Raspberry OpenWRT Linux SSH VPN 樹莓派

實戰Raspberry Pi第三回 架設兩站間SSL VPN

2015-09-10
之前文章已經介紹過如何透過OpenWRT來建立Remote Access SSL VPN。本文將進一步介紹如何透過OpenWRT建立Site to Site的SSL VPN,並且會分別介紹如何在CLI介面及GUI介面中建立SSL VPN。
直接執行「/usr/bin/occtl」的話,可以看到其使用方法:


檢查使用者資訊

然後,使用「show users」來查看使用者的相關 資訊:


若使用「show user klting」,可以看到更詳細的 資訊:


使用GUI並以憑證建立連線

使用CLI及帳號密碼建立SSL VPN的部分已經完成,接著示範如何使用GUI及憑證方式建立SSL VPN連線。在此先保留Server端帳號密碼的設定,先以帳號密碼進行連線,待確認可連線後,再調整成以憑證認證的方式。

安裝所需套件

在Client端,依序點選System → Software,而Filter:的部分,則輸入openconnect。接著點選Available packages,找到luci-proto-openconnect,並點選其前方的Install進行安裝,操作過程如圖2所示。


▲圖2 安裝luci-proto-openconnect套件。

由於luci-proto-openconnect有設定與OpenConnect的相依性,因此OpenConnect會自動進行安裝。

建立VPN Interface

接著建立VPN Interface,先點選Network → Interfaces,再按下「Add new interface..」。Name of the new interface的部分,輸入VPN以茲識別,然後開啟Protocol of the new interface的下拉選單並選擇【OpenConnect (CISCO AnyConnect)】,如圖3所示,最後按下〔Submit〕送出。


▲圖3 Create VPN Interface。

接著必須填入連線相關資訊,依序填寫VPN Server、VPN Server port、Username及Password等資料,如圖4所示。


▲圖4 填寫VPN Server相關資料。

VPN Server’s certificate SHA1 hash比較特殊,所以單獨說明。如果之前曾使用Client端軟體進行連線,此資料在建立連線時,就會由Server提供(可以參考筆者在網管人七月號的文章「用樹莓派架設SSL VPN,最低成本打造窮人翻牆梯」內有提供教學),如圖5所示。


▲圖5 Client軟體取得的Server Certificate SHA1。

如果之前沒有安裝Client軟體的話,也沒有關係,可以透過瀏覽器去取得Server Certificate SHA1,這裡以Firefox為例進行操作說明(IE的操作相差不遠,請自行類推)。

在Firefox開啟網址「https://210.66.233.2」(請自行代換IP)。這個時候Firefox應該會提示此為不受信任的連線,原因為這是自己簽發的憑證,沒有透過公正第三方核發。

在此,點選「我了解此安全風險」,之後再按下〔新增例外網站〕按鈕,如圖6所示。


▲圖6 出現不受信任連線的告警訊息。

之後會再跳出新增安全例外的視窗,再點選「確認安全例外」。接著,點選網址列前的鎖頭圖示,就會出現〔更多資訊〕按鈕,如圖7所示。


▲圖7 取得更多資訊。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!