這篇是我接着上一篇寫的,上一篇主要的應用是點對點的***連接,下面將介紹他的進一步的應用。
下面是我的實驗環境:如下圖
假設外網用戶(這裏是192.168.0.0/24的IP,該IP隱藏在ADSL路由的後端)通過外網訪問公司的服務器(這裏外網模擬的是192.168.8.0/24段的IP),而服務器只允許192.168.2.0/24段的IP進行訪問,並且可以訪問192.168.10.0/24段的其他公司的主機。
這只需要在原有的基礎上添加一些選項就可以了,下面開始修改原來的配置文件:
1.服務器端的修改:紅色部分是新增的部分
[root@zhangbotest etc]# cat server.conf | grep -v '#' | grep -v ';' | grep -v '^$' > new
[root@zhangbotest etc]# ls
ccd ipp.txt new open***-status.log server.conf
[root@zhangbotest etc]# cat new
port 1194
proto udp
dev tun
ca /root/soft/open***-2.1.1/easy-rsa/2.0/keys/ca.crt
cert /root/soft/open***-2.1.1/easy-rsa/2.0/keys/server.crt
dh /root/soft/open***-2.1.1/easy-rsa/2.0/keys/dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.100.0 255.255.255.0" //聲明100段的IP
push "route 192.168.2.0 255.255.255.0" //同上
push "route 192.168.10.0 255.255.255.0" //同上
client-config-dir ccd //客戶端的控制文件
route 192.168.2.0 255.255.255.0 //增加的路由
client-to-client
keepalive 10 120
comp-lzo
persist-key
persist-tun
status open***-status.log
verb 3 //日誌的記錄等級
然後在配置文件的目錄下手工建立一個ccd的文件夾,當然你也可以在其他地方建,但必須在配置文件中聲明其的絕對路徑;然後在該文件下創建文件 client1(注意該文件的名字與你的證書生成時的名稱一致),裏面的內容如下圖:
注意這裏面的IP地址,他只支持30位掩碼,也就是如下圖所示的IP範圍段:
2.重啓服務
好了,可以重啓服務了。呵呵,迫不及待了吧,咱們可以測試一下,當然客戶端這邊不用更改什麼,記住***網關的IP一致,和證書一致即可。下面是測試的結果:
這是連上以後的網卡情況:
檢測外網口
檢測能否到達100段
檢測能否到達10段
總結:以上的應用是比較實際的,當然你也可以指定對應的IP段接入,方法和這差不多,方法在我的***--再探open***(s三)http://zhangbo.blog.51cto.com/blog/350645/252038給出吧,在把這邊的防火牆策略加上,當然我是第一次搭建,還有改進和不對的地方望指出,謝謝!