电脑作为现代人生活必备的重要工具之一,凭借其强大的运算能力和众多的应用程序,已经成为我们生活和工作的中心节点,尽管移动电子设备发展迅速,仍难以撼动电脑的地位。虽然电脑牢牢占据了我们工作和生活的中心节点,但电脑仍然存在一些缺点,如电脑端做出的成果(如软件、APP、网页等),在未发布到公共互联网之前,很难在本地进行测试,也很难在异地(其他电脑或外网上)访问本地电脑存储的文件,好在现代的个人电脑可以通过各类型的软件,弥补其自身的不足。对于上面所说的问题,也可以 通过cpolar这款软件,实现本地数据不必上传公共互联网即可访问的问题。
从本质上说,cpolar是一款安全的隧道软件,而这里所说的“隧道”,就如同现实意义的隧道一样。在现实世界中,隧道的作用是穿过障碍物(如山脉、海峡或河流),实现障碍物两端道路的连接。而cpolar也如同现实的隧道一样,能够穿过障碍物(可能是网关计算机或路由器等,简单说就是内网和外网之间的障碍),让其他电脑找到隐藏在这些障碍物后的本地电脑,打通两台电脑之间的专属道路,并通过这条道路进行相应的 *** 作。如访问本地电脑的数据,或对本地电脑完成的软件、APP、网页等进行访问,以便完成这些项目的测试。
而cpolar作为打通两台电脑之间的隧道,其作用绝不仅仅限于远程访问本地数据,和进行软件及网页测试等工作,就像之前举的例子,两台或多台电脑之间的道路一旦打开,就可以带来无限可能,就像两个城市间的高速公路,不仅可以通行车辆(数据包),还能通过这些数据包进行更深层次的 *** 作,如组建属于小范围的网络,共同完成某项工作或目标,而这个网络的各个成员,并不必处于同一内网下。
对于树莓派(Raspberry Pi)这样的小型设备,只要能够联入互联网,cpolar同样能够起作用,其实树莓派(Raspberry Pi)也可以看作是一台微型化的电脑,因此大部分电脑能够运行的程序,都能在树莓派上(Raspberry Pi)安装和使用,而安装cpolar的树莓派(Raspberry Pi),也能通过cpolar构建的隧道,进行远程 *** 作,或者访问树莓派(Raspberry Pi)上存储的数据。
对于游戏爱好者来说,cpolar同样能够起到不小的作用,《我的世界》这款游戏已经十分著名,而通过cpolar构建的多端口隧道,玩家可以自行搭建起服务器,邀请一众玩伴共同登录,打造属于好友范围内的游戏环境。由于cpolar建立的隧道有极高的安全性,因此并不会导致数据泄露而引起的数据安全问题。
除了以上提到的几个场景,cpolar还有很多场景可以应用,如 远程协同办公、远程编辑调阅、视频或文档、远程进行NAS *** 作、组件家庭HOME中心等等 。正如开篇所说的,cpolar的作用,是建立起远程与本地电脑之间的通道,而我们可以用这条通道创造出无数种可能。如果您对这款及其应用有任何疑问,欢迎与我们联系,cpolar期待与您的沟通
A是我们手上的电脑,B是外国服务器(公网我们的), C是外国服务器(如Google),A能访问B, A不能访问C, B不能访问A, B能访问C
那么,我想想上Google,该怎么办
-N 不执行任何命令
-f 后台运行
-L参数的行为。-L X:Y:Z的含义是,将IP为Y的机器的Z端口通过中间服务器B映射到本地机器的X端口
那么,在A上访问127001:2121就是访问C的网站了
在A上执行
然后在B上执行
使用SSH的方式不够稳定,使用AutoSSH可以自动在连接断开时自动重连,再把AutoSSH加入系统服务自动启动,则可以做到稳定的连接
1安装AutoSSH
2执行AutoSSH命令
-M:在5555端口上监听连接的变化,只要断开就重连
少了-f 参数,因为AutoSSH本来就在后台运行
有A,B,C 3台服务器, A,C有公网IP, B是某IDC的服务器无公网IP A通过B连接C的80端口(A=>B=>C),
那么在B上执行如下命令即可:
-D port
指定一个本地机器 “动态的'’ 应用程序端口转发 工作原理是这样的,
本地机器上分配了一个 socket 侦听 port 端口, 一旦这个端口上有了连接,
该连接就经过安全通道转发出去, 根据应用程序的协议可以判断出远程主机将和哪里连接
目前支持 SOCKS4 协议, 将充当 SOCKS4 服务器 只有 root 才能转发特权端口 可以在配置文件中指定动态端口的转发
通过provixyl这样代理软件,全局代理(就是把所有的A电脑上访问所有ip,0000 都转发到本地1080端口)
同时把访问的那些ip映射到B服务器, 让B去访问 最终就是A 利用 B作为跳板, 访问了那些IP
{办公电脑A, 公司内网服务器B(内网192xxx), [AB在同一个局域网]}, 生产环境上的C(内网ip:101440x)
A能链接B,不能链接C, B能链接C(同过一台公网服务器, 上面介绍到的, 公网访问内网)
实现B(192xxx)链接C(通过一台公网服务器D) B通过D连接C的8000端口(B=>D=>C)
接收有A访问的ip, 如101440x:80, 通过provixyl这样软件, 把接收到的101440x转发到本地1080端口分类: 电脑/网络 >> 互联网
解析:
什么是
(Virtual Private Neork):虚拟专用网络,是一门网络新技术,为我们提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。我们知道一个网络连接通常由三个部分组成:客户机、传输介质和服务器。同样也由这三部分组成,不同的是连接使用隧道作为传输通道,这个隧道是建立在公共网络或专用网络基础之上的,如:Inter或Intra。
要实现连接,企业内部网络中必须配置有一台基于Windows NT或Windows2000 Server的服务器,服务器一方面连接企业内部专用网络,另一方面要连接到Inter,也就是说服务器必须拥有一个公用的IP地址。当客户机通过连接与专用网络中的计算机进行通信时,先由ISP(Inter服务提供商)将所有的数据传送到服务器,然后再由服务器负责将所有的数据传送到目标计算机。使用三个方面的技术保证了通信的安全性:隧道协议、身份验证和数据加密。客户机向服务器发出请求,服务器响应请求并向客户机发出身份质询,客户机将加密的响应信息发送到服务器,服务器根据用户数据库检查该响应,如果账户有效,服务器将检查该用户是否具有远程访问权限,如果该用户拥有远程访问的权限,服务器接受此连接。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。
的基本配置:
工作原理:
一边服务器的网络子网为19216810/24
路由器为10010151
另一边的服务器为192168100/24
路由器为20020251。
执行下列步骤:
1 确定一个预先共享的密钥(保密密码)(以下例子保密密码假设为noIP4u)
2 为SA协商过程配置IKE。
3 配置IPSec。
配置IKE:
Shelby(config)#crypto isakmp policy 1
注释:policy 1表示策略1,假如想多配几个,可以写成policy 2、policy3┅
Shelby(config-isakmp)#group 1
注释:除非购买高端路由器,或是通信比较少,否则最好使用group 1长度的密钥,group命令有两个参数值:1和2。参数值1表示密钥使用768位密钥,参数值2表示密钥使用1024位密钥,显然后一种密钥安全性高,但消耗更多的CPU时间。
Shelby(config-isakmp)#authentication pre-share
注释:告诉路由器要使用预先共享的密码。
Shelby(config-isakmp)#lifetime 3600
注释:对生成新SA的周期进行调整。这个值以秒为单位,默认值为86400,也就是一天。值得注意的是两端的路由器都要设置相同的SA周期,否则在正常初始化之后,将会在较短的一个SA周期到达中断。
Shelby(config)#crypto isakmp key noIP4u address 20020251
注释:返回到全局设置模式确定要使用的预先共享密钥和指归另一端路由器IP地址,即目的路由器IP地址。相应地在另一端路由器配置也和以上命令类似,只不过把IP地址改成10010151。
配置IPSec
Shelby(config)#access-list 130 permit ip 19216810 000255 17216100 000255
注释:在这里使用的访问列表号不能与任何过滤访问列表相同,应该使用不同的访问列表号来标识规则。
Shelby(config)#crypto ipsec transform-set 1 ah-md5-hmac esp-des esp-md5-hmac
注释:这里在两端路由器唯一不同的参数是1,这是为这种选项组合所定义的名称。在两端的路由器上,这个名称可以相同,也可以不同。以上命令是定义所使用的IPSec参数。为了加强安全性,要启动验证报头。由于两个网络都使用私有地址空间,需要通过隧道传输数据,因此还要使用安全封装协议。最后,还要定义DES作为保密密码钥加密算法。
Shelby(config)#crypto map shortsec 60 ipsec-isakmp
注释:以上命令为定义生成新保密密钥的周期。如果攻击者破解了保密密钥,他就能够解使用同一个密钥的所有通信。基于这个原因,我们要设置一个较短的密钥更新周期。比如,每分钟生成一个新密钥。这个命令在两端的路由器上必须匹配。参数shortsec是我们给这个配置定义的名称,稍后可以将它与路由器的外部接口建立关联。
Shelby(config-crypto-map)#set peer 20020251
注释:这是标识对方路由器的合法IP地址。在远程路由器上也要输入类似命令,只是对方路由器地址应该是10010151。
Shelby(config-crypto-map)#set transform-set 1
Shelby(config-crypto-map)#match address 130
注释:这两个命令分别标识用于这个连接的传输设置和访问列表。
Shelby(config)#interface s0
Shelby(config-if)#crypto map shortsec
注释:将刚才定义的密码图应用到路由器的外部接口。
现在剩下的部分是测试这个的连接,并且确保通信是按照预期规划进行的。
最后一步是不要忘记保存运行配置,否则所作的功劳白费了。
附:参照网络安全范围,硬件设备应放置以下四个地点:
● 在DMZ的防火墙之外
● 连接到防火墙的第三个网卡(服务网络)
● 在防火墙保护的范围之内
● 与防火墙集成
的工作原理
用户连接的形式:
常规的直接拨号连接与虚拟专网连接的异同点在于在前一种情形中,PPP(点对点协议)数据包流是通过专用线路传输的。在中,PPP数据包流是由一个LAN上的路由器发出,通过共享IP网络上的隧道进行传输,再到达另一个LAN上的路由器。
这两者的关键不同点是隧道代替了实实在在的专用线路。隧道好比是在WAN云海中拉出一根串行通信电缆。那么,如何形成隧道呢?
建立隧道有两种主要的方式:客户启动(Client-Initiated)或客户透明(Client-Transparent)。客户启动要求客户和隧道服务器(或网关)都安装隧道软件。后者通常都安装在公司中心站上。通过客户软件初始化隧道,隧道服务器中止隧道,ISP可以不必支持隧道。客户和隧道服务器只需建立隧道,并使用用户ID和口令或用数字许可证鉴权。一旦隧道建立,就可以进行通信了,如同ISP没有参与连接一样。
另一方面,如果希望隧道对客户透明,ISP的POPs就必须具有允许使用隧道的接入服务器以及可能需要的路由器。客户首先拨号进入服务器,服务器必须能识别这一连接要与某一特定的远程点建立隧道,然后服务器与隧道服务器建立隧道,通常使用用户ID和口令进行鉴权。这样客户端就通过隧道与隧道服务器建立了直接对话。尽管这一方针不要求客户有专门软件,但客户只能拨号进入正确配置的访问服务器。(Virtual Private Network)是采用隧道技术以及加密、身份认证等方法,在公共网络上构建企业网络的技术。
隧道技术是的核心。隧道是基于网络协议在两点或两端建立的通信,隧道由隧道开通器和隧道终端器建立。隧道开通器的任务是在公用网络中开出一条隧道。多种网络设备和软件可以充当隧道开通器:
1 PC上的Modem卡和有拨号功能的软件(该软件已经打包在Win95、Win98、WinNT或Win2000中);
2 企业分支机构中有功能的路由器;
3 网络服务商站点中有功能的路由器。
隧道终端器的任务是使隧道到此终止,充当隧道终端器的网络设备和软件有:
1 专用的隧道终端器;
2 企业网络中的防火墙;
3 网络服务商路由器上的网关。
隧道包括点到点和端到端隧道两种。在点到点隧道中,隧道由远程用户的PC延伸到企业服务器,两边的设备负责隧道的建立以及两点之间数据的加密和解密。第二种隧道是端到端隧道,隧道终止于防火墙等网络边缘设备,主要是连接两端局域网。在数据包传输中,数据包可能通过一系列隧道,才能到达目的地。隧道的设置是很灵活的。以一个远程用户通过ISP访问企业网为例。隧道开通器可以是用户的PC或者是被用户拨入的ISP路由器,隧道终端器一般是企业网络防火墙。那么隧道是由PC到企业防火墙,或者是由ISP路由器至企业防火墙。如果通过实现互相访问的两个企业网分别使用不同的ISP服务,那么两个ISP公用网络之间也要建立相应的隧道。
网络中通常还有一个或多个安全服务器。其中最重要的是远程拨入用户安全服务器(RADIUS—Remote Authorization Dial-In User Service) 。根据RADIUS服务器上的用户中心数据库对访问用户进行权限控制。RADIUS服务器确认用户是否有存取权限,如果该用户没有存取权限,隧道就此终止。同时RADIUS服务器向被访问的设备发送用户的IP地址分配、用户最长接入时间及该用户被允许使用的拨入电话号码等。和访问服务器参照这些内容,对用户进行验证,如果情况完全相符,就允许建立隧道通信。
使用标准Internet安全技术,进行数据加密、用户身份认证等工作。□ 信息产业部电信规划研究院 翟海生
一、IP ***隧道协议
目前IP网上较为常见的隧道协议大致有两类:第二层隧道协议(包括PPTP、L2F、L2TP)和第三层隧道协议(包括GRE、IPSec、MPLS)。二层和三层隧道协议的区别主要在于用户数据在网络协议栈的第几层被封装。第二层隧道技术的起始点在网络接入服务器(NAS),终点在用户网设备(CPE)上。另外,在隧道内整个PPP帧都封装在内,PPP会话要贯穿到CPE界内的网关或服务器上。第三层隧道技术的起点及终点均在ISP界内,PPP会话终止于NAS内,只携带第三层报文体,终接设备同时也作为CPE的网关。
1.第二层隧道协议
第二层隧道协议可以支持多种路由协议(如IP、IPX和AppleTalk),也可以支持多种广域网技术(如FR、ATM、X25或SDH/SONET),还可以支持任意局域网技术(如以太网、令牌环和FDDI等)。
PPTP
PPTP(点到点隧道协议)是由PPTP论坛开发的点到点的安全隧道协议,为使用电话上网的用户提供安全***业务,1996年成为IETF草案。PPTP是PPP协议的一种扩展,提供了在IP网上建立多协议的安全***的通信方式,远端用户能够通过任何支持PPTP的ISP访问企业的专用网络。PPTP提供PPTP客户机和PPTP服务器之间的保密通信。PPTP客户机是指运行该协议的PC机,PPTP服务器是指运行该协议的服务器。
通过PPTP,客户可以采用拨号方式接入公共的IP网。拨号客户首先按常规方式拨号到ISP的接入服务器,建立PPP连接;在此基础上,客户进行二次拨号建立到PPTP服务器的连接,该连接称为PPTP隧道。PPTP隧道实质上是基于IP协议的另一个PPP连接,其中IP包可以封装多种协议数据,包括TCP/IP、IPX和NetBEUI。对于直接连接到IP网的客户则不需要第一次的PPP拨号连接,可以直接与PPTP服务器建立虚拟通路。
PPTP的最大优势是Microsoft公司的支持。NT40已经包括了PPTP客户机和服务器的功能,并且考虑了Windows95环境。另外一个优势是它支持流量控制,可保证客户机与服务器间不拥塞,改善通信性能,最大限度地减少包丢失和重发现象。PPTP把建立隧道的主动权交给了客户,但客户需要在其PC机上配置PPTP,这样做既会增加用户的工作量,又会造成网络的安全隐患。另外,PPTP仅工作于IP,不具有隧道终点的验证功能,需要依赖用户的验证。
L2F
L2F(Layer 2 Forwarding)是由Cisco公司提出的,可以在多种介质(如 ATM、FR、IP)上建立多协议的安全***的通信方式。它将链路层的协议(如 HDLC、PPP、ASYNC等)封装起来传送,因此网络的链路层完全独立于用户的链路层协议。该协议1998年提交给IETF,成为RFC2341。
L2F远端用户能够通过任何拨号方式接入公共IP网络。首先,按常规方式拨号到ISP的接入服务器(NAS),建立PPP连接;NAS根据用户名等信息发起第二次连接,呼叫用户网络的服务器,这种方式下,隧道的配置和建立对用户是完全透明的。
L2F允许拨号服务器发送PPP帧,并通过WAN连接到L2F服务器。L2F服务器将包去封装后,把它们接入到企业自己的网络中。与PPTP和L2F所不同的是,L2F没有定义客户。L2F的主要缺陷是没有把标准加密方法包括在内,因此它基本上已经成为一个过时的隧道协议。
L2TP
L2TP协议是由Cisco、Ascend、Microsoft、3Com和Bay等厂商共同制订的,1999年8月公布了L2TP的标准RFC2661。上述厂商现有的***设备已具有L2TP的互 *** 作性。
L2TP结合了L2F和PPTP的优点,可以让用户从客户端或接入服务器端发起***连接。L2TP定义了利用公共网络设施封装传输链路层PPP帧的方法。目前用户拨号访问因特网时,必须使用IP协议,并且其动态得到的IP地址也是合法的。L2TP的好处就在于支持多种协议,用户可以保留原来的IPX、AppleTalk等协议或企业原有的IP地址,企业在原来非IP网上的投资不致于浪费。另外,L2TP还解决了多个PPP链路的捆绑问题。
L2TP主要由LAC(接入集中器)和LNS(L2TP网络服务器)构成。LAC支持客户端的L2TP,用于发起呼叫、接收呼叫和建立隧道。LNS是所有隧道的终点。在传统的PPP连接中,用户拨号连接的终点是LAC,L2TP使得PPP协议的终点延伸到LNS。
在安全性考虑上
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)