Avaleht » » Seadistage OpenVPN-iga oma privaatvõrk

Seadistage OpenVPN-iga oma privaatvõrk

  • Masin 1
  • Masin 2

    • Vultr pakub teile suurepärast privaatvõrguühendust samas kohas töötavate serverite jaoks. Kuid mõnikord soovite, et kaks serverit erinevates riikides / andmekeskused saaksid privaatselt ja turvaliselt suhelda. See õpetus näitab teile, kuidas seda OpenVPN-i abil saavutada. Siin kasutatavad operatsioonisüsteemid on Debian ja CentOS, et näidata teile kahte erinevat konfiguratsiooni. Seda saab hõlpsasti kohandada Debian -> Debian, Ubuntu -> FreeBSD ja nii edasi jaoks.

    • Masin 1: Debian, toimib serverina (asukoht: NL)
    • Masin 2: CentOS, toimib kliendina (asukoht: FR)

    Masin 1

    Alustage masinas 1, installides OpenVPN:

    apt-get install openvpn

    Seejärel kopeerige näidiskonfiguratsioon ja võtmete genereerimise tööriist easy-rsa, asukohta /etc/openvpn:

    cp -r /usr/share/doc/openvpn/examples/easy-rsa/ /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn

    Teie võtmete vaikeväärtused ei ole enam täpselt turvalised. Selle parandamiseks avage see /etc/openvpn/easy-rsa/2.0/varslemmiktekstiredaktoriga ja muutke järgmist rida:

    export KEY_SIZE=4096

    Järgmisena veenduge, et väärtused laaditakse teie praegusesse seansi, puhastage lõpuks olemasolevad võtmed ja looge oma sertifikaadi asutus.

    cd /etc/openvpn/easy-rsa/2.0
source ./vars
./clean-all
./build-ca

    Teilt küsitakse teavet. Muutke oma elu lihtsamaks, pakkudes teavet oma serveri kohta, näiteks selle kohta, kus see asub ja mis FQDN on/tuleb olema. See on kasulik, kui peate siluma probleeme:

    Country Name (2 letter code) [US]:NL
State or Province Name (full name) [CA]:-
Locality Name (eg, city) [SanFrancisco]:Vultr Datacenter NL
Organization Name (eg, company) [Fort-Funston]:-
Organizational Unit Name (eg, section) [changeme]:-
Common Name (eg, your name or your server's hostname) [changeme]:yourserver1.yourdomain.tld
Name [changeme]:-
Email Address [mail@host.domain]:youraddress@yourdomain.tld

    Teine vajadus on Diffie-Hellmani võtmevahetuse parameetrid. Need tuleb ka genereerida:

    ./build-dh

    Tähtis : build-dhkäsk on suhteliselt keeruline protsess, mis võib sõltuvalt teie serveri ressurssidest kesta kuni kümme minutit.

    Selle ühenduse turvalisuse edasiseks parandamiseks loome staatilise saladuse, mis tuleb levitada kõigi klientide vahel:

    mkdir /etc/openvpn/keys
openvpn --genkey --secret /etc/openvpn/keys/ta.key

    Nüüd saate serveri jaoks võtme genereerida:

    ./build-key-server server1

    See käsk küsib teatud teavet:

    Country Name (2 letter code) [US]:NL
State or Province Name (full name) [CA]:-
Locality Name (eg, city) [SanFrancisco]:Vultr Datacenter NL
Organization Name (eg, company) [Fort-Funston]:-
Organizational Unit Name (eg, section) [changeme]:-
Common Name (eg, your name or your server's hostname) [server1]:yourserver1.yourdomain.tld
Name [changeme]:-
Email Address [mail@host.domain]:youraddress@yourdomain.tld

    Viimane samm on allkirjastada äsja loodud sertifikaaditaotlus CA võtmega:

    1 out of 1 certificate requests certified, commit? [y/n]y

    Kopeerige vajalikud võtmed ja sertifikaadid eraldi kausta:

    cd /etc/openvpn/easy-rsa/2.0/keys
cp dh4096.pem ca.crt server1.crt server1.key /etc/openvpn/keys/
chmod 700 /etc/openvpn/keys
chmod 600 /etc/openvpn/keys/*

    Nüüd konfiguratsiooni jaoks pakkige see lahti ...

    cd /etc/openvpn
gunzip server.conf.gz

    ... ja avage saadud tulemus server.confoma lemmiktekstiredaktoriga. Konfiguratsioon peaks välja nägema sarnane:

    port 1194
proto udp
dev tun

ca keys/ca.crt
cert keys/server1.crt
key keys/server1.key 
dh keys/dh4096.pem
server 10.8.100.0 255.255.255.0
ifconfig-pool-persist ipp.txt

# Uncomment this if you have multiple clients
# and want them to be able to see each other
;client-to-client

keepalive 10 120
tls-auth keys/ta.key 0 

tls-cipher DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-AES128-SHA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
cipher AES-256-CBC
auth SHA384
comp-lzo

user nobody
group nogroup

persist-key
persist-tun
verb 3
mute 20

    Pärast teenuse taaskäivitamist peaksite oma logi veidi jälgima ...

    service openvpn restart && tail -f /var/log/syslog

    ... veendumaks, et kõik töötab. Kui vigu ei tuvastata, saate oma teise serveri võtmed genereerida:

    cd /etc/openvpn/easy-rsa/2.0
source ./vars
./build-key server2

    Jällegi küsitakse teilt teavet:

    Country Name (2 letter code) [US]:FR
State or Province Name (full name) [CA]:-
Locality Name (eg, city) [SanFrancisco]:Vultr Datacenter FR
Organization Name (eg, company) [Fort-Funston]:-
Organizational Unit Name (eg, section) [changeme]:-
Common Name (eg, your name or your server's hostname) 
[server2]:yourserver2.yourdomain.tld
Name [changeme]:-
Email Address [mail@host.domain]:youraddress@yourdomain.tld

    Nüüd peate oma teise serverisse edastama vajalikud failid, eelistatavalt krüpteeritult:

    cd /etc/openvpn/easy-rsa/2.0/keys
cp /etc/openvpn/keys/ta.key .
tar -cf vpn.tar ca.crt server2.crt server2.key ta.key
scp vpn.tar yourusername@server2:~/
rm vpn.tar

    Masin 2

    Aeg lülituda oma teise serveri SSH-ühendusele . Esimene samm on OpenVPN-i installimine ...

    yum install openvpn

    ... ja desaktiveerimiseks firewalld. Asendus on tavaline iptables.

    systemctl stop firewalld
systemctl disable firewalld

    Pakkige lahti äsja serverisse teisaldatud arhiiv ja määrake failidele õigesti õigused:

    cd /etc/openvpn
mkdir keys
chmod 700 keys
cd keys
tar -xf ~/vpn.tar -C .
chmod 600 *

    Looge /etc/openvpn/client.confoma lemmiktekstiredaktoriga. See peaks välja nägema selline:

    client
dev tun
proto udp

remote yourserver yourport
resolv-retry infinite
nobind
user nobody
group openvpn


persist-key
persist-tun

ca keys/ca.crt
cert keys/server2.crt
key keys/.key

ns-cert-type server
tls-auth keys/ta.key 1

tls-cipher DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-AES128-SHA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
cipher AES-256-CBC
auth SHA384

remote-cert-tls server

comp-lzo
verb 3
mute 20

    Viimane samm on teenuse käivitamine ja lubamine:

    systemctl start openvpn@client.service
systemctl enable openvpn@client.service

    Kui kõik töötab, ei tohiks teil olla probleeme esimese serveri pingimisega:

    PING 10.8.100.1 (10.8.100.1) 56(84) bytes of data.
64 bytes from 10.8.100.1: icmp_seq=1 ttl=64 time=17.8 ms
64 bytes from 10.8.100.1: icmp_seq=2 ttl=64 time=17.9 ms
64 bytes from 10.8.100.1: icmp_seq=3 ttl=64 time=17.8 ms

    Teil on nüüd privaatne Interneti-ühendus!

    Kui teil on vaja tõrkeotsingut teha, proovige logisid kontrollida järgmise käsuga:

    journalctl -xn

    Jäta kommentaar

    Masinate tõus: AI tegelikud rakendused

    Masinate tõus: AI tegelikud rakendused

    Tehisintellekt ei ole tulevik, see on siin, olevikus. Sellest blogist loe, kuidas tehisintellekti rakendused on mõjutanud erinevaid sektoreid.

    DDOS-i rünnakud: lühike ülevaade

    DDOS-i rünnakud: lühike ülevaade

    Kas olete ka DDOS-i rünnakute ohver ja olete segaduses ennetusmeetodite osas? Oma päringute lahendamiseks lugege seda artiklit.

    Kas olete kunagi mõelnud, kuidas häkkerid raha teenivad?

    Kas olete kunagi mõelnud, kuidas häkkerid raha teenivad?

    Võib-olla olete kuulnud, et häkkerid teenivad palju raha, kuid kas olete kunagi mõelnud, kuidas nad sellist raha teenivad? arutleme.

    Googlei revolutsioonilised leiutised, mis muudavad teie elu lihtsaks.

    Googlei revolutsioonilised leiutised, mis muudavad teie elu lihtsaks.

    Kas soovite näha Google'i revolutsioonilisi leiutisi ja seda, kuidas need leiutised muutsid iga inimese elu tänapäeval? Seejärel lugege ajaveebi, et näha Google'i leiutisi.

    Reede oluline osa: mis juhtus tehisintellektiga juhitavate autodega?

    Reede oluline osa: mis juhtus tehisintellektiga juhitavate autodega?

    Isejuhtivate autode kontseptsioon tehisintellekti abil teedele jõudmiseks on meil juba mõnda aega unistus. Kuid vaatamata mitmele lubadusele pole neid kusagil näha. Lisateabe saamiseks lugege seda ajaveebi…

    Tehnoloogiline singulaarsus: inimtsivilisatsiooni kauge tulevik?

    Tehnoloogiline singulaarsus: inimtsivilisatsiooni kauge tulevik?

    Kuna teadus areneb kiiresti, võttes üle suure osa meie jõupingutustest, suureneb ka oht, et allume seletamatule singulaarsusele. Loe, mida singulaarsus meie jaoks tähendada võiks.

    Suurandmete viitearhitektuuri kihtide funktsioonid

    Suurandmete viitearhitektuuri kihtide funktsioonid

    Lugege ajaveebi, et kõige lihtsamal viisil teada saada Big Data Architecture'i erinevaid kihte ja nende funktsioone.

    Andmesalvestuse areng – infograafik

    Andmesalvestuse areng – infograafik

    Andmete säilitamise meetodid on arenenud alates andmete sünnist. See ajaveeb käsitleb infograafiku alusel andmete salvestamise arengut.

    6 hämmastavat eelist nutikate koduseadmete olemasolust meie elus

    6 hämmastavat eelist nutikate koduseadmete olemasolust meie elus

    Selles digipõhises maailmas on nutikad koduseadmed muutunud elu oluliseks osaks. Siin on mõned nutikate koduseadmete hämmastavad eelised, mis muudavad meie elu elamisväärseks ja lihtsamaks.

    macOS Catalina 10.15.4 täienduse värskendus põhjustab rohkem probleeme kui lahendamine

    macOS Catalina 10.15.4 täienduse värskendus põhjustab rohkem probleeme kui lahendamine

    Hiljuti andis Apple välja macOS Catalina 10.15.4 täiendusvärskenduse probleemide lahendamiseks, kuid tundub, et värskendus põhjustab rohkem probleeme, mille tulemuseks on Maci masinate tellimine. Lisateabe saamiseks lugege seda artiklit