Hur man skapar en OpenVPN-server på Ubuntu 16.04

Introduktion

OpenVPN är en säker VPN som använder SSL (Secure Socket Layer) och erbjuder ett brett utbud av funktioner. I den här guiden kommer vi att täcka processen för att installera OpenVPN på Ubuntu 16 med hjälp av den easy-rsa-värdbaserade certifikatmyndigheten.

Installera

För att komma igång behöver vi några paket installerade:

sudo su
apt-get update
apt-get install openvpn easy-rsa

Certifikatmyndigheten

OpenVPN är en SSL VPN, vilket innebär att den fungerar som certifikatutfärdare för att kryptera trafiken mellan båda parter.

Uppstart

Vi kan börja med att ställa in vår OpenVPN-servers certifikatutfärdare genom att köra följande kommando:

make-cadir ~/ovpn-ca

Vi kan nu byta till vår nyskapade katalog:

cd ~/ovpn-ca

Konfigurera

Öppna filen med namnet varsoch ta en titt på följande parametrar:

export KEY_COUNTRY="US"
export KEY_PROVINCE="NJ"
export KEY_CITY="Matawan"
export KEY_ORG="Your Awesome Organization"
export KEY_EMAIL="me@your_awesome_org.com"
export KEY_OU="YourOrganizationUnit"

Och redigera dem med dina egna värderingar. Vi måste också leta efter och redigera följande rad:

export KEY_NAME="server"

Bygga

Vi kan nu börja bygga vår certifikatutfärdare genom att köra följande kommando:

./clean-all
./build-ca

Dessa kommandon kan ta några minuter att slutföra.

Server-nyckel

Nu kan vi börja bygga vår servers nyckel genom att köra följande kommando:

./build-key-server server

Medan serverfältet ska ersättas med har KEY_NAMEvi ställt in i varsfilen tidigare. I vårt fall kan vi behålla server.

Byggprocessen för vår servers nyckel kan ställa några frågor, som utgången av sig själv. Vi svarar på alla dessa frågor med y.

Stark nyckel

I nästa steg skapar vi en stark Diffie-Hellmannyckel som kommer att användas vid utbyte av våra nycklar. Skriv in följande kommando för att skapa ett:

./build-dh

HMAC

Vi kan nu skapa en HMAC-signatur för att stärka serverns TLS-integritetsverifiering:

openvpn --genkey --secret keys/ta.key

Skapa en klientnyckel

./build-key client

Konfigurera servern

När vi väl har skapat vår egen certifikatutfärdare kan vi börja med att kopiera alla nödvändiga filer och konfigurera OpenVPN själv. Nu ska vi kopiera de genererade nycklarna och certifikaten till vår OpenVPN-katalog:

cd keys
cp ca.crt ca.key server.crt server.key ta.key dh2048.pem /etc/openvpn
cd ..

Efteråt kan vi kopiera ett exempel på en OpenVPN-konfigurationsfil till vår OpenVPN-katalog genom att köra följande kommando:

gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | tee /etc/openvpn/server.conf

Redigera konfigurationen

Vi kan nu börja redigera vår konfiguration för att passa våra behov. Öppna filen /etc/openvpn/server.confoch avkommentera följande rader:

push "redirect-gateway def1 bypass-dhcp"
user nobody
group nogroup
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
tls-auth ta.key 0

Vi måste också lägga till en ny rad i vår konfiguration. Placera följande rad under tls-authraden:

key-direction 0

Tillåt vidarebefordran

Eftersom vi vill tillåta våra kunder att komma åt Internet via vår server, öppnar vi följande fil /etc/sysctl.confoch avkommentarer den här raden:

net.ipv4.ip_forward=1

Nu måste vi tillämpa ändringarna:

sysctl -p

NAT

För att ge internetåtkomst till våra VPN-klienter måste vi också skapa en NAT-regel. Denna regel är en kort one-liner som ser ut så här:

iptables -t nat -A POSTROUTING -s 10.8.0.0/16 -o eth0 -j MASQUERADE

Start

Vi kan nu starta vår OpenVPN-server och låta klienter ansluta genom att skriva in följande nyckel:

service openvpn start

Slutsats

Detta avslutar vår handledning. Njut av din nya OpenVPN-server!