OpenVPN-palvelimen luominen Ubuntu 16.04:ssä

Johdanto

OpenVPN on suojattu VPN, joka käyttää SSL:ää (Secure Socket Layer) ja tarjoaa laajan valikoiman ominaisuuksia. Tässä oppaassa käsittelemme OpenVPN:n asennusprosessia Ubuntu 16:een käyttämällä easy-rsa-isännöityä varmenneviranomaista.

Asentaa

Aloittaaksemme tarvitsemme joitain paketteja asennettuna:

sudo su
apt-get update
apt-get install openvpn easy-rsa

Varmenteen myöntäjä

OpenVPN on SSL VPN, mikä tarkoittaa, että se toimii varmenteen myöntäjänä salatakseen liikenteen molempien osapuolten välillä.

Perustaa

Voimme aloittaa OpenVPN-palvelimemme varmenteen myöntäjän määrittämisellä suorittamalla seuraavan komennon:

make-cadir ~/ovpn-ca

Voimme nyt siirtyä tuoreeseen luotuun hakemistoomme:

cd ~/ovpn-ca

Määritä

Avaa tiedosto nimellä varsja katso seuraavat parametrit:

export KEY_COUNTRY="US"
export KEY_PROVINCE="NJ"
export KEY_CITY="Matawan"
export KEY_ORG="Your Awesome Organization"
export KEY_EMAIL="me@your_awesome_org.com"
export KEY_OU="YourOrganizationUnit"

Ja muokkaa niitä omilla arvoillasi. Meidän on myös etsittävä ja muokattava seuraava rivi:

export KEY_NAME="server"

Rakentaa

Voimme nyt aloittaa varmenteen myöntäjän rakentamisen suorittamalla seuraavan komennon:

./clean-all
./build-ca

Näiden komentojen suorittaminen voi kestää muutaman minuutin.

Palvelin-avain

Nyt voimme aloittaa palvelimemme avaimen rakentamisen suorittamalla seuraavan komennon:

./build-key-server server

Vaikka serverkenttä tulisi korvata tiedostossa aiemmin KEY_NAMEmääritetyllä kentällä vars. Meidän tapauksessamme voimme pitää server.

Palvelimemme avaimen rakennusprosessi saattaa kysyä muutamia kysymyksiä, kuten itsensä vanhenemisesta. Vastaamme kaikkiin näihin kysymyksiin y.

Vahva avain

Seuraavassa vaiheessa luomme vahvan Diffie-Hellmanavaimen, jota käytetään avaimien vaihdon aikana. Kirjoita seuraava komento luodaksesi sellaisen:

./build-dh

HMAC

Voimme nyt luoda HMAC-allekirjoituksen vahvistaaksemme palvelimen TLS-eheyden vahvistusta:

openvpn --genkey --secret keys/ta.key

Luo asiakasavain

./build-key client

Määritä palvelin

Kun olemme luoneet oman varmenteen myöntäjän onnistuneesti, voimme aloittaa kopioimalla kaikki tarvittavat tiedostot ja määrittämällä itse OpenVPN:n. Nyt aiomme kopioida luodut avaimet ja varmenteet OpenVPN-hakemistoomme:

cd keys
cp ca.crt ca.key server.crt server.key ta.key dh2048.pem /etc/openvpn
cd ..

Jälkeenpäin voimme kopioida esimerkki OpenVPN-määritystiedoston OpenVPN-hakemistoomme suorittamalla seuraavan komennon:

gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | tee /etc/openvpn/server.conf

Muokkaa asetusta

Voimme nyt alkaa muokata asetuksiamme tarpeisiimme sopivaksi. Avaa tiedosto /etc/openvpn/server.confja poista kommentit seuraavista riveistä:

push "redirect-gateway def1 bypass-dhcp"
user nobody
group nogroup
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
tls-auth ta.key 0

Meidän on myös lisättävä uusi rivi kokoonpanoomme. Aseta seuraava rivi rivin alle tls-auth:

key-direction 0

Salli edelleenlähetys

Koska haluamme antaa asiakkaillemme pääsyn Internetiin palvelimemme kautta, avaamme seuraavan tiedoston /etc/sysctl.confja poistamme tämän rivin kommentin:

net.ipv4.ip_forward=1

Nyt meidän on otettava muutokset käyttöön:

sysctl -p

NAT

Jotta voimme tarjota Internet-yhteyden VPN-asiakkaillemme, meidän on myös luotava NAT-sääntö. Tämä sääntö on lyhyt yksilinjainen, joka näyttää tältä:

iptables -t nat -A POSTROUTING -s 10.8.0.0/16 -o eth0 -j MASQUERADE

alkaa

Voimme nyt käynnistää OpenVPN-palvelimemme ja antaa asiakkaiden muodostaa yhteyden kirjoittamalla seuraavan avaimen:

service openvpn start

Johtopäätös

Tämä päättää opetusohjelmamme. Nauti uudesta OpenVPN-palvelimestasi!