很長時間沒寫博客,沒錯,我又被拉去做外包了,不多BB,直接上乾貨。也許你面試需要
openvxn區別與傳統vxn,它工作在IP層,OpenVxN是一款基於SSL的開源VxN軟件,它實現了利用SSL來保證網絡通訊安全性的目的,同時避免了傳統SSL VxN僅提供簡單的Web應用的不足,它具有支持各種應用協議,支持Windows,Linux,BSD,MAC OS等多平臺的特點。
環境說明
A爲客戶端192.168.1.2
B爲服務端10.0.0.2 已經在配置文件中加入了push "redirect-gateway def1 bypass-dhcp",將客戶端流量全部走openvxn,缺點:需要配合客戶端上的配置redirect-gateway def1來實現,但是如果有的時候客戶端上如果需要正常上網可能會受到影響
撥號完成後,根據配置ovxn中指定的tun/tap,生成對應虛擬網卡tun/tap,虛擬網卡的作用就是openvxn程序能夠迅速通過tun/tap虛擬設備與數據包之間進行交互
下面是發送和接收原理
發送:
A去往B的某個地址,這裏假定是10.0.0.3,撥號完成後,A獲得了去往10.0.0.0/8網段的路由,即去往10.0.0.0/8網段的下一跳走tun/tap網卡,理論上A做了兩點,第一點就是A判斷數據包的目標IP地址是不是自己本網段的,或者說是路由表中其他地址的,再根據路由表進行轉發;第二點就是A判斷出是去往服務端網段的,將所有數據包送往tun/tap網卡,再經由該網卡通知openvxn應用程序調用write函數和ssl加密並且封裝,且將真實目標ip地址(例如目標地址是10.0.0.3)和數據包作爲數據,在最外側將目標ip地址定爲openvxn服務端的外網ip地址,再轉發給外網卡eth1或者eth0,經由internet發送到服務端。
接收:
openvxn服務端接收到此數據包之後,根據外側的加密算法判斷出這是vxn數據包,再次發給tun/tap網卡,tun/tap網卡通知openvxn應用程序,調用read函數和ssl對數據進行解密並且剝離包頭,將實際的目標ip地址暴露出來,此時數據包根據vxn服務端的路由表,再到確定的目標10.0.0.3地址上去。
openvxn下tun模式的流程圖: