Iestatiet savu privāto tīklu, izmantojot OpenVPN

Vultr piedāvā lielisku privātā tīkla savienojumu serveriem, kas darbojas tajā pašā vietā. Bet dažreiz jūs vēlaties, lai divi serveri dažādās valstīs/datu centri varētu sazināties privātā un drošā veidā. Šī apmācība parādīs, kā to panākt, izmantojot OpenVPN. Šeit izmantotās operētājsistēmas ir Debian un CentOS, lai parādītu divas dažādas konfigurācijas. To var viegli pielāgot Debian -> Debian, Ubuntu -> FreeBSD un tā tālāk.

• 1. mašīna: Debian, darbosies kā serveris (atrašanās vieta: NL)
• 2. mašīna: CentOS, darbosies kā klients (atrašanās vieta: FR)

Mašīna 1

Sāciet 1. mašīnā, instalējot OpenVPN:

apt-get install openvpn

Pēc tam kopējiet parauga konfigurāciju un atslēgu ģenerēšanas rīku easy-rsauz /etc/openvpn:

cp -r /usr/share/doc/openvpn/examples/easy-rsa/ /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn

Jūsu atslēgu noklusējuma vērtības vairs nav īsti drošas. Lai to labotu, atveriet to /etc/openvpn/easy-rsa/2.0/varsar savu iecienītāko teksta redaktoru un modificējiet šo rindiņu:

export KEY_SIZE=4096

Pēc tam pārliecinieties, ka vērtības ir ielādētas jūsu pašreizējā sesijā, notīriet esošās atslēgas un ģenerējiet sertifikāta iestādi:

cd /etc/openvpn/easy-rsa/2.0
source ./vars
./clean-all
./build-ca

Jums tiks lūgts sniegt informāciju. Atvieglojiet savu dzīvi, sniedzot informāciju par savu serveri, piemēram, kur tas atrodas un kāds ir/būs FQDN. Tas ir noderīgi, ja rodas atkļūdošanas problēmas:

Country Name (2 letter code) [US]:NL
State or Province Name (full name) [CA]:-
Locality Name (eg, city) [SanFrancisco]:Vultr Datacenter NL
Organization Name (eg, company) [Fort-Funston]:-
Organizational Unit Name (eg, section) [changeme]:-
Common Name (eg, your name or your server's hostname) [changeme]:yourserver1.yourdomain.tld
Name [changeme]:-
Email Address [mail@host.domain]:youraddress@yourdomain.tld

Vēl viena nepieciešamība ir Diffie-Hellman atslēgu apmaiņas parametri. Tie arī ir jāģenerē:

./build-dh

Svarīgi : build-dhkomanda ir salīdzinoši sarežģīts process, kas var ilgt līdz pat desmit minūtēm atkarībā no servera resursiem.

Lai vēl vairāk uzlabotu šī savienojuma drošību, mēs izveidosim statisku noslēpumu, kas ir jāizplata starp visiem klientiem:

mkdir /etc/openvpn/keys
openvpn --genkey --secret /etc/openvpn/keys/ta.key

Tagad varat ģenerēt servera atslēgu:

./build-key-server server1

Šī komanda prasīs informāciju:

Country Name (2 letter code) [US]:NL
State or Province Name (full name) [CA]:-
Locality Name (eg, city) [SanFrancisco]:Vultr Datacenter NL
Organization Name (eg, company) [Fort-Funston]:-
Organizational Unit Name (eg, section) [changeme]:-
Common Name (eg, your name or your server's hostname) [server1]:yourserver1.yourdomain.tld
Name [changeme]:-
Email Address [mail@host.domain]:youraddress@yourdomain.tld

Pēdējais solis ir parakstīt sertifikāta pieprasījumu, kas tikko tika ģenerēts ar CA atslēgu:

1 out of 1 certificate requests certified, commit? [y/n]y

Kopējiet nepieciešamās atslēgas un sertifikātus atsevišķā mapē:

cd /etc/openvpn/easy-rsa/2.0/keys
cp dh4096.pem ca.crt server1.crt server1.key /etc/openvpn/keys/
chmod 700 /etc/openvpn/keys
chmod 600 /etc/openvpn/keys/*

Tagad, lai konfigurētu, izpakojiet to...

cd /etc/openvpn
gunzip server.conf.gz

... un atveriet iegūto, server.confizmantojot savu iecienītāko teksta redaktoru. Konfigurācijai vajadzētu izskatīties līdzīgi:

port 1194
proto udp
dev tun

ca keys/ca.crt
cert keys/server1.crt
key keys/server1.key 
dh keys/dh4096.pem
server 10.8.100.0 255.255.255.0
ifconfig-pool-persist ipp.txt

# Uncomment this if you have multiple clients
# and want them to be able to see each other
;client-to-client

keepalive 10 120
tls-auth keys/ta.key 0 

tls-cipher DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-AES128-SHA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
cipher AES-256-CBC
auth SHA384
comp-lzo

user nobody
group nogroup

persist-key
persist-tun
verb 3
mute 20

Pēc pakalpojuma restartēšanas jums vajadzētu mazliet skatīties žurnālu ...

service openvpn restart && tail -f /var/log/syslog

... lai pārliecinātos, ka viss darbojas. Ja kļūdas netiek atklātas, varat ģenerēt atslēgas savam otrajam serverim:

cd /etc/openvpn/easy-rsa/2.0
source ./vars
./build-key server2

Atkal jums tiks lūgts sniegt informāciju:

Country Name (2 letter code) [US]:FR
State or Province Name (full name) [CA]:-
Locality Name (eg, city) [SanFrancisco]:Vultr Datacenter FR
Organization Name (eg, company) [Fort-Funston]:-
Organizational Unit Name (eg, section) [changeme]:-
Common Name (eg, your name or your server's hostname) 
[server2]:yourserver2.yourdomain.tld
Name [changeme]:-
Email Address [mail@host.domain]:youraddress@yourdomain.tld

Tagad jums ir jāpārsūta nepieciešamie faili uz otro serveri, vēlams šifrēti:

cd /etc/openvpn/easy-rsa/2.0/keys
cp /etc/openvpn/keys/ta.key .
tar -cf vpn.tar ca.crt server2.crt server2.key ta.key
scp vpn.tar yourusername@server2:~/
rm vpn.tar

Mašīna 2

Laiks pārslēgties uz otrā servera SSH savienojumu . Pirmais solis ir instalēt OpenVPN ...

yum install openvpn

... un lai deaktivizētu firewalld. Aizstāšana būs vienkārša iptables.

systemctl stop firewalld
systemctl disable firewalld

Izsaiņojiet arhīvu, kuru tikko pārvietojāt uz serveri, un pareizi iestatiet failu atļaujas:

cd /etc/openvpn
mkdir keys
chmod 700 keys
cd keys
tar -xf ~/vpn.tar -C .
chmod 600 *

Izveidojiet /etc/openvpn/client.confar savu iecienītāko teksta redaktoru. Tam vajadzētu izskatīties šādi:

client
dev tun
proto udp

remote yourserver yourport
resolv-retry infinite
nobind
user nobody
group openvpn


persist-key
persist-tun

ca keys/ca.crt
cert keys/server2.crt
key keys/.key

ns-cert-type server
tls-auth keys/ta.key 1

tls-cipher DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-AES128-SHA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
cipher AES-256-CBC
auth SHA384

remote-cert-tls server

comp-lzo
verb 3
mute 20

Pēdējais solis ir pakalpojuma palaišana un iespējošana:

systemctl start openvpn@client.service
systemctl enable openvpn@client.service

Ja viss darbojas, jums nevajadzētu būt problēmām ar ping pirmo serveri:

PING 10.8.100.1 (10.8.100.1) 56(84) bytes of data.
64 bytes from 10.8.100.1: icmp_seq=1 ttl=64 time=17.8 ms
64 bytes from 10.8.100.1: icmp_seq=2 ttl=64 time=17.9 ms
64 bytes from 10.8.100.1: icmp_seq=3 ttl=64 time=17.8 ms

Tagad jums ir privāts savienojums, izmantojot internetu!

Ja jums ir jānovērš kļūdas, mēģiniet pārbaudīt žurnālus, izmantojot šo komandu:

journalctl -xn