Nustatykite savo privatų tinklą naudodami „OpenVPN“.

„Vultr“ siūlo puikų privataus tinklo ryšį serveriams, veikiantiems toje pačioje vietoje. Tačiau kartais norite, kad du serveriai skirtingose ​​šalyse / duomenų centrai galėtų bendrauti privačiai ir saugiai. Ši pamoka parodys, kaip tai pasiekti naudojant OpenVPN. Čia naudojamos operacinės sistemos yra „Debian“ ir „CentOS“, kad būtų parodytos dvi skirtingos konfigūracijos. Tai galima lengvai pritaikyti Debian -> Debian, Ubuntu -> FreeBSD ir pan.

• 1 mašina: „Debian“, veiks kaip serveris (vieta: NL)
• 2 mašina: CentOS, veiks kaip klientas (vieta: FR)

Mašina 1

Pradėkite 1 kompiuteryje įdiegę OpenVPN:

apt-get install openvpn

Tada nukopijuokite pavyzdinę konfigūraciją ir raktų generavimo įrankį easy-rsa, į /etc/openvpn:

cp -r /usr/share/doc/openvpn/examples/easy-rsa/ /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn

Numatytosios raktų reikšmės nebėra visiškai saugios. Norėdami tai išspręsti, atidarykite ją /etc/openvpn/easy-rsa/2.0/varsnaudodami mėgstamą teksto rengyklę ir pakeiskite šią eilutę:

export KEY_SIZE=4096

Tada įsitikinkite, kad reikšmės įkeltos į dabartinę seansą, galiausiai išvalykite esamus raktus ir sugeneruokite sertifikato instituciją:

cd /etc/openvpn/easy-rsa/2.0
source ./vars
./clean-all
./build-ca

Būsite paraginti pateikti informacijos. Palengvinkite savo gyvenimą pateikdami informaciją apie savo serverį, pavyzdžiui, kur jis yra ir koks yra/bus FQDN. Tai naudinga, kai reikia derinti problemas:

Country Name (2 letter code) [US]:NL
State or Province Name (full name) [CA]:-
Locality Name (eg, city) [SanFrancisco]:Vultr Datacenter NL
Organization Name (eg, company) [Fort-Funston]:-
Organizational Unit Name (eg, section) [changeme]:-
Common Name (eg, your name or your server's hostname) [changeme]:yourserver1.yourdomain.tld
Name [changeme]:-
Email Address [[email protected]]:[email protected]

Kita būtinybė yra Diffie-Hellman raktų keitimo parametrai. Juos taip pat reikia sukurti:

./build-dh

Svarbu : build-dhkomanda yra gana sudėtingas procesas, kuris gali užtrukti iki dešimties minučių, priklausomai nuo jūsų serverio išteklių.

Siekdami dar labiau pagerinti šio ryšio saugumą, sugeneruosime statinę paslaptį, kuri turės būti išplatinta visiems klientams:

mkdir /etc/openvpn/keys
openvpn --genkey --secret /etc/openvpn/keys/ta.key

Dabar galite sugeneruoti serverio raktą:

./build-key-server server1

Ši komanda pareikalaus tam tikros informacijos:

Country Name (2 letter code) [US]:NL
State or Province Name (full name) [CA]:-
Locality Name (eg, city) [SanFrancisco]:Vultr Datacenter NL
Organization Name (eg, company) [Fort-Funston]:-
Organizational Unit Name (eg, section) [changeme]:-
Common Name (eg, your name or your server's hostname) [server1]:yourserver1.yourdomain.tld
Name [changeme]:-
Email Address [[email protected]]:[email protected]

Paskutinis veiksmas yra pasirašyti sertifikato užklausą, kuri buvo ką tik sugeneruota naudojant CA raktą:

1 out of 1 certificate requests certified, commit? [y/n]y

Nukopijuokite reikiamus raktus ir sertifikatus į atskirą aplanką:

cd /etc/openvpn/easy-rsa/2.0/keys
cp dh4096.pem ca.crt server1.crt server1.key /etc/openvpn/keys/
chmod 700 /etc/openvpn/keys
chmod 600 /etc/openvpn/keys/*

Dabar, norėdami konfigūruoti, išpakuokite jį ...

cd /etc/openvpn
gunzip server.conf.gz

... ir atidarykite gautą failą server.confnaudodami mėgstamą teksto rengyklę. Konfigūracija turėtų atrodyti panašiai:

port 1194
proto udp
dev tun

ca keys/ca.crt
cert keys/server1.crt
key keys/server1.key 
dh keys/dh4096.pem
server 10.8.100.0 255.255.255.0
ifconfig-pool-persist ipp.txt

# Uncomment this if you have multiple clients
# and want them to be able to see each other
;client-to-client

keepalive 10 120
tls-auth keys/ta.key 0 

tls-cipher DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-AES128-SHA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
cipher AES-256-CBC
auth SHA384
comp-lzo

user nobody
group nogroup

persist-key
persist-tun
verb 3
mute 20

Iš naujo paleidę paslaugą turėtumėte šiek tiek stebėti savo žurnalą ...

service openvpn restart && tail -f /var/log/syslog

... kad įsitikintumėte, jog viskas veikia. Jei klaidų neaptikta, galite sugeneruoti antrojo serverio raktus:

cd /etc/openvpn/easy-rsa/2.0
source ./vars
./build-key server2

Vėl būsite paraginti pateikti informacijos:

Country Name (2 letter code) [US]:FR
State or Province Name (full name) [CA]:-
Locality Name (eg, city) [SanFrancisco]:Vultr Datacenter FR
Organization Name (eg, company) [Fort-Funston]:-
Organizational Unit Name (eg, section) [changeme]:-
Common Name (eg, your name or your server's hostname) 
[server2]:yourserver2.yourdomain.tld
Name [changeme]:-
Email Address [[email protected]]:[email protected]

Dabar reikia perkelti reikiamus failus į antrąjį serverį, pageidautina užšifruotą:

cd /etc/openvpn/easy-rsa/2.0/keys
cp /etc/openvpn/keys/ta.key .
tar -cf vpn.tar ca.crt server2.crt server2.key ta.key
scp vpn.tar yourusername@server2:~/
rm vpn.tar

2 mašina

Laikas pereiti prie antrojo serverio SSH ryšio . Pirmas žingsnis yra įdiegti OpenVPN ...

yum install openvpn

... ir išjungti firewalld. Pakaitalas bus paprastas iptables.

systemctl stop firewalld
systemctl disable firewalld

Išpakuokite archyvą, kurį ką tik perkėlėte į serverį, ir tinkamai nustatykite failų teises:

cd /etc/openvpn
mkdir keys
chmod 700 keys
cd keys
tar -xf ~/vpn.tar -C .
chmod 600 *

Kurkite /etc/openvpn/client.confnaudodami savo mėgstamą teksto rengyklę. Tai turėtų atrodyti taip:

client
dev tun
proto udp

remote yourserver yourport
resolv-retry infinite
nobind
user nobody
group openvpn


persist-key
persist-tun

ca keys/ca.crt
cert keys/server2.crt
key keys/.key

ns-cert-type server
tls-auth keys/ta.key 1

tls-cipher DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-AES128-SHA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
cipher AES-256-CBC
auth SHA384

remote-cert-tls server

comp-lzo
verb 3
mute 20

Paskutinis veiksmas yra paleisti ir įjungti paslaugą:

systemctl start [email protected]
systemctl enable [email protected]

Jei viskas veikia, jums neturėtų kilti problemų ping nurodant pirmąjį serverį:

PING 10.8.100.1 (10.8.100.1) 56(84) bytes of data.
64 bytes from 10.8.100.1: icmp_seq=1 ttl=64 time=17.8 ms
64 bytes from 10.8.100.1: icmp_seq=2 ttl=64 time=17.9 ms
64 bytes from 10.8.100.1: icmp_seq=3 ttl=64 time=17.8 ms

Dabar turite privatų ryšį internetu!

Jei reikia pašalinti klaidas, pabandykite patikrinti žurnalus naudodami šią komandą:

journalctl -xn