Állítsa be saját magánhálózatát az OpenVPN segítségével

A Vultr nagyszerű privát hálózati kapcsolatot kínál az ugyanazon a helyen futó szerverekhez. Néha azonban azt szeretné, hogy két különböző országban lévő szerver/adatközpont privát és biztonságos módon tudjon kommunikálni. Ez az oktatóanyag megmutatja, hogyan érheti el ezt az OpenVPN segítségével. Az itt használt operációs rendszerek a Debian és a CentOS, csak hogy megmutassunk két különböző konfigurációt. Ez könnyen adaptálható Debian -> Debian, Ubuntu -> FreeBSD és így tovább.

• 1. gép: Debian, szerverként fog működni (Helyszín: NL)
• 2. gép: CentOS, kliensként fog működni (Helyszín: FR)

Gép 1

Kezdje az 1-es gépen az OpenVPN telepítésével:

apt-get install openvpn

Ezután másolja a példakonfigurációt és a kulcsok generálására szolgáló eszközt, easy-rsa, ide /etc/openvpn:

cp -r /usr/share/doc/openvpn/examples/easy-rsa/ /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn

A kulcsok alapértelmezett értékei már nem teljesen biztonságosak, ha ezt szeretné megoldani, nyissa /etc/openvpn/easy-rsa/2.0/varsmeg kedvenc szövegszerkesztőjével, és módosítsa a következő sort:

export KEY_SIZE=4096

Ezután győződjön meg arról, hogy az értékek betöltődnek az aktuális munkamenetbe, tisztítsa meg végül a meglévő kulcsokat, és hozza létre a tanúsító hatóságot:

cd /etc/openvpn/easy-rsa/2.0
source ./vars
./clean-all
./build-ca

A rendszer tájékoztatást kér. Könnyítse meg életét azáltal, hogy információkat ad meg a szerveréről, például arról, hogy hol található, és mi az FQDN/lesz. Ez akkor hasznos, ha hibakeresési problémákat kell végrehajtania:

Country Name (2 letter code) [US]:NL
State or Province Name (full name) [CA]:-
Locality Name (eg, city) [SanFrancisco]:Vultr Datacenter NL
Organization Name (eg, company) [Fort-Funston]:-
Organizational Unit Name (eg, section) [changeme]:-
Common Name (eg, your name or your server's hostname) [changeme]:yourserver1.yourdomain.tld
Name [changeme]:-
Email Address [[email protected]]:[email protected]

Egy másik szükségesség a Diffie-Hellman kulcscsere paraméterei. Ezeket is generálni kell:

./build-dh

Fontos : A build-dhparancs egy viszonylag összetett folyamat, amely a kiszolgáló erőforrásaitól függően akár tíz percig is eltarthat.

A kapcsolat biztonságának további javítása érdekében statikus titkot állítunk elő, amelyet el kell osztani az összes ügyfél között:

mkdir /etc/openvpn/keys
openvpn --genkey --secret /etc/openvpn/keys/ta.key

Most előállíthatja a kulcsot a szerverhez:

./build-key-server server1

Ez a parancs néhány információt kér:

Country Name (2 letter code) [US]:NL
State or Province Name (full name) [CA]:-
Locality Name (eg, city) [SanFrancisco]:Vultr Datacenter NL
Organization Name (eg, company) [Fort-Funston]:-
Organizational Unit Name (eg, section) [changeme]:-
Common Name (eg, your name or your server's hostname) [server1]:yourserver1.yourdomain.tld
Name [changeme]:-
Email Address [[email protected]]:[email protected]

Az utolsó lépés az imént generált tanúsítványkérelem aláírása a CA kulcsával:

1 out of 1 certificate requests certified, commit? [y/n]y

Másolja a szükséges kulcsokat és tanúsítványokat egy külön mappába:

cd /etc/openvpn/easy-rsa/2.0/keys
cp dh4096.pem ca.crt server1.crt server1.key /etc/openvpn/keys/
chmod 700 /etc/openvpn/keys
chmod 600 /etc/openvpn/keys/*

A konfigurációhoz bontsa ki...

cd /etc/openvpn
gunzip server.conf.gz

... és nyissa meg az eredményt server.confkedvenc szövegszerkesztőjével. A konfigurációnak ehhez hasonlóan kell kinéznie:

port 1194
proto udp
dev tun

ca keys/ca.crt
cert keys/server1.crt
key keys/server1.key 
dh keys/dh4096.pem
server 10.8.100.0 255.255.255.0
ifconfig-pool-persist ipp.txt

# Uncomment this if you have multiple clients
# and want them to be able to see each other
;client-to-client

keepalive 10 120
tls-auth keys/ta.key 0 

tls-cipher DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-AES128-SHA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
cipher AES-256-CBC
auth SHA384
comp-lzo

user nobody
group nogroup

persist-key
persist-tun
verb 3
mute 20

A szolgáltatás újraindítása után érdemes kicsit figyelni a naplót...

service openvpn restart && tail -f /var/log/syslog

... hogy minden működjön. Ha nem észlel hibát, előállíthatja a kulcsokat a második szerverhez:

cd /etc/openvpn/easy-rsa/2.0
source ./vars
./build-key server2

Ismét felkérjük a következő információkat:

Country Name (2 letter code) [US]:FR
State or Province Name (full name) [CA]:-
Locality Name (eg, city) [SanFrancisco]:Vultr Datacenter FR
Organization Name (eg, company) [Fort-Funston]:-
Organizational Unit Name (eg, section) [changeme]:-
Common Name (eg, your name or your server's hostname) 
[server2]:yourserver2.yourdomain.tld
Name [changeme]:-
Email Address [[email protected]]:[email protected]

Most át kell vinnie a szükséges fájlokat a második szerverére, lehetőleg titkosítva:

cd /etc/openvpn/easy-rsa/2.0/keys
cp /etc/openvpn/keys/ta.key .
tar -cf vpn.tar ca.crt server2.crt server2.key ta.key
scp vpn.tar yourusername@server2:~/
rm vpn.tar

2. gép

Ideje váltani a második szerver SSH-kapcsolatára . Az első lépés az OpenVPN telepítése...

yum install openvpn

... és a kikapcsoláshoz firewalld. A csere sima iptables lesz.

systemctl stop firewalld
systemctl disable firewalld

Csomagolja ki az archívumot, amelyet éppen áthelyezett a szerverre, és állítsa be megfelelően a fájlok engedélyeit:

cd /etc/openvpn
mkdir keys
chmod 700 keys
cd keys
tar -xf ~/vpn.tar -C .
chmod 600 *

Készítsen /etc/openvpn/client.confkedvenc szövegszerkesztőjével. Így kell kinéznie:

client
dev tun
proto udp

remote yourserver yourport
resolv-retry infinite
nobind
user nobody
group openvpn


persist-key
persist-tun

ca keys/ca.crt
cert keys/server2.crt
key keys/.key

ns-cert-type server
tls-auth keys/ta.key 1

tls-cipher DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-AES128-SHA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
cipher AES-256-CBC
auth SHA384

remote-cert-tls server

comp-lzo
verb 3
mute 20

Az utolsó lépés a szolgáltatás elindítása és engedélyezése:

systemctl start [email protected]
systemctl enable [email protected]

Ha minden működik, akkor nem lehet gond az első szerver pingelésével:

PING 10.8.100.1 (10.8.100.1) 56(84) bytes of data.
64 bytes from 10.8.100.1: icmp_seq=1 ttl=64 time=17.8 ms
64 bytes from 10.8.100.1: icmp_seq=2 ttl=64 time=17.9 ms
64 bytes from 10.8.100.1: icmp_seq=3 ttl=64 time=17.8 ms

Most már privát kapcsolata van az interneten keresztül!

Ha bármilyen hibát el kell végeznie, próbálja meg ellenőrizni a naplókat a következő paranccsal:

journalctl -xn