Konfigurera ditt eget privata nätverk med OpenVPN

Vultr erbjuder dig fantastisk privat nätverksanslutning för servrar som körs på samma plats. Men ibland vill man att två servrar i olika länder/datacenter ska kunna kommunicera på ett privat och säkert sätt. Denna handledning visar dig hur du uppnår det med hjälp av OpenVPN. Operativsystemen som används här är Debian och CentOS, bara för att visa dig två olika konfigurationer. Detta kan enkelt anpassas för Debian -> Debian, Ubuntu -> FreeBSD och så vidare.

• Maskin 1: Debian, kommer att fungera som server (Plats: NL)
• Maskin 2: CentOS, kommer att fungera som klient (Plats: FR)

Maskin 1

Börja på maskin 1 genom att installera OpenVPN:

apt-get install openvpn

Kopiera sedan exempelkonfigurationen och verktyget för att generera nycklar, easy-rsa, till /etc/openvpn:

cp -r /usr/share/doc/openvpn/examples/easy-rsa/ /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn

Standardvärdena för dina nycklar är inte exakt säkra längre, för att fixa detta öppnas /etc/openvpn/easy-rsa/2.0/varsmed din favorittextredigerare och ändra följande rad:

export KEY_SIZE=4096

Se sedan till att värdena läses in i din nuvarande session, rensa upp eventuella befintliga nycklar och generera din certifikatutfärdare:

cd /etc/openvpn/easy-rsa/2.0
source ./vars
./clean-all
./build-ca

Du kommer att bli tillfrågad om information. Gör ditt liv enklare genom att tillhandahålla information om din server, till exempel var den finns och vad FQDN är/kommer att bli. Detta är användbart när du måste felsöka problem:

Country Name (2 letter code) [US]:NL
State or Province Name (full name) [CA]:-
Locality Name (eg, city) [SanFrancisco]:Vultr Datacenter NL
Organization Name (eg, company) [Fort-Funston]:-
Organizational Unit Name (eg, section) [changeme]:-
Common Name (eg, your name or your server's hostname) [changeme]:yourserver1.yourdomain.tld
Name [changeme]:-
Email Address [[email protected]]:[email protected]

En annan nödvändighet är parametrar för Diffie-Hellman-nyckelutbytet. Dessa måste också genereras:

./build-dh

Viktigt : build-dhKommandot är en relativt komplex process som kan ta upp till tio minuter, beroende på din servers resurser.

För att ytterligare förbättra säkerheten för denna anslutning kommer vi att generera en statisk hemlighet som måste distribueras bland alla klienter:

mkdir /etc/openvpn/keys
openvpn --genkey --secret /etc/openvpn/keys/ta.key

Nu kan du skapa nyckeln för servern:

./build-key-server server1

Detta kommando kommer att fråga efter viss information:

Country Name (2 letter code) [US]:NL
State or Province Name (full name) [CA]:-
Locality Name (eg, city) [SanFrancisco]:Vultr Datacenter NL
Organization Name (eg, company) [Fort-Funston]:-
Organizational Unit Name (eg, section) [changeme]:-
Common Name (eg, your name or your server's hostname) [server1]:yourserver1.yourdomain.tld
Name [changeme]:-
Email Address [[email protected]]:[email protected]

Det sista steget är att signera certifikatbegäran som just genererades med CA:s nyckel:

1 out of 1 certificate requests certified, commit? [y/n]y

Kopiera nödvändiga nycklar och certifikat till en separat mapp:

cd /etc/openvpn/easy-rsa/2.0/keys
cp dh4096.pem ca.crt server1.crt server1.key /etc/openvpn/keys/
chmod 700 /etc/openvpn/keys
chmod 600 /etc/openvpn/keys/*

Nu för konfigurationen, packa upp den ...

cd /etc/openvpn
gunzip server.conf.gz

... och öppna resultatet server.confmed din favorittextredigerare. Konfigurationen bör se ut så här:

port 1194
proto udp
dev tun

ca keys/ca.crt
cert keys/server1.crt
key keys/server1.key 
dh keys/dh4096.pem
server 10.8.100.0 255.255.255.0
ifconfig-pool-persist ipp.txt

# Uncomment this if you have multiple clients
# and want them to be able to see each other
;client-to-client

keepalive 10 120
tls-auth keys/ta.key 0 

tls-cipher DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-AES128-SHA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
cipher AES-256-CBC
auth SHA384
comp-lzo

user nobody
group nogroup

persist-key
persist-tun
verb 3
mute 20

Efter att ha startat om tjänsten bör du titta på din logg lite ...

service openvpn restart && tail -f /var/log/syslog

...för att se till att allt fungerar. Om inga fel upptäcks kan du generera nycklarna för din andra server:

cd /etc/openvpn/easy-rsa/2.0
source ./vars
./build-key server2

Återigen kommer du att bli tillfrågad om information:

Country Name (2 letter code) [US]:FR
State or Province Name (full name) [CA]:-
Locality Name (eg, city) [SanFrancisco]:Vultr Datacenter FR
Organization Name (eg, company) [Fort-Funston]:-
Organizational Unit Name (eg, section) [changeme]:-
Common Name (eg, your name or your server's hostname) 
[server2]:yourserver2.yourdomain.tld
Name [changeme]:-
Email Address [[email protected]]:[email protected]

Nu måste du överföra de nödvändiga filerna till din andra server, helst krypterade:

cd /etc/openvpn/easy-rsa/2.0/keys
cp /etc/openvpn/keys/ta.key .
tar -cf vpn.tar ca.crt server2.crt server2.key ta.key
scp vpn.tar yourusername@server2:~/
rm vpn.tar

Maskin 2

Dags att byta till SSH-anslutningen för din andra server . Det första steget är att installera OpenVPN ...

yum install openvpn

... och för att avaktivera firewalld. Ersättningen kommer att vara vanliga iptables.

systemctl stop firewalld
systemctl disable firewalld

Packa upp arkivet som du just flyttade till servern och ställ in behörigheter för filerna korrekt:

cd /etc/openvpn
mkdir keys
chmod 700 keys
cd keys
tar -xf ~/vpn.tar -C .
chmod 600 *

Skapa /etc/openvpn/client.confmed din favorittextredigerare. Det ska se ut så här:

client
dev tun
proto udp

remote yourserver yourport
resolv-retry infinite
nobind
user nobody
group openvpn


persist-key
persist-tun

ca keys/ca.crt
cert keys/server2.crt
key keys/.key

ns-cert-type server
tls-auth keys/ta.key 1

tls-cipher DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-AES128-SHA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
cipher AES-256-CBC
auth SHA384

remote-cert-tls server

comp-lzo
verb 3
mute 20

Det sista steget är att starta och aktivera tjänsten:

systemctl start [email protected]
systemctl enable [email protected]

Om allt fungerar bör du inte ha några problem att pinga den första servern:

PING 10.8.100.1 (10.8.100.1) 56(84) bytes of data.
64 bytes from 10.8.100.1: icmp_seq=1 ttl=64 time=17.8 ms
64 bytes from 10.8.100.1: icmp_seq=2 ttl=64 time=17.9 ms
64 bytes from 10.8.100.1: icmp_seq=3 ttl=64 time=17.8 ms

Du har nu en privat anslutning över Internet!

Om du behöver felsöka några fel, försök att kontrollera loggarna med följande kommando:

journalctl -xn