Az openvpn kiszolgáló telepítése és konfigurálása a debian - debian segítségével
otthon # 149; Cikkek # 149; Az OpenVPN kiszolgáló telepítése és konfigurálása a Debianban
A szakaszok listája
A VPN (virtuális magánhálózat) virtuális magánhálózat. VPN - olyan rendszer, amely lehetővé teszi egy olyan virtuális hálózat megszervezését, amely több távoli hálózatot egyetlen egészben összekapcsol egy harmadik fél hálózatán keresztül, amely egyidejűleg nem nyújt biztonságot. Például az ágak hálózatainak összekapcsolása az interneten keresztül. A biztonság és a megbízhatóság titkosítással történik.
Miért van szükség VPN-kiszolgálóra? A professzionális verzióban - a kiszolgáló vagy a hálózat biztonságos eléréséhez több szerverrel vagy működő számítógéppel. A felhasználók internet-hozzáférést és laptopot az irodájukban működő munkaeszközökkel vagy a rendszergazdák hozzáférését a szerver helyi hálózatán található távoli munkahelyeken lévő kiszolgálókhoz szervezheti a világ bármely pontjáról a világ bármely pontjáról.
Egy sokkal kevésbé professzionális verzióban - zárt helyek elérését az irodából. Ha a gonosz admin zárt hozzáférést a kívánt webhely, és ugyanakkor teljesen véletlenül van egy otthoni szerver fut Debian 6, akkor beállíthatja a VPN-alagút munkámmal gép VPN-szerver otthonában, és élvezze az internet korlátozás nélkül.
Ebben az útmutatóban, akkor létrehoz egy VPN alapján OpenVPN Linux Debian 6 vezetés is a szövegben adott hosszú részleteket a log úgy, hogy amikor beállítja az első alkalommal nem tudom, hogyan kell kinéznie, mint a normál tartalmát a napló. Azt is elvárjuk, hogy már létrehozta a hálózatot.
A második parancs nem adott semmilyen kimenetet a kiszolgálón, de a VPN nem hagyta abba.
Az OpenVPN kiszolgáló telepítése
Feltételezzük, hogy a szerveren minden művelet a gyökérből készült.
Ennek eredményeként a kiszolgáló a következő szoftververziókat használta: Debian 6.0.7, OpenVPN 2.1.3-2, OpenSSL 0.9.8o
Kulcsgenerálás
Hozzon létre egy könyvtárat a kulcsokhoz:
Ebben a programban a segédprogramokat és a konfigurációkat a kulcsokkal való munkához másoljuk:
UPD. Ha az OpenVPN és az easy-rsa új verziója van a szállítmányban, akkor a következő hibaüzenet jelenhet meg:
cp: nem lehet stat '/usr/share/doc/openvpn/examples/easy-rsa/2.0/*': Nincs ilyen fájl vagy könyvtár
Ne félj. Elég, ha telepíteni szeretné az adattárból:
és másolja a fájlokat egy másik könyvtárból:
Ez úgy történik, hogy az OpenVPN-kiszolgáló frissítése után az elvégzett módosítások nem kerülnek felülírásra.
Menjen erre a könyvtárra:
A vars fájlban konfigurálja a kulcsparamétereket:
Csak a következő blokkot érdekli:
Váltunk valami hasonlóra:
A régebbi kulcsok és szerver kulcsok régi tanúsítványokból és kulcsokból törölhetők:
1024 bites RSA privát kulcs létrehozása
. ++++++
. ++++++
új magánkulcs írása a "ca.key"
-----
Arra fogják kérni, hogy adja meg a beillesztendő információkat
a tanúsítványkérelmére.
Mi a neve egy Megkülönböztető névnek vagy egy DN-nek?
Van néhány területen, de hagyhatsz néhányat
Egyes mezők esetén alapértelmezett érték lesz,
Ha megadja a '.' Mezőt, akkor a mező üresen marad.
-----
Országnév (2 betűs kód) [RU]:
Állam vagy tartomány neve (teljes név) [Leningradskaya]:
Helység neve (pl. Város) [SaintPetersburg]:
Szervezet neve (pl. Cég) [cég]:
Szervezeti egység neve (pl. Szakasz) []:
Közönséges név (pl. Neve vagy kiszolgáló host neve) [Ügyfél CA]: debugálás
Név []: vasya
E-mail cím [[email protected]]:
A szögletes zárójelek az alapértelmezett értékeket jelzik, amelyeket a vars fájlban megadott. Ilyen sorokban csak nyomjuk meg az "Enter" gombot.
Szerver kulcs létrehozása:
1024 bites RSA privát kulcs létrehozása
. ++++++
. ++++++
új magánkulcs írása a 'server.key'
-----
Arra fogják kérni, hogy adja meg a beillesztendő információkat
a tanúsítványkérelmére.
Mi a neve egy Megkülönböztető névnek vagy egy DN-nek?
Van néhány területen, de hagyhatsz néhányat
Egyes mezők esetén alapértelmezett érték lesz,
Ha megadja a '.' Mezőt, akkor a mező üresen marad.
-----
Országnév (2 betűs kód) [RU]:
Állam vagy tartomány neve (teljes név) [Leningradskaya]:
Helység neve (pl. Város) [SaintPetersburg]:
Szervezet neve (pl. Cég) [cég]:
Szervezeti egység neve (pl. Szakasz) []:
Közönséges név (pl. Neve vagy kiszolgáló host neve) [kiszolgáló]:
Név []:
E-mail cím [[email protected]]:
Kérjük, adja meg a következő "extra" attribútumokat
hogy elküldjük a tanúsítványt
A kihívás jelszava []:
Opcionális cégnév []:
A konfiguráció használata a /etc/openvpn/easy-rsa/openssl.cnf címen
Ellenőrizze, hogy a kérés megfelel-e az aláírásnak
Aláírás rendben
A Tárgy megkülönböztetett neve a következő
országName: PRINTABLE: "RU"
stateOrProvinceName: PRINTABLE: "Leningradskaya"
localityName: PRINTABLE: 'SaintPetersburg'
szervezetName: PRINTABLE: "cég"
commonName: PRINTABLE: 'szerver'
emailAddress: IA5STRING: '[email protected]'
A tanúsítványt ki kell igazítani, amíg március 24-én 14:50:43 2023 GMT (3650 nap)
Aláírja a tanúsítványt? [y / n]: y
1-ből 1 tanúsítványkérelmek hitelesítettek, elkötelezzék? [y / n] y
Írj ki adatbázisot 1 új bejegyzéssel
Adatbázis frissítve
A folyamat során beállíthatja a tanúsítvány jelszavát a nagyobb biztonság érdekében.
Generálja az ügyfél-tanúsítványt:
1024 bites RSA privát kulcs létrehozása
. ++++++
. ++++++
új magánkulcs írása a "user.key"
-----
Arra fogják kérni, hogy adja meg a beillesztendő információkat
a tanúsítványkérelmére.
Mi a neve egy Megkülönböztető névnek vagy egy DN-nek?
Van néhány területen, de hagyhatsz néhányat
Egyes mezők esetén alapértelmezett érték lesz,
Ha megadja a '.' Mezőt, akkor a mező üresen marad.
-----
Országnév (2 betűs kód) [RU]:
Állam vagy tartomány neve (teljes név) [LO]:
Helység neve (pl. Város) [SaintPetersburg]:
Szervezet neve (pl. Cég) [cég]:
Szervezeti egység neve (pl. Szakasz) []:
Közönséges név (pl. Neve vagy kiszolgáló host neve) [felhasználó]:
Név []:
E-mail cím [[email protected]]:
Kérjük, adja meg a következő "extra" attribútumokat
hogy elküldjük a tanúsítványt
A kihívás jelszava []:
Opcionális cégnév []:
A konfiguráció használata a /etc/openvpn/easy-rsa/openssl.cnf címen
Ellenőrizze, hogy a kérés megfelel-e az aláírásnak
Aláírás rendben
A Tárgy megkülönböztetett neve a következő
országName: PRINTABLE: "RU"
stateOrProvinceName: PRINTABLE: 'LO'
localityName: PRINTABLE: 'SaintPetersburg'
szervezetName: PRINTABLE: "cég"
commonName: PRINTABLE: 'felhasználó'
emailAddress: IA5STRING: '[email protected]'
A tanúsítványt 2005. március 28-ig 13:30:46 óráig kell hitelesíteni 2023 GMT (3650 nap)
Aláírja a tanúsítványt? [y / n]: y
1-ből 1 tanúsítványkérelmek hitelesítettek, elkötelezzék? [y / n] y
Írj ki adatbázisot 1 új bejegyzéssel
Adatbázis frissítve
Ha VPN-t hoz létre a vállalati hálózathoz, ne hagyja figyelmen kívül a jelszavakat. Szintén minden ügyfélnek külön kulcsokat kell létrehoznia. Ugyanakkor több kulcsszóhoz is használhat egy kulcsot, de ennek a verziónak hátrányai vannak.
Ne feledje, hogy a kiszolgáló és az ügyfél közös nevének mezőknek különbözniük kell.
Mi generáljuk a Diffie-Hellman kulcsot:
DH-paraméterek létrehozása, 1024 bites hosszú biztonságos elsődleges, 2. generátor
Ez sokáig tart
Végül a tls-hitelesítés utolsó kulcsa:
Ezután az / etc / openvpn / easy-rsa / keys / könyvtárban elegendő számú fájlt hoztak létre, amelyek közül néhány szükséges a kiszolgáló és néhány az ügyfél számára.
Másolja a kiszolgáló kulcsokat az / etc / openvpn könyvtárba:
Az ügyfélnek szüksége lesz a következő kulcsokra:
user.crt
user.key
ca.crt
ta.key
A key ta.key szükséges a tls hitelesítéshez, amelyet a második szakaszban fogunk konfigurálni.
Az OpenVPN kiszolgáló konfigurálása
Az alapvető konfigurációs fájl a következőképpen érhető el:
A VPN kiszolgáló konfigurációs fájljának szabályozása a Debianban:
A következő paramétereket állítottuk be:
Ezek miatt a paraméterek, úgy döntünk, port, protokoll, a kapcsolat típusát adja bizonyítványok kérés VPN-hálózati beállításokat, adja meg a fájl, amelyben tárolni a kapcsolat beállításait (így vissza tudja állítani őket, miután az ügyfél visszakapcsolás), meg a paramétereit fenntartása a kapcsolatot, kérjük, használja a tömörítés továbbított adatok meghatározza a szerver újraindítás nem csatlakozik a források rendelkezésre állhatnak csökkenése miatt a kiváltságokat, kérés állapotát a fájlt (amely információkat tartalmaz a csatlakoztatott ügyfelek), a log fájlt, és a szint hallgatólagos bnosti hibakeresési információkat.
Ha több hibakeresési információra van szüksége, akkor az igeparamétert legfeljebb 9 értékre állíthatja be. A legtöbb esetben 5 vagy legfeljebb 6 értéket kell megadnia.
Ezután indítsa el a szervert a parancssorból az ellenőrzéshez:
Bár valószínűleg az openvpn telepítése után a démon már fut, és nem zavarja meg nekünk, meg kell állítani:
Ha minden rendben van, a kiszolgálónak a naplóba való elindítása után az alábbiakról kell szólnia:
Az OpenVPN ügyfél konfigurálása
Az Ubuntu alapú Linux Mint 14 disztribúciót használtam, amely viszont a Debianon alapul. Az ügyfélen a műveleteket egy szellemi tulajdonos alatt hajtották végre, a sudo paranccsal.
Emlékeztetlek, az ügyfélnek át kell adnia az alábbi kulcsokat:
Ezután az ügyfélgépen helyezze őket az / etc / openvpn / könyvtárba.
Másolja a fájlt a hozzávetőleges ügyfélkonfigurációval a kívánt könyvtárba:
Az alábbiakban felsoroljuk azokat az alapvető irányelveket, amelyek lehetővé teszik, hogy csatlakozzon egy korábban konfigurált szerverhez:
Ezt követően, ha minden rendben van, akkor semmi sem jelenhet meg a konzolban, és a parancssor kérései nem jelennek meg. A következőket az ügyfél /var/log/openvpn.log fájlban kell megjeleníteni:
A kiszolgálónaplóhoz a következő kerül hozzáadásra:
A Debianban lévő OpenVPN kiszolgálót minimálisra állítottuk, és ellenőriztük a teljesítményét. Továbbra is hozzá kell adnia a tls-titkosítást, és be kell vonnia az ügyfelek forgalmát a VPN-kiszolgálón.
TBS titkosítás hozzáadása
A kiszolgálón írja be az /etc/openvpn/server.conf fájlt:
Az ügyfél az /etc/openvpn/client.conf fájlban:
Valójában a különbség csak az első sorban van. A kiszolgálón a sor végén a nullára állítottunk, a kliensen.
Ismét csatlakozni, ping a 10.8.0.1. Ha a ping megy, akkor minden rendben van.
Ha a VPN-kiszolgáló újraindul, akkor az ügyfélszámlához való csatlakozás után a következő kb.
Ahogy láthatja, a vonalat a billentyűs kulcsról tartalmazta. szintén megváltoztak a cipherre vonatkozó sorok is.
Az összes forgalmat a VPN-kiszolgálóra csomagoljuk
A konfigurációs fájlnak csak a szerveren kell lennie. A következő sorokat adjuk hozzá:
Az első sor az alapértelmezett átjárót módosítja a VPN-kiszolgálóra beállított értékre. A kapcsolat megszakítása után az ügyfélnél beállított átjáró visszakerül.
A második sor megadja a DNS-kiszolgálót, amelyet a VPN-kiszolgálóhoz való csatlakozás után kell használni.
Szintén meg kell adnunk a kiszolgálón egy szabályt, amely a forgalmat a VPN-kiszolgáló hálózatról a helyi hálózatra vagy az ISP-hálózatra irányítja. A debian-ban ez szabályozható az iptables számára:
Mostantól az openvpn-kiszolgáló és az ügyfél általában:
Az egyetlen kellemetlenség, amikor elindítja a démont az ügyfélről, folyamatosan támogatja a VPN-kapcsolat. Elolvashatja, hogyan tilthatja le a démon automatikus leállítását a Debian indításának kezeléséről szóló cikkében.
Ha Linux-ot használ a munkahelyi számítógépről, akkor a modult a Network-Manager segítségével használhatja a VPN-hez való egyszerű csatlakozáshoz.
További lehetőségek
client-to-client-lehetővé teszi a VPN-kiszolgáló ügyfelek számára, hogy kommunikáljanak egymással.
duplikátum-cn - a paramétert hozzá kell adni, ha ugyanazokat a kulcsokat hozta létre minden ügyfél számára, de az ügyfeleket különböző közös név képviseli.
max-clients 100 - korlátozza az egyidejűleg kapcsolódó ügyfelek maximális számát
A linux-rendszerek biztonságának növelése érdekében csökkentheti a VPN-kiszolgáló jogát:
UPD. Ha végül is problémája van a NAT és a TUN eszközzel, akkor kapcsolja be a továbbításhoz szükséges támogatást. Ehhez állítsa be a következő paramétert az /etc/sysctl.conf fájlban:
majd alkalmazza a parancsot: