基於openwrt平臺搭建局域網技術驗證之一

原創 cft56200_ln 2020-07-02 21:59

1、VPN介紹

  vpn簡單的來說就是就是通過互聯網達到訪問某一服務器內局域網的效果。可參加vpn網絡拓撲圖。其工作原理如下:

①通常情況下,VPN網關採取雙網卡結構,外網卡使用公網IP接入Internet。
②網絡一(假定爲公網internet)的終端A訪問網絡二(假定爲公司內網)的終端B,其發出的訪問數據包的目標地址爲終端B的內部IP地址。
③網絡一的VPN網關在接收到終端A發出的訪問數據包時對其目標地址進行檢查,如果目標地址屬於網絡二的地址,則將該數據包進行封裝,封裝的方式根據所採用的VPN技術不同而不同,同時VPN網關會構造一個新VPN數據包,並將封裝後的原數據包作爲VPN數據包的負載,VPN數據包的目標地址爲網絡二的VPN網關的外部地址。
④網絡一的VPN網關將VPN數據包發送到Internet,由於VPN數據包的目標地址是網絡二的VPN網關的外部地址,所以該數據包將被Internet中的路由正確地發送到網絡二的VPN網關。
⑤網絡二的VPN網關對接收到的數據包進行檢查,如果發現該數據包是從網絡一的VPN網關發出的,即可判定該數據包爲VPN數據包,並對該數據包進行解包處理。解包的過程主要是先將VPN數據包的包頭剝離,再將數據包反向處理還原成原始的數據包。
⑤網絡二的VPN網關將還原後的原始數據包發送至目標終端B,由於原始數據包的目標地址是終端B的IP,所以該數據包能夠被正確地發送到終端B。在終端B看來,它收到的數據包就和從終端A直接發過來的一樣。
⑥從終端B返回終端A的數據包處理過程和上述過程一樣,這樣兩個網絡內的終端就可以相互通訊了

1.1、vpn數據封裝

vpn主流的倆種技術是pptp和l2tp,採用的技術不同封裝出的vpn包也是不同的。

兩種協議的封裝格式的詳解可參考以下鏈接:

http://blog.chinaunix.net/uid-30256248-id-5700083.html

https://blog.csdn.net/zhaqiwen/article/details/10083025

https://max.book118.com/html/2017/0729/124974157.shtm

1.2、vpn網絡拓撲

如下是vpn簡單的網絡拓撲圖,外出辦公人員建立客戶端通過撥號vpn服務器的公網ip進行連接服務器。連接成功後就可以訪問vpn服務器下的任何一臺主機上的數據。

2、vpn-pptp服務器模式測試報告

2.1、測試目的

       驗證pptp服務器模式的可行性。

       提供vpn-pptp模式的服務器功能,供客戶端連接訪問內網。

2.2、參考資料

      參考鏈接:https://openwrt.org/docs/guide-user/services/vpn/pptp/basic

2.3、測試過程   

   測試過程需要用到的資源:

    • 路由器一個
    • win7系統電腦倆臺
    • 交換機一個
    • 網線三根

     測試組網如下圖所示:

組網說明:

R0公司路由器

S1 交換機

R1 路由器1

PC1 個人電腦1

PC2 個人電腦2

 

  • (R0) lan口接(S1),保證(S1)接出去的設備可以訪問互聯網。
  • (S1)分別接(R1)wan口和(PC1),確保倆個設備可以正常上網。
  • (PC1)接(s1)後可以獲取到以太網的ip,此處是192.168.21.103(郭乙標的ip測試時請修改成自己的ip,靜態ip)
  • (R1)wan口接(S1) 後可以獲取到以太網的ip,wan口ip是192.168.21.46(最好設置成靜態ip,動態ip的話需要注意在客戶端連接的時候檢查ip是否改變)
  • (R1)lan口網關地址是192.168.1.1
  • (PC2)通過無線連接到(R1)上,分配得到的ip是192.168.1.244。該ip是動態獲取的,後續測試需要注意此ip地址是否改變。因爲我們要訪問這個(PC2),所以必須要知道其ip是多少。
  • 在(PC1)發起pptp連接請求後,如果連接成功的話會獲取的pptp服務器分配的ip,

此時是192.168.0.20,此ip測試時可以不用關心。對於我們來說不用care這個ip,內核會自己對這個ip做處理。

2.3.1 軟硬件需求

硬件環境

CPU:MTK7628n

DDR:128M

Flash:16M

 

軟件環境

Openwrt:14.07

Linux:3.10.14

2.3.2 測試步驟

  • 編譯,在openwrt源碼目錄下make menuconfig,配置pptp服務器需要的包。pptpd, kmod-mppe,kmod-gre,kmod-ppp, ppp(此五個包需要在可視化界面配置上)然後執行make V=s,編譯出原始固件。
  • 將編譯出的

bin/ramips/openwrt-ramips-mt7628-mt7628-squashfs-sysupgrade.bin燒寫到路由器中。並啓動。

  • 修改/etc/config/pptpd文件:
config service 'pptpd'
		option localip '192.168.0.1'		#服務器ip地址	
		option remoteip '192.168.0.20-30' #給客戶端分配的ip地址
		option enabled '1'				#使能pptpd服務
		option mppe '1'					#是否mppe加密
		option nat '1'						#是否nat轉發
		option internet '1'					#是否可以上網

config login
	option username 'youruser'		#服務器分配的用戶名
	option password 'yourpass'		#服務器分配的密碼
	option enabled '1'				#使能登錄標誌
	option ipaddress '*'				#允許登錄的客戶端地址,*表示所有ip均可登錄
  • 修改/etc/init.d/pptpd文件:
此文件中的內容會修改以下四個文件/etc/firewall.user,/etc/ppp/options.pptpd,/var/etc/pptpd.conf, /var/etc/chap-secrets
/var/etc/pptpd.conf此文件是從/etc/pptpd.conf拷貝而來,/var/etc/chap-secrets,此文件是/etc/ppp/chap-secrets文件軟連接而來。

#!/bin/sh /etc/rc.common
# Copyright (C) 2006 OpenWrt.org

START=60
BIN=/usr/sbin/pptpd
DEFAULT=/etc/default/$BIN
RUN_D=/var/run
PID_F=$RUN_D/$BIN.pid
CONFIG=/var/etc/pptpd.conf
CHAP_SECRETS=/var/etc/chap-secrets

setup_dns() {
	[ -n "$1" ] || return 0
	echo ms-dns $1>>/etc/ppp/options.pptpd
}
setup_login() {
	local section="$1"

	## Code by VPN Server ##
	config_get enabled "$section" enabled
	[ "$enabled" -eq 0 ] && return 0

	config_get ipaddress "$section" ipaddress
	[ -n "$ipaddress" ] || local ipaddress = "*"
	## Code by VPN Server ##

	config_get username "$section" username
	config_get password "$section" password
	[ -n "$username" ] || return 0
	[ -n "$password" ] || return 0

	echo "$username * $password $ipaddress" >> $CHAP_SECRETS
	## echo "$username pptp-server $password *" >> $CHAP_SECRETS
}

setup_config() {
	local section="$1"

	config_get enabled "$section" enabled
	[ "$enabled" -eq 0 ] && return 1

	mkdir -p /var/etc
	cp /etc/pptpd.conf $CONFIG

	config_get localip "$section" localip
	config_get remoteip "$section" remoteip
	[ -n "$localip" ] && echo "localip  $localip" >> $CONFIG
	[ -n "$remoteip" ] && echo "remoteip  $remoteip" >> $CONFIG

	## Code by VPN Server ##
	config_get nat "$section" nat
	config_get internet "$section" internet
	echo Update firewall ...
	sed -i -e "/## luci-app-pptpd/d" /etc/firewall.user
	if [ "$nat" -eq 1 ]; then
		echo "iptables -A forwarding_rule -i ppp+ -j ACCEPT ## luci-app-pptpd" >> /etc/firewall.user
		echo "iptables -A forwarding_rule -o ppp+ -j ACCEPT ## luci-app-pptpd" >> /etc/firewall.user
		echo "iptables -A output_rule -o ppp+ -j ACCEPT ## luci-app-pptpd" >> /etc/firewall.user
		echo Update NAT rule ...
	fi
	if [ "$internet" -eq 1 ]; then
		echo "iptables -A input_wan_rule -p tcp --dport 1723 -j ACCEPT ## luci-app-pptpd" >> /etc/firewall.user
		echo "iptables -A input_wan_rule -p tcp --dport 47 -j ACCEPT ## luci-app-pptpd" >> /etc/firewall.user
		echo "iptables -A input_wan_rule -p gre -j ACCEPT ## luci-app-pptpd" >> /etc/firewall.user
		echo "iptables -A input_rule -i ppp+ -j ACCEPT ## luci-app-pptpd" >> /etc/firewall.user
		echo Update input rule ...
	fi
	fw3 restart
	config_get mppe "$section" mppe
	sed -i -e 's/#*mppe/mppe/g' /etc/ppp/options.pptpd
	if [ "$mppe" -eq 0 ]; then
		sed -i -e 's/mppe/#mppe/g' /etc/ppp/options.pptpd
	fi
	sed -i -e '/ms-dns/d' /etc/ppp/options.pptpd
	config_list_foreach "pptpd" "dns" setup_dns
	## Code by VPN Server ##

	return 0
}

start_pptpd() {
	[ -f $DEFAULT ] && . $DEFAULT
	mkdir -p $RUN_D
	for m in arc4 sha1_generic slhc crc-ccitt ppp_generic ppp_async ppp_mppe; do
		insmod $m >/dev/null 2>&1
	done
	ln -sfn $CHAP_SECRETS /etc/ppp/chap-secrets
	service_start $BIN $OPTIONS -c $CONFIG
}

start() {
	config_load pptpd
	setup_config pptpd || return
	rm $CHAP_SECRETS
	config_foreach setup_login login
	start_pptpd
}

stop() {
	service_stop $BIN

	## Code by VPN Server ##
	sed -i -e "/## luci-app-pptpd/d" /etc/firewall.user
	fw3 restart
	## Code by VPN Server ##
}
  • 重啓路由,pptp服務器已經配置好
  • 配置客戶端(PC2)過程

其中①-④按照圖中步驟選擇即可。

  • ⑤ Internet地址是vpn服務器公網ip地址,我們沒有公網ip,這裏使用的是路由器的wan口進行連接。即組網環境中的192.168.21.46 目標名稱可以隨便取,

回顯示在你的網絡環境中。

  • ⑥ 輸入服務器爲你分配的用戶名和密碼,即步驟三中的

option username 'youruser'      #服務器分配的用戶名

    option password 'yourpass'      #服務器分配的密碼

  • ⑦ 點連接即可。

七、(PC1)通過無線連接(R1),獲取到的ip是192.168.1.244

 

八、從(PC2)訪問(PC1)(爲了排除防火牆干擾,R1,PC1,PC2的防火牆全部是關閉狀態)

①ping訪問:在(PC2)運行裏輸入cmd,進入命令行模式,ping 192.168.1.244

②http訪問:需要在(PC1)安裝iis,百度搜索下載安裝即可,在(PC2)瀏覽器中輸入192.168.1.244。

③遠程登錄:需要在(PC1)確認遠程登錄已開啓,在(PC2)運行裏輸入mstsc -v 192.168.1.244

遠程登錄開啓連接:https://jingyan.baidu.com/article/63f23628177e6d0209ab3d60.html

iis7配置詳解連接:http://www.udashi.com/article/2976.html

 

2.4、測試結果

  • PC2能夠ping 通192.168.1.244,即PC1的地址,沒有數據丟失會連接超時。
  • PC2能夠打開192.168.1.244的網頁,網頁內容如下:

  • PC2可以遠程登錄到PC1上,併成功控制PC1的電腦。

 

感謝:guoyb提供支持

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Openclash虛焊clash

今天的OpenClash上網總是掛球,搗鼓了大半天,包括     1、跟Clash for windows的比較分析     2、設置dns     3、重置OpenWRT並重新配置OpenClash 還是不行 最後發現,在OpenCLas

原創 2022-04-30 09:48:43

用於嵌入式計算的流行Linux發行版

在嵌入式系統中工作的嵌入式開發人員需要一個易於使用且易於爲其特定硬件定製的發行版。以下是一些最著名的嵌入式計算Linux發行版。然而,這些發行版都沒有標準化的“產品更新就緒”方法。如果這是必需的,你需要自己動手。 在嵌入式系統

Linux就該這麼學 2021-12-27 09:20:02

openwrt編譯 -- 搭建屬於自己的openwrt的開發環境

系統版本:ubuntu 16.04 LTS 64bits 零、流程化、標準化的步驟,光明的大道往前走 1、先從github clone下來 HTTPS : git clone https://git.openwrt.org/openw

osc_h9fpkpv6 2021-12-25 21:43:14

迅爲瑞芯微iTOP-3399開發板資料更新

iTOP-3399開發板使用手冊更新啦,最新版本爲2.3版本。與開發板使用手冊配套的《嵌入式Linux開發指南(iTOP-3399)》手冊也更新啦,最新版本爲1.4版本。 後續資料會不斷更新,不斷完善,幫助用戶快速入門,大大提升研發速

原創 2021-12-25 21:27:35

最新版OpenWrt編譯教程,解決依賴問題

最新版OpenWrt編譯教程,解決依賴問題 參考文章: (1)最新版OpenWrt編譯教程,解決依賴問題 (2)https://www.cnblogs.com/jzssuanfa/p/7400840.html (3)https://www

技術盛宴 2021-07-16 21:27:01

網絡工程師,不需要學Linux?

自從2年前畢業開始工作起,越發感覺學習壓力比上學時還大,爲了完成工作任務一直在填補自己的知識漏洞。從最開始幹基礎的路由交換網絡而學習思科與華爲的NA和NP,到後面涉及到雲業務時而學習雲計算,然後接觸到廣域網而學習更高級的網絡知識,還有在工作

原創 2021-02-18 21:13:43

利用openwrt編譯添加zabbix_proxy3.4.10

1.代碼包 解壓 修改文件夾3.4.6名字爲 3.2.6 ,然後壓縮打包 放到dl2.mkpackage zabbix ,然後.config 報錯,取消 zabbix-server 編譯選項3..config 依舊報錯 根據報錯 編譯li

osc_lg0msmnd 2021-02-07 09:27:02

Openwrt 串口透傳ser2net 詳細步驟帶調試過程

Openwrt 串口透傳ser2net1、openwrt18.01以上版本luci已經支持ser2net2、編譯固件過程中選擇:luci->applications->luci-app-se2net;當選中這個之後network->se2

osc_79jqvlyt 2021-02-05 09:23:58

給原版的openwrt安裝Passwall

要求原版和極致精簡的OpenWRT,自己動手安裝自己需要的插件。 1.官網下載最新的OpenWRT: Current Stable Release - OpenWrt 19.07.5: https://downloads.openwrt.

osc_bzc91lgy 2021-01-30 11:11:55

路由 + 5G + WIFI + LoRa + VPN + AI 一體機來了

近期,華辰連科基於行業主流 uCPE 硬件平臺,並結合企業在邊緣設備上的核心應用,發佈了 AI 智能網關整體解決方案。該解決方案將以網絡處理見長的邊緣側傳統智能接入網關,融合 AI 推理能力,將 AI 算力推向網絡終端,可提供從驅動、操作系

osc_s2b5kacl 2021-01-30 10:50:07

Newifi mini (Lenovo-Y1)刷openwrt PandoraBox教程

openwrt是一個嵌入式的linux系統。用於路由器的底層系統,很多路由器都有相關適配。 小岑最近入手了一款聯想的newifi mini路由器,可是原生系統並不如人意,存在許多bug,同時穩定性較差 ,遂考慮刷成openwrt 以下是小

osc_4dki3x9l 2021-01-30 10:06:50

阿里雲+OpenWRT+OPEN***搭建遠程運維平臺

Open***組網步驟一、基於ubuntu 16.04的open***的搭建(1)服務端防火牆配置打開1194端口(2)easy-rsa安裝sudo apt-get -y install easy-rsa(3)Open***的安裝與配置s

osc_7slii3nj 2021-01-30 10:00:50

openwrt更換原有Linux內核版本

1;將openwrt14.07中的內核版本從3.10.49更換成3.10.102 a;更改文件include/kernel-version.mk b;修改文件​target/linux/<路由器架構> 下的Makefile,將KERNEL

flexman09 2020-07-07 10:50:08

網件R7800刷OpenWrt固件單臂路由設置經歷

首先感謝恩山xytb、digicr、puppywang、LUOZHIXIU等壇友的帖子讓我對單臂路由有了一些初步的瞭解,同時感謝Lean大、燈大、H大等開發了OpenWrt、Padavan老毛子等好用的固件,讓我等小白有了折騰的機會。 先

engineerlzk 2020-07-07 02:46:52

TP-LINK_841N_V8路由器硬改升級OpenWRT記

TP-LINK_841N這款路由器還是tplink家族中比較經典的一款,硬件版本可查到的從V3開始到V12,每個版本或CPU不一致,或RAM、Flash大小不一致,而且更坑的是,國內版本和國外版本Ram、Flash大小還不一樣。大概參數

杭州_燕十三 2020-07-05 15:02:37