系统运维
很长时间没写博客,没错,我又被拉去做外包了,不多BB,直接上干货。也许你面试需要
openvxn区别与传统vxn,它工作在IP层,OpenVxN是一款基于SSL的开源VxN软件,它实现了利用SSL来保证网络通讯安全性的目的,同时避免了传统SSL VxN仅提供简单的Web应用的不足,它具有支持各种应用协议,支持Windows,Linux,BSD,MAC OS等多平台的特点。
环境说明
A为客户端192.168.1.2
B为服务端10.0.0.2 已经在配置文件中加入了push "redirect-gateway def1 bypass-dhcp",将客户端流量全部走openvxn,缺点:需要配合客户端上的配置redirect-gateway def1来实现,但是如果有的时候客户端上如果需要正常上网可能会受到影响
拨号完成后,根据配置ovxn中指定的tun/tap,生成对应虚拟网卡tun/tap,虚拟网卡的作用就是openvxn程序能够迅速通过tun/tap虚拟设备与数据包之间进行交互
下面是发送和接收原理
发送:
A去往B的某个地址,这里假定是10.0.0.3,拨号完成后,A获得了去往10.0.0.0/8网段的路由,即去往10.0.0.0/8网段的下一跳走tun/tap网卡,理论上A做了两点,第一点就是A判断数据包的目标IP地址是不是自己本网段的,或者说是路由表中其他地址的,再根据路由表进行转发;第二点就是A判断出是去往服务端网段的,将所有数据包送往tun/tap网卡,再经由该网卡通知openvxn应用程序调用write函数和ssl加密并且封装,且将真实目标ip地址(例如目标地址是10.0.0.3)和数据包作为数据,在最外侧将目标ip地址定为openvxn服务端的外网ip地址,再转发给外网卡eth2或者eth0,经由internet发送到服务端。
接收:
openvxn服务端接收到此数据包之后,根据外侧的加密算法判断出这是vxn数据包,再次发给tun/tap网卡,tun/tap网卡通知openvxn应用程序,调用read函数和ssl对数据进行解密并且剥离包头,将实际的目标ip地址暴露出来,此时数据包根据vxn服务端的路由表,再到确定的目标10.0.0.3地址上去。
openvxn下tun模式的流程图:
参考:https://www.jianshu.com/p/09f9375b7fa7