Settu upp þitt eigið einkanet með OpenVPN

Vultr býður þér frábæra einkanettengingu fyrir netþjóna sem keyra á sama stað. En stundum vilt þú að tveir netþjónar í mismunandi löndum / gagnaverum geti átt samskipti á persónulegan og öruggan hátt. Þessi kennsla mun sýna þér hvernig á að ná því með hjálp OpenVPN. Stýrikerfin sem notuð eru hér eru Debian og CentOS, bara til að sýna þér tvær mismunandi stillingar. Þetta er auðvelt að aðlaga fyrir Debian -> Debian, Ubuntu -> FreeBSD og svo framvegis.

• Vél 1: Debian, mun starfa sem þjónn (Staðsetning: NL)
• Vél 2: CentOS, mun starfa sem viðskiptavinur (Staðsetning: FR)

Vél 1

Byrjaðu á vél 1 með því að setja upp OpenVPN:

apt-get install openvpn

Afritaðu síðan dæmistillinguna og tólið til að búa til lykla, easy-rsa, til /etc/openvpn:

cp -r /usr/share/doc/openvpn/examples/easy-rsa/ /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn

Sjálfgefin gildi fyrir lyklana þína eru ekki alveg örugg lengur, til að laga þetta skaltu opna /etc/openvpn/easy-rsa/2.0/varsmeð uppáhalds textaritlinum þínum og breyta eftirfarandi línu:

export KEY_SIZE=4096

Næst skaltu ganga úr skugga um að gildin séu hlaðin inn í núverandi lotu, hreinsaðu upp að lokum núverandi lykla og búðu til vottunarvaldið þitt:

cd /etc/openvpn/easy-rsa/2.0
source ./vars
./clean-all
./build-ca

Þú verður beðinn um upplýsingar. Gerðu líf þitt auðveldara með því að veita upplýsingar um netþjóninn þinn, til dæmis hvar hann er staðsettur og hvað FQDN er/verður. Þetta er gagnlegt þegar þú þarft að kemba vandamál:

Country Name (2 letter code) [US]:NL
State or Province Name (full name) [CA]:-
Locality Name (eg, city) [SanFrancisco]:Vultr Datacenter NL
Organization Name (eg, company) [Fort-Funston]:-
Organizational Unit Name (eg, section) [changeme]:-
Common Name (eg, your name or your server's hostname) [changeme]:yourserver1.yourdomain.tld
Name [changeme]:-
Email Address [[email protected]]:[email protected]

Önnur nauðsyn eru breytur fyrir Diffie-Hellman lyklaskipti. Það þarf líka að búa til þær:

./build-dh

Mikilvægt : build-dhSkipunin er tiltölulega flókið ferli sem getur tekið allt að tíu mínútur, allt eftir auðlindum netþjónsins þíns.

Til að bæta öryggi þessarar tengingar enn frekar munum við búa til kyrrstætt leyndarmál sem þarf að dreifa meðal allra viðskiptavina:

mkdir /etc/openvpn/keys
openvpn --genkey --secret /etc/openvpn/keys/ta.key

Nú geturðu búið til lykilinn fyrir netþjóninn:

./build-key-server server1

Þessi skipun mun biðja um nokkrar upplýsingar:

Country Name (2 letter code) [US]:NL
State or Province Name (full name) [CA]:-
Locality Name (eg, city) [SanFrancisco]:Vultr Datacenter NL
Organization Name (eg, company) [Fort-Funston]:-
Organizational Unit Name (eg, section) [changeme]:-
Common Name (eg, your name or your server's hostname) [server1]:yourserver1.yourdomain.tld
Name [changeme]:-
Email Address [[email protected]]:[email protected]

Lokaskrefið er að undirrita vottorðsbeiðnina sem var bara búin til með lykli CA:

1 out of 1 certificate requests certified, commit? [y/n]y

Afritaðu nauðsynlega lykla og vottorð í sérstaka möppu:

cd /etc/openvpn/easy-rsa/2.0/keys
cp dh4096.pem ca.crt server1.crt server1.key /etc/openvpn/keys/
chmod 700 /etc/openvpn/keys
chmod 600 /etc/openvpn/keys/*

Nú fyrir uppsetninguna, pakkaðu því niður ...

cd /etc/openvpn
gunzip server.conf.gz

... og opnaðu niðurstöðuna server.confmeð uppáhalds textaritlinum þínum. Stillingin ætti að líta svipað út:

port 1194
proto udp
dev tun

ca keys/ca.crt
cert keys/server1.crt
key keys/server1.key 
dh keys/dh4096.pem
server 10.8.100.0 255.255.255.0
ifconfig-pool-persist ipp.txt

# Uncomment this if you have multiple clients
# and want them to be able to see each other
;client-to-client

keepalive 10 120
tls-auth keys/ta.key 0 

tls-cipher DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-AES128-SHA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
cipher AES-256-CBC
auth SHA384
comp-lzo

user nobody
group nogroup

persist-key
persist-tun
verb 3
mute 20

Eftir að þú hefur endurræst þjónustuna ættir þú að fylgjast aðeins með skránni þinni ...

service openvpn restart && tail -f /var/log/syslog

... til að ganga úr skugga um að allt virki. Ef engar villur finnast, þá geturðu búið til lyklana fyrir annan netþjóninn þinn:

cd /etc/openvpn/easy-rsa/2.0
source ./vars
./build-key server2

Aftur verður þú beðinn um upplýsingar:

Country Name (2 letter code) [US]:FR
State or Province Name (full name) [CA]:-
Locality Name (eg, city) [SanFrancisco]:Vultr Datacenter FR
Organization Name (eg, company) [Fort-Funston]:-
Organizational Unit Name (eg, section) [changeme]:-
Common Name (eg, your name or your server's hostname) 
[server2]:yourserver2.yourdomain.tld
Name [changeme]:-
Email Address [[email protected]]:[email protected]

Nú þarftu að flytja nauðsynlegar skrár á annan netþjóninn þinn, helst dulkóðaðar:

cd /etc/openvpn/easy-rsa/2.0/keys
cp /etc/openvpn/keys/ta.key .
tar -cf vpn.tar ca.crt server2.crt server2.key ta.key
scp vpn.tar yourusername@server2:~/
rm vpn.tar

Vél 2

Tími til kominn að skipta yfir í SSH-tengingu seinni netþjónsins þíns . Fyrsta skrefið er að setja upp OpenVPN ...

yum install openvpn

... og til að slökkva á firewalld. Skiptingin verður látlaus iptables.

systemctl stop firewalld
systemctl disable firewalld

Taktu upp skjalasafnið sem þú varst að flytja á netþjóninn og stilltu rétt á heimildir fyrir skrárnar:

cd /etc/openvpn
mkdir keys
chmod 700 keys
cd keys
tar -xf ~/vpn.tar -C .
chmod 600 *

Búðu til /etc/openvpn/client.confmeð uppáhalds textaritlinum þínum. Það ætti að líta svona út:

client
dev tun
proto udp

remote yourserver yourport
resolv-retry infinite
nobind
user nobody
group openvpn


persist-key
persist-tun

ca keys/ca.crt
cert keys/server2.crt
key keys/.key

ns-cert-type server
tls-auth keys/ta.key 1

tls-cipher DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-AES128-SHA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
cipher AES-256-CBC
auth SHA384

remote-cert-tls server

comp-lzo
verb 3
mute 20

Síðasta skrefið er að ræsa og virkja þjónustuna:

systemctl start [email protected]
systemctl enable [email protected]

Ef allt er að virka, þá ættirðu ekki að eiga í neinum vandræðum með að pinga fyrsta netþjóninn:

PING 10.8.100.1 (10.8.100.1) 56(84) bytes of data.
64 bytes from 10.8.100.1: icmp_seq=1 ttl=64 time=17.8 ms
64 bytes from 10.8.100.1: icmp_seq=2 ttl=64 time=17.9 ms
64 bytes from 10.8.100.1: icmp_seq=3 ttl=64 time=17.8 ms

Þú ert nú með einkatengingu í gegnum internetið!

Ef þú þarft að leysa einhverjar villur skaltu prófa að athuga annálana með eftirfarandi skipun:

journalctl -xn