OpenVPN 分配固定IP
[ 2011/06/13 12:47 | by selboo ]
OpenVPN 分配固定IP
修改server.conf 添加一行:
client-config-dir /usr/local/openvpn-2.1.3/client
添加客户端固定IP
cat > /usr/local/openvpn-2.1.3/client/selboo
ifconfig-push 192.168.70.117 192.168.70.118
Ctrl+d
我之前配置为:
ifconfig-push 192.168.70.117 255.255.255.0
客户端连接就报错
Mon Jun 13 11:49:21 2011 There is a problem in your selection of --ifconfig endpoints [local=192.168.70.117, remote=255.255.255.0]. The local and remote VPN endpoints must e
修改server.conf 添加一行:
client-config-dir /usr/local/openvpn-2.1.3/client
添加客户端固定IP
cat > /usr/local/openvpn-2.1.3/client/selboo
ifconfig-push 192.168.70.117 192.168.70.118
Ctrl+d
我之前配置为:
ifconfig-push 192.168.70.117 255.255.255.0
客户端连接就报错
Mon Jun 13 11:49:21 2011 There is a problem in your selection of --ifconfig endpoints [local=192.168.70.117, remote=255.255.255.0]. The local and remote VPN endpoints must e
使用 OpenVPN 服务器翻墙的相关问题解决
[ 2010/10/22 11:40 | by selboo ]
MTU 太大造成的连接不稳定
症状
刚连接上 OpenVPN 只用浏览器打开一两个页面时速度很正常,但随着流量加大网络就会开始阻塞,直到完全无法连接任何服务器。而且与 OpenVPN 服务器之间的连接容易自动断开。
解决方案
在 OpenVPN 服务器的 server.conf 里加入 mssfix 1300。此方案由 @yegle 提供。数字应该是他多次测试得出的较优选择,我试过设为 mssfix 1400 自己的 PC 没问题,而朋友的机器会速度奇慢。
DNS 污染造成的部分墙外网站无法访问
症状
连接 OpenVPN 后 Twitter 可以正常访问,被严重 DNS 污染的 Facebook 则会被浏览器提示无法连接。
解决方案
在 OpenVPN 服务器上使用 iptables 强行劫持客户端对任何 DNS 服务器的查询请求,将请求的目标 IP 地址修改为墙外的 DNS 服务器,例如 Google 的公共 DNS 服务器 8.8.8.8 和 8.8.
症状
刚连接上 OpenVPN 只用浏览器打开一两个页面时速度很正常,但随着流量加大网络就会开始阻塞,直到完全无法连接任何服务器。而且与 OpenVPN 服务器之间的连接容易自动断开。
解决方案
在 OpenVPN 服务器的 server.conf 里加入 mssfix 1300。此方案由 @yegle 提供。数字应该是他多次测试得出的较优选择,我试过设为 mssfix 1400 自己的 PC 没问题,而朋友的机器会速度奇慢。
DNS 污染造成的部分墙外网站无法访问
症状
连接 OpenVPN 后 Twitter 可以正常访问,被严重 DNS 污染的 Facebook 则会被浏览器提示无法连接。
解决方案
在 OpenVPN 服务器上使用 iptables 强行劫持客户端对任何 DNS 服务器的查询请求,将请求的目标 IP 地址修改为墙外的 DNS 服务器,例如 Google 的公共 DNS 服务器 8.8.8.8 和 8.8.
Linux 安装配置 PPTP VPN 服务器
[ 2009/12/13 12:06 | by selboo ]
From : http://blog.s135.com/pptp_vpn/
VPN的英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”。顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一,目前在交换机,防火墙设备或Windows等软件里也都支持VPN功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网。
虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输
VPN的英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”。顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一,目前在交换机,防火墙设备或Windows等软件里也都支持VPN功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网。
虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输
地点:瑞典
VPN服务器IP:pptp.relakks.com
注册地址:https://www.relakks.com/register.php?lang=en
备注:推荐高速免费的无限制VPN代理。Relakks只提供30天的免费VPN服务,但可以通过修改MAC地址无限试用。4
地点:香港
带宽:受限于使用人数(免费用户需要为付费用户让道)
用户名:服务器随机分配
密码:服务器随机分配
VPN服务器地址:服务器分配
注册地址:http://www.pdog-vpn.com/freeaccount.php
备注:来自香港的VPN服务提供商,速度不错。点击上面地址开始注册过程,填入邮箱,接收邮件获取用户名和密码。
地点:法国受限于使用人数(免费用户需要为付费用户让道)
带宽:128KB/s
用户名:自己注册
密码:自己注册
服务器地址:pptp1.linkideo.com
注册地址:http://www.linkideo.com/sign-up
备注:Linkideo的免费VPN账号只能用来进行Web浏览,但这对于大多数用户而言已经足够了。
VPN服务器IP:pptp.relakks.com
注册地址:https://www.relakks.com/register.php?lang=en
备注:推荐高速免费的无限制VPN代理。Relakks只提供30天的免费VPN服务,但可以通过修改MAC地址无限试用。4
地点:香港
带宽:受限于使用人数(免费用户需要为付费用户让道)
用户名:服务器随机分配
密码:服务器随机分配
VPN服务器地址:服务器分配
注册地址:http://www.pdog-vpn.com/freeaccount.php
备注:来自香港的VPN服务提供商,速度不错。点击上面地址开始注册过程,填入邮箱,接收邮件获取用户名和密码。
地点:法国受限于使用人数(免费用户需要为付费用户让道)
带宽:128KB/s
用户名:自己注册
密码:自己注册
服务器地址:pptp1.linkideo.com
注册地址:http://www.linkideo.com/sign-up
备注:Linkideo的免费VPN账号只能用来进行Web浏览,但这对于大多数用户而言已经足够了。
cmd下dos命令下建立vpn
[ 2008/11/15 15:25 | by selboo ]
服务里 windows防火墙停止(或者麻烦点可以把router协议,端口1723配进去)
远程注册表服务必须开启
server服务必须开启
router路由服务必须开启
两块以上网卡的win2000做vpn很方便,添加nat协议后,客户端拨入,能够使用远程网络连接internet。 使得部分客户端可提高网络速度,并达到代理的作用。
一块网卡的winxp,win2003做类似的vpn仍然很方便,nat协议添加后,再添加两个接口,一个是本地连接,一个是内部,设置本地连接为全转发,内部为私有模式,既可让有权限的用户拨入。
一块网卡的win2000,做类似的vpn就不方便了,nat协议添加后,再添加接口,只可以添加上本地连接,内部不容许图形界面的添加,察看了netsh dump >c:\1.txt后,尝试在netsh命令添加内部接口,通过。 命令为:netsh routing ip nat add interface 内部 private
下面是部分常用命令:
netsh ras set user username permit //设置用户授权,该用户不能为tsinternetuser support_388945a0等。
netsh ras ip set addrassign pool //设置静态地址池模式
netsh ras ip add range 10.0.0.1 10.0.0.100 // 设置静态池范围 ,要用标准的局域网地址,避免将来在访问internet时候地址转发错误。
netsh routing ip nat install //添加nat协议
netsh routing ip nat add interface 本地连接 full //添加nat接口本地连接全转发
netsh routing ip nat add interface 内部 private //添加nat借口内部私有模式
igmp同样可以在netsh配置,命令行很长:
netsh routing ip igmp install
netsh routing ip igmp add interface 内部 igmpprototype=IGMPRTRV2 ifenabled=enable robustvar=2 startupquerycount=2 startupqueryinterval=31 genqueryinterval=125 genqueryresptime=10 lastmemquerycount=2 lastmemqueryinterval=1000 accnonrtralertpkts=YES
netsh routing ip igmp add interface name="本地连接" igmpprototype=IGMPPROXY ifenabled=enable
如果配置前已经有接口,就要先删除:
netsh routing ip igmp delete interface 内部 //与此类似
路由和远程访问服务会在系统、安全日记中记录不少信息,比如ipsec、登陆信息。
修改一下注册表可以避免:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
ProhibitIPsec"=dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters
LoggingFlags"=dword:00000000
现在除了登陆信息,ipsec,remoteaccess警告,已经不记录。
----------------------------------------
还有值得一提的是建立好地vpn,通常使用的都是pptp协议,tcp1723端口,如果我们在网卡的ip策略添加了tcp1723的容许条目,基本上可以拨入。为什么是基本呢,因为pptp除了 tcp1723外还有一个ip47号协议,不同于tcp不同于udp,此协议对于认证很重要。如果网络上的防火墙割断的话,会出现拨号->用户认证 ->不通过认证断开的问题。
在配置vpn的时候,还需要remoteregister服务的支持,建立好以后可以关掉。
workstation , server,rpc同样在配置时候需要。
----------------------------------------
经测试,全命令行的建立vpn后,rrasmgmt.msc不出现具体配置信息。也就是说只有看网络连接文件夹,才能看出来一个拨入的连接。貌似隐蔽,比较见鬼。
远程注册表服务必须开启
server服务必须开启
router路由服务必须开启
两块以上网卡的win2000做vpn很方便,添加nat协议后,客户端拨入,能够使用远程网络连接internet。 使得部分客户端可提高网络速度,并达到代理的作用。
一块网卡的winxp,win2003做类似的vpn仍然很方便,nat协议添加后,再添加两个接口,一个是本地连接,一个是内部,设置本地连接为全转发,内部为私有模式,既可让有权限的用户拨入。
一块网卡的win2000,做类似的vpn就不方便了,nat协议添加后,再添加接口,只可以添加上本地连接,内部不容许图形界面的添加,察看了netsh dump >c:\1.txt后,尝试在netsh命令添加内部接口,通过。 命令为:netsh routing ip nat add interface 内部 private
下面是部分常用命令:
netsh ras set user username permit //设置用户授权,该用户不能为tsinternetuser support_388945a0等。
netsh ras ip set addrassign pool //设置静态地址池模式
netsh ras ip add range 10.0.0.1 10.0.0.100 // 设置静态池范围 ,要用标准的局域网地址,避免将来在访问internet时候地址转发错误。
netsh routing ip nat install //添加nat协议
netsh routing ip nat add interface 本地连接 full //添加nat接口本地连接全转发
netsh routing ip nat add interface 内部 private //添加nat借口内部私有模式
igmp同样可以在netsh配置,命令行很长:
netsh routing ip igmp install
netsh routing ip igmp add interface 内部 igmpprototype=IGMPRTRV2 ifenabled=enable robustvar=2 startupquerycount=2 startupqueryinterval=31 genqueryinterval=125 genqueryresptime=10 lastmemquerycount=2 lastmemqueryinterval=1000 accnonrtralertpkts=YES
netsh routing ip igmp add interface name="本地连接" igmpprototype=IGMPPROXY ifenabled=enable
如果配置前已经有接口,就要先删除:
netsh routing ip igmp delete interface 内部 //与此类似
路由和远程访问服务会在系统、安全日记中记录不少信息,比如ipsec、登陆信息。
修改一下注册表可以避免:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
ProhibitIPsec"=dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters
LoggingFlags"=dword:00000000
现在除了登陆信息,ipsec,remoteaccess警告,已经不记录。
----------------------------------------
还有值得一提的是建立好地vpn,通常使用的都是pptp协议,tcp1723端口,如果我们在网卡的ip策略添加了tcp1723的容许条目,基本上可以拨入。为什么是基本呢,因为pptp除了 tcp1723外还有一个ip47号协议,不同于tcp不同于udp,此协议对于认证很重要。如果网络上的防火墙割断的话,会出现拨号->用户认证 ->不通过认证断开的问题。
在配置vpn的时候,还需要remoteregister服务的支持,建立好以后可以关掉。
workstation , server,rpc同样在配置时候需要。
----------------------------------------
经测试,全命令行的建立vpn后,rrasmgmt.msc不出现具体配置信息。也就是说只有看网络连接文件夹,才能看出来一个拨入的连接。貌似隐蔽,比较见鬼。
