Как да създадете OpenVPN сървър на Ubuntu 16.04

Въведение

OpenVPN е защитен VPN, който използва SSL (Secure Socket Layer) и предлага широк спектър от функции. В това ръководство ще покрием процеса на инсталиране на OpenVPN на Ubuntu 16, използвайки easy-rsa хостван сертифициращ орган.

Инсталирай

За да започнем, имаме нужда от инсталирани някои пакети:

sudo su
apt-get update
apt-get install openvpn easy-rsa

Сертифициращ орган

OpenVPN е SSL VPN, което означава, че действа като сертифициращ орган, за да криптира трафика между двете страни.

Настройвам

Можем да започнем с настройката на сертифициращия орган на нашия OpenVPN сървър, като изпълним следната команда:

make-cadir ~/ovpn-ca

Вече можем да превключим в нашата прясно създадена директория:

cd ~/ovpn-ca

Конфигуриране

Отворете файла с името varsи разгледайте следните параметри:

export KEY_COUNTRY="US"
export KEY_PROVINCE="NJ"
export KEY_CITY="Matawan"
export KEY_ORG="Your Awesome Organization"
export KEY_EMAIL="me@your_awesome_org.com"
export KEY_OU="YourOrganizationUnit"

И ги редактирайте с вашите собствени стойности. Също така трябва да потърсим и редактираме следния ред:

export KEY_NAME="server"

Изграждане

Вече можем да започнем да изграждаме нашия сертифициращ орган, като изпълним следната команда:

./clean-all
./build-ca

Завършването на тези команди може да отнеме няколко минути.

Сървър-ключ

Сега можем да започнем да изграждаме ключа на нашия сървър, като изпълним следната команда:

./build-key-server server

Докато serverполето трябва да бъде заменено с KEY_NAMEние зададохме във varsфайла по-рано. В нашия случай можем да запазим server.

Процесът на изграждане на ключа на нашия сървър може да зададе няколко въпроса, като изтичането на самия него. Отговаряме на всички тези въпроси с y.

Силен ключ

В следващата стъпка създаваме силен Diffie-Hellmanключ, който ще се използва по време на обмена на нашите ключове. Въведете следната команда, за да създадете такава:

./build-dh

HMAC

Вече можем да създадем HMAC подпис, за да подсилим проверката на TLS целостта на сървъра:

openvpn --genkey --secret keys/ta.key

Генерирайте клиентски ключ

./build-key client

Конфигурирайте сървъра

След като успешно създадем собствен сертифициращ орган, можем да започнем с копирането на всички необходими файлове и конфигурирането на самия OpenVPN. Сега ще копираме генерираните ключове и сертификати в нашата OpenVPN директория:

cd keys
cp ca.crt ca.key server.crt server.key ta.key dh2048.pem /etc/openvpn
cd ..

След това можем да копираме примерен конфигурационен файл на OpenVPN в нашата OpenVPN директория, като изпълним следната команда:

gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | tee /etc/openvpn/server.conf

Редактирайте конфигурацията

Вече можем да започнем да редактираме нашата конфигурация, за да отговаря на нашите нужди. Отворете файла /etc/openvpn/server.confи разкоментирайте следните редове:

push "redirect-gateway def1 bypass-dhcp"
user nobody
group nogroup
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
tls-auth ta.key 0

Също така трябва да добавим нов ред към нашата конфигурация. Поставете следния ред под tls-authреда:

key-direction 0

Разрешаване на препращане

Тъй като искаме да позволим на нашите клиенти да имат достъп до Интернет чрез нашия сървър, ние отваряме следния файл /etc/sysctl.confи декоментираме този ред:

net.ipv4.ip_forward=1

Сега трябва да приложим промените:

sysctl -p

NAT

За да осигурим достъп до Интернет на нашите VPN клиенти, ние също трябва да създадем NAT правило. Това правило е кратък едноред, който изглежда така:

iptables -t nat -A POSTROUTING -s 10.8.0.0/16 -o eth0 -j MASQUERADE

Започнете

Вече можем да стартираме нашия OpenVPN сървър и да позволим на клиентите да се свързват, като напишете следния ключ:

service openvpn start

Заключение

Това завършва нашия урок. Насладете се на новия си OpenVPN сървър!