这篇是我接着上一篇写的,上一篇主要的应用是点对点的***连接,下面将介绍他的进一步的应用。
下面是我的实验环境:如下图
假设外网用户(这里是192.168.0.0/24的IP,该IP隐藏在ADSL路由的后端)通过外网访问公司的服务器(这里外网模拟的是192.168.8.0/24段的IP),而服务器只允许192.168.2.0/24段的IP进行访问,并且可以访问192.168.10.0/24段的其他公司的主机。
这只需要在原有的基础上添加一些选项就可以了,下面开始修改原来的配置文件:
1.服务器端的修改:红色部分是新增的部分
[root@zhangbotest etc]# cat server.conf | grep -v '#' | grep -v ';' | grep -v '^$' > new
[root@zhangbotest etc]# ls
ccd ipp.txt new open***-status.log server.conf
[root@zhangbotest etc]# cat new
port 1194
proto udp
dev tun
ca /root/soft/open***-2.1.1/easy-rsa/2.0/keys/ca.crt
cert /root/soft/open***-2.1.1/easy-rsa/2.0/keys/server.crt
dh /root/soft/open***-2.1.1/easy-rsa/2.0/keys/dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.100.0 255.255.255.0" //声明100段的IP
push "route 192.168.2.0 255.255.255.0" //同上
push "route 192.168.10.0 255.255.255.0" //同上
client-config-dir ccd //客户端的控制文件
route 192.168.2.0 255.255.255.0 //增加的路由
client-to-client
keepalive 10 120
comp-lzo
persist-key
persist-tun
status open***-status.log
verb 3 //日志的记录等级
然后在配置文件的目录下手工建立一个ccd的文件夹,当然你也可以在其他地方建,但必须在配置文件中声明其的绝对路径;然后在该文件下创建文件 client1(注意该文件的名字与你的证书生成时的名称一致),里面的内容如下图:
注意这里面的IP地址,他只支持30位掩码,也就是如下图所示的IP范围段:
2.重启服务
好了,可以重启服务了。呵呵,迫不及待了吧,咱们可以测试一下,当然客户端这边不用更改什么,记住***网关的IP一致,和证书一致即可。下面是测试的结果:
这是连上以后的网卡情况:
检测外网口
检测能否到达100段
检测能否到达10段
总结:以上的应用是比较实际的,当然你也可以指定对应的IP段接入,方法和这差不多,方法在我的***--再探open***(s三)http://zhangbo.blog.51cto.com/blog/350645/252038给出吧,在把这边的防火墙策略加上,当然我是第一次搭建,还有改进和不对的地方望指出,谢谢!