实验十二:基于 opnsense 实现...
TRANSCRIPT
《计算机网络应用技术与实践》实验指导 / 实验十二:基于 OPNSense实现 VPN服务
管理科学与工程学科 / 共 20 页,第 1 页
实验十二:基于 OPNsense实现 VPN服务
一、实验目的
1、了解 VPN 基本原理与功能;
2、理解 VPN 服务在不同场景下的应用模式;
3、掌握 PPTP VPN 服务的构建与实现;
4、掌握 VPN 服务客户端的配置与使用。
二、实验学时
2 学时
三、实验类型
综合性
四、实验需求
1、硬件
每人配备计算机 1 台。
2、软件
Windows 7 操作系统,OPNsense 15.7 操作系统;
安装 GNS3 网络仿真和 VirtualBox 桌面虚拟化软件。
3、网络
实验室局域网支持。
4、工具
无
五、实验理论
1、VPN 的定义与分类;
2、VPN 服务的功能
3、VPN 服务的工作原理
4、VPN 服务的应用场景;
5、PPTP VPN 服务的基本原理及实现方法。
六、预备知识
1、Windows 7 操作系统的基本使用方法(控制面板、网络配置、命令控制台的使用);
2、Ubuntu Desktop 15.10 操作系统的基本使用方法(网络配置、命令终端的使用);
3、GNS3 网络仿真和 VirtualBox 桌面虚拟化软件相结合的使用方法;
4、PPTP 协议的含义以及工作原理;
《计算机网络应用技术与实践》实验指导 / 实验十二:基于 OPNSense实现 VPN服务
管理科学与工程学科 / 共 20 页,第 2 页
PPTP(Point to Point Tunneling Protocol),即点对点隧道协议。该协议是在 PPP 协议的基
础之上开发的一种增强型的安全协议,支持多协议的 VPN 服务,从而可使远程用户通过拨号
或直接连接 Internet 的方式,安全地访问内部网络。
PPTP 为第二层隧道协议,使用 PPP 协议对数据进行封装,然后附加新的包头用于数据在
互联网上的传输。
使用 PPTP 协议构建 VPN 服务时,主要特点如下:
①PPTP 协议要求网络为 IP 网络;
②PPTP 协议在构建 VPN 服务时,只能在两端点间建立单一隧道;
③由于 PPP 协议提供隧道认证,而 PPTP 协议是 PPP 协议的扩展,所以 PPTP 协议支持隧
道验证。
5、通过 Ping 命令进行网络连通性测试。
七、实验任务
1、在 VirtualBox 虚拟化环境中,完成 Windows 7 和 OPNsense 15.7 的虚拟主机安装;
2、在 GNS3 环境中,完成实验网络的构建;
3、基于 OPNsense 系统完成 VPN 服务的构建;
4、在 Windows 7 系统中完成 PPTP VPN 客户端的配置;
5、在 Ubuntu Desktop 15.10 系统中完成 PPTP VPN 客户端的配置;
6、完成 PPTP VPN 服务的测试。
八、实验内容及步骤
说明:
1、本实验所使用管理机采用 Windows 7 操作系统; 2、本实验是基于 OPNsense 防火墙系统构建 VPN 服务; 3、本实验是基于 GNS3 仿真软件实现。
1、实验准备
(1)OPNsense 15.7 的安装
①获取 OPNsense 15.7 安装镜像。
可通过 OPNsense 官方网站(https://opnsense.org)下载获得安装镜像。
可通过本课程网站(http://ethernet.51xueweb.cn)下载获得安装镜像。
②创建虚拟机。
在 VirtualBox 软件中,创建虚拟主机的具体操作步骤如下。
a、在 VirtualBox 虚拟化软件中,点击左上角的【新建(N)】按钮,创建虚拟主机,如图
9-1 所示。
b、选择虚拟主机类型为 FreeBSD(32 bit),点击【下一步(N)】按钮,如图 9-2 所示。
c、配置虚拟主机内存大小为 256M,点击【下一步(N)】按钮,如图 9-3 所示。
d、创建虚拟硬盘,建议的硬盘大小为 2.00 GB,默认选择【现在创建虚拟硬盘(C)】,点
击【创建】按钮,完成虚拟硬盘的创建,如图 9-4 所示。
《计算机网络应用技术与实践》实验指导 / 实验十二:基于 OPNSense实现 VPN服务
管理科学与工程学科 / 共 20 页,第 3 页
e、选择【VDI(VirtualBox 磁盘映像)】选项,点击【下一步(N)】按钮,如图 9-5 所示。
f、选择硬盘文件的分配方式为“动态分配”,点击【下一步(N)】按钮,如图 9-6 所示。
g、选择磁盘大小和位置,点击【创建】按钮(如图 9-7 所示),完成 OPNsense 虚拟主机的创建,
如图 9-8 所示。
图 9-1 新建虚拟机 图 9-2 选择虚拟机类型
图 9-3 配置虚拟机内存
图 9-4 创建虚拟硬盘
图 9-5 虚拟硬盘类型
图 9-6 硬盘分配方式
图 9-7 选择磁盘大小和位置
图 9-8 完成虚拟主机的创建
《计算机网络应用技术与实践》实验指导 / 实验十二:基于 OPNSense实现 VPN服务
管理科学与工程学科 / 共 20 页,第 4 页
③添加 OPNsense 15.7 镜像文件。
在 VirtualBox 中,为过程②中的虚拟主机添加镜像文件。
④加载 OPNsense 15.7 镜像文件。
在【设置】对话框中,点击【网络】选项,在其右侧管理界面中添加 2 块网卡,并设置网
络的【连接方式】为“未指定”,其他选项均为默认选项,点击【确认】按钮保存配置,如图
9-9、图 9-10 所示。
⑤安装 OPNsense 15.7 操作系统。
在 VirtualBox 主界面中,选择过程②中的虚拟主机,点击【启动】按钮开启该虚拟主机,
安装 OPNsense 虚拟主机具体操作步骤如下。
a、开启虚拟主机后,将自动加载镜像文件,出现如图 9-11 所示界面。
b、系统加载完成后,将进入如图 9-12 所示的界面,选择【Accept these Settings】选项。
c、接受系统设置后,将进入如图 9-13 所示的界面,选择【Quick/Easy Install】选项,进行
快速简单安装。
d、选择系统安装位置。由于只有一个虚拟磁盘,所以选择第一个安装位置进行安装,如图
9-14 所示。
e、当选择安装位置后,系统将会自动安装,如图 9-15 为系统的安装过程图。
图 9-9 网卡 1 配置信息
图 9-10 网卡 2 配置信息
图 9-11 系统加载界面
图 9-12 接受设置
图 9-13 系统快速安装
图 9-14 系统安装位置
《计算机网络应用技术与实践》实验指导 / 实验十二:基于 OPNSense实现 VPN服务
管理科学与工程学科 / 共 20 页,第 5 页
f、在安装过程中,可能会出现一些错误,停止安装,如图 9-16 所示。然后点击【Retry】选项
进行重试。
g、当系统安装完成后,出现进入 9-17 所示的界面,点击【Reboot】选项对系统进行重启,如
图 9-18 所示。
h、在系统重启的过程中,仍会出现系统安装的界面,需选择【Exit】退出本次安装,如图 9-19
所示。
i、系统重启之后,将出现如图 9-20 所示的界面,这就标志 OPNsense 系统安装完成。
⑥配置系统启动顺序。
安装 OPNsense 系统后,启动虚拟机,总会进入安装界面,若使虚拟主机直接加载已安装好的系
统,可通过以下两个方法实现。
图 9-19 重启时退出安装
图 9-20 系统安装完成
图 9-15 系统安装过程
图 9-16 系统安装出错
图 9-17 安装后重启
图 9-18 系统重启过程
图 9-21 移除镜像文件
《计算机网络应用技术与实践》实验指导 / 实验十二:基于 OPNSense实现 VPN服务
管理科学与工程学科 / 共 20 页,第 6 页
方法一:移除 OPNsense 防火墙镜像文件。OPNsense 系统安装完成后,进入添加镜像时的界面,
选中镜像文件,点击【移除虚拟盘】选项,将镜像文件在虚拟主机中移除,如图 9-21 所示。
方法二:改变虚拟主机的启动顺序。选中该虚拟主机,点击【设置】按钮,在对话框中点击【系
统】选项按钮,在右侧管理界面中,将“硬盘”启动设置成第一启动,如图 9-22 所示。
(2)Ubuntu Desktop 15.10 的安装
在 VirtualBox 中创建虚拟主机,并完成 Ubuntu Desktop 15.10 系统的安装。
(3)Windows 7 的安装
在 VirtualBox 中创建虚拟主机,并完成 Windows 7 系统的安装。
2、网络设计
(1)拓扑设计
本实验使用 1 台安装 OPNsense 15.7 的虚拟主机、2 台 CISCO c3640 交换机、7 台主机。本
实验中主机 Host-1、Host-2、Host-3、Host-4 是通过 GNS3 中自带的 VPCS 虚拟主机实现;主机
Demo-1 采用安装 Ubuntu Desktop 15.04 虚拟主机实现;主机 Demo-2 采用安装 Windows 7 虚拟
主机实现;管理客户端 Host-m 采用安装 Windows 7 虚拟主机实现。
网络拓扑结构如图 9-23 所示。
(2)按照图 9-23 拓扑结构的设计,在 GNS3 中构建实验网络,如图 9-24 所示。
图 9-23 网络结构图
图 9-22 改变系统启动顺序
《计算机网络应用技术与实践》实验指导 / 实验十二:基于 OPNSense实现 VPN服务
管理科学与工程学科 / 共 20 页,第 7 页
(3)按照表 9-1 网络地址规划表的具体要求,完成网络配置。
表 9-1 网络地址规划详细表
序号 主机名称 IP 配置 网关 接入位置 类型 作用
1 Host-1 10.0.100.10/24 10.0.100.1 SW-2 0/5 VPCS 通信测试
2 Host-2 10.0.100.20/24 10.0.100.1 SW-2 0/6 VPCS 通信测试
3 Host-3 10.0.100.30/24 10.0.100.1 SW-2 0/7 VPCS 通信测试
4 Host-4 10.0.100.40/24 10.0.100.1 SW-2 0/8 VPCS 通信测试
5 Host-m 10.0.100.250/24 10.0.100.1 SW-2 0/10 Windows 7 管理配置
5 OPNsense 172.16.100.1/24 - WAN--SW-1 0/2 外网
隔离网络 10.0.100.1/24 - LAN--SW-2 0/2 局域网
6 Demo1 172.16.100.10/24 172.16.100.1 SW-1 0/5 Windows 7 客户端
7 Demo2 172.16.100.20/24 172.16.100.1 SW-1 0/6 Ubuntu
Desktop 15.10 客户端
(4)网络通信测试。
通过 Ping 命令进行网络通信测试,并将结果填写到表 9-2。
表 9-2 连通性测试情况表
序号 请求主机 接入位置 相应主机 接入位置 Ping 测试结果
1 Host-1 SW-2 0/5 Host-2 SW-2 0/6
2 Host-1 SW-2 0/5 Host-3 SW-2 0/7
3 Host-1 SW-2 0/5 Host-4 SW-2 0/8
4 Host-1 SW-2 0/5 Demo1 SW-1 0/5
5 Host-1 SW-2 0/5 Demo2 SW-1 0/6
6 Host-2 SW-2 0/6 Host-1 SW-2 0/5
7 Host-2 SW-2 0/6 Host-3 SW-2 0/7
8 Host-2 SW-2 0/6 Host-4 SW-2 0/8
9 Host-2 SW-2 0/6 Demo1 SW-1 0/5
图 9-24 网络拓扑结构实验图
《计算机网络应用技术与实践》实验指导 / 实验十二:基于 OPNSense实现 VPN服务
管理科学与工程学科 / 共 20 页,第 8 页
10 Host-2 SW-2 0/6 Demo2 SW-1 0/6
11 Host-3 SW-2 0/7 Host-1 SW-2 0/5
12 Host-3 SW-2 0/7 Host-2 SW-2 0/6
13 Host-3 SW-2 0/7 Host-4 SW-2 0/8
14 Host-3 SW-2 0/7 Demo1 SW-1 0/5
15 Host-3 SW-2 0/7 Demo2 SW-1 0/6
16 Host-4 SW-2 0/8 Host-1 SW-2 0/5
17 Host-4 SW-2 0/8 Host-2 SW-2 0/6
18 Host-4 SW-2 0/8 Host-3 SW-2 0/7
19 Host-4 SW-2 0/8 Demo1 SW-1 0/5
20 Host-4 SW-2 0/8 Demo2 SW-1 0/6
21 Demo1 SW-1 0/5 Host-1 SW-2 0/5
22 Demo1 SW-1 0/5 Host-2 SW-2 0/6
23 Demo1 SW-1 0/5 Host-3 SW-2 0/7
24 Demo1 SW-1 0/5 Host-4 SW-2 0/8
25 Demo1 SW-1 0/5 Demo2 SW-1 0/6
26 Demo2 SW-1 0/6 Host-1 SW-2 0/5
27 Demo2 SW-1 0/6 Host-2 SW-2 0/6
28 Demo2 SW-1 0/6 Host-3 SW-2 0/7
29 Demo2 SW-1 0/6 Host-4 SW-2 0/8
30 Demo2 SW-1 0/6 Demo1 SW-1 0/5
3、构建 VPN 服务
(1)提出目标。
在 OPNsense 系统中构建 PPTP VPN 服务,使外部网络的主机通过 VPN 服务,实现 Demo1、
Demo2 主机能够访问到 LAN 网络中的主机 Host-1、Host-2、Host-3、Host-4。
(2)实现 PPTP VPN 服务。
通过 Web 方式登录 OPNsense 系统,配置实现 PPTP VPN 服务,具体操作操作步骤如下。
①登录系统。
通过管理客户端 Host-m 进行 OPNsense 系统的配置。在浏览器中访问 OPNsense 防火墙的
地址(http://10.0.100.1),输入初始账号及密码登录系统。
②配置 VPN 服务。
第一步:点击左侧导航【VPN】选项,选择【PPTP】选项,进入配置 PPTP VPN 配置界面,
如图 9-25 所示。
《计算机网络应用技术与实践》实验指导 / 实验十二:基于 OPNSense实现 VPN服务
管理科学与工程学科 / 共 20 页,第 9 页
第二步:开启配置。配置之前,系统默认为“Off”关闭状态,如图 9-26 所示。当点击配置界
置界面中【PPTP redirection】选项时,系统会默认为开启配置状态,并允许配置服务。
第三步:配置 PPTP 的重定向。
点击【Redirect incoming PPTP connections to:】按钮,配置 PPTP 的重定向的地址。该配置的主
要作用是,当一个 PPTP 的连接请求过来,重定向到哪个 IP 地址响应该请求连接,在此添加的地址
为局域网内的任意地址,如图 9-27 所示。
第四步:配置使用该 PPTP VPN 服务的用户数量。
选择点击【Enable PPTP server】选项按钮,配置允许连接该 PPTP VPN 服务的最大用户数,本
次设定的最大限定为 20 个用户,如图 9-28 所示。
第五步:配置服务地址。
配置 PPTP VPN 的服务地址,该地址是外部网络中的地址。添加该地址目的为连接 VPN 服务的
图 9-25 PPTP 协议的配置界面
图 9-27 协议 PPTP 重定向
图 9-28 添加用户数量
图 9-26 协议 PPTP 重定向
《计算机网络应用技术与实践》实验指导 / 实验十二:基于 OPNSense实现 VPN服务
管理科学与工程学科 / 共 20 页,第 10 页
客户端提供“网关”地址,如图 9-29 所示。需注意该地址不能设置 OPNsense 系统上已经使用
的网络地址。
第六步:配置远程地址范围。
配置远程范围的作用是为连接 PPTP VPN 服务的客户端分配局域网内的地址范围。
由于第四步中已配置用户的数量,所以在【Remote address range】处添加一个局域网内的
起始地址即可,如图 9-30 所示。
第七步:保存配置。
点击【Save】按钮保存 PPTP VPN 服务的配置信息。
点击保存之后,若配置有错误,将不能保存并将会提示错误信息,如图 9-31 所示,需要根
据错误信息对配置进行修改;若配置无错误,将会保存成功,如图 9-32 所示。
(3)创建用户名及密码。
点击 PPTP 协议右侧管理界面中的【Users】选项,为使用 VPN 服务的客户端配置用户名及
图 9-31 配置未保存成功
图 9-29 配置服务地址
图 9-30 配置远程地址范围
图 9-32 配置保存成功
图 9-33 添加用户界面
《计算机网络应用技术与实践》实验指导 / 实验十二:基于 OPNSense实现 VPN服务
管理科学与工程学科 / 共 20 页,第 11 页
密码,如图 9-33 所示,具体操作步骤如下。
第一步:点击添加界面中【add user】,进行添加用户及密码,如图 9-34 所示。
第二步:在【Username】输入框中添加用户名“demo”。
第三步:在【Password】输入框中输入密码“opnsensevpn”,并在其验证输入框中重新输入一
次密码进行验证。
第四步:在【IP address】中为该用户分配固定地址。此配置将为该用户单独配置一个 IP 地址进
行连接,本实验中该配置不进行设置,默认选择为自动分配 IP 地址。
第五步:点击【Save】按钮,保存上述用户添加的信息,保存后需点击【Apply changes】应用
改变。添加用户信息完成后如图 9-35 所示。
4、配置 VPN 服务的防火墙策略
(1)配置 WAN 端口规则。
在防火墙规则中对 WAN 端口规则进行添加,允许 WAN 端口网络中的地址都能访问任意网络地
址,具体操作步骤如下。
①依次点击左侧导航【Firewall】→【Rules】选项按钮。
②在右侧管理窗体中点击【WAN】选项,在该选项中添加允许所有地址访问任意地址规则,具
体操作过程如下。
第一步:添加规则类型。
在【Action】操作选项中选择“Pass”操作,表示该规则为“允许通过”;
图 9-34 添加用户信息
图 9-35 完成用户添加
《计算机网络应用技术与实践》实验指导 / 实验十二:基于 OPNSense实现 VPN服务
管理科学与工程学科 / 共 20 页,第 12 页
在【Interface】选项中选择“WAN”地址,表示该规则将被在添加到 WAN 端口;
在【TCP/IP Version】选项中选择“IPv4”,表示该规则网络地址为 IPv4 类型;
在【Protocol】选项中选择“any”,表示该规则适用于任意网络协议下的数据包。
添加并配置规则类型结果如图 9-36 所示。
第二步:添加规则地址。
在源地址【Source】选项中,选择【Type】类型为“any”,选择该类型后,防火墙默认选
择所有网络地址为源地址。
在目的地址【Destination】选项中,选择【Type】类型为“any”,选择该类型后,防火墙默
认选择所有网络地址为目的地址,如图 9-37 所示。
第三步:添加目的端口及日志。
由于在【Protocol】协议中选择为“any”,在配置规则端口时,系统也将默认选择为所有端
口。在协议中选择单一协议时,防火墙将允许选择端口。
在【log】选项中,点击【Log packets that are handled by this rule】复选框,从而使当数据使
用该规则过滤后,这些数据包的信息将被记录到日志中。
第四步:保存规则。
当上述配置完成后,点击【Save】按钮保存规则。
(2)配置 LAN 端口规则。
根据(1)中配置 WAN 端口规则的操作过程,对 LAN 端口规则进行添加,允许 LAN 端口
网络中的地址发送到任意地址的数据包,都允许其通过。
(3)配置 PPTP VPN 服务规则。
根据(1)中配置 WAN 端口规则的操作过程,对 PPTP VPN 服务规则进行添加,允许该服
务下的所有地址发送的数据都能通过防火墙。
5、在 Windows 7 上进行 VPN 客户端配置及服务测试
(1)在 Windows 7 上配置 VPN 客户端。
在 Windows 7 上配置 PPTP VPN 服务的客户端,具体操作步骤如下。
①打开 Demo1 客户端的【控制面板】,依次点击【网络和 Internet】→【网络和共享中心】,
如图 9-38 所示。
②在【网络和共享中心】界面中依次点击【设置新的连接或网络】→【连接到工作区】→
图 9-37 添加规则地址
图 9-36 添加规则类型
《计算机网络应用技术与实践》实验指导 / 实验十二:基于 OPNSense实现 VPN服务
管理科学与工程学科 / 共 20 页,第 13 页
【下一步(N)】,如图 9-39 所示。
③选择点击【使用我的 Internet 连接(VPN)】选项,进行选择连接 VPN 服务的方式,如图 9-40
所示。
④选择点击【我将稍后设置 Internet 连接(I)】选项,进行设置 Internet 连接,如图 9-41 所示。
⑤设置要连接的网络地址。
在【Internet 地址(I)】输入框中,输入客户端拨号连接的地址,本实验中 Internet 地址应为外
部网络端口地址(172.16.100.1);在【目标名称(E)】输入框中添加该连接的名称,本实验默认为
“VPN 连接”,点击【下一步(N)】按钮,如图 9-42 所示。
⑥输入用于连接的用户名及密码,点击【创建(C)】按钮,完成连接的创建,如图 9-43 所示。
⑦完成创建后,需要设置网络连接的配置,如图 9-44 所示,点击【关闭(C)】按钮,关闭该连
图 9-40 连接 VPN 方式
图 9-41 设置 Internet 连接
图 9-42 输入连接地址
图 9-43 输入用户名及密码
图 9-38 网络共享中心
图 9-39 选择连接选项
《计算机网络应用技术与实践》实验指导 / 实验十二:基于 OPNSense实现 VPN服务
管理科学与工程学科 / 共 20 页,第 14 页
接的创建界面。
⑧点击【网络和共享中心】管理界面中【更改适配器设置】选项,可看到创建的连接,如
图 9-45 所示。
⑨右击【VPN 连接】,点击【属性】选项,对该 VPN 连接进行配置。
在【常规】中配置该 VPN 拨号连接的 Internet 地址,如图 9-46 所示。
在【安全】配置界面中,选择【VPN 类型(T)】为“点对点隧道协议(PPTP)”;在【数据
加密(D)】中选择为“需要加密”;在【允许使用这些协议(P)】中将【质询握手身份验证协
议(CHAP)(H)】复选框撤销掉,如图 9-47 所示。
⑩当改变 VPN 连接属性后,右击【VPN 连接】,点击【连接】选项,对该 PPTP VPN 服务
的连接,需重新输入密码,点击【连接(C)】按钮进行 VPN 服务的连接,如图 9-48 所示。
图 9-44 完成连接
图 9-45 查看 VPN 连接
图 9-46 常规属性配置
图 9-47 安全属性配置
图 9-48 VPN 连接
图 9-49 VPN 连接成功
《计算机网络应用技术与实践》实验指导 / 实验十二:基于 OPNSense实现 VPN服务
管理科学与工程学科 / 共 20 页,第 15 页
⑪在连接的过程中,需要验证用户名及密码、应用计算机上的配置,当这些设置全部匹配正确
后,将会连接成功,在【VPN连接】处也将会显示为“VPN 连接”,如图 9-49 所示。
(2)在 Windows 7 进行 VPN 服务测试。
对 PPTP VPN 服务进行测试,具体操作步骤如下。
①查看客户端主机 Demo1 的网络地址。
查看客户端主机连接 VPN 服务后的网络地址,有以下两种方法实现。
方法一:双击【VPN 连接】查看该 PPTP VPN 的连接,如图 9-50 所示。点击【详细信息(E)…】
按钮查看 VPN 连接的详细信息,如图 9-51 所示,并根据客户端的信息填写到表 9-3 中。
表 9-3 网络配置信息表
序号 配置类型 取值
1 描述
2 已启用 DHCP
3 Ipv4 地址
4 Ipv4 子网掩码
5 Ipv4 默认网关
6 Ipv4 DNS 服务器
方法二:通过命令行查看客户端的 IP 地址。打开客户端主机的【运行】程序,输入“cmd”,点
击回车运行,在命令行中输入“ipconfig”回车,即可查看到客户端主机的网络地址,如图 9-52 所示,
根据查看的网络连接信息,完成表 9-4 的填写。
图 9-50 VPN 连接状态
图 9-51 网络连接详情
图 9-52 客户端网络地址信息
《计算机网络应用技术与实践》实验指导 / 实验十二:基于 OPNSense实现 VPN服务
管理科学与工程学科 / 共 20 页,第 16 页
表 9-4 网络配置信息
序号 配置类型 PPP 适配器 VPN 连接 以太网适配器 本地连接
1 IPv4 地址
2 子网掩码
3 默认网关
②在客户端主机 Demo1 上进行访问测试。
通过 Ping 命令方式进行网络通信测试,如果客户端主机 Demo1 可以访问内部网络中的任
意地址则说明该 PPTP VPN 服务起效,并将测试结果填写到表 9-5。
表 9-5 访问测试
序号 请求主机 接入位置 响应地址 接入位置 Ping 访问结果
1 Demo1 SW-1 0/5 Host-1 SW-2 0/5
2 Demo1 SW-1 0/5 Host-2 SW-2 0/6
3 Demo1 SW-1 0/5 Host-3 SW-2 0/7
4 Demo1 SW-1 0/5 Host-4 SW-2 0/8
6、在 Ubuntu Desktop 15.10 上进行 VPN 客户端配置及服务测试
(1)在 Ubuntu Desktop 15.10 上配置 VPN 客户端。
在 Ubuntu Desktop 15.10 上配置 PPTP VPN 客户端,具体步骤如下。
①打开客户端主机 Demo2 桌面中的【设置】图标,点击【网络】选项,如图 9-53 所示。
②在【网络】的管理界面中,点击左下角【+】号,并在【选择用于新服务的接口】处选择
图 9-54 创建 VPN 服务
图 9-53 网络配置
《计算机网络应用技术与实践》实验指导 / 实验十二:基于 OPNSense实现 VPN服务
管理科学与工程学科 / 共 20 页,第 17 页
【接口(I)】为“VPN”,点击【创建(R)…】,创建新服务,如图 9-54 所示。
③选择 VPN 连接类型。选择“点到点隧道协议(PPTP)”的 VPN 连接类型,点击【创建…】
按钮,进行创建 PPTP VPN 连接类型,如图 9-55 所示。
④编辑 VPN 连接信息。在【连接名称(N)】的输入框中输入 VPN 连接的名称;在【网关(G)】
中输入拨号连接的网络地址为“172.16.100.1”;在【可选项】选项中输入用户名“demo”及密码
“opnsensevpn”,如图 9-56 所示。
⑤点击【高级(V)…】按钮,对 VPN 连接进行高级配置。在【身份验证】处选择“MSCHAPv2”
验证方法;在【安全性及压缩】选项中选择“使用点到点加密(MPPE)(P)”安全类型,其他选项
保持默认选项,点击【确定(O)】按钮保存配置,如图 9-57 所示,。
⑥点击【保存(S)】按钮,对配置 VPN 连接的内容进行保存,如图 9-58 所示。
图 9-55 创建 VPN 连接类型
图 9-56 编辑 VPN 连接
图 9-57 编辑 VPN 的高级设置
图 9-58 完成 VPN 连接创建
《计算机网络应用技术与实践》实验指导 / 实验十二:基于 OPNSense实现 VPN服务
管理科学与工程学科 / 共 20 页,第 18 页
⑦选择【VPN 连接 1 VPN】选项,在其右侧界面中,点击【关闭】处的按钮,开启该 VPN
的连接。当 VPN 连接成功时,桌面上都会弹出文本框提示连接成功,如图 9-59 所示。
(2)在 Ubuntu Desktop 15.10 上对连接的 VPN 服务进行测试。
对刚连接的 PPTP VPN 服务进行验证测试,具体操作步骤如下。
①查看客户端主机 Demo2 的网络地址。
查看客户端主机连接 VPN 后的网络地址,有以下两种方法实现。
方法一:当上述连接 PPTP VPN 服务后,点击桌面上的网络图标,选择【连接信息(I)】,
如图 9-60 所示,可以看到连接 VPN 后网络的详细信息,如图 9-61 所示。
根据查看的网络连接信息,完成表 9-6 的填写。
表 9-6 网络配置信息
序号 类型 取值
1 IP 地址
2 广播地址
3 子网掩码
方法二:通过命令行查看客户端主机的网络地址。在桌面上右击鼠标,打开客户端主机的
【终端】程序,在命令行中输入“ifconfig”回车,即可查看到客户端主机的网络地址,如图 9-62
所示。
图 9-60 查看连接信息
图 9-61 网络连接详情
图 9-59 VPN 连接成功
《计算机网络应用技术与实践》实验指导 / 实验十二:基于 OPNSense实现 VPN服务
管理科学与工程学科 / 共 20 页,第 19 页
根据查看的网络连接信息,完成表 9-7 的填写。
表 9-7 网络配置信息
序号 属性 Enp0s3 lo ppp0
1 inet 地址
2 掩码
3 广播地址
4 点对点地址
②在客户端主机 Demo2 上进行访问测试。
通过 Ping 命令方式进行网络通信测试,如果客户端主机 Demo2 可以访问内部网络中任意地址,
则说明该 PPTP VPN 服务起效,并将测试结果填写到表 9-8。
表 9-8 访问测试
序号 请求主机 接入位置 响应地址 接入位置 Ping 访问结果
1 Demo2 SW-1 0/6 Host-1 SW-2 0/5
2 Demo2 SW-1 0/6 Host-2 SW-2 0/6
3 Demo2 SW-1 0/6 Host-3 SW-2 0/7
4 Demo2 SW-1 0/6 Host-4 SW-2 0/8
九、实验分析
1、PPTP VPN报文分析
(1)查阅相关资料,了解 PPTP VPN 如何建立连接?建立连接的过程是什么?
(2)在 GNS3 中使用 Wireshark 抓取连接建立过程的数据包,进行分析。
2、PPTP VPN安全分析
(1)在 VPN 连接属性中 PAP、CHAP 与 MS-CHAP v2 不同协议之间的区别和关联?
(2)比较 OPNsense 系统中不同协议的安全性,分析 PPTP 协议的 VPN 服务有什么优缺点?
图 9-62 客户端网络地址信息
《计算机网络应用技术与实践》实验指导 / 实验十二:基于 OPNSense实现 VPN服务
管理科学与工程学科 / 共 20 页,第 20 页
十、实验扩展资源
1、图书
(1)马春光,郭方方. 防火墙、入侵检测与 VPN. 北京:邮电大学出版社,2008
(2)王占京等著. VPN 网络技术与业务应用. 北京:国防工业出版社,2012
2、文章
无
3、互联网资源
(1)OPNsense 官网:https://opnsense.org/。
(2)Ubuntu 官网:http://www.ubuntu.com/index_kylin。
4、电子资源下载
课程网站:http://ethernet.51xueweb.cn/。