SigmaVPN是一个轻量级的VPN解决方案，旨在提供UNIX系统下的，配置简单的，安全的VPN隧道。其官网http://code.google.com/p/sigmavpn/， 本文是按上面的文档操作后做的些许整理。   1.         SigmaVPN是模块化的。很容易创建新的接口和加密/编码方案。 2.         SigmaVPN是很小巧的。只有几百行的纯C代码。 3.         SigmaVPN易于配置，允许在一个配置文件中添加多个隧道  

1.   引言

    SigmaVPN能够支持多路并发隧道并提供灵活的终端/协议设置方式。通常情况下配置项存储在一个名为sigmavpn.conf的文件里，配置文件是INI格式的。

1.1. Protocols

Protocols指定了分组收发之前的编/解码方式或加/解密方式。目前支持几种不同的protocols：

• nacltai:基于curve25519xsalsa20poly1305的强健的加密方式，由NaCl 库提供加密接口
• nacl0: 基于curve25519xsalsa20poly1305的较弱加密方式，由NaCl 库提供加密接口
• raw: 不加密，原始数据包

1.2.        Interfaces

Interfaces 指定Sigma可执行文件的输入和输出接口。目前支持选项：

• udp: UDP 协议
• tuntap: TUN/TAP驱动接口，用于建立虚拟网卡

1.3.        本地和对端Interfaces

通常你需要两个interface：一个是本地的，一个是对端的。本地的interface是你的隧道入口，而一般对端interface就是隧道本身。因此，本地端通常是明文的，而对端是加密后的。 Sigma处理两个interface间的数据包传输和加密解密。 you <->local<-> protocol <-> remote <->......<-> remote <-> protocol <->local<-> peer  

1.4.        Protocol和Interfaces

通常，一个配置里有两个interface(一个本地的和一个对端的)，还有一个protocol。让我们看看一个典型的加密VPN设置：

• local tuntap interface
• nacltai protocol
• remote udp interface

这就配置了一个隧道，结果：

• 源自本地TUN/TAP 设备的数据包将会用nacltai加密，然后通过UDP发送出去P
• 通过UDP接收的数据包，将用nacltai解密，然后发送到你的 TUN/TAP设备

2. 编译安装

编译SigmaVPN，需要下载源码，然后执行源码包里提供的编译安装脚本 编译脚本用到了下面这些工具：

• curl 或 wget
• bzip2
• gcc, binutils and friends
• bash (编译脚本是bash语法写的，也可以自己改成其它shell)

2.1.        获取源码

稳定源码包一般经过测试后发布的，推荐使用。源码包发布在google code。 #wget http://sigmavpn.googlecode.com/files/sigmavpn-0.2.tar.gz 
#tar zxf sigmavpn-0.2.tar.gz 
#cd sigmavpn-0.2     开发者可以从GIT仓库获取最新的源码 #git clone https://code.google.com/p/sigmavpn/ 
#cd sigmavpn  

2.2.        编译

2.2.1.    加密方案

如果需要NACL加密接口，执行编译脚本时，带上--with-nacl参数即可。编译NACL将提供nacl0和nacltai加密方式，用于提高隧道的安全性。编译NACL比较耗时。NaCl库编译后，还提供了一个naclkeypair可执行文件，它可以生成随机密钥，以便建立加密隧道。 #sh build.sh --with-nacl

2.2.2.       明文方案

不带--with-nacl参数编译，那将不会编译NACL相关的库，也不能使用加密方案。 #sh build.sh  

2.3.        安装

执行下面命令，会编译将sigmavpn相关模块安装到系统目录中 #sudo sh install.sh

3. 配置项说明

Sigma配置文件是相当简单的INI格式。每一节表示一个会话，然后用一系列的键值对来描述相关的配置选项。

3.1.        常规选项

注意: SigmaVPN对配置文件(sigmavpn.conf)里的配置参数的顺序是敏感的。比如说：proto应该在其它proto_选项之前定义；local应该在其它local_选项之前定义；peer应该在其它peer_选项之前定义。 选项 可选值 描述 proto raw, nacl0, nacltai 设置加密/解密协议(Android 平台的SigmaVPN ，nacltai等价于TAI64) local tuntap, udp 设置本地使用的接口(通常是 tuntap). peer tuntap, udp 设置对端所用的接口(通常是 udp).

3.2.        nacl0/nacltai-特定选项

选项 可选值 描述 proto_privatekey 64-bit hex 您的私钥 (可以用 naclkeypair 工具生成；把私钥配置在这里，并把公钥发布给您的伙伴). proto_publickey 64-bit hex 公钥(您的同伴生成并发布的公钥，配置在这里).

3.3.        udp-特定选项

选项 可选值 描述 peer_remoteaddr IPv4/IPv6 地址 对端的通信IP地址 (对应对端的peer_localaddr 配置) peer_remoteport 1到65535 对端的UDP端口(对应对端的peer_localport配置项). peer_remotefloat 0 或1 接收正确加密的数据包时，自动更新远端的终端。这使得远端客户端在改变IP地址或端后，能够继续通过这个隧道通信。(如果您是在Android设备上用SigmaVPN 设置隧道，那么您可能需要用这个配置选项，而不是用peer_remoteaddr和peer_remoteport)。这个选项在0.2之后的版本可用，您可能需要获取最新的源码并重新编译才能启用这个配置项 peer_localaddr IPv4/IPv6 地址. 本地监听的IP地址 (对应对端配置的peer_remoteaddr ) peer_localport 1 到 65535 本地的UDP端口(对应对端配置的peer_remoteport ) peer_ipv6 0 或 1 指定UDP连接是否使用IPv6。关联的本地和远端的地址都必须是IPV6格式的。如果没有指定，那么假定使用IPV4 (请注意，这个选项设置的是隧道能否承载于IPV6之上，而不是说隧道内的交互能否使用IPV6)

3.4.        tuntap-特定选项

选项 可选值 描述 ocal_interface String 取决于OS，是一个合法的网卡设备名称 (比如Linux 2.6+的 mytunnel)， 或者是指向TUN或TAP设备的全路径(比如Mac OS X的 /dev/tun0). local_tunmode 0 or 1 是否使用3层TUN适配器，而不使用2层的TAP适配器 (仅适用于Linux 2.6+)。TUN适配器携带IP分组，而不是以太网帧。如果对方是使用SigmaVPN的Android客户端，那么这是必须的。 local_protocolinfo 0 or 1 使用TUN模式时，是否包含协议信息头域 (仅适用于Linux 2.6+)。如果您想在3层TUN隧道上同时携带IPV4和IPV6数据，那么这个选项是可选的，甚至可能是不必要的。如果对方是使用SigmaVPN 的Android 客户端，那么不要使用这个选项，即便是IPV6隧道。

3.5.        配置文件实例

[peername] proto = nacl0 proto_publickey = 1e22c6af59f23cd3c40464c29e307cbd616e3f6a743f17a33dd6bd0ae4c79e71 proto_privatekey = cf1d8756fdde0f73f0c06f7c3f4cf456c3d74596b9e559570cf27d8b34059121 local = tuntap local_interface = tap0 peer = udp peer_remoteaddr = 192.168.122.130 peer_remoteport = 4567 peer_localaddr = 192.168.122.180 peer_localport = 7654 Linux内核版本 2.6以后，local_interface 的配置值简化为一个直接的设备名称，比如 "tunnel"，也就是说不必配置完整路径

4.   配置安全隧道的步骤

4.1.        编译nacltai

检查您的模块文件里是否有proto_nacltai.o 文件和一个名为naclkeypair 的可执行文件。如果没有，那么带--with-nacl参数重新编译安装。

4.2.        建立配置文件

安装脚本会建立一个空的配置文件：/usr/local/etc/sigmavpn.conf 。打开这个文件，并输入以下模板的内容： [peername] 
proto = nacltai 
proto_publickey = 
proto_privatekey = 
local= tuntap 
local_interface =  
peer = udp 
peer_remoteaddr = 
peer_remoteport = 
peer_localaddr = 
peer_localport =

4.3.        生成并交换密钥

执行naclkeypair命令，就会生成两个密钥，一个私钥和一个公钥。把私钥写入配置文件里的proto_privatekey选项值，把公钥发布给您的伙伴。 同样，您的伙伴也需要生成一对密钥。您从伙伴那里获取他的公钥，并把它写入配置文件里的proto_publickey值。

4.4.        配置IP和端口

选择一个IP地址和端口，用于SigmaVPN 本地监听。配置项对应peer_localaddr 和 peer_localport，把地址和端口告知您的伙伴。 您的伙伴同样要告诉您，他的地址和端口，您需要把地址和商品配置为peer_remoteaddr 和 peer_remoteport的选项值。

4.5.        协商隧道类型

选定您的隧道类型。可以是 (2层/以太网) 或TUN (3层/IP):

• Linux: 如果使用TUN模式。需要把local_tunmode 选项值设为1，否则可以不设。如果希望使用多协议，比方说IPV6，那还需要设local_protocolinfo值为 1。
• Mac OS X:如果使用 TUN模式，那么 local_interface的值要配置为tnx设备的全路径，否则就配置为tapx设备的全路径。

4.6.        其他配置

• 用您选定的名字替换配置模版首行中的peername。这个名字不会影响会话建立，它纯粹是用于报告目的的。
• Linux: 需要一个虚拟网卡的名称，作为local_interface 选项的值。Sigmavpn会在系统中创建一张具有您所指定名字的虚拟网卡

4.7.        保存配置并运行SigmaVPN

把配置文件保存到一个指定的地方，比方说/usr/local/etc/sigmavpn.conf。 (/usr/local/etc/sigmavpn.conf 是sigmavpn缺省的配置文件，配置文件不是它，那么运行时需要-c 参数指定配置文件) 启动SigmaVPN: #sigmavpn -c "path/to/sigmavpn.conf"

4.8.        检查网卡并分配IP

运行ifconfig 检查网卡

• Linux: ifconfig interfacename
• Mac OS X: ifconfig tap0 or ifconfig tun0, etc.

如果看到虚拟网卡的信息，就可以为虚拟网卡分配IP了： #ifconfig interfacename 10.8.0.1/24     激活网卡： #ifconfig interfacename up     两边都配置好之后，就可以通过虚拟IP地址PING通隧道的对端了。