Kaip sukurti „OpenVPN“ serverį „Ubuntu 16.04“.

Įvadas

„OpenVPN“ yra saugus VPN, kuriame naudojamas SSL (Secure Socket Layer) ir siūlomas platus funkcijų spektras. Šiame vadove apžvelgsime „OpenVPN“ diegimo procesą „Ubuntu 16“, naudojant „easy-rsa“ priglobtą sertifikatų instituciją.

Diegti

Norėdami pradėti, turime įdiegti keletą paketų:

sudo su
apt-get update
apt-get install openvpn easy-rsa

Sertifikavimo institucija

„OpenVPN“ yra SSL VPN, o tai reiškia, kad jis veikia kaip sertifikavimo institucija, siekdama užšifruoti srautą tarp abiejų šalių.

Sąranka

Galime pradėti nuo „OpenVPN“ serverio sertifikavimo institucijos nustatymo, vykdydami šią komandą:

make-cadir ~/ovpn-ca

Dabar galime persijungti į naujai sukurtą katalogą:

cd ~/ovpn-ca

Konfigūruoti

Atidarykite failą su pavadinimu varsir pažiūrėkite į šiuos parametrus:

export KEY_COUNTRY="US"
export KEY_PROVINCE="NJ"
export KEY_CITY="Matawan"
export KEY_ORG="Your Awesome Organization"
export KEY_EMAIL="me@your_awesome_org.com"
export KEY_OU="YourOrganizationUnit"

Ir redaguokite juos naudodami savo vertybes. Taip pat turime ieškoti ir redaguoti šią eilutę:

export KEY_NAME="server"

Sukurti

Dabar galime pradėti kurti savo sertifikavimo įstaigą vykdydami šią komandą:

./clean-all
./build-ca

Šios komandos gali užtrukti kelias minutes.

Serverio raktas

Dabar galime pradėti kurti savo serverio raktą vykdydami šią komandą:

./build-key-server server

Nors serverlaukas turėtų būti pakeistas į KEY_NAMEmes nustatėme varsfaile anksčiau. Mūsų atveju galime išlaikyti server.

Mūsų serverio rakto kūrimo procesas gali užduoti keletą klausimų, pvz., apie jo galiojimo pabaigą. Į visus šiuos klausimus atsakome su y.

Stiprus raktas

Kitame žingsnyje sukuriame stiprų Diffie-Hellmanraktą, kuris bus naudojamas keičiantis mūsų raktais. Norėdami sukurti, įveskite šią komandą:

./build-dh

HMAC

Dabar galime sukurti HMAC parašą, kad sustiprintume serverio TLS vientisumo patikrinimą:

openvpn --genkey --secret keys/ta.key

Sugeneruokite kliento raktą

./build-key client

Konfigūruokite serverį

Sėkmingai sukūrę savo sertifikavimo įstaigą, galime pradėti nuo visų reikalingų failų kopijavimo ir paties OpenVPN konfigūravimo. Dabar mes nukopijuosime sugeneruotus raktus ir sertifikatus į mūsų OpenVPN katalogą:

cd keys
cp ca.crt ca.key server.crt server.key ta.key dh2048.pem /etc/openvpn
cd ..

Po to galime nukopijuoti pavyzdinį OpenVPN konfigūracijos failą į mūsų OpenVPN katalogą vykdydami šią komandą:

gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | tee /etc/openvpn/server.conf

Redaguoti konfigūraciją

Dabar galime pradėti redaguoti savo konfigūraciją, kad ji atitiktų mūsų poreikius. Atidarykite failą /etc/openvpn/server.confir panaikinkite šių eilučių komentarus:

push "redirect-gateway def1 bypass-dhcp"
user nobody
group nogroup
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
tls-auth ta.key 0

Taip pat turime pridėti naują eilutę į savo konfigūraciją. Įdėkite šią eilutę po tls-authlinija:

key-direction 0

Leisti persiuntimą

Kadangi norime leisti savo klientams pasiekti internetą per mūsų serverį, atidarome šį failą /etc/sysctl.confir panaikiname šios eilutės komentarą:

net.ipv4.ip_forward=1

Dabar turime pritaikyti pakeitimus:

sysctl -p

NAT

Norėdami suteikti prieigą prie interneto savo VPN klientams, taip pat turime sukurti NAT taisyklę. Ši taisyklė yra trumpas vieno įdėklas, kuris atrodo taip:

iptables -t nat -A POSTROUTING -s 10.8.0.0/16 -o eth0 -j MASQUERADE

Pradėti

Dabar galime paleisti OpenVPN serverį ir leisti klientams prisijungti įvesdami šį raktą:

service openvpn start

Išvada

Tai baigia mūsų mokymo programą. Mėgaukitės naujuoju OpenVPN serveriu!