Nastavite svoje zasebno omrežje z OpenVPN

Vultr vam ponuja odlično zasebno omrežno povezljivost za strežnike, ki delujejo na isti lokaciji. Včasih pa želite, da bi dva strežnika v različnih državah/podatkovnih centrih lahko komunicirala na zaseben in varen način. Ta vadnica vam bo pokazala, kako to doseči s pomočjo OpenVPN. Tukaj uporabljena operacijska sistema sta Debian in CentOS, samo zato, da vam pokažem dve različni konfiguraciji. To je mogoče enostavno prilagoditi za Debian -> Debian, Ubuntu -> FreeBSD in tako naprej.

• Stroj 1: Debian, bo deloval kot strežnik (Lokacija: NL)
• Stroj 2: CentOS, bo deloval kot odjemalec (Lokacija: FR)

Stroj 1

Začnite na stroju 1 z namestitvijo OpenVPN:

apt-get install openvpn

Nato kopirajte primer konfiguracije in orodje za generiranje ključev, easy-rsa, v /etc/openvpn:

cp -r /usr/share/doc/openvpn/examples/easy-rsa/ /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn

Privzete vrednosti za vaše ključe niso več povsem varne, če želite to popraviti, odprite /etc/openvpn/easy-rsa/2.0/varss svojim najljubšim urejevalnikom besedil in spremenite naslednjo vrstico:

export KEY_SIZE=4096

Nato zagotovite, da so vrednosti naložene v vašo trenutno sejo, počistite morebitne obstoječe ključe in ustvarite potrdilo:

cd /etc/openvpn/easy-rsa/2.0
source ./vars
./clean-all
./build-ca

Pozvani boste za informacije. Olajšajte si življenje tako, da zagotovite informacije o svojem strežniku, na primer, kje se nahaja in kakšen je/bo FQDN. To je uporabno, ko morate odpraviti težave:

Country Name (2 letter code) [US]:NL
State or Province Name (full name) [CA]:-
Locality Name (eg, city) [SanFrancisco]:Vultr Datacenter NL
Organization Name (eg, company) [Fort-Funston]:-
Organizational Unit Name (eg, section) [changeme]:-
Common Name (eg, your name or your server's hostname) [changeme]:yourserver1.yourdomain.tld
Name [changeme]:-
Email Address [[email protected]]:[email protected]

Druga nuja so parametri za izmenjavo ključev Diffie-Hellman. Prav tako jih je treba ustvariti:

./build-dh

Pomembno : build-dhUkaz je razmeroma zapleten proces, ki lahko traja do deset minut, odvisno od virov vašega strežnika.

Za dodatno izboljšanje varnosti te povezave bomo ustvarili statično skrivnost, ki jo je treba razdeliti med vse stranke:

mkdir /etc/openvpn/keys
openvpn --genkey --secret /etc/openvpn/keys/ta.key

Zdaj lahko ustvarite ključ za strežnik:

./build-key-server server1

Ta ukaz bo zahteval nekaj informacij:

Country Name (2 letter code) [US]:NL
State or Province Name (full name) [CA]:-
Locality Name (eg, city) [SanFrancisco]:Vultr Datacenter NL
Organization Name (eg, company) [Fort-Funston]:-
Organizational Unit Name (eg, section) [changeme]:-
Common Name (eg, your name or your server's hostname) [server1]:yourserver1.yourdomain.tld
Name [changeme]:-
Email Address [[email protected]]:[email protected]

Zadnji korak je podpisati zahtevo za potrdilo, ki je bila pravkar ustvarjena s ključem CA:

1 out of 1 certificate requests certified, commit? [y/n]y

Kopirajte potrebne ključe in potrdila v ločeno mapo:

cd /etc/openvpn/easy-rsa/2.0/keys
cp dh4096.pem ca.crt server1.crt server1.key /etc/openvpn/keys/
chmod 700 /etc/openvpn/keys
chmod 600 /etc/openvpn/keys/*

Zdaj za konfiguracijo, jo odpakirajte ...

cd /etc/openvpn
gunzip server.conf.gz

... in odprite rezultat server.confs svojim najljubšim urejevalnikom besedil. Konfiguracija bi morala izgledati podobno:

port 1194
proto udp
dev tun

ca keys/ca.crt
cert keys/server1.crt
key keys/server1.key 
dh keys/dh4096.pem
server 10.8.100.0 255.255.255.0
ifconfig-pool-persist ipp.txt

# Uncomment this if you have multiple clients
# and want them to be able to see each other
;client-to-client

keepalive 10 120
tls-auth keys/ta.key 0 

tls-cipher DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-AES128-SHA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
cipher AES-256-CBC
auth SHA384
comp-lzo

user nobody
group nogroup

persist-key
persist-tun
verb 3
mute 20

Po ponovnem zagonu storitve morate malo paziti na svoj dnevnik ...

service openvpn restart && tail -f /var/log/syslog

... da se prepričam, da vse deluje. Če ni zaznanih nobenih napak, lahko ustvarite ključe za svoj drugi strežnik:

cd /etc/openvpn/easy-rsa/2.0
source ./vars
./build-key server2

Ponovno boste pozvani k informacijam:

Country Name (2 letter code) [US]:FR
State or Province Name (full name) [CA]:-
Locality Name (eg, city) [SanFrancisco]:Vultr Datacenter FR
Organization Name (eg, company) [Fort-Funston]:-
Organizational Unit Name (eg, section) [changeme]:-
Common Name (eg, your name or your server's hostname) 
[server2]:yourserver2.yourdomain.tld
Name [changeme]:-
Email Address [[email protected]]:[email protected]

Zdaj morate prenesti potrebne datoteke na svoj drugi strežnik, po možnosti šifrirane:

cd /etc/openvpn/easy-rsa/2.0/keys
cp /etc/openvpn/keys/ta.key .
tar -cf vpn.tar ca.crt server2.crt server2.key ta.key
scp vpn.tar yourusername@server2:~/
rm vpn.tar

Stroj 2

Čas je, da preklopite na SSH povezavo vašega drugega strežnika . Prvi korak je namestitev OpenVPN ...

yum install openvpn

... in deaktivirati firewalld. Zamenjava bo navaden iptables.

systemctl stop firewalld
systemctl disable firewalld

Razpakirajte arhiv, ki ste ga pravkar premaknili na strežnik, in pravilno nastavite dovoljenja za datoteke:

cd /etc/openvpn
mkdir keys
chmod 700 keys
cd keys
tar -xf ~/vpn.tar -C .
chmod 600 *

Ustvarite /etc/openvpn/client.confs svojim najljubšim urejevalnikom besedil. Izgledalo bi takole:

client
dev tun
proto udp

remote yourserver yourport
resolv-retry infinite
nobind
user nobody
group openvpn


persist-key
persist-tun

ca keys/ca.crt
cert keys/server2.crt
key keys/.key

ns-cert-type server
tls-auth keys/ta.key 1

tls-cipher DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-AES128-SHA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
cipher AES-256-CBC
auth SHA384

remote-cert-tls server

comp-lzo
verb 3
mute 20

Zadnji korak je zagon in omogočanje storitve:

systemctl start [email protected]
systemctl enable [email protected]

Če vse deluje, ne bi smeli imeti težav s pingiranjem prvega strežnika:

PING 10.8.100.1 (10.8.100.1) 56(84) bytes of data.
64 bytes from 10.8.100.1: icmp_seq=1 ttl=64 time=17.8 ms
64 bytes from 10.8.100.1: icmp_seq=2 ttl=64 time=17.9 ms
64 bytes from 10.8.100.1: icmp_seq=3 ttl=64 time=17.8 ms

Zdaj imate zasebno povezavo prek interneta!

Če morate odpraviti kakršne koli napake, poskusite preveriti dnevnike z naslednjim ukazom:

journalctl -xn