windows下利用OpenVPN搭建VPN服务器(4)

第一步是按照HOWTO中的“开始使用VPN并且测试其连通性(Starting up the VPN and testing for initial connectivity)”章节。然后，根据你是在Linux或Windows下配置桥接继续配置。

在Linux上配置桥接服务器

首先，确认你已经安装了bridge-utils软件包。

编辑下面的bridge-start（启动网桥）脚本。根据你要桥接的物理网络接口设置br, tap, eth, eth_ip, eth_netmask, 和 eth_broadcast 参数。确认使用一个内部网络接口并且是连接在一个受防火墙保护的LAN内。你可以使用Linux的ifconfig命令获得网络接口的一些必要的信息来完成bridge-start（启动网桥）参数。

现在就运行bridge-start脚本。脚本将会创建一个永久[译者注：永久意为系统重新启动前永久，默认虚拟接口在OpenVPN退出后就消失]的tap0网络接口并且已经和以太网接口桥接成功了。

下一步，我们将要编辑OpenVPN server configuration file（OpenVPN服务器端配置文件）来使能桥接配置。

注释掉dev tun这行行并且替换成：

dev tap0

注释掉以server开始的行并且替换成：

server-bridge 192.168.8.4 255.255.255.0 192.168.8.128 192.168.8.254

现在设置Linux防火墙使之允许数据包通过新建的tap0 和 br0接口：

iptables -A INPUT -i tap0 -j ACCEPT

iptables -A INPUT -i br0 -j ACCEPT

iptables -A FORWARD -i br0 -j ACCEPT

OpenVPN桥接现在能够通过下面顺序来启动和停止：

运行 bridge-start 运行 openvpn 停止 openvpn

运行 bridge-stop

到目前为止，桥接的配置就完成了，你可以continue where you left off in the HOWTO（根据HOWTO继续完成剩下部分）。

在Windows XP中配置桥接服务器

这个配置在桥接端需要Windows XP或更高版本系统。据我所知，Windows 2000不支持桥接，然而Windows 2000系统可以是一个桥接网络的客户，而OpenVPN另一端的桥接是在Linux或Windows XP系统上实现的。

在Windows上安装OpenVPN时，安装程序将自动创建一个名为“本地连接2”的TAP-Win32适配器。转到控制面版中的网络连接下并且改名为“tap-bridge”。

接下来使用鼠标选择tap-bridge和以太网适配器，点击鼠标右键，并且选择桥接（Bridge Connections）。这样就在控制面板中创建了一个新的桥适配器图标。

在桥适配器的TCP/IP属性里配置IP地址192.168.8.4子网掩码255.255.255.0。

接下来，编辑OpenVPN server configuration file（OpenVPN服务端配置文件） 使能桥接配置。

注释dev tun这行且替换成：

dev tap

dev-node tap-bridge

注释以server开始的行并且替换成：

server-bridge 192.168.8.4 255.255.255.0 192.168.8.128 192.168.8.254

如果你的系统时XP SP2，进入防火墙配置控制面板，并且禁用桥适配器和TAP适配器上的包过滤功能。

到目前为止，桥接的配置就完成了，你可以continue where you left off in the HOWTO（根据HOWTO继续完成剩下部分）。

配置桥接客户端

在sample OpenVPN client configuration（OpenVPN客户配置）基础上进行配置。注释dev tun的行且替换成：

dev tap

最后，确认客户端的配置文件和服务器端的配置文件是否一致。需要着重注意的

是proto (udp or tcp)选项是否一致。同样如果使用了comp-lzo 和 fragment确认客户端和服务器端是否一致。

以太网桥接说明

使用以太网桥接配置时，第一步是构造以太网桥--一种虚拟网络接口是其他网络接口的一个容器，可以是物理的NIC也可以是虚拟的TAP接口。以太网桥接口必须在OpenVPN启动之前创建。

没有通用的网桥配置方法--每个OS有自己的配置方法（见下面例子）。

网桥接口一旦被创建，并且以太网接口加入到网桥中，OpenVPN就可以启动了。

网桥接口是一种由一个或多个以太网络接口组成的虚拟网络接口，这些以太网络接口可以是物理网络接口或OpenVPN所使用的虚拟TAP接口。

当你配置以太网桥接接口时，你需要手工设置网桥接口的IP地址和子网掩码并且不要在OpenVPN配置文件中使用ifconfig选项来配置。这是因为与TUN/TAP接口不一样，OpenVPN程序不能配置网桥接口的IP地址和子网掩码。

OpenVPN配置文件应该通过dev选项来指定已经加入网桥TAP接口，而不是指定网桥接口的名字。

对于Windows系统，使用dev-node选项来指定已经加入网桥TAP-Win32适配器（dev-node这个名字是网络连接控制面板上显示的名字）。 在Linux/BSD/Unix系统中，对于dev tap选项，使用你已经加入网桥的TUN/TAP的序号如dev tap0。

如果你的OpenVPN工作在点对点模式，去掉ifconfig选项，如果你使用的是客户/服务器模式，在服务器端使用server-bridge选项。

桥接的时候，你必须手工设置网桥接口的TCP/IP设置。例如在Linux中，可以使用ifconfig命令配置而在Windows XP中可以通过配置网络连接面板中网桥接口的TCP/IP属性来实现（在Windows XP和更高版本的网络连接面板中可以通过鼠标操作来实现桥接）。

确定只有桥接的TAP接口和内部以太网络接口是被防火墙保护的。不要把TAP接口和连接互联网的网络接口进行桥接，这样可能存在潜在的安全漏洞。 local 和 remote 所使用的地址不能是桥接子网内的地址--否则将会出现路由环路。

理解以太网桥接很重要的一点就是每个加入网桥的网络接口将会失去原有的配置如IP地址和子网掩码。只有网桥接口的TCP/IP设置有效。

手工配置网桥时常见的错误是在为网桥配置IP地址和子网掩码之前把主要的以太网络适配器加入到网桥中。这就导致主要的以太网卡“丢失”了原有的配置，但是所属的网桥接口还没有配置，所以这就造成了以太网络接口的连接就丢失了。

在大多数情况下，只是在服务器端配置一个可用的桥接，而不是在客户端配置。这样一来，当客户机连接上服务器后就成为了多宿主系统了，例如：它们仍然拥有原有的以太网接口，但是连接到OpenVPN服务器的上层连接，它们将会有一个新的TAP接口和服务器端的以太网接口桥接（并且有可能是所有连接到服务器的

客户机的TAP接口如果在服务器的配置文件里申明了client-to-client选项）。 说明 – Windows下的以太网桥接

Check out this HOWTO by Adam Pavelec.

Windows Notes 页面有更多关于以太网桥接的说明。

info@openvpn.net>. OpenVPN is a trademark of OpenVPN Solutions LLC.

摘自：http://www.yuanma.org/data/2006/1106/article_1786.htm

================================================================== 参考如上文章修改如下测试成功

我最后采用了网桥模式 问题解决（不知道路由模式是否可以） 配置文件

（认证部分省略） dev tap

server-bridge 10.0.8.4 255.255.255.0 10.0.8.50 10.0.8.100

push \（服务器真实内网ip子网为 10.0.0.0/24）

网络设置

ip addr add 10.0.8.4/24 dev tap0 #10.0.8.4（网桥IP地址） 客户端分配到的IP为10.0.8.50 ip link set tap0 up echo 1 > /proc/sys/net/ipv4/ip_forward #（打开IP转发） echo 1 > …… 此处隐藏：3436字，全部文档内容请下载后查看。喜欢就下载吧 ……