳定性:
SAAS最大弊端在于安全性难以保障,一方面来自于信息窃取者,在这病毒满天飞的时代,一不小心你的信息就可能被窃取;另一面来于信息的监管,如果软件提供商监管不力,出卖你的信息;第三,在风云变幻的世界,任何企业都不可必免存在生存危机,如果SAAS提供商破产或战略转移,都将对你的使用产生重大影响。
智赢软件,信息安全企业说了算,企业可以将它部署在企业内部使用,也可以部署在外部使用,安全性更能保证;同时,智赢软件对关键数据加密,最大限度的保障信息的安全。
‘玖’ pptp不需要填密钥
pptp不需要填密钥如下
MPPE其实一般就是用于PPTP的一种加密协议,一般PPTP就是基于这个的。但是,这个协议本身是基于密钥加密的,也就是另外的一系列名词:
Microsoft Challenge Handshake Authentication Protocol (MS-CHAP),
Microsoft Challenge Handshake Authentication Protocol version 2 (MS-CHAP v2),
Extensible Authentication Protocol-Transport Level Security (EAP-TLS)
上述三个认证用来提供密钥。于是就引出了最后的问题,能否被截获。其实截获的这个问题必然存在,截获本身就是抓到报文。但是抓到报文不代表能够解析出其中含义。所以破译的问题至关重要。MPPE有硬伤,硬伤就是一旦密钥知道了,那就彻底被破译了。相比之下,OpenVPN就比PPTP好了,至少OpenVPN不是那么容易被破译(我也只是听别人讨论,对此言论不负其他责任)。但是OpenVPN在使用上可能有很大局限性,毕竟现在的手持终端设备并不是都支持的。而PPTP则是支持的十分广泛,唯一的问题可能是运行商的问题。运行商非要封我PPTP,我也没办法。如果对加密要求并非时分重视的情况下,使用好的密码机制,使用PPTP也是可以的。
‘拾’ PPTP和OpenVPN有什么区别
PPTP点对点隧道协议(PPTP)是一种实现虚拟专用网络的方法。 PPTP使用用于封装PPP数据包的TCP及GRE隧道控制通道。
OpenVPNOpenVPN是一免费开源软件,以路由器或桥接配置和远程访问设备方式实现虚拟专用网络(VPN)创建安全的点对点或站对站连接的解决方案。它使用SSL / TLS安全加密,具有穿越网络地址转换(NATs)和防火墙的功能。
在PPTP和OpenVPN二者之间做出选择的一个重要考虑因素,也是我们无法控制的因素,就是有时互联网服务供应商会阻止PPTP连接。次情况下我们无计可施,只能选择使用OpenVPN。 PPTP具有一些独特优势,但此刻用OpenVPN会是不错的选择。
PPTP可以应用到几乎所有的操作系统软件,无需安装任何软件。它也兼容许多移动设备,如iphone,ipad和Windows移动,安装简易。相比之下,OpenVPN的安装比PPTP要复杂一点,但只要按照正确的指示安装则无太大困难。请注意OpenVPN不兼容移动设备。
PPTP加密技术使用密码作为密钥,它的数据流载有可获取的混编密码。如果中间有人拦截到了数据流并且破译了密码(尽管可能但很难),那么他就可以破译你的信息。然而OpenVPN使用非常强大的加密(Blowfish)技术。即使有人拦截你的数据流,他们也无计可施。这使得OpenVPN比PPTP安全得多。
选择如果你希望得到高安全性以及更加关注数据安全传输问题,那么你应该使用OpenVPN。如果您为了简便或者想在移动设备上使用VPN那么PPTP适合你。还有其他协议,例如L2P或IPSec,但他们在用户友好或成本上没有优势。