一、需求说明

1、网络拓扑结构

2、环境说明

设备名称	IP地址信息	所属机房
***server	外网eth0  10.0.0.3     VMnet3 内网eth1  192.168.1.4  VMnet4 网关 机房默认网关	上海
***client	外网eth0  10.0.0.4     VMnet3 内网eth1  172.16.1.4   VMnet5 网关 机房默认网关	北京
client1	eth0 192.168.1.5       VMnet4 网关 192.168.1.4	上海
client2	eth0 172.16.1.5        VMnet5 网关 172.16.1.4	北京

3、实现目标

1、实现上海IDC机房和北京IDC机房内网机器互联，即我们可以通过client1 ping通client2

2、实现192.168.1.5和172.16.1.5互通

在实验前，请把四台虚拟机准备好，IP配置好,其中我设置的VMnet3、4、5都是仅主机模式，大家可以先把需要安装的软件安装好在修改为仅主机，因为仅主机模式不能上互联网，给电脑的VMnet4配置一个192.168.1.11，给VMnet5配置一个172.16.1.11，然后我们就可以通过连接四台虚拟机了。

3、环境搭建好之后我们检查一下联通性，正常情况下六个IP互通情况如下

	192.168.1.5	192.168.1.4	10.0.0.3	10.0.0.4	172.16.1.4	172.16.1.5
192.168.1.5	√	√	√	〤	〤	〤
192.168.1.4	√	√	√	√	〤	〤
10.0.0.3	√	√	√	√	〤	〤
10.0.0.4	〤	〤	√	√	√	√
172.16.1.4	〤	〤	√	√	√	√
172.16.1.5	〤	〤	〤	√	√	√

这里可以使用tcpdump抓包查看过程

4、把***Server、***Client的数据包转发打开，不然数据传输不过去

# echo 1 > /proc/sys/net/ipv4/ip_forward

这里可以使用tcpdump抓包查看过程

二、Open*** Server的安装配置

1、Open***下载

通过官网下载最新版本的open***。http://open***.net/，有可能因为国家防火墙的原因，可能无法访问，我这里提供的下载地址是https://swupdate.open***.org/community/releases/open***-2.3.7.tar.gz

2、Open*** Server安装
    我的系统环境是CentOS 6.3 32位最小化安装，我的上一篇文章是使用的yum安装，http://wangzan18.blog.51cto.com/8021085/1673778，使用的是epel仓库，我还是推荐大家使用yum安装，简单方便，open***依赖一些软件，openssl提供数据加密，lzo提供数据压缩，我们都可以使用yum进行安装，这里我的open***使用源码编译安装，一些依赖的软件包大家请提前下载好。

#安装依赖的软件包
yum install openssl-devel lzo-devel pam-devel gcc wget -y
#下载open***软件
wget https://swupdate.open***.org/community/releases/open***-2.3.7.tar.gz
#编译安装open***
tar xf open***-2.3.7.tar.gz
cd open***-2.3.7
./configure --prefix=/usr/local/open*** --sysconfdir=/etc/open***

如果出现以上的内容，证明我们配置好了，下面我们就进行编译安装

make
make install
tree /usr/local/open***/

安装好的目录结构大概如下，不同版本可能有所不同

下面我们添加open***的配置文件

mkdir /etc/open***
cp sample/sample-config-files/server.conf /etc/open***/

因为我们这个版本没有提供密钥生成更具，但是他给我们提供了默认的证书，在open***-2.3.7/sample/sample-keys目录下面

3、我们这里现在密钥生成工具

#下载密钥生成工具
wget https://github.com/Open***/easy-rsa/archive/release/2.x.zip
unzip 2.x.zip
#复制我们的CA到open***配置目录下
cp -ra easy-rsa-release-2.x/easy-rsa/2.0 /etc/open***/easy-rsa
cd /etc/open***/easy-rsa

根据脚本的名字我们可以猜测到工具的功能，首先我们先修改一下vars这个文件，修改成我们相关的内容。

# vim vars

# source vars

# ./buile-ca

创建服务器证书

# ./build-key-server server

创建客户端证书

# ./build-key client

创建Diffie Hellman参数

# ./build-dh

这一步需要的时间很长，大家可以把vars文件里面的export KEY_SIZE=2048 改为1024

生产的证书全部放在easy-rsa目录下面的keys里面

4、Open*** Server的配置

我们查看一下配置文件的内容，具体每个参数的含义配置文件讲解的很详细，我这里不再陈述，为了看起来简便，我这里把注释删掉，参数不是很多，我们对其修改成我们需要的，修改后我这里是这样的。

grep -vE '^#|^;|^$' /etc/open***/server.conf

--client-config-dir /etc/open***/ccd/

通过该选项为存放客户端定制的配置文件指定一个目录，在一个***用户通过客户端验证之后，Open***将会查找这个目录，通过这些文件可以使用--ifconfig-push来指定一个固定的客户端IP地址，也可以使用--iroute指定一个客户端自己拥有的子网。

--push "route 192.168.1.0 255.255.255.0"

这项指令是把***Server后端的子网推送给***Client，要不Client不知道如何到达这个子网。

--route 172.16.1.0 255.255.255.0

这项指令是给***Server添加一条路由，要不***Server不知道如何到达172.16.1.0网段。

--server 10.8.0.0 255.255.255.0

这项指令是给***Client分配IP地址。

cat /etc/open***/ccd/client

--iroute 172.16.1.0 255.255.255.0

为特定的客户端生产内部路由。

--ifconfig-push 10.8.0.4 10.8.0.5

这条指令就是给特定客户端指定分配的IP的，可以不使用，除非客户端比较多，你有必要进行区分。

到此服务端的配置告一段落

三、Open*** Client的安装配置

1、客户端的安装

客户端的安装请安装服务端的安装，过程一样

2、客户端的配置

下面我把我的客户端配置文件发送一下，首先我们需要把服务器端的证书文件拷贝过来。

# cat /etc/open***/client.conf

客户端的配置比较简单，这里不在进行讲解。

四、服务的启动及测试

1、首先我们先查看一下***服务端和客户端的路由信息

***服务端

***客户端

2、***服务端及客户端的启动

***服务端启动

/usr/local/open***/sbin/open*** /etc/open***/server.conf &
cat /var/log/open***/open***.log

***客户端启动

/usr/local/open***/sbin/open*** /etc/open***/client.conf

3、***服务端及客户端的启动后的路由信息

***服务端

我们可以看到增加了一个虚拟网卡，增加了几条路由。

Open***默认使用的net30模式，10.8.0.1是获取的一个实际IP，接受ping，10.8.0.2是Open***内部的一个虚拟IP地址，它被用作末端路由，对于这个地址，Open***不会接受ping。

我们可以在启动的时候增加一个参数--topology subnet让Open***工作在subnet模式下，使用此模式要去掉前面的选项--ifconfig-push，不然客户端会连接失败，具体net30和subnet模式的区别，大家可以参考官网文档（man open*** ,doc）或者参考本文附录。

# /usr/local/open***/sbin/open*** --config /etc/open***/server.conf --topology subnet

***客户端

现在***服务端和客户端都有到达对方后端子网的路由，我测试了一下，他们到对方后端子网的网络都已经联通了，我这里就不在贴图了。

这里可以使用tcpdump抓包查看过程

五、项目需求实现

1、我们在client1测试

结果显示client1可以ping通client2。

2、在client2上面测试

我们可以看到client2和client1也是互通的，由此证明项目成功。

六、项目改进

1、不修改客户机默认网关

我们知道，上面的环境是所有的客户机网关都指向了***服务器，在很多环境场合是不允许我们修改内网客户机的网关，数量少还可以，数量多的话那就是很大的工作，并且可能会影响服务的运行，而且所有的流量都经过***也是对***服务器很大的压力。

假设所有的客户机都是现有的默认网关，我们实现的目的就是他们到达对方子网的时候经过***服务器，而访问外网还是使用自己默认的网关，其实很简单，我们只需要在每个客户机上面添加上到对方子网的路由。

2、如何添加路由

对于client1，我是这样操作，我们删掉现在的默认路由，可以不设定

route del default gw 192.168.1.4

ping 172.16.1.5
connect: Network is unreachable

这时候我们是无法ping通对方子网的，下面我们添加一条路由

route add -net 172.16.1.0/24 gw 192.168.1.4

client2也是如此操作

route del default gw 172.16.1.4
route add -net 192.168.1.0/24 gw 172.16.1.4

3、如何更加了解数据传输过程

Linux提供一个数据抓包的命令tcpdump，如果过程中哪里有问题，数据就是传输不过去，我们可以通过抓包工具一步一步抓取，我这里简单介绍一个例子，比如我们在client1 ping client2不通，我们首先在***server上面转包看看数据吧流向，然后在***client上面抓取，然后在client2上面抓取，看看数据吧是否有回包，如果没有回包很大可能的情况就是回包路由的问题。

七、附录

在--topology mode选项中，mode有三种取值，即net30、subnet和p2p。

当运行在--dev tun模式下时，可以通过--topology mode选项来配置虚拟地址的拓扑结构。而对于--dev tap而言，该选项没有任何意义，因为在--dev tap模式下，总是使用子网拓扑。

1、net30

Open***默认的子网掩码是/30，也就是255.255.225.252。在这样的情况下，只有两个地址可以使用，一个给服务端，一个给客户端，这样地址是很浪费的。

在Open***的2.0版本中，Open***能通过虚拟一个TUN虚拟接口处理多个客户端，要处理这种技术，可以把服务器上看到的PtP连接看作是一个操作系统和Open***之间的连接，而在Open***内部还需要为每一个客户端创建另一个PtP。如何所有的O/S在TUN接口上真正的支持PtP连接，那么这将会是的Open***服务器仅使用一个IP地址，并且一个客户端也使用一个IP地址。

2、subnet

subnet通过配置TUN接口的本地IP地址和子网掩码来使用一个子网，而不是点对点的拓扑结构，类似于使用--dev tap和以太网桥模式的拓扑结构。这种模式为每个客户端分配单个IP地址。

3、p2p

p2p模式使用点对点拓扑，仅适用于Windows系统下，现在已经不再赞成使用。

如有什么不同意见欢迎和我交流，谢谢！