Як створити сервер OpenVPN в Ubuntu 16.04

Вступ

OpenVPN — це безпечна VPN, яка використовує SSL (Secure Socket Layer) і пропонує широкий спектр функцій. У цьому посібнику ми розглянемо процес встановлення OpenVPN на Ubuntu 16 з використанням центру сертифікації, розміщеного на базі easy-rsa.

Встановити

Щоб розпочати, нам потрібно встановити деякі пакунки:

sudo su
apt-get update
apt-get install openvpn easy-rsa

Центр сертифікації

OpenVPN — це SSL VPN, що означає, що він діє як центр сертифікації для шифрування трафіку між обома сторонами.

Налаштування

Ми можемо почати з налаштування центру сертифікації нашого сервера OpenVPN, виконавши таку команду:

make-cadir ~/ovpn-ca

Тепер ми можемо перейти в наш свіжо створений каталог:

cd ~/ovpn-ca

Налаштувати

Відкрийте файл з назвою varsта подивіться на такі параметри:

export KEY_COUNTRY="US"
export KEY_PROVINCE="NJ"
export KEY_CITY="Matawan"
export KEY_ORG="Your Awesome Organization"
export KEY_EMAIL="me@your_awesome_org.com"
export KEY_OU="YourOrganizationUnit"

І відредагуйте їх, використовуючи власні значення. Нам також потрібно знайти та відредагувати наступний рядок:

export KEY_NAME="server"

Будувати

Тепер ми можемо розпочати створення нашого центру сертифікації, виконавши таку команду:

./clean-all
./build-ca

Виконання цих команд може зайняти кілька хвилин.

Сервер-ключ

Тепер ми можемо почати створювати ключ нашого сервера, виконавши таку команду:

./build-key-server server

Поки serverполе слід замінити на KEY_NAMEми встановили у varsфайлі раніше. У нашому випадку ми можемо зберегти server.

Процес створення ключа нашого сервера може викликати кілька запитань, як-от закінчення терміну його дії. На всі ці запитання ми відповідаємо за допомогою y.

Сильний ключ

На наступному кроці ми створюємо надійний Diffie-Hellmanключ, який буде використовуватися під час обміну нашими ключами. Введіть таку команду, щоб створити її:

./build-dh

HMAC

Тепер ми можемо створити підпис HMAC, щоб посилити перевірку цілісності TLS сервера:

openvpn --genkey --secret keys/ta.key

Згенеруйте ключ клієнта

./build-key client

Налаштуйте Сервер

Після того, як ми успішно створили наш власний центр сертифікації, ми можемо почати з копіювання всіх необхідних файлів і налаштування самого OpenVPN. Тепер ми збираємося скопіювати згенеровані ключі та сертифікати в наш каталог OpenVPN:

cd keys
cp ca.crt ca.key server.crt server.key ta.key dh2048.pem /etc/openvpn
cd ..

Після цього ми можемо скопіювати приклад файлу конфігурації OpenVPN до нашого каталогу OpenVPN, виконавши таку команду:

gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | tee /etc/openvpn/server.conf

Відредагуйте конфігурацію

Тепер ми можемо почати редагувати нашу конфігурацію відповідно до наших потреб. Відкрийте файл /etc/openvpn/server.confі розкоментуйте наступні рядки:

push "redirect-gateway def1 bypass-dhcp"
user nobody
group nogroup
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
tls-auth ta.key 0

Нам також потрібно додати новий рядок до нашої конфігурації. Помістіть наступний рядок під tls-authрядком:

key-direction 0

Дозволити пересилання

Оскільки ми хочемо дозволити нашим клієнтам отримати доступ до Інтернету через наш сервер, ми відкриваємо наступний файл /etc/sysctl.confі розкоментуємо цей рядок:

net.ipv4.ip_forward=1

Тепер нам потрібно застосувати зміни:

sysctl -p

NAT

Щоб забезпечити доступ до Інтернету нашим клієнтам VPN, ми також повинні створити правило NAT. Це правило є коротким однорядковим, який виглядає так:

iptables -t nat -A POSTROUTING -s 10.8.0.0/16 -o eth0 -j MASQUERADE

Почніть

Тепер ми можемо запустити наш сервер OpenVPN і дозволити клієнтам підключитися, ввівши наступний ключ:

service openvpn start

Висновок

На цьому наш підручник закінчується. Насолоджуйтесь своїм новим сервером OpenVPN!