在家办公肿么办，利用vyatta在办公室架设一台***，可以让你在家接入办公室网络进行办公，

机房在外地肿么办，利用vyatta在机房架设一台***，可以让你在办公室接入机房内网进行运维。

这里使用pptp，优点是快速方便，使用windows自带客户端即可。

接之前的环境，

eth0为内网，地址10.0.0.100/24

eth1为外网，地址192.168.122.100/24

有一点需要注意，eth1能够访问公网还不够，必须有真实的公网地址，否则你从家里是拨不进来的。

1. 将192.168.122.100替换为你的公网地址  
2. set *** pptp remote-access outside-address 192.168.122.100  
3.   
4. 设置内网IP起始结束地址  
5. set *** pptp remote-access client-ip-pool start 10.0.0.240  
6. set *** pptp remote-access client-ip-pool stop 10.0.0.245  
7.   
8. 设置验证模式  
9. set  *** pptp remote-access authentication mode local  
10.   
11. 设置用户名和密码  
12. set *** pptp remote-access authentication local-users username user01 password user01password  
13.   
14. commit  

值得关注的是***的防火墙设置，除了端口1723外，还需要放行gre协议，这里贴出一份:

1. set firewall all-ping enable 
2. set firewall syn-cookies enable 
3.  
4. set firewall name *** description "allow *** from office only"  
5. set firewall name *** rule 10 description "allow port 1723"  
6. set firewall name *** rule 10 action accept  
7. set firewall name *** rule 10 protocol tcp  
8. set firewall name *** rule 10 destionation address 192.168.122.100  
9. set firewall name *** rule 10 destination port 1723  
10. set firewall name *** rule 10 source address xxx.xxx.xx.xx  
11. set firewall name *** rule 10 state new enable  
12. set firewall name *** rule 10 state established enable  
13. set firewall name *** rule 10 state related enable  
14.   
15. set firewall name *** rule 20 description "allow gre"  
16. set firewall name *** rule 20 action accept  
17. set firewall name *** rule 20 protocol gre  
18. set firewall name *** rule 20 destination address 192.168.122.100  
19. set firewall name *** rule 20 source address xxx.xxx.xx.xx  
20. set firewall name *** rule 20 state established enable  
21. set firewall name *** rule 20 state related enable  
22.   
23. set interfaces ethernet eth1 firewall local name ***  
24.   
25. commit  
26. save  

最后将防火墙规则设置成eth1的local，是因为vyatta自己就是***服务器。 

vyatta支持多种***方式，pptp、l2tp，open***等。

上面讲述的是pptp拨号的***，适合家庭到办公室，或者办公室到机房的运维，但是pptp缺点是加密不够，SSL加密，安全性较差。

open***在安全上做得比较好，TLS加密，缺点仅是需要专门的open***客户端，可到官网下载。

安装配置仅摘抄以前的笔记，仅供参考

1. cd /usr/share/doc/open***/example/easy-rsa/2.0 
2. source ./vars 
3. ./clean-all 
4. ./build-ca 
5. ./build-key-server server 
6. ./build-key client 
7. ./build-dh 
8. rsync -av --delete keys /config/auth/ 
9.  
10. set interface open*** vtun0 
11. set interface open*** vtun0 encryption aes256 
12. set interface open*** vtun0 hash sha1 
13. set interface open*** vtun0 mode server 
14. set interface open*** vtun0 local-port 1194 
15. set interface open*** vtun0 protocol udp 
16. set interface open*** vtun0 server subnet 192.168.10.0/24 
17. set interface open*** vtun0 tls ca-cert-file /config/auth/ca.crt 
18. set interface open*** vtun0 tls cert-file /config/auth/server.crt 
19. set interface open*** vtun0 tls dh-file /conffig/auth/dh1024.pem 
20. set interface open*** vtun0 tls key-file /config/auth/server.key 
21. set interface open*** vtun0 open***-option “--push route 192.168.10.0 255.255.255.0 --push route 192.168.2.0 255.255.255.0 –comp-lzo” 
22. commit 
23. save 

客户端配置

1. dev   tun 
2. client 
3. remote  12.34.56.78 
4. ca  ca.crt 
5. cert  client.crt 
6. key   client.key 

如果是不同机房之间互通，则要架设site到site的***，详见官方文档。