酷!學園

其他討論區 => 肉腳版 => 主題作者是: poule 於 2005-04-29 14:10

主題: vpn 與 ssh
作者: poule2005-04-29 14:10
想請問各位先進
vpn 與 ssh有哪些分別呢?
哪一種安全性較佳?
如果用遠端連線的話推薦哪一種呢?
似否有比較的文章呢?
主題: vpn 與 ssh
作者: ffff2005-04-29 14:36
VPN 和 SSH 很難比的..而且用途也不同...
還是把你的需求貼出來比較實際
主題: Re: vpn 與 ssh
作者: sakana2005-04-29 16:14
引述: "poule"
想請問各位先進
vpn 與 ssh有哪些分別呢?
哪一種安全性較佳?
如果用遠端連線的話推薦哪一種呢?
似否有比較的文章呢?


 Linux VPN 心得筆記
為何要使用VPN (Virtual Private Network)?
可以在兩個或是兩個以上的網路
可建立通道tunnel來將封包加密以維護安全
可建立認證機制

那種情形不需要用到VPN
1.E-mail 加密
2.Wed 加密
3.遠端控制

因為都有其加密的protocol 不用特別用VPN

VPN 的架構分兩大類
1. Site to Site
2. Clent to Site

VPN 兩端的private ip 儘可能的不要同一個網段


常用的VPN技術
***CIPE (Crypto IP Encapsulation)***
可適用於Site to Site & Client to Site
*簡單設定
*使用UDP--速度快
*可使用帳號/密碼 及key 驗證
*有win 2000 的Beta client
*Linux only--- not Open standard


CIPE 在redhat linux kernel中預設有支援且開啟
故只要設定User space 就可以了不用編譯核心
CIPE扮演一張網卡
設定檔 /etc/sysconfig/network-scripts/ifcfg-cipcb0
/etc/cipe/options.cipcb0 (user space設定檔)

Lab 架構
OS: redhat linux 9.0
PC1: 192.168.0.252
PC2: 192.168.0.249
Lab: Site to Site VPN

(PC1)#rpm -q cipe
(PC1)#cp /usr/share/doc/cipe-1.4.5/samples/redhat-ifcfg-cipcb0 /etc/sysconfig/network-scripts/ifcfg-cipcb0
(PC1)#vi /etc/sysconfig/network-scripts/ifcfg-cipcb0 #修改以下部份
USERCTL=no
MYPORT=6060
PEER=192.168.0.249:6060
PTPADDR=10.0.2.1
IPADDR=10.0.1.1
(PC1)#echo "key `dd if=/dev/random bs=1024 count=1 | md5sum | cut -c1-32`" > /etc/cipe/options.cipcb0
(PC1)#chmod 400 /etc/cipe/options.cipcb0
(PC1)#vi /etc/sysconfig/static-routes
any net 10.0.2.0 netmask 255.255.255.0 gw 10.0.2.1
(PC1)#service network restart
(PC2)#cp /usr/share/doc/cipe-1.4.5/samples/redhat-ifcfg-cipcb0 /etc/sysconfig/network-scripts/ifcfg-cipcb0
(PC2)#vi /etc/sysconfig/network-scripts/ifcfg-cipcb0 #修改以下部份
USERCTL=no
MYPORT=6060
PEER=192.168.0.252:6060
PTPADDR=10.0.1.1
IPADDR=10.0.2.1
(PC2)#scp 192.168.0.252:/etc/cipe/options.cipcb0 /etc/cipe
(PC2)#chmod 400 /etc/cipe/options.cipcb0
(PC2)#vi /etc/sysconfig/static-routes
any net 10.0.1.0 netmask 255.255.255.0 gw 10.0.1.1
(PC2)#service network restart

測試PC1 and PC2 互ping 對方並用tcpdump or ethereal 觀察只會看到UDP封包