如何设置向日葵VPN访问内网

如何添加VPN

那么，如何使用向日葵组建VPN呢？

首先我们要使用帐号密码登录向日葵官网（http://sunlogin.oray.com/）。VPN的搭建需要两步：客户端配置；控制端配置。

客户端配置

安装向日葵远程控制客户端（客户端下载地址：http://sunlogin.oray.com/zh_CN/download/），确保开启客户端软件的VPN模块，如图。

VPN是建立虚拟网络有虚拟网卡，在安装向日葵后会多一个本地连接。VPN的网络连接的IP地址是由向日葵定向分配的，不可以更改。

控制端配置：轻松三步，完成配置

登录向日葵官网：http://sunlogin.oray.com/，在VPN网络中，点击【创建网络】标签进行网络组建。

创建网络需要三步完成：

第一步、填写网络信息，点击下一步。

第二步、选择网络类型。在向日葵VPN服务提供的网络类型包括：对等网络和集散网络。在对等网络中，每个主机都与其它主机互联，这是最典型的网络拓扑选择。在集散网络中，每台主 机(分支)只能与中心节点主机进行互联，主机之间是不允许彼此互联的，针对只需要将主机连入到中心服务器的企业应用。我们这里选择“对等网络”。

第三步、选择网络成员，如下图所示左边是你此帐号下开启向日葵功能的被控端电脑（这个是供你选择的），然后单击需要加入进VPN服务的电脑，右边就是已经进入VPN服务的电脑，选择后点击完成即可。

向日葵web端推出了子账号管理功能，即在向日葵管理平台添加【一个账号管理多个帐号】的功能。在此基础上，你可以在创建VPN网络时，可添加不同帐号的主机。因此在选择VPN网络成员时你还可以切换子账号，把子账号的主机加入你的VPN成员中。

“集散网络”的搭建跟“对等网络”基本想同，唯一不同的是，在选择中心成员后，还需要选择普通成员，在网络类型中选择集散网络。

选择中心成员作为被访问的服务器，点击下一步。也可以选择子账号的主机为中心成员。

选择主账号普通成员作为访问端，或者添加子账号的主机作为普通成员后，点击完成即可创建成功。

这样轻松三步就完成向日葵VPN服务的组建。 搭建完成后，系统会自动给每一个在此虚拟网络里面的电脑分配一个虚拟IP地址（以172开头）。以后这些虚拟网络之间通讯就依靠这个虚拟IP来完成。注意一点，这些虚拟IP是系统自动分配的，用户不可能手动更改。

虚拟专用网络

VPN英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”。vpn被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定隧道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。

网络功能

VPN属于远程访问技术，简单地说就是利用公用网络架设专用网络。例如某公司员工出差到外地，他想访问企业内网的服务器资源，这种访问就属于远程访问。

在传统的企业网络配置中，要进行远程访问，传统的方法是租用DDN（数字数据网）专线或帧中继，这样的通讯方案必然导致高昂的网络通讯和维护费用。对于移动用户（移动办公人员）与远端个人用户而言，一般会通过拨号线路（Internet）进入企业的局域网，但这样必然带来安全上的隐患。

让外地员工访问到内网资源，利用VPN的解决方法就是在内网中架设一台VPN服务器。外地员工在当地连上互联网后，通过互联网连接VPN服务器，然后通过VPN服务器进入企业内网。为了保证数据安全，VPN服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密，就可以认为数据是在一条专用的数据链路上进行安全传输，就如同专门架设了一个专用网络一样，但实际上VPN使用的是互联网上的公用链路，因此VPN称为虚拟专用网络，其实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了VPN技术，用户无论是在外地出差还是在家中办公，只要能上互联网就能利用VPN访问内网资源，这就是VPN在企业中应用得如此广泛的原因。

工作原理

通常情况下，VPN网关采取双网卡结构，外网卡使用公网IP接入Internet。

网络一(假定为公网internet)的终端A访问网络二(假定为公司内网)的终端B，其发出的访问数据包的目标地址为终端B的内部IP地址。

网络一的VPN网关在接收到终端A发出的访问数据包时对其目标地址进行检查，如果目标地址属于网络二的地址，则将该数据包进行封装，封装的方式根据所采用的VPN技术不同而不同，同时VPN网关会构造一个新VPN数据包，并将封装后的原数据包作为VPN数据包的负载，VPN数据包的目标地址为网络二的VPN网关的外部地址。

网络一的VPN网关将VPN数据包发送到Internet，由于VPN数据包的目标地址是网络二的VPN网关的外部地址，所以该数据包将被Internet中的路由正确地发送到网络二的VPN网关。

网络二的VPN网关对接收到的数据包进行检查，如果发现该数据包是从网络一的VPN网关发出的，即可判定该数据包为VPN数据包，并对该数据包进行解包处理。解包的过程主要是先将VPN数据包的包头剥离，再将数据包反向处理还原成原始的数据包。

网络二的VPN网关将还原后的原始数据包发送至目标终端B，由于原始数据包的目标地址是终端B的IP，所以该数据包能够被正确地发送到终端B。在终端B看来，它收到的数据包就和从终端A直接发过来的一样。

从终端B返回终端A的数据包处理过程和上述过程一样，这样两个网络内的终端就可以相互通讯了。 [1]

通过上述说明可以发现，在VPN网关对数据包进行处理时，有两个参数对于VPN通讯十分重要：原始数据包的目标地址（VPN目标地址）和远程VPN网关地址。根据VPN目标地址，VPN网关能够判断对哪些数据包进行VPN处理，对于不需要处理的数据包通常情况下可直接转发到上级路由；远程VPN网关地址则指定了处理后的VPN数据包发送的目标地址，即VPN隧道的另一端VPN网关地址。由于网络通讯是双向的，在进行VPN通讯时，隧道两端的VPN网关都必须知道VPN目标地址和与此对应的远端VPN网关地址。

网上有不少讨论这个话题的，不过大多都是说不能通过Teamviewer的VPN来访问远程机器内网中的其他机器。的确，Teamviewer说明书中也有一句话提到，大意为：Teamviewer的VPN只能访问远程机器上提供的服务。例如，远程机器上装有数据库服务端，本地机器可以通过Teamviewer的VPN直接访问这个数据库。

问题来了，既然通过这种方式的VPN访问远程机器，那是否能够访问远程内网中的其他机器呢？

答案是肯定的，黑客们的跳板岂不是废柴了。我们可以将远程装有Teamviewer的机器做成代理服务器，然后通过代理访问远程内网其他机器。

假设已将Teamviewer在本地和远程机器上安装完毕，并且在选项里安装了VPN。

先将CCProxy安装到远程机器，作为代理软件开启，并开发sock4/5代理。在本地安装sockscap32(客户端连接工具，可在其中运行你的程序)，并将代理服务器地址及端口配置到sockscap中，选择你要执行的程序，是不是可以连接远程内网了?!!

需要注意的是，通过sock4代理不能直接使用telnet到远程内网的其他机器，需要先telnet到远程机器代理的telnet端口，然后在连接到内网其他机器。

---