Kako stvoriti OpenVPN poslužitelj na Ubuntu 16.04

Uvod

OpenVPN je siguran VPN koji koristi SSL (Secure Socket Layer) i nudi širok raspon značajki. U ovom vodiču ćemo pokriti proces instaliranja OpenVPN-a na Ubuntu 16 korištenjem easy-rsa hostiranog tijela za izdavanje certifikata.

Instalirati

Da bismo započeli, trebaju nam instalirani neki paketi:

sudo su
apt-get update
apt-get install openvpn easy-rsa

Tijelo za izdavanje certifikata

OpenVPN je SSL VPN, što znači da djeluje kao Certificate Authority kako bi šifrirao promet između obje strane.

Postaviti

Možemo započeti s postavljanjem tijela za izdavanje certifikata našeg OpenVPN poslužitelja tako što ćemo pokrenuti sljedeću naredbu:

make-cadir ~/ovpn-ca

Sada se možemo prebaciti u naš novo kreirani direktorij:

cd ~/ovpn-ca

Konfigurirati

Otvorite datoteku s nazivom varsi pogledajte sljedeće parametre:

export KEY_COUNTRY="US"
export KEY_PROVINCE="NJ"
export KEY_CITY="Matawan"
export KEY_ORG="Your Awesome Organization"
export KEY_EMAIL="me@your_awesome_org.com"
export KEY_OU="YourOrganizationUnit"

I uredite ih prema vlastitim vrijednostima. Također moramo potražiti i urediti sljedeći redak:

export KEY_NAME="server"

Izgraditi

Sada možemo početi graditi naše tijelo za izdavanje certifikata izvođenjem sljedeće naredbe:

./clean-all
./build-ca

Dovršavanje ovih naredbi može potrajati nekoliko minuta.

Ključ poslužitelja

Sada možemo početi graditi ključ našeg poslužitelja izvođenjem sljedeće naredbe:

./build-key-server server

Dok bi serverpolje trebalo zamijeniti s koje KEY_NAMEsmo varsranije postavili u datoteci. U našem slučaju možemo zadržati server.

Proces izrade ključa našeg poslužitelja mogao bi postaviti nekoliko pitanja, poput isteka samog ključa. Na sva ova pitanja odgovaramo sa y.

Jaki ključ

U sljedećem koraku kreiramo jak Diffie-Hellmanključ koji će se koristiti tijekom razmjene naših ključeva. Upišite sljedeću naredbu da biste je stvorili:

./build-dh

HMAC

Sada možemo stvoriti HMAC potpis za jačanje provjere TLS integriteta poslužitelja:

openvpn --genkey --secret keys/ta.key

Generirajte klijentski ključ

./build-key client

Konfigurirajte poslužitelj

Nakon što uspješno kreiramo vlastito tijelo za izdavanje certifikata, možemo početi s kopiranjem svih potrebnih datoteka i konfiguriranjem samog OpenVPN-a. Sada ćemo kopirati generirane ključeve i certifikate u naš OpenVPN direktorij:

cd keys
cp ca.crt ca.key server.crt server.key ta.key dh2048.pem /etc/openvpn
cd ..

Nakon toga možemo kopirati primjer OpenVPN konfiguracijske datoteke u naš OpenVPN direktorij pokretanjem sljedeće naredbe:

gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | tee /etc/openvpn/server.conf

Uredite konfiguraciju

Sada možemo početi uređivati ​​našu konfiguraciju kako bi odgovarala našim potrebama. Otvorite datoteku /etc/openvpn/server.confi dekomentirajte sljedeće retke:

push "redirect-gateway def1 bypass-dhcp"
user nobody
group nogroup
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
tls-auth ta.key 0

Također moramo dodati novu liniju u našu konfiguraciju. Stavite sljedeću liniju ispod tls-authcrte:

key-direction 0

Dopusti prosljeđivanje

Budući da želimo našim klijentima omogućiti pristup internetu putem našeg poslužitelja, otvaramo sljedeću datoteku /etc/sysctl.confi dekomentiramo ovaj redak:

net.ipv4.ip_forward=1

Sada moramo primijeniti promjene:

sysctl -p

NAT

Kako bismo našim VPN klijentima omogućili pristup internetu, također moramo stvoriti NAT pravilo. Ovo pravilo je kratki jedan redak koji izgleda ovako:

iptables -t nat -A POSTROUTING -s 10.8.0.0/16 -o eth0 -j MASQUERADE

Početak

Sada možemo pokrenuti naš OpenVPN poslužitelj i pustiti klijente da se povežu upisivanjem sljedećeg ključa:

service openvpn start

Zaključak

Ovim je naš vodič završen. Uživajte u svom novom OpenVPN poslužitelju!