Question

Site-to-Site（站点到站点）VPN，用于连接两个或者多个地域上不同的局域网 LAN，每个 LAN 有一台 OpenVPN 服务器作为接入点，组成虚拟专用网络，使得不同 LAN 里面的主机和服务器能够互相通信。

一个典型的 Site-to-Site 的 VPN 物理架构如图 10-11 所示。

图 10-11　典型的 Site-to-Site VPN 物理架构图

在部署 Site-to-Site VPN 时，需要注意以下几点。

- 在所有 VPN 的接入点，把系统路由转发打开。

- 在所有 VPN 的接入点，在 tun0 端口和内网端口全部配置成 NAT 模式，这样可以极大地简化 VPN 路由设置。

- 在所有 VPN 的接入点，把 iptables 转发设置为允许。

- 每个 LAN 的主机，通过设置静态路由或者默认路由，把到对端 LAN 的访问下一跳指向到本 LAN 的接入点服务器的内网 IP。

关于以上几点，在此不再赘述，可以参考前一个最佳实践的方法。

在此，把本架构中的 VPN 客户端 x.y.z.28 配置文件贴出来，以供大家参考。

[root@localhost openvpn]# cat vpnclient.conf 
client
dev tun
proto udp
remote a.b.c.239 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca /etc/openvpn/ca.crt
cert    /etc/openvpn/vpnclient1.crt
key     /etc/openvpn/vpnclient1.key
ns-cert-type server
tls-auth /etc/openvpn/ta.key 1
comp-lzo
verb 4
route-delay 2
keepalive 10 120
log-append  /var/log/openvpn/openvpn.log