OpenVPN-serveri loomine Ubuntu 16.04-s

Sissejuhatus

OpenVPN on turvaline VPN, mis kasutab SSL-i (Secure Socket Layer) ja pakub laia valikut funktsioone. Selles juhendis käsitleme OpenVPN-i installimise protsessi Ubuntu 16-le, kasutades easy-rsa hostitud sertifitseerimisasutust.

Installige

Alustamiseks on meil vaja installida mõned paketid:

sudo su
apt-get update
apt-get install openvpn easy-rsa

Sertifikaat

OpenVPN on SSL VPN, mis tähendab, et see toimib sertifitseerimisasutusena, et krüpteerida liiklust mõlema poole vahel.

Seadistamine

Saame alustada oma OpenVPN-i serveri sertifitseerimiskeskuse seadistamisega, käivitades järgmise käsu:

make-cadir ~/ovpn-ca

Nüüd saame lülituda meie värskelt loodud kataloogi:

cd ~/ovpn-ca

Seadistage

Avage nimega fail varsja vaadake järgmisi parameetreid:

export KEY_COUNTRY="US"
export KEY_PROVINCE="NJ"
export KEY_CITY="Matawan"
export KEY_ORG="Your Awesome Organization"
export KEY_EMAIL="me@your_awesome_org.com"
export KEY_OU="YourOrganizationUnit"

Ja redigeerige neid oma väärtustega. Samuti peame otsima ja muutma järgmist rida:

export KEY_NAME="server"

Ehitada

Nüüd saame alustada oma sertifitseerimisasutuse loomist, käivitades järgmise käsu:

./clean-all
./build-ca

Nende käskude täitmiseks võib kuluda mõni minut.

Serveri võti

Nüüd saame alustada oma serveri võtme loomist, käivitades järgmise käsu:

./build-key-server server

Kuigi serverväli tuleks asendada failiga, mille KEY_NAMEoleme varsvarem failis määranud . Meie puhul võime säilitada server.

Meie serveri võtme koostamisprotsess võib esitada mõned küsimused, näiteks enda aegumise kohta. Kõigile neile küsimustele vastame y.

Tugev võti

Järgmises etapis loome tugeva Diffie-Hellmanvõtme, mida kasutatakse meie võtmete vahetamisel. Selle loomiseks tippige järgmine käsk:

./build-dh

HMAC

Nüüd saame luua HMAC-allkirja, et tugevdada serveri TLS-i terviklikkuse kontrolli.

openvpn --genkey --secret keys/ta.key

Looge kliendivõti

./build-key client

Seadistage server

Kui oleme oma sertifitseerimisasutuse edukalt loonud, saame alustada kõigi vajalike failide kopeerimisega ja OpenVPN-i enda konfigureerimisega. Nüüd kopeerime loodud võtmed ja sertifikaadid meie OpenVPN-i kataloogi:

cd keys
cp ca.crt ca.key server.crt server.key ta.key dh2048.pem /etc/openvpn
cd ..

Seejärel saame kopeerida OpenVPN-i konfiguratsioonifaili näidisfaili meie OpenVPN-i kataloogi, käivitades järgmise käsu:

gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | tee /etc/openvpn/server.conf

Muutke konfiguratsiooni

Nüüd saame hakata oma konfiguratsiooni oma vajadustele vastavaks muutma. Avage fail /etc/openvpn/server.confja tühjendage järgmiste ridade kommentaarid:

push "redirect-gateway def1 bypass-dhcp"
user nobody
group nogroup
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
tls-auth ta.key 0

Samuti peame oma konfiguratsioonile lisama uue rea. Asetage rea alla järgmine tls-authrida:

key-direction 0

Luba edastamine

Kuna tahame lubada oma klientidel meie serveri kaudu Internetti juurde pääseda, avame järgmise faili /etc/sysctl.confja eemaldame selle rea kommentaarid:

net.ipv4.ip_forward=1

Nüüd peame rakendama muudatusi:

sysctl -p

NAT

VPN-i klientidele Interneti-juurdepääsu pakkumiseks peame looma ka NAT-reegli. See reegel on lühike ühekihiline, mis näeb välja järgmine:

iptables -t nat -A POSTROUTING -s 10.8.0.0/16 -o eth0 -j MASQUERADE

Alusta

Nüüd saame käivitada oma OpenVPN-serveri ja lasta klientidel ühenduse luua, sisestades järgmise võtme:

service openvpn start

Järeldus

Sellega meie õpetus lõpeb. Nautige oma uut OpenVPN-i serverit!