Kā izveidot OpenVPN serveri Ubuntu 16.04

Ievads

OpenVPN ir drošs VPN, kas izmanto SSL (Secure Socket Layer) un piedāvā plašu funkciju klāstu. Šajā rokasgrāmatā mēs apskatīsim OpenVPN instalēšanas procesu Ubuntu 16, izmantojot easy-rsa mitināto sertifikātu iestādi.

Uzstādīt

Lai sāktu, mums ir jāinstalē dažas pakotnes:

sudo su
apt-get update
apt-get install openvpn easy-rsa

Sertifikācijas iestāde

OpenVPN ir SSL VPN, kas nozīmē, ka tas darbojas kā sertifikācijas iestāde, lai šifrētu trafiku starp abām pusēm.

Uzstādīt

Mēs varam sākt ar mūsu OpenVPN servera sertifikācijas iestādes iestatīšanu, izpildot šādu komandu:

make-cadir ~/ovpn-ca

Tagad mēs varam pārslēgties uz mūsu tikko izveidoto direktoriju:

cd ~/ovpn-ca

Konfigurēt

Atveriet failu ar nosaukumu varsun apskatiet šādus parametrus:

export KEY_COUNTRY="US"
export KEY_PROVINCE="NJ"
export KEY_CITY="Matawan"
export KEY_ORG="Your Awesome Organization"
export KEY_EMAIL="me@your_awesome_org.com"
export KEY_OU="YourOrganizationUnit"

Un rediģējiet tos ar savām vērtībām. Mums ir arī jāmeklē un jārediģē šāda rinda:

export KEY_NAME="server"

Būvēt

Tagad mēs varam sākt veidot savu sertifikācijas iestādi, izpildot šādu komandu:

./clean-all
./build-ca

Šo komandu izpilde var aizņemt dažas minūtes.

Servera atslēga

Tagad mēs varam sākt veidot mūsu servera atslēgu, izpildot šādu komandu:

./build-key-server server

Lai gan serverlauks ir jāaizstāj ar KEY_NAMEmēs varsfailā iestatījām agrāk. Mūsu gadījumā mēs varam saglabāt server.

Mūsu servera atslēgas izveides procesā var tikt uzdoti daži jautājumi, piemēram, par tā derīguma termiņu. Mēs atbildam uz visiem šiem jautājumiem ar y.

Spēcīga atslēga

Nākamajā darbībā mēs izveidojam spēcīgu Diffie-Hellmanatslēgu, kas tiks izmantota mūsu atslēgu apmaiņas laikā. Ievadiet šo komandu, lai to izveidotu:

./build-dh

HMAC

Tagad mēs varam izveidot HMAC parakstu, lai stiprinātu servera TLS integritātes verifikāciju:

openvpn --genkey --secret keys/ta.key

Ģenerējiet klienta atslēgu

./build-key client

Konfigurējiet serveri

Kad esam veiksmīgi izveidojuši savu sertifikācijas iestādi, varam sākt ar visu nepieciešamo failu kopēšanu un paša OpenVPN konfigurēšanu. Tagad mēs kopēsim ģenerētās atslēgas un sertifikātus mūsu OpenVPN direktorijā:

cd keys
cp ca.crt ca.key server.crt server.key ta.key dh2048.pem /etc/openvpn
cd ..

Pēc tam mēs varam kopēt OpenVPN konfigurācijas faila piemēru mūsu OpenVPN direktorijā, izpildot šādu komandu:

gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | tee /etc/openvpn/server.conf

Rediģējiet konfigurāciju

Tagad mēs varam sākt rediģēt savu konfigurāciju, lai tā atbilstu mūsu vajadzībām. Atveriet failu /etc/openvpn/server.confun noņemiet komentārus no šādām rindiņām:

push "redirect-gateway def1 bypass-dhcp"
user nobody
group nogroup
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
tls-auth ta.key 0

Mums arī jāpievieno jauna rinda mūsu konfigurācijai. Zem tls-authrindas novietojiet šādu rindu:

key-direction 0

Atļaut pārsūtīšanu

Tā kā mēs vēlamies ļaut saviem klientiem piekļūt internetam, izmantojot mūsu serveri, mēs atveram šādu failu /etc/sysctl.confun noņemiet komentārus no šīs rindiņas:

net.ipv4.ip_forward=1

Tagad mums ir jāpiemēro izmaiņas:

sysctl -p

NAT

Lai nodrošinātu mūsu VPN klientiem piekļuvi internetam, mums ir arī jāizveido NAT kārtula. Šis noteikums ir īss viena oderējums, kas izskatās šādi:

iptables -t nat -A POSTROUTING -s 10.8.0.0/16 -o eth0 -j MASQUERADE

Sākt

Tagad mēs varam palaist savu OpenVPN serveri un ļaut klientiem izveidot savienojumu, ierakstot šādu atslēgu:

service openvpn start

Secinājums

Ar to mūsu apmācība ir beigusies. Izbaudiet savu jauno OpenVPN serveri!