openvpn

目錄
·簡介
·加密
·驗證
·網絡
·安全
·對比
·參看
·外部鏈接





   
OpenVPN是一個用于創(chuàng)建虛擬專用網絡加密通道的軟件包，最早由James Yonan編寫。




簡介

OpenVPN允許參與建立VPN的單點使用共享金鑰，電子證書，或者用戶名/密碼來進行身份驗證。它大量使用了OpenSSL加密庫中的SSLv3/TLSv1協(xié)議函式庫。目前OpenVPN能在Solaris、Linux、OpenBSD、FreeBSD、NetBSD、Mac OS X與Windows 2000/XP/Vista上運行，并包含了許多安全性的功能。它并不是一個基于Web的VPN軟件，也不與IPsec及其他VPN軟件包兼容。


加密

OpenVPN使用OpenSSL庫加密數(shù)據(jù)與控制信息：它使用了OpenSSL的加密以及驗證功能，意味著，它能夠使用任何OpenSSL支持的算法。它提供了可選的數(shù)據(jù)包HMAC功能以提高連接的安全性。此外，OpenSSL的硬件加速也能提高它的性能。


驗證

OpenVPN提供了多種身份驗證方式，用以確認參與連接雙方的身份，包括：預享私鑰，第三方證書以及用戶名/密碼組合。預享密鑰最為簡單，但同時它只能用于建立點對點的VPN；基于PKI的第三方證書提供了最完善的功能，但是需要額外的精力去維護一個PKI證書體系。OpenVPN2.0后引入了用戶名/口令組合的身份驗證方式，它可以省略客戶端證書，但是仍有一份服務器證書需要被用作加密。


網絡

OpenVPN所有的通信都基于一個單一的IP端口，默認且推薦使用UDP協(xié)議通訊，同時TCP也被支持。OpenVPN連接能通過大多數(shù)的代理服務器，并且能夠在NAT的環(huán)境中很好地工作。服務端具有向客戶端“推送”某些網絡配置信息的功能，這些信息包括：IP地址、路由設置等。OpenVPN提供了兩種虛擬網絡接口：通用Tun/Tap驅動，通過它們，可以建立三層IP隧道，或者虛擬二層以太網，后者可以傳送任何類型的二層以太網絡數(shù)據(jù)。傳送的數(shù)據(jù)可通過LZO算法壓縮。IANA（Internet Assigned Numbers Authority）指定給OpenVPN的官方端口為1194。OpenVPN 2.0以后版本每個進程可以同時管理數(shù)個并發(fā)的隧道。
OpenVPN使用通用網絡協(xié)議（TCP與UDP）的特點使它成為IPsec等協(xié)議的理想替代，尤其是在ISP（Internet service provider）過濾某些特定VPN協(xié)議的情況下。
在選擇協(xié)議時候，需要注意2個加密隧道之間的網絡狀況，如有高延遲或者丟包較多的情況下，請選擇TCP協(xié)議作為底層協(xié)議，UDP協(xié)議由于存在無連接和重傳機制，導致要隧道上層的協(xié)議進行重傳，效率非常低下。


安全

OpenVPN與生俱來便具備了許多安全特性：它在用戶空間運行，無須對內核及網絡協(xié)議棧作修改；初始完畢后以chroot方式運行，放棄root權限；使用mlockall以防止敏感數(shù)據(jù)交換到磁盤。
OpenVPN通過PKCS#11支持硬件加密標識，如智能卡。


對比


OpenSSH，能實現(xiàn)二/三層的基于隧道的VPN。
stunnel，使用SSL向任何單一端口的TCP服務提供安全保護。



參看


虛擬私人網絡



外部鏈接


OpenVPN 項目主頁
Tunnelblick, Mac OS X的GUI
Windows的OpenVPN-GUI

• 通信詞典解釋