複製鏈接
請複製以下鏈接發送給好友
https://baike.baidu.hk/item/OpenVPN/10718662
複製
複製成功

OpenVPN

鎖定
VPN直譯就是虛擬專用通道,是提供給企業之間或者個人與公司之間安全數據傳輸的隧道,OpenVPN無疑是Linux下開源VPN的先鋒,提供了良好的性能和友好的用户GUI。 [1] 
它大量使用了OpenSSL加密庫中的SSLv3/TLSv1協議函數庫。 [1] 
OpenVPN能在Solaris、Linux、OpenBSD、FreeBSD、NetBSD、Mac OS XMicrosoft Windows以及AndroidiOS上運行,幷包含了許多安全性的功能。它並不是一個基於Web的VPN軟件,也不與IPsec及其他VPN軟件包兼容。 [1] 
外文名
OpenVPN
軟件許可
GPL許可
兼容性
類UNIX系統,Windows NT系統
軟件類型
VPN軟件

目錄

  1. 1 簡介
  2. 2 解析
  3. 3 原理
  1. 4 加密
  2. 5 驗證
  3. 6 網絡
  1. 7 安全
  2. 8 對比

OpenVPN簡介

OpenVPN 是一個基於 OpenSSL 庫的應用層 VPN 實現。和傳統 VPN 相比,它的優點是簡單易用。 [1] 
OpenVPN允許參與建立VPN的單點使用共享金鑰,電子證書,或者用户名/密碼來進行身份驗證。它大量使用了OpenSSL加密庫中的SSLv3/TLSv1 協議函式庫。OpenVPN能在Solaris、Linux、OpenBSD、FreeBSD、NetBSD、Mac OS X與Windows 2000/XP/Vista上運行,幷包含了許多安全性的功能。它並不是一個基於Web的VPN軟件,也不與IPsec及其他VPN軟件包兼容。 [1] 
OpenVPN2.0後引入了用户名/口令組合的身份驗證方式,它可以省略客户端證書,但是仍有一份服務器證書需要被用作加密。 OpenVPN所有的通信都基於一個單一的IP端口, 默認且推薦使用UDP協議通訊,同時TCP也被支持。OpenVPN連接能通過大多數的代理服務器,並且能夠在NAT的環境中很好地工作。服務端具有向客 户端“推送”某些網絡配置信息的功能,這些信息包括:IP地址、路由設置等。OpenVPN提供了兩種虛擬網絡接口:通用Tun/Tap驅動,通過它們, 可以建立三層IP隧道,或者虛擬二層以太網,後者可以傳送任何類型的二層以太網絡數據。傳送的數據可通過LZO算法壓縮。在選擇協議時候,需要注意2個加密隧道之間的網絡狀況,如有高延遲或者丟包較多的情況下,請選擇TCP協議作為底層協議,UDP協議由於存在無連接和重傳機制,導致要隧道上層的協議進行重傳,效率非常低下。 [1] 

OpenVPN解析

該軟件最早由James Yonan編寫。OpenVPN允許參與建立VPN的單點使用預設的私鑰,第三方證書,或者用户名/密碼來進行身份驗證。它大量使用了OpenSSL加密庫,以及SSLv3/TLSv1協議。 [1] 
OpenVPN能在Linux、xBSD、Mac OS X與Windows2000/XP上運行。它並不是一個基於Web的VPN軟件,也不與IPsec及其他VPN軟件包兼容。 [1] 

OpenVPN原理

OpenVpn的技術核心是虛擬網卡,其次是SSL協議實現,由於SSL協議在其它的詞條中介紹的比較清楚了,這裏重點對虛擬網卡及其在OpenVpn的中的工作機理進行介紹: [1] 
虛擬網卡是使用網絡底層編程技術實現的一個驅動軟件,安裝後在主機上多出現一個網卡,可以像其它網卡一樣進行配置。服務程序可以在應用層打開虛擬網卡,如果應用軟件(如IE)向虛擬網卡發送數據,則服務程序可以讀取到該數據,如果服務程序寫合適的數據到虛擬網卡,應用軟件也可以接收得到。虛擬網卡在很多的操作系統下都有相應的實現,這也是OpenVpn能夠跨平台一個很重要的理由。 [1] 
在OpenVpn中,如果用户訪問一個遠程的虛擬地址(屬於虛擬網卡配用的地址系列,區別於真實地址),則操作系統會通過路由機制將數據包(TUN模式)或數據幀(TAP模式)發送到虛擬網卡上,服務程序接收該數據並進行相應的處理後,通過SOCKET從外網上發送出去,遠程服務程序通過SOCKET從外網上接收數據,並進行相應的處理後,發送給虛擬網卡,則應用軟件可以接收到,完成了一個單向傳輸的過程,反之亦然。 [1] 

OpenVPN加密

OpenVPN使用OpenSSL庫加密數據與控制信息:它使用了OpenSSL的加密以及驗證功能,意味着,它能夠使用任何OpenSSL支持的算法。它提供了可選的數據包HMAC功能以提高連接的安全性。此外,OpenSSL的硬件加速也能提高它的性能。 [1] 

OpenVPN驗證

VPN在vlan中的應用 VPN在vlan中的應用
OpenVPN提供了多種身份驗證方式,用以確認參與連接雙方的身份,包括:預享私鑰,第三方證書以及用户名/密碼組合。預享密鑰最為簡單,但同時它只能用於建立點對點的VPN;基於PKI的第三方證書提供了最完善的功能,但是需要額外的精力去維護一個PKI證書體系。 [1]  OpenVPN2.0後引入了用户名/口令組合的身份驗證方式,它可以省略客户端證書,但是仍有一份服務器證書需要被用作加密。 [1] 

OpenVPN網絡

OpenSSH logo OpenSSH logo
OpenVPN所有的通信都基於一個單一的IP端口,默認且推薦使用UDP協議通訊,同時TCP也被支持。OpenVPN連接能通過大多數的代理服務器,並且能夠在NAT的環境中很好地工作。服務端具有向客户端“推送”某些網絡配置信息的功能,這些信息包括:IP地址、路由設置等。OpenVPN提供了兩種虛擬網絡接口:通用Tun/Tap驅動,通過它們,可以建立三層IP隧道,或者虛擬二層以太網,後者可以傳送任何類型的二層以太網絡數據。傳送的數據可通過LZO算法壓縮。IANA(Internet Assigned Numbers Authority)指定給OpenVPN的官方端口為1194。OpenVPN 2.0以後版本每個進程可以同時管理數個併發的隧道。 [1] 
OpenVPN使用通用網絡協議TCPUDP)的特點使它成為IPsec等協議的理想替代,尤其是在ISP(Internet service provider)過濾某些特定VPN協議的情況下。 [1] 
在選擇協議時候,需要注意2個加密隧道之間的網絡狀況,如有高延遲或者丟包較多的情況下,請選擇TCP協議作為底層協議,UDP協議由於存在無連接和重傳機制,導致要隧道上層的協議進行重傳,效率非常低下。 [1] 

OpenVPN安全

OpenVPN與生俱來便具備了許多安全特性:它在用户空間運行,無須對內核及網絡協議棧作修改;初始完畢後以chroot方式運行,放棄root權限;使用mlockall以防止敏感數據交換到磁盤。 [1] 
OpenVPN通過PKCS#11支持硬件加密標識,如智能卡。 [1] 

OpenVPN對比

OpenSSH,能實現二/三層的基於隧道的VPN。stunnel,使用SSL向任何單一端口的TCP服務提供安全保護 [1] 
參考資料
  • 1.    陶利軍.構建虛擬專用通道——OpenVPN服務器詳解與架設指南(基於Linux) :清華大學出版社,2012-8-1