Network switch

本页包括一应俱全来快速开始使用freelan。但是,您可能会面对一种状况,即您被卡住了,或许有些东西不像您所期望的那样作业。在这种状况下,您可能会期望得到人类的协助。

取得协助的官方办法是写信给用户邮件列表,地址是 。注册和撤销注册相同简单明了。

您也能够挑选在超级用户上提出您的问题,只要在标签上注明自由职业者.假如你这样做,请保证你首要阅览常见问题,你的问题是题外话在您提出任何问题之前,请先联络超级用户。请记住,超级用户不是FreeLAN的官方支撑途径,你或许得不到任何答复。

当你这样做的时分,请精确在您的问题描绘中。即,请给咱们:

请记住,你的问题越精确、越完好,就越有或许有人快速答复。

假如你的问题中短少一些信息,答案很可能会要求你无论如何都要给出配置文件或日志输出,所以请你一开始就花时间把问题写好。

如果您乐意,您也能够经过发送一封空邮件到.注册到用户邮件列表,这样您就能够反过来协助其他用户,收到他们的问题。开发者十分感谢您注册到用户邮件列表中。

有些人为了得到 "更快的 "答复,决议写到联系地址或首要作者自己,而不是写到邮件列表。

这便是错的原因许多。

  • 邮件列表能接触到更多的人。不只开发者可以看到你的问题,其他用户也能看到。而这些人或许之前也面对过相似的问题。
  • 邮件列表会定时归档,这意味着在您最喜欢的查找引擎上查找您的问题可能会从邮件列表的曩昔评论中得到有用的成果。
  • 联络或个人的电子邮件地址有不同的用处:第一个是专门用于商业恳求,而后者是......好吧......个人。你可能不期望每次有人遇到装备问题时,你的手机都会响起。我也不期望。

假如不尊重这些规矩,很可能会让你的问题直接被疏忽。

佛跳墙vpn

假如你在freelan中发现了一个bug,或许想提出一个功用恳求,你能够提交一个Github问题。

假如你没有Github账户,你也能够写信给开发者邮件列表,提交你的功用恳求或bug。

请你不写到开发者邮件列表中问询装备问题。这个邮件列表是专门用于freelan的开发,而不是用户帮忙。你能够经过写到用户邮件列表来取得更好的时机。

佛跳墙下载

本节解说了freelan装备文件中最重要的选项。要取得完好的装备样本,请到本页.


关于证书的扼要阐明

Freelan依托X509证书来保证其安全性。证书与私钥以供给真实性和保密性。

因为触及的东西杂乱,证书生成有时被以为是一项艰巨的使命。咱们以为,在生成证书之前,了解基本原理很重要。

证书是包括一个实体(通常是一个互联网主机,这里是指你的计算机)信息的文件。也就是说,它们包括:

该证书与私家匹配证书中所嵌入的揭露密钥的密钥。你能够把公钥码匙(或证书)给任何人。它不是隐秘,在你生成它的那一刻起就必须被认为是揭露的。

另一方面,私钥是私家绝不能在任何地方发布。抱负情况下,私钥最好保存在加密磁盘上,尽可能脱机。重要的一点是:除了你之外,没有人需求你的私钥。所以不要把它给任何人。

认证组织

尽管证书为咱们供给了真实性和保密性,但任何人都可以生成包括过错信息的证书(例如过错的 "通用称号"),因而咱们有必要查看咱们得到的每一张证书,并保证它们真的是由它们所指的人或安排宣布的。这些核对作业可能会花费许多时刻。

走运的是,X509包含了一种机制来缓解这种状况,这便是所谓的证书签名。

任何X509证书都可以由另一个被称为父证书的证书来签署,该证书由与父证书相关联的私钥生成,并确保签署的证书由具有父证书的人(也称为认证组织)验证。这个签名是用与父证书相关联的私钥生成的,并确保被签名的证书是由具有父证书的人(也称为认证组织)验证的。

也就是说,有了这个机制,就不必直接信赖每一个或许的证书,而只需要信赖父证书。值得一说的是,这使得父级私钥更灵敏 !

留意:父证书也能够由更高的父证书签署。这一般被称为证书链.

当然,你能够运用官方的证书颁布组织来签署你的证书供freelan运用,你也能够决议创立自己的私家CA供个人运用。

本入门攻略的其余部分将假定以下内容。

所以,让我们开端吧!


东西

咱们将使用命令行来生成咱们的证书。首要下载并装置openssl并保证它在你的途径.


创立CA

获取证书颁布组织样本文件夹存档并将其提取到你喜爱的当地。

进入提取的文件夹内,输入。

openssl req -new -x509 -extensions v3_ca -keyout key/ca.key -out crt/ca.crt -config ca.cnf。

当体系提示输入暗码时,请输入你想要的暗码,但要记住它!你必须在需求证书颁布组织的私钥文件时输入它。每逢需求运用证书颁布组织的私钥文件时,你都必须输入它。

你现在应该有一个证书文件,地址是cRT/CA.CRT及其相关的私钥文件在key/ca.key.


客户端证书生成

现在你已经有了一个有用的证书授权,是时分生成客户证书了。对每一个你需求的证书/私钥对重复以下过程。

私钥生成

第一步是生成私钥。

openssl genrsa -out alice.key 4096

假如你想用密码保护你的私钥,请使用下面的命令行。

openssl genrsa -des3 -out alice.key 4096

留意:运用口令能够进步私钥的安全性。即便被盗,运用私钥也需求暗码。可是,在私钥上设置口令能够避免其在主动体系中运用。

这将生成一个名为alice.key.这是客户端的私钥。

留意:每台主机都应该生成自己的私钥来保密。证书颁布组织不需要客户私钥来签署客户证书。

宣布证书请求

现在,客户机已经有了私钥,它有必要从私钥中生成一个证书恳求,这个证书恳求将被 "发送 "给证书颁布组织,证书颁布组织能够挑选承受它,并从中生成一个签名证书。这个证书恳求将被 "发送 "给证书颁布组织,然后证书颁布组织能够挑选承受这个恳求,并从中生成一个签名证书。

要生成证书恳求,键入以下指令。

openssl req -new -sha1 -key alice.key -out alice.csr

填写一切证书恳求特点。

这将生成一个名为alice.csr.这是客户证书恳求。

留意:这两个过程(私钥和证书恳求的生成)是为了需要在证书授权文件夹中进行。其实为了隐私,乃至应该直接在终究主机上完结。

从证书恳求中生成签名证书

最终一步是从证书恳求中生成一个签名证书。这显然是在CA上完结的。

输入以下指令。

openssl ca -out crt/alice.crt -in alice.csr -config ca.cnf。

这将提示ca.key然后问询你是否要承受证书恳求。

这将发生一个alice.crt文件:客户签署的证书,能够发给任何人。

对每一个客户重复这些过程,您将具有运用freelan所需的全部!恭喜您!


调整装备

默许的freelan的装备是不完整的:更精确地说,关于要运用的证书的条目是空白的。让我们填上这些内容,让freelan工作起来吧!

翻开配置文件(见装备阐明鄙人载页面中,具体了解在哪里能够找到你的操作系统的装备),并找到以下几行。

# 要运用的 X509 证书文件。# # 除非server.enabled被设置为 "yes",不然这个参数是有必要的。# # 默认值:<none> #signature_certificate_file= # 用于签名的私钥文件。# # 除非server.enabled被设置为 "yes",不然这个参数是强制性的。# # 这个私钥有必要与指定的签名证书文件匹配。# 默认值:<none> #signature_private_key_file=#签名用的私钥文件。

撤销这两行装备,并指定证书和私钥的途径。下面是一个比如。

# 要运用的 X509 证书文件。# # 除非server.enabled被设置为 "yes",不然这个参数是有必要的。# 默认值:<none> signature_certificate_file=/etc/freelan/mycert.crt # 用于签名的私钥文件。# # 除非server.enabled被设置为 "yes",不然这个参数是强制性的。# # 这个私钥有必要与指定的签名证书文件匹配。# 默认值:<none> signature_private_key_file=/etc/freelan/mykey.key。

现在找到以下线路。

# 权限证书。# # 你能够重复使用authority_certificate_file选项来指定多个#威望证书。# # 默认值:<none> #authority_certificate_file=#威望证书。

并撤销装备行的comment,以指示到freelan的CA证书的途径。下面是一个比如。

# 权限证书。# # 你能够重复使用 authority_certificate_file 选项来指定多个 # 权限证书。# 默认值:<none> authority_certificate_file=/etc/freelan/ca.crt。

要在网络上指定你的IP地址,请找到以下几行。

# 要运用的分接适配器 IPv4 地址和前缀长度。# # 网络地址有必要是数字格局,后缀为netmask。# # 在 Windows 中,前缀长度被疏忽(但仍然有必要指定),而 # 网掩码则依据 IPv4 等级来确认。主张你设置 network.enable_dhcp_proxy 选项。# # 你能够指定一个空值。# # 默认值:9.0.0.1/24 ipv4_address_prefix_length=9.0.0.1/24。

替换9.0.0.1与您期望该主机具有的IP地址。

最终,经过定位这些线路,向自由职业者指明与其他主机的联络地址。

# 联系人列表。# # 要衔接的主机列表。# # 你能够重复联系人选项来增加多个主机。# # 示例:168.0.1, [fe80::1]:12000, hostname:12000。 192.168.0.1, [fe80::1]:12000, hostname:1234, some.other.host.org:1234 # 默认值:<none> #contact=192.168.0.1:12000。

撤销谈论并重复联系人=行,以表明你想联络的一切不同主机。下面是一个比如。

# 联系人列表。# # 要衔接的主机列表。# # 你能够重复联系人选项来增加多个主机。# # 示例:168.0.1, [fe80::1]:12000, hostname:12000。 192.168.0.1, [fe80::1]:12000, hostname:1234, some.other.host.org:1234 # 默认值:<none> contact=192.168.0.1:12000 contact=[fe80::1]:12000 contact=myhost.dyndns.org:15000。

Freelan将测验定时与这些主机联络以树立衔接。


这就对了!你刚刚装备了freelan。您刚刚装备了 freelan !在所有其他主机进步行相同的过程来装备您的专用网络!

哦,别忘了重启freelan服务/看护进程,这样你的改变就会被归入考虑。

回到下载区.


回来顶部

2017年12月,Julien Kauffmann--用Flask生成。