使用OpenVPN时的问题--用源代码进行分析

已于 2024-02-22 00:26:59 修改
阅读量125 收藏
点赞数
分类专栏: linux 文章标签: 网络
于 2020-08-24 15:29:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wzy15965343032/article/details/108199680
版权

 

123456789888888888888

 

使用OpenVPN时,有几点需要注意:

1.如果不是OpenVPN客户端将自己的虚拟IP地址作为源地址发出的数据包,而是由其forward的数据包,那么就要在数据进入虚拟网卡之前做一个SNAT了,否则OpenVPN服务器将会拒绝接收这种数据包;

2.如果使用的是tap虚拟网卡模式,那么一定要将OpenVPN服务器的虚拟ip设置成网关而不能仅仅设置一个出口设备,因为tap模式需要进行arp,如果目的地址不在OpenVPN服务器上或者即使在OpenVPN服务器上但是其arp_ignore设置了不同的值,arp都会不成功进而无法发送数据;

3.在开启了client-to-client的情况下并且使用tun模式时,不要以为所有的client和server均在同一子网内,tun是点对点的,没有子网的概念,所以一个client或者其后的主机为了访问另一个client c2后面的资源,不能将网关设置成c2,除非做复杂的源/目的地址转换,因为OpenVPN服务器将不认识c2后面的目的地址。

4.如果使用tap模式,并且开启了c2c,那么所有的client连同server共同组成一个虚拟子网,内部arp可流通,作为一个虚拟以太网和真实的以太网是一样的,OpenVPN服务器就是一个以太网交换机,可以设置任意的client或者server作为网关,这个意义上,OpenVPN服务器是一个三层交换机。

具体的代码都在multi_process_incoming_link中:

bool multi_process_incoming_link (struct multi_context *m, struct multi_instance *instance, const unsigned int mpp_flags)

{

	struct context *c;

	struct mroute_addr src, dest;

	unsigned int mroute_flags;

	struct multi_instance *mi;

	bool ret = true;

	...

	if (BLEN (&c->c2.buf) > 0) {

		process_incoming_link (c);   //此操作进行解密,vpn作为客户段来说只调用这一个函数而不进行下面的地址判断

		if (TUNNEL_TYPE (m->top.c1.tuntap) == DEV_TYPE_TUN) {

	      		mroute_flags = mroute_extract_addr_from_packet (&src, //从ip数据报中解析出源/目的ip地址

							      &dest,

							      NULL,

							      NULL,

							      &c->c2.to_tun,

							      DEV_TYPE_TUN);

			//确保源ip地址是自己的一个客户端的,这就是说,要在客户端进行源地址转换

			else if (multi_get_instance_by_virtual_addr (m, &src, true) != m->pending) {

		  		...//打印错误日志

				c->c2.to_tun.len = 0;  //不再往虚拟网卡写入

			} else if (m->enable_c2c) {

		  		...//多播情况,tun模式下,通过判断ip地址类型设置多播标志,tun没有arp

		  		else {  //以目的ip地址作为键值查找以目的地址为虚拟地址的自己的客户端,如果没有做目的地址转换的话,此处将找不到任何客户端,最终数据将发往虚拟网卡,等待内核标准路由系统的路由,很可能就发往默认网关了

		      			mi = multi_get_instance_by_virtual_addr (m, &dest, true);

		      			if (mi) {

			      			multi_unicast (m, &c->c2.to_tun, mi); //向目的地址单播

			      			register_activity (c, BLEN(&c->c2.to_tun));

			  			c->c2.to_tun.len = 0;

					}

		    		}

			}

		} else if (TUNNEL_TYPE (m->top.c1.tuntap) == DEV_TYPE_TAP) {

			mroute_flags = mroute_extract_addr_from_packet (&src, //从以太网数据帧中解析出源/目的mac地址

							      &dest,

							      NULL,

							      NULL,

							      &c->c2.to_tun,

							      DEV_TYPE_TAP);

			if (multi_learn_addr (m, m->pending, &src, 0) == m->pending) {

				if (m->enable_c2c) { //以下是广播/多播情况,比如tap模式下的arp就是广播,可以看出mroute_extract_addr_ether处理了arp,设置了多播标志,OpenVPN中,多播和广播统一处理

			  		if (mroute_flags & (MROUTE_EXTRACT_BCAST|MROUTE_EXTRACT_MCAST)) {

			      			multi_bcast (m, &c->c2.to_tun, m->pending, NULL);

			    		} else { //下面根据目的mac来判断目的地是否是同一个虚拟子网的,如果是,则将以太帧发过去

						mi = multi_get_instance_by_virtual_addr (m, &dest, false);

			      			if (mi)	{

							multi_unicast (m, &c->c2.to_tun, mi);  //单播发送以太帧

							register_activity (c, BLEN(&c->c2.to_tun));

							c->c2.to_tun.len = 0;  //不再写入虚拟网卡

						}

					}

				} 

				...

			} else {

				c->c2.to_tun.len = 0;

			}

		}

	}

	//所有其它情况都将受到的数据包写入虚拟网卡中,一旦写入虚拟网卡以后,数据包的流向就不再受OpenVPN的控制了,而是完全受内核路由表的控制

	ret = multi_process_post (m, m->pending, mpp_flags);

	...

}

在multi_process_incoming_tun中有下面一个判断:

multi_set_pending (m, multi_get_instance_by_virtual_addr (m, &dest, dev_type == DEV_TYPE_TUN));

if (m->pending) --->后续处理

这是判断目的地址的有效性,作为OpenVPN服务器来讲,从虚拟网卡中来的数据包就是要发往OpenVPN客户端的数据包,因此需要判断目的地址,和multi_process_incoming_link的判断相反。

     结论是:tun模式按照ip地址路由,tap模式按照mac地址路由。在客户端,没有服务器端这么复杂的判断,只是经过“in-tun--out-link-加密,in-link--out-tun-解密”的过程即可

 

 

 

 

静静地思考
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
openvpn3-arch-package
02-16
openvpn3-arch-package
使用Open×××问题--源代码进行分析
weixin_33727510的博客
09-02 75
使用Open×××,有几点需要注意: 1.如果不是Open×××客户端将自己的虚拟IP地址作为源地址发出的数据包,而是由其forward的数据包,那么就要在数据进入虚拟网卡之前做一个SNAT了,否则Open×××服务器将会拒绝接收这种数据包; 2.如果使用的是tap虚拟网卡模式,那么一定要将Open×××服务器的虚拟ip设置成网关而不能仅仅设置一个出口设备,因为tap模...
启用openvpn后网络问题
cainiao2013的博客
05-21 1万+
1.问题: 启用openvpn后原来网络访问异常。 2.临处理:删除openvpn网卡路由,添加规划好路由规则 route delete -net 128.0.0.0/1 gw 10.8.0.1 route delete -net 0.0.0.0/1 gw 10.8.0.1 route add -net 10.8.0.0/24 gw 10.8.0.1 dev tun0 3. 永久处理 a. 写入上述命令到启动脚本/etc/rc.local b. 参考:https://blog.csdn.
Python库 | openvpn_status-0.1.1-py2.py3-none-any.whl
02-25
python库。 资源全名:openvpn_status-0.1.1-py2.py3-none-any.whl
openvpn-certificate-authority
04-15
认证中心(CA) 权限是项目中最安全的部分。 这些设置控制和保护根CA证书。 理想情况下,授权机构应托管在与中间CA分开的计算机和网络上。 目的 创建自签名的根证书颁发机构证书 签署来自中间证书颁发机构的请求 到中间CA的通知消息 发布签名的证书吊销列表(CRL) 可配置的属性 国家/地区代码(例如CA) 州(例如安大略省) 城市(例如多伦多) 组织(例如无) 组织单位(例如无) 通知属性 通知电子邮件 到中间CA的通知消息传递api 中级CA 中间CA对用户的所有客户端和服务器请求进行签名。 它通过活动的已签名中间证书从根CA获得授权。 目的 从根CA请求新的中间证书 收到签名请求的通知后,激活新的中间CA证书 跟踪旧的中间CA证书 签署用户的请求 给用户的通知消息 发布签名的证书吊销列表(CRL) 用户数 需要基本的用户管理(admin / trustedUsers)管理员
openvpn-linux-client-scripts-开源
05-06
这些是相同的简单脚本...一个用于启动/停止/切换特定隧道即服务(初始化脚本)。 第二个是建立或断开隧道调用的脚本(上/下脚本)。 还提供了pyQt GUI界面。
OpenVPN 支持Radius
weixin_38990997的博客
04-15 611
VPN客户端下载地址:https://openvpn.net/client-connect-vpn-for-windows/OpenVPNConfig=/etc/openvpn/server.conf #openvpn服务配置文件路径。#官网地址https://openvpn.net/community-downloads/#配置说明https://cloud.inspur.com/docs/96069.html。cert zhangsan.crt #指定当前客户端的证书文件路径。
OpenVpn 协议解析-握手数据包分析
qq_44005305的博客
01-12 466
通过OpenVPN握手数据包的抓取和分析,我们了解到了OpenVPN协议的更多的细节,它分为两个部分,控制协议和记录协议,两个协议通过OpenVPN协议头复用到了UDP,其中控制协议又分为了握手协议和密钥协议,它们都跑在一个可靠的伪TCP虚拟连接上,它实际上很复杂同又很简单。通过分析数据包的方式学习网络协议是一个不错的方式却不是一个不错的开始,对于OpenVPN,首先我们必须首先明白它的设计,它的框架,它的用途以及必须可以熟练使用它。其中的前提是使用
(原创)ics-openvpn编译详解
fy_8303的博客
05-18 2878
一、Windows环境下编译(仅适用于ics-openvpn_v0.7.3及以上版本) 1.下载、配置AndroidStudio: 浏览器访问https://developer.android.google.cn/studio/#downloads,下载Windows版的AndroidStudio。 下载并安装完成后,启动AndroidStudio,通过向导进行相关配置,然后等待AndroidStudio的下载完成。 通过SDK Manager下载相关编译工具,例如:cmake、LLDB、NDK等。 2
超详细open vn搭建之Linux亲测可用
热门推荐
zzchances的博客
03-31 4万+
vn 搭建实操 1 安装 2 配置 2.1CA证书 2.2Server证书 2.3客户端证书 2.4归档证书 3 配置 3.1配置服务端 3.2windows客户端配置 前言:VPN直译就是虚拟专用通道,是提供给企业之间或者个人与公司之间安全数据传输的隧道,OpenVPN无疑是Linux下开源VPN的先锋,提供了良好的性能和友好的用户GUI。 1 安装 (1)配置ep...
open-build-master+Open虚拟专网2.5源代码+依赖项源代码
07-07
与原版open-build-master相比,我做了稍稍修改,已经包含Open虚拟专网2.5源代码和依赖项源代码,需要VS2019、ActivePerl、WDK10,可以直接按照我写的教程进行编译,100%可编译。
编译安装openvpn问题与解决
cainiao2013的博客
07-20 5080
1. 源码下载 问题:wget https://gitlab.com/openvpn/openvpn/-/archive/v2.4.11/openvpn-v2.4.11.tar.gz 没有configure文件 解决:wget https://swupdate.openvpn.org/community/releases/openvpn-2.4.11.tar.gz 2. 编译环境 问题:usable LZ4 library or header not found, using ...
通过openVPN,实现安全内网穿透
qq_16005627的博客
11-30 4815
openVPN 为开源服务,虚拟,是提供给企业之间或者个人与公司之间的隧道,跨平台,支持linux\window\macos\和,值得学习使用。ubuntu环境下安装完成后生成了目录。
沪深websocket level2/level1行情推送接入示例
04-28 657
【代码】沪深websocket level2/level1行情推送接入示例。
FR-TSN4206获得“间敏感网络产业链名录计划”测试认证证书,TSN交换机助力智能工业发展
fiberroad的博客
04-30 414
TSN技术,即间敏感网络技术,已成为智能工业、自动驾驶等领域的核心。它通过钟同步、数据调度等功能,确保低延迟、高可靠性的数据传输。为推动TSN技术在我国的发展,工业互联网产业联盟联合多家单位启动了“间敏感网络产业链名录计划”。光路科技的FR-TSN4206交换机成功通过该计划认证
java线上问题排查之磁盘和网络查看分析(二)
wayne_youlu的博客
04-30 409
overflowed 标识全连接队列溢出的次数,最前面是0,标识没有队列溢出的情况,网络环境正常。来查看网络是否连接。如果出现下图内容,则证明网络已经连接。
前端调用WebSocket协议接口获取数据
m0_56023096的博客
04-29 370
createWs("测试数据", (res) => {
用 Python 进行渗透测试
黑战士的博客
04-28 1031
编写一个端口扫描器Python 提供了访问 BSD 套接字的接口Web 服务器可能位于 TCP 80 端口、电子邮件服务器在 TCP 25 端口、FTP 服务器在 TCP 21 端口TCP 全连接扫描为了抓取目标主机上应用的 Banner,找到开放的端口后,向它发送一个数据串并等待响应。
黑马 - websocket搭建在线聊天室
最新发布
白羊座的橙子
05-01 1032
websocket对象创建websocket对象相关事件websocket 对象提供的方法## 2、服务端apiTomcat 的7.0.5版本开始支持 websocket , 并且实现了Java websocket 规范。Java websocket 应用由一系列的 Endpoint组成。Endpoint 是一个java对象,代表websocket连接的一段。对于服务端,我们可以视其为处理具体websocket消息的接口。
luci-app-openvpn如何使用
06-03
luci-app-openvpn是一款OpenVPN的Web管理界面,可以方便地管理OpenVPN服务器和客户端。下面是使用步骤: 1. 安装luci-app-openvpn插件:在路由器的控制台中,进入“系统”-“软件包”,搜索“luci-app-openvpn”插件,安装。 2. 配置OpenVPN服务器:在控制台中,进入“服务”-“OpenVPN”,在“服务器”选项卡中进行配置,包括证书和密钥、协议、端口等。 3. 生成客户端证书和密钥:在服务器配置完成后,进入“客户端”选项卡,在“新建客户端”中填写客户端名称和密码,点击“添加”生成证书和密钥。 4. 下载客户端配置文件:在客户端选项卡中,找到生成的客户端证书和密钥,点击“下载”按钮下载配置文件。 5. 安装OpenVPN客户端:在电脑或手机上安装OpenVPN客户端,并将下载的客户端配置文件导入客户端。 6. 连接OpenVPN服务器:在OpenVPN客户端中,选择导入的客户端配置文件,输入用户名和密码,点击“连接”按钮即可连接OpenVPN服务器。 注意:使用luci-app-openvpn需要一定的技术基础,建议在操作前先了解OpenVPN的基本原理和配置方法。同,为了保证安全性,建议使用复杂的证书和密钥,并定期更换。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值