>有哪些最好的VPN客户端/工具可用于实现此目的?
>我应该避免任何常见的陷阱吗?
在我的特定情况下,我的主要兴趣是与Debian兼容的解决方案.我的主要目标是让它工作简单,因为我之前没有这样做,但在我不想使用SSH连接的情况下,我可以看到一些可能的好处.
解决方法
> ipsec compatible vpn – 使用freeswan/openswan/strongswan.我记得设置起来非常具有挑战性……
>非标准化[但非常好] sslvpn – openvpn.非常容易设置.
第二个真的很棒,我已经在生产中使用了几年.它在debian中作为标准包提供.对于数十兆位的容量表现相当不错[数百个,但我办公室之间没有那么快的互联网连接]
openvpn的一些提示:
>为了更安全,请不要使用‘shared secret’类型的密钥,而是创建cert authority and use keys signed by it.>如果可能的话,使用tun模式而不是tap [通过vpn路由流量而不是在其上桥接两个以太网段]>如果您使用证书授权解决方案 – 请记住密钥已过期.设置几个提醒你自己重新生成密钥.>为安全起见,使用内置于opensvn [ping-restart选项]的软件监视程序,添加additoinal简单bash脚本,循环检查openvpn进程是否正在运行. openpn在过去的3年中为我死了~2次.>只要你可以[而不是tcp]使用隧道覆盖udp.我有来自nat后面的办公室的vpn的问题[其中linux盒子是我无法控制的廉价dlink路由器后面] udp数据包经过一段时间后被阻止 – 在这种情况下我被迫使用tcp.>从防火墙/ nats后面享受openvpn ..只要一方有公共IP并且可以通过tcp或udp在一个端口上到达 – 你可以建立vpn到它,另一个节点不需要有公共IP!