*BSD中文用户社区

准备做最简单的走ssh的vpn tunnel
服务器是OpenBSD，客户端是Windows + putty + firefox
##之前acheng好像做过一个ssh的vpn销售帐号，下面问题请帮忙看看是否恰当。

OpenBSD系统
/etc/ssh/sshd_config
最后几行
match group vpn
PasswordAuthentication yes
ForceCommand passwd ##acheng兄，不知道这样是否恰当，这里的用途是仅允许用户更改密码，sftp是登录不了的，这样设置够了么？是否安全？
按常规方式添加新用户，加入vpn这个组，服务端就搞定了。


Windows那边，用putty.exe，操作如下
Creating an SSH Proxy Tunnel with PuTTY
http://blog.ashurex.com/2012/03/15/crea ... nel-putty/
Configuring PuTTY
1 Fire up the client and enter the hostname and port
2 Type in a title under Saved Sessions and press Save
3 On the left side, go to Connection->SSH->Tunnels
4 In Source Port enter 8080 (this can be configured to be whatever you want, just remember it)
5 Choose the Dynamic+ Auto radio button under Destination
6 Press Add, you should then see D8080 in the box above
7 Go back to Session on the left side and then press Save to save the changes

然后在Windows系统中putty登录这个特殊地址后，
在Firefox或其他浏览器中启动基于socket v5 的代理，Firefox上网环境就等于在OpenBSD那台vpn server在上网了。

据我看到的文档，搭建SSH VPN还需要在sshd_config中加入“PermitTunnel yes(或 point-to-point)”,更要命的是，你需要给登录的客户端root权限，这样它们才可以创建VPN需要的Tunnel虚拟接口(tun0...),或者你手工逐个创建这些接口(tun0，tun1...). 这样一来实际操作就不太实用，我自己也没有实际测试过。

我当初做的那个不是SSH VPN，而是使用SSH的本地端口转发，把客户端本地的某一端口映射到服务器的指定端口上；这样就在客户端和服务器之间建立起了一个加密的SSH通道。和VPN还是有些区别的。为了能让客户端上网，我的服务器上还有SQUID在指定端口监听。

使用SSH VPN可以参考daemonforums的这个帖子：
http://www.daemonforums.org/showthread.php?t=141

SSH端口转发可以参考：
http://www.undeadly.org/cgi?action=arti ... 0903183235

acheng 写了:据我看到的文档，搭建SSH VPN还需要在sshd_config中加入“PermitTunnel yes(或 point-to-point)”,更要命的是，你需要给登录的客户端root权限，这样它们才可以创建VPN需要的Tunnel虚拟接口(tun0...),或者你手工逐个创建这些接口(tun0，tun1...). 这样一来实际操作就不太实用，我自己也没有实际测试过。

我当初做的那个不是SSH VPN，而是使用SSH的本地端口转发，把客户端本地的某一端口映射到服务器的指定端口上；这样就在客户端和服务器之间建立起了一个加密的SSH通道。和VPN还是有些区别的。为了能让客户端上网，我的服务器上还有SQUID在指定端口监听。

使用SSH VPN可以参考daemonforums的这个帖子：
http://www.daemonforums.org/showthread.php?t=141

SSH端口转发可以参考：
http://www.undeadly.org/cgi?action=arti ... 0903183235

嗯，我上面的尝试应该也不算是严格意义的vpn，也是利用了
AllowTcpForwarding yes
做端口转发而已。