Како направити ОпенВПН сервер на Убунту 16.04

Увод

ОпенВПН је сигуран ВПН који користи ССЛ (Сецуре Соцкет Лаиер) и нуди широк спектар функција. У овом водичу ћемо покрити процес инсталирања ОпенВПН-а на Убунту 16 коришћењем еаси-рса хостованог ауторитета сертификата.

Инсталирај

Да бисмо започели, требају нам инсталирани неки пакети:

sudo su
apt-get update
apt-get install openvpn easy-rsa

Дипломирани орган

ОпенВПН је ССЛ ВПН, што значи да делује као ауторитет за сертификате како би шифровао саобраћај између обе стране.

Подесити

Можемо почети са подешавањем овлашћења за издавање сертификата нашег ОпенВПН сервера тако што ћемо покренути следећу команду:

make-cadir ~/ovpn-ca

Сада можемо да се пребацимо у наш свеже креирани директоријум:

cd ~/ovpn-ca

Конфигуришите

Отворите датотеку са именом varsи погледајте следеће параметре:

export KEY_COUNTRY="US"
export KEY_PROVINCE="NJ"
export KEY_CITY="Matawan"
export KEY_ORG="Your Awesome Organization"
export KEY_EMAIL="me@your_awesome_org.com"
export KEY_OU="YourOrganizationUnit"

И уредите их са сопственим вредностима. Такође морамо да потражимо и уредимо следећи ред:

export KEY_NAME="server"

Буилд

Сада можемо да почнемо да градимо наше овлашћење за издавање сертификата тако што ћемо покренути следећу команду:

./clean-all
./build-ca

Ове команде могу потрајати неколико минута.

Сервер-Кључ

Сада можемо да почнемо да правимо кључ нашег сервера тако што ћемо покренути следећу команду:

./build-key-server server

Док serverпоље треба заменити са које KEY_NAMEсмо varsраније поставили у датотеци. У нашем случају, можемо задржати server.

Процес прављења кључа нашег сервера може поставити неколико питања, попут истека самог кључа. На сва ова питања одговарамо са y.

Стронг Кеи

У следећем кораку креирамо јак Diffie-Hellmanкључ који ће се користити током размене наших кључева. Унесите следећу команду да бисте је креирали:

./build-dh

ХМАЦ

Сада можемо да креирамо ХМАЦ потпис да бисмо ојачали верификацију ТЛС интегритета сервера:

openvpn --genkey --secret keys/ta.key

Генеришите клијентски кључ

./build-key client

Конфигуришите сервер

Када успешно креирамо сопствени ауторитет за сертификате, можемо почети са копирањем свих потребних датотека и конфигурисањем самог ОпенВПН-а. Сада ћемо копирати генерисане кључеве и сертификате у наш ОпенВПН директоријум:

cd keys
cp ca.crt ca.key server.crt server.key ta.key dh2048.pem /etc/openvpn
cd ..

Након тога, можемо копирати пример ОпенВПН конфигурационе датотеке у наш ОпенВПН директоријум тако што ћемо покренути следећу команду:

gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | tee /etc/openvpn/server.conf

Уредите конфигурацију

Сада можемо да почнемо да уређујемо нашу конфигурацију тако да одговара нашим потребама. Отворите датотеку /etc/openvpn/server.confи скините коментар са следећих редова:

push "redirect-gateway def1 bypass-dhcp"
user nobody
group nogroup
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
tls-auth ta.key 0

Такође морамо да додамо нову линију у нашу конфигурацију. Ставите следећу линију испод tls-authлиније:

key-direction 0

Дозволи прослеђивање

Пошто желимо да омогућимо нашим клијентима да приступе Интернету преко нашег сервера, отварамо следећу датотеку /etc/sysctl.confи декоментирамо овај ред:

net.ipv4.ip_forward=1

Сада морамо да применимо промене:

sysctl -p

НАТ

Да бисмо омогућили приступ Интернету нашим ВПН клијентима, такође морамо да креирамо НАТ правило. Ово правило је кратак један ред који изгледа овако:

iptables -t nat -A POSTROUTING -s 10.8.0.0/16 -o eth0 -j MASQUERADE

Почетак

Сада можемо да покренемо наш ОпенВПН сервер и дозволимо клијентима да се повежу тако што ћемо укуцати следећи кључ:

service openvpn start

Закључак

Овим је наш водич завршен. Уживајте у свом новом ОпенВПН серверу!