OpenVPN跨IDC机房互联：OpenVPN跨IDC机房互联

主机名

网卡eth0

eth1

默认网关

用途

IDC-1-Server

10.0.1.10

192.168.1.10

10.0.1.2

OpenVPN服务器

IDC-1-Client

192.168.1.2

192.168.1.254

内网服务器

IDC-2-Server

10.0.1.20

192.168.2.20

10.0.1.2

IDC-2-client网关

[root@IDC-1-Server openvpn]#cat /etc/openvpn/sukaka.conf

port 1194

proto tcp

dev tun

client-to-client

comp-lzo

#建立ccd文件夹 用户自定义客户端配置

client-config-dir /etc/openvpn/ccd

ca /etc/openvpn/keys/ca.crt

cert /etc/openvpn/keys/server.crt

key /etc/openvpn/keys/server.key #This file should be kept secret

dh /etc/openvpn/keys/dh1024.pem

server 10.8.0.0 255.255.255.0

ifconfig-pool-persist ipp.txt

keepalive 10 120

#在VPN客户端加入3条内网的路由，是其它机房可以访问本机房的内网服务器

push “route 192.168.1.0 255.255.255.0”

push “route 192.168.2.0 255.255.255.0”

push “route 192.168.3.0 255.255.255.0”

#在VPN服务端加入其它两个机房的内网路由

route 192.168.3.0 255.255.255.0

route 192.168.2.0 255.255.255.0

persist-key

persust-tun

status openvpn-status.log

verb 3

#在/etc/openvpn下建立ccd目录 在目录下建立IDC-2，IDC-3两个文件(与客户端common name相同名字的文件名)

在IDC-2加入:

iroute 192.168.2.0 255.255.255.0

ifconfig-push 10.8.0.5 10.8.0.6

在IDC-3加入

iroute 192.168.3.0 255.255.255.0

ifconfig-push 10.8.0.9 10.8.0.10

这两行的含义:

第一行的意思是如果拨号的客户端为IDC-2或者IDC-3那么就不要再加一条自身内网网段的路由，因为自身已经有本网段的路由了，如增加一条会造成内网不可通信。

第二行是定义使用固定的IP地址

howto文档的解释

iroute 192.168.4.0 255.255.255.0

this will tell the OpenVPN server that the 192.168.4.0/24 subnet should be routed to client2.

3、各个IDC内网连通性测试

4、启动openVPN服务端和客户端

5、各个机房接入VPN后端连通性测试

openVPN服务器添加iptables转发规则/sbin/iptables –t nat –I POSTROUTING –s 10.8.0.0/24 255.255.255.0 –j MASQUERADE

6、各个机房IDC Server的路由

7、内网其它服务器连通性测试

测试完毕