Hvernig á að búa til OpenVPN netþjón á Ubuntu 16.04

Kynning

OpenVPN er öruggt VPN sem notar SSL (Secure Socket Layer) og býður upp á breitt úrval af eiginleikum. Í þessari handbók munum við fjalla um ferlið við að setja upp OpenVPN á Ubuntu 16 með því að nota easy-rsa hýst vottunarvaldið.

Settu upp

Til að byrja, þurfum við nokkra pakka uppsetta:

sudo su
apt-get update
apt-get install openvpn easy-rsa

Vottunaraðili

OpenVPN er SSL VPN, sem þýðir að það virkar sem vottunaryfirvöld til að dulkóða umferðina á milli beggja aðila.

Uppsetning

Við getum byrjað á því að setja upp vottunarvald OpenVPN netþjóns okkar með því að keyra eftirfarandi skipun:

make-cadir ~/ovpn-ca

Við getum nú skipt yfir í nýbúna möppuna okkar:

cd ~/ovpn-ca

Stilla

Opnaðu skrána með nafninu varsog skoðaðu eftirfarandi breytur:

export KEY_COUNTRY="US"
export KEY_PROVINCE="NJ"
export KEY_CITY="Matawan"
export KEY_ORG="Your Awesome Organization"
export KEY_EMAIL="me@your_awesome_org.com"
export KEY_OU="YourOrganizationUnit"

Og breyttu þeim með þínum eigin gildum. Við þurfum líka að leita að og breyta eftirfarandi línu:

export KEY_NAME="server"

Byggja

Við getum nú byrjað að byggja upp vottunarvaldið okkar með því að keyra eftirfarandi skipun:

./clean-all
./build-ca

Þessar skipanir gætu tekið nokkrar mínútur að ljúka.

Server-lykill

Nú getum við byrjað að byggja upp lykil netþjónsins okkar með því að keyra eftirfarandi skipun:

./build-key-server server

Þó að serverreitnum ætti að skipta út fyrir KEY_NAMEsettum við í varsskrána fyrr. Í okkar tilviki getum við haldið server.

Byggingarferlið lykils netþjónsins okkar gæti spurt nokkurra spurninga, eins og útrunnið sjálft. Við svörum öllum þessum spurningum með y.

Sterkur lykill

Í næsta skrefi búum við til sterkan Diffie-Hellmanlykil sem verður notaður við skipti á lyklum okkar. Sláðu inn eftirfarandi skipun til að búa til einn:

./build-dh

HMAC

Við getum nú búið til HMAC undirskrift til að styrkja TLS heiðarleikastaðfestingu netþjónsins:

openvpn --genkey --secret keys/ta.key

Búðu til viðskiptavinalykil

./build-key client

Stilltu netþjóninn

Þegar við höfum búið til okkar eigin vottunaryfirvöld, getum við byrjað á því að afrita allar nauðsynlegar skrár og stilla OpenVPN sjálft. Nú ætlum við að afrita lykla og vottorð sem búið er til í OpenVPN skrána okkar:

cd keys
cp ca.crt ca.key server.crt server.key ta.key dh2048.pem /etc/openvpn
cd ..

Síðan getum við afritað dæmi um OpenVPN stillingarskrá yfir í OpenVPN skrána okkar með því að keyra eftirfarandi skipun:

gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | tee /etc/openvpn/server.conf

Breyttu Config

Við getum nú byrjað að breyta stillingum okkar til að passa þarfir okkar. Opnaðu skrána /etc/openvpn/server.confog afskrifaðu eftirfarandi línur:

push "redirect-gateway def1 bypass-dhcp"
user nobody
group nogroup
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
tls-auth ta.key 0

Við þurfum líka að bæta við nýrri línu við stillingarnar okkar. Settu eftirfarandi línu undir tls-authlínuna:

key-direction 0

Leyfa áframsendingu

Vegna þess að við viljum leyfa viðskiptavinum okkar aðgang að internetinu í gegnum netþjóninn okkar, opnum við eftirfarandi skrá /etc/sysctl.confog afskrifum þessa línu:

net.ipv4.ip_forward=1

Nú verðum við að beita breytingunum:

sysctl -p

NAT

Til þess að veita VPN viðskiptavinum okkar internetaðgang verðum við líka að búa til NAT reglu. Þessi regla er stutt einlína sem lítur svona út:

iptables -t nat -A POSTROUTING -s 10.8.0.0/16 -o eth0 -j MASQUERADE

Byrjaðu

Við getum nú ræst OpenVPN netþjóninn okkar og leyft viðskiptavinum að tengjast með því að slá inn eftirfarandi lykil:

service openvpn start

Niðurstaða

Þetta lýkur kennslunni okkar. Njóttu nýja OpenVPN netþjónsins þíns!