Kaip įdiegti ir sukonfigūruoti „OpenVPN“ serverį „Ubuntu Linux“

„OpenVPN“ Be jokios abejonės, tai geriausias būdas sukurti saugų ryšį su tinklu internetu.

„OpenVPN“ yra VPN šaltinis Atviro kodo Tai leidžia mums, kaip vartotojams, užmaskuoti mūsų naršymą, kad netaptume informacijos vagystės tinkle aukomis. Tai yra labai svarbūs saugumo lygio aspektai, į kuriuos turime atsižvelgti ir šį kartą analizuosime „OpenVPN“ konfigūravimo procesą „Ubuntu 16.04“ aplinkoje.

„OpenVPN“ naudoja„OpenVPN“ dėka galime atlikti tokias užduotis kaip:

• Saugoti eismą naršymo internete metu.
• Veikia kaip tunelis per bet kurį IP adresą naudojant vieną TCP arba UDP prievadą.
• Nustatyti keli serveriai Keičiamas VPN.
• Naudoti šifravimo funkcijas ir autentifikavimas, siekiant apsaugoti eismą.
• Keitimasis dinaminiai klavišai.
• Sukurkite tiltus iš Saugus eternetas.
• VPN valdymas naudojant grafinę sąsają iš „Windows“ ir „Mac OS“ aplinkų.

„OpenVPN“ reikalavimaiPrieš pradedant diegimo procesą, svarbu atitikti tam tikrus reikalavimus:

• Šakninis vartotojas
• „Droplet Ubuntu“ 16.04

1. Kaip įdiegti „Update“ ir įdiegti „OpenVPN“ „Ubuntu 16.04“

1 žingsnis
Pirmiausia atnaujinsime „Ubuntu 16.04“ naudodami šią komandą:

 sudo apt-get atnaujinimas 

2 žingsnis
Kai sistema bus atnaujinta, pradėsime diegti „OpenVPN“ naudodami šią komandą. Mes priimame „OpenVPN“ paketų atsisiuntimą ir atitinkamą diegimą.

 sudo apt-get install openvpn easy-rsa 

DIDELIS

Šiuo būdu „Ubuntu 16“ įdiegėme „OpenVPN“ ir dabar reikės atlikti konfigūravimo procesą.

2. Kaip nustatyti CA katalogą „Ubuntu 16.04“

The CA katalogas (Sertifikavimo institucija- įgaliojimo sertifikatas) yra priemonė, kuria galime išduoti patikimus sertifikatus, nes „OpenVPN“ yra VPN, kuris naudoja TLS / SSL protokolai.

1 žingsnis
Už tai nukopijuosime šablonus iš „easy-rsa“ mūsų namų kataloge naudodami komandą makiažas, „Ubuntu 16.04“ terminale įvesime:

 make-cadir ~ / openvpn-ca 

2 žingsnis
Dabar pateksime į anksčiau sukurtą maršrutą:

 cd ~ / openvpn-ca 

DIDELIS

3. sukonfigūruokite įgaliojimų sertifikatų kintamuosius „Ubuntu 16.04“

Būtina sukonfigūruoti vertes, kurias naudos institucija arba CA sertifikatai, ir tam turime redaguoti failą varsai kataloge.

1 žingsnis
Šį failą galime atidaryti naudodami pageidaujamą redaktorių, šiuo atveju tai bus nano:

 sudo nano vars 

DIDELIS

2 žingsnis
Šiame faile randame kintamuosius, kuriuos galime koreguoti ir sukonfigūruoti, kad nustatytume, kaip bus sukurti autoriteto sertifikatai. Slinkite į failo apačią, kol rasime šiuos kintamuosius:

 export KEY_COUNTRY = "US" export KEY_PROVINCE = "CA" export KEY_CITY = "SanFrancisco" export KEY_ORG = "Fort-Funston" export KEY_EMAIL = "[email protected]" export KEY_OU = "MyOrganizationalUnit"

DIDELIS

3 žingsnis
Mes redaguojame šias vertes pagal reikiamus parametrus. Lygiai taip pat redaguosime eilutę eksportuoti KEY_NAME priskyrė atitinkamą pavadinimą, šiuo atveju mes jį pavadinome serveriu.

DIDELIS

4 žingsnis
Mes laikomės pakeitimai naudojant derinį:

Ctrl + O

Y mes išėjome iš redaktoriaus naudojant

„Ctrl“ + X

4. Kaip sukurti įgaliojimo sertifikatą „Ubuntu 16.04“

Nustatę šias vertes, pradedame kurti autoritetinį sertifikatą.

PastabaPrisiminti, kad mes turime būti kataloge ~ / openvpn-ca.

1 žingsnis
Kai būsime kataloge, vykdysime šią komandą:

 šaltinis vars 

DIDELIS

2 žingsnis
Mes vykdome nurodytą komandą, kad aplinka būtų švari:

 ./valyti- visi 

3 žingsnis
Dabar sukursime pagrindinį CA sertifikatą naudojant šią komandą:

 ./build-ca 

4 žingsnis
Mes matome daugybę klausimų, kuriuos jau sukonfigūravome „Wars“ faile, ir mes turime tik paspausti Įveskite užbaigti automatiškai. Taigi sukūrėme sertifikatą kuris bus naudingas likusiam procesui.

DIDELIS

5. Kaip sukurti serverio sertifikatą, raktą ir užšifruotus failus „Ubuntu 16.04“

Šiuo metu mes sukursime serverio sertifikatą ir atitinkamus raktus.

1 žingsnis
Norėdami tai padaryti, vykdysime šią komandą:

 ./build-key-server serveris 

Turime pakeisti serverio pavadinimą eilutėje nurodytu eksportuoti KEY_NAME iš „Vars“ bylos). „Vars“ faile jau apibrėžtos vertės bus automatiškai išsiųstos, ir mes paspaudžiame „Enter“.

2 žingsnis
Matome, kad sertifikatas buvo sukurtas teisingai.

DIDELIS

3 žingsnis
Tada sukursime kitus parametrus, tokius kaip Diffie-Hellman šifravimas kurį galima naudoti keičiantis raktais, tam naudosime šią eilutę.

 ./build-dh 

DIDELIS

4 žingsnis
Šis procesas užtrunka keletą minučių. Taip pat galime sukurti HMAC parašą, kuris leidžia mums pagerinti serverio TLS vientisumo lygius, todėl įvedame šiuos duomenis.

 openvpn --genkey -slapti raktai / ta.key 

6. Kaip sukurti serverio sertifikatą, raktą ir užšifruotus failus „Ubuntu 16.04“

Šis procesas gali būti atliktas kliento kompiuteryje ir vėliau pasirašytas naudojant CA serverį, tačiau šį kartą mes jį vykdysime tiesiogiai, kad sutaupytume laiko. Mes vėl pasiekiame katalogą, jei to dar nesame. ~ / openvpn-ca ir ten vykdysime šaltinio vars komandą.

1 žingsnis
Dabar įvesime šią eilutę, kurioje apibrėžiame kliento vardą:

 ./statyti raktas solvetic1 

Turime spausti Įveskite į atitinkamus klausimus, jau sukonfigūruotus aukščiau

DIDELIS

2 žingsnis
Ši komanda sukuria kredencialus nereikalaudama slaptažodžio, jei dėl saugumo norime sukurti įgaliojimą su slaptažodžiu, turime vykdyti šią eilutę:

 ./build-key-pass (kliento vardas) 

7. Kaip sukonfigūruoti „OpenVPN“ paslaugą „Ubuntu 16.04“

Kitas žingsnis yra sukonfigūruoti „OpenVPN“ paslaugą, kad viskas veiktų taip, kaip norite. Pirmiausia nukopijuosime failus, kuriuos sukūrėme kelyje ~ / openvpn-ca į kelią / etc / openvpn, atminkite, kad CA sertifikatai, raktai, failas Diffie-Hellman ir HMAC failas.

1 žingsnis
Norėdami tai padaryti, pateksime į šį katalogą:

 cd ~ / openvpn-ca / klavišai 

2 žingsnis
Kai ten atliksime šią kopijavimo proceso eilutę:

 sudo cp ca.crt ca.key server.crt server.key ta.key dh2048.pem / etc / openvpn 

3 žingsnis
Dabar turime nukopijuoti ir išpakuoti a „OpenVPN“ konfigūracijos failas tame kataloge naudoti kaip pagrindą. Norėdami tai padaryti, įvesime:

 gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | sudo tee /etc/openvpn/server.conf 

DIDELIS

8. Kaip koreguoti „OpenVPN“ nustatymus „Ubuntu 16.04“

1 žingsnis
Kai turėsime šiuos failus reikiamu keliu, pereisime prie „OpenVPN“ konfigūracijos prieigos prie failo server.conf:

 sudo nano /etc/openvpn/server.conf 

DIDELIS

2 žingsnis
Ten mes atliksime šiuos pakeitimus. Mes einame į eilę tls-auth ta.key 0 # Šis failas yra slaptas ir po juo pridėsime šiuos dalykus.

 rakto kryptis 0 

3 žingsnis
Ant linijos šifras AES-128-CBC mes pašaliname simbolį; esančią jo pradžioje ir žemiau šios eilutės įvesime šį.

 autorius SHA256 

4 žingsnis
Taip siekiama sukurti autentifikavimo eilutę pasirinkite pranešimo algoritmą. Ant linijų Vartotojas Y grupė pašaliname simbolį; pradžioje.

DIDELIS

Kaip papildomas alternatyvas galime pridėti šiuos dalykus.

DNS srauto nukreipimas per VPNŠi parinktis yra praktiška, kai norime nukreipti visą srautą tik per VPN.

 Norėdami tai padaryti, atliksime šiuos pakeitimus ankstesniame faile: Mes pašaliname eilutes: push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 208.67.222.222" push "dhcp-option DNS 208.67.220.220"

Pakeiskite „OpenVPN“ prievadąPagal numatytuosius nustatymus „OpenVPN“ kliento ryšiams naudoja 1194 prievadą ir UDP tinklo protokolą. Jei norime pakeisti šį prievadą, einame į eilutę uostas ir mes priskiriame naują uostą pagal esamą poreikį.

DIDELIS

Lygiai taip pat galime pakoreguoti eilutėje esantį protokolą proto.

Tinklo nustatymų koregavimas - IP persiuntimasŠis punktas yra svarbus, nes leidžia teisingai nukreipti visą „OpenVPN“ srautą.

Pirmiausia įgalinsime IP adreso persiuntimas, tai yra, kad serveris persiunčia srautą, tam turime redaguoti failą /etc/sysctl.conf:

 sudo nano /etc/sysctl.conf 

Failo viduje įdėsime eilutę net.ipv4.ip_forward = 1 ir mes jį pašaliname, pašalindami simbolį #, esantį jo pradžioje.

DIDELIS

Mes laikomės pakeitimus ir išeiname iš failo. Kad visi pakeitimai būtų taikomi dabartinėje sesijoje, vykdysime šią komandą.

 sudo sysctl -p

Taisyklių nustatymas „Ubuntu 16.04“ užkardojeUgniasienės naudojimas yra būtinas, nes jis apsaugo mus nuo įeinančių prisijungimų prie sistemos redaguoti taisyklių failą užmaskuotam srautui konfigūruoti. Pirmiausia turime žinoti serverio viešojo tinklo sąsają, todėl vykdome šią komandą:

 ip maršrutas | grep numatytasis 

DIDELIS

Šiame pavyzdyje viešojo tinklo sąsaja yra enp0s3. Dabar prieisime į taisyklių konfigūracijos failą norėdami koreguoti, įvedame:

 sudo nano /etc/ufw/before.rules 

Bus parodytas toks langas.

DIDELIS

Šis failas tvarko konfigūraciją, prieš kurią turi būti įvykdytos tipinės UFW taisyklės. Viršuje įvesime šias eilutes, kuriose bus nustatyta POSTROUTING konfigūracija:

 # PRADĖTI OPENVPN TAISYKLES # NAT lentelės taisyklės * nat: POSTROUTING ACCEPT [0: 0] # Leisti srautą iš „OpenVPN“ kliento į (sąsaja) -A POSTROUTING -s 10.8.0.0/8 -o (sąsaja) -j MASQUERADE COMMIT # END OPENVPN TAISYKLĖS

DIDELIS

Svarbu, kad enp0s3 laukas nustatykime teisingą sąsajos pavadinimą. Mes laikomės pakeitimai naudojant derinį:

Ctrl + O

Y mes išėjome iš redaktoriaus naudojant:

„Ctrl“ + X

Dabar turime leisti UFW priimti paketus numatytas, tam mes vykdysime šią komandą:

 sudo nano / etc / default / ufw 

Ant linijos DEFAULT_FORWARD_POLICY mes keičiame terminą DROP pagal ACCEPT.

DIDELIS

Mes laikomės pasikeitimai.

Atidarykite VPN prievadus ir įgalinkite pakeitimusKitas žingsnis yra koreguoti ugniasienės nustatymus leisti visą srautą į „OpenVPN“. Už tai vykdome šią komandą.

 sudo ufw leisti 1194 / udp 

PastabaJei redagavome prievadą ir protokolą, turime tai pakeisti šioje komandoje, tai yra numatytosios „OpenVPN“ vertės.

Taip pat pridedame SSH prievadas:

 sudo ufw leidžia OpenSSH 

DIDELIS

Į įkelti pakeitimus naudosime šias komandas.

 sudo ufw išjungti sudo ufw įgalinti

Mes galime patikrinti, ar taisyklės buvo pridėtos naudojant komandą sudo ufw būsena:

DIDELIS

9. Kaip paleisti ir įjungti „OpenVPN“ paslaugą „Ubuntu 16.04“

Su šiais jau apibrėžtas vertes Galime paleisti „OpenVPN“ paslaugą „Ubuntu“ ir tam reikės nurodyti mūsų priskirtą pavadinimą.

1 žingsnis
Norėdami tai padaryti, vykdysime šią eilutę:

 sudo systemctl paleiskite „openvpn @ server“ 

2 žingsnis
Vėliau mes patvirtiname „OpenVPN“ būseną naudojant eilutę:

 sudo systemctl būsena openvpn @ server 

DIDELIS

3 žingsnis
Matome, kad jo būsena yra teisinga ir ji sėkmingai prasidėjo. Norėdami grįžti į komandų eilutę, paspauskite q raidę. Taip pat galime patikrinti „OpenVPN tun0“ sąsają įvesdami:

 ip addr rodo tun0 

DIDELIS

4 žingsnis
Kad „OpenVPN“ paslauga veiktų automatiškai kiekvieną kartą prisijungus, turime įvesti šį parametrą:

 sudo systemctl įgalinti openvpn @ server 

DIDELIS

10. Kaip sukurti „OpenVPN“ kliento struktūrą „Ubuntu 16.04“

1 žingsnis
Kitas žingsnis yra sukurti kliento konfigūracijos failus, todėl mes sukursime šią struktūrą asmeniniame kataloge, atlikdami šiuos veiksmus:

 mkdir -p ~ / client -configs / files 

2 žingsnis
Mes užblokuosime leidimus tame maršrute, nes ten yra sukurti raktai, naudosime šią eilutę:

 chmod 700 ~ / client-configs / files 

11. Kaip sukurti „OpenVPN“ konfigūracijos bazę „Ubuntu 16.04“

1 žingsnis
Šiuo metu nukopijuosime kliento konfigūracijos bazę kataloge, kad ji būtų kaip bazė, vykdome šiuos veiksmus:

 cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf ~/client-configs/base.conf 

2 žingsnis
Mes atidarome šį failą norimu redaktoriumi:

 sudo nano ~ / client-configs / base.conf 

DIDELIS

3 žingsnis
Ten mes randame liniją Nuotolinis ir mes įvesime serverio IP adresą, po kurio seka UDP prievadas 1194:

DIDELIS

4 žingsnis
Tame pačiame faile atliksime šiuos pakeitimus:

• Mes nekomentuojame eilučių Vartotojas Y grupė ženklo pašalinimas;
• Mes komentuojame, pridėdami simbolį # prie eilučių AC, sertifikatas Y Raktas
• Pridedame eilutes šifras AES-128-CBC Y autorius SHA256
• Žemiau ankstesnės eilutės rašome rakto kryptis 1
• Failo pabaigoje pridedame šias eilutes:

 script-security 2 / # up / etc / openvpn / update-resolv-conf / # down / etc / openvpn / update-resolv-conf

Jei tai jums netinka, išbandykite šią kitą scenarijaus saugos komandos formą:

 script-security 2 / up / etc / openvpn / update-resolv-conf / down / etc / openvpn / update-resolv-conf

DIDELIS

5 žingsnis
Mes laikomės pakeitimai naudojant derinį:

Ctrl + O

Y mes išėjome iš redaktoriaus naudojant:

„Ctrl“ + X

12. Kaip sukurti „OpenVPN“ konfigūracijos scenarijų „Ubuntu 16.04“

1 žingsnis
Šis scenarijus pasirūpins svarbiausių įvykio sertifikato, rakto ir šifravimo failų kelyje sudarymu ~ / client-configs / files. Mes sukursime failą pavadinimu make_config.sh naudojant šią sintaksę:

 sudo nano ~ / client-configs / make_config.sh

2 žingsnis
Bus atidarytas tuščias failas, kuriame pridėsime šias eilutes:

 #! / bin / bash # Pirmasis argumentas: kliento identifikatorius KEY_DIR = ~ / openvpn-ca / keys OUTPUT_DIR = ~ / client-configs / files BASE_CONFIG = ~ / client-configs / base.conf cat $ {BASE_CONFIG} \ <(echo -e '') \ $ {KEY_DIR} /ca.crt \ <(echo -e '\ n') \ $ {KEY_DIR} / $ {1} .crt \ <(echo -e '\ n') \ $ {KEY_DIR} / $ {1} .key \ <(echo -e '\ n') \ $ {KEY_DIR} /ta.key \ <(echo -e '') \> $ {OUTPUT_DIR} / $ {1} .ovpn

DIDELIS

3 žingsnis
Mes laikomės pokyčius ir mes išėjome iš redaktoriaus. Mes padarysime šį failą vykdomu įvesdami:

 sudo chmod 700 ~ / client-configs / make_config.sh 

13. Kaip sukonfigūruoti „OpenVPN“ kliento failus „Ubuntu 16.04“

Kitas žingsnis - sukurti kliento konfigūracijos failus, kuriuos sukūrėme kaip Solvetikas 1.

1 žingsnis
Norėdami tai padaryti, įvesime šias eilutes:

 cd ~ / client-configs ./make_config.sh client1 [paprastas] 2 veiksmas [ / paprastas] Šio aplanko turinį galime pamatyti naudodami komandą ls: ls ~ / client-configs / files

DIDELIS

Matome, kad yra teisingai sukurtas „Solvetic1“ klientas.

14. Kaip perkelti „OpenVPN“ nustatymus į „OpenVPN“ kliento mašinas „Ubuntu 16.04“

Kai visi konfigūravimo procesai bus atlikti „Ubuntu 16“, atėjo laikas perkelti Solvetic1.ovpn failas į atitinkamus įrenginius, pvz., kompiuterius ar mobiliuosius įrenginius.

1 žingsnis
Mes galime naudoti norimą perkėlimo klientą, atsižvelgdami į mūsų naudojamą sistemą, perdavimo pavyzdys gali būti toks „Fedora 25“ aplinkoje:

 sftp [email protected]: client-configs / files / Solvetic1.ovpn ~ / 

2 žingsnis
Šiame pavyzdyje mes naudosime „Windows“ ir klientas Filezilla:

DIDELIS

15. Kaip įdiegti ir paleisti „OpenVPN“ „Ubuntu 16.04“

1 žingsnis
„OpenVPN“ galima „Windows“, „Linux“, „Mac OS“, „Android“, „FreeBSD“ ir kt. Šioje nuorodoje galime atsisiųsti atitinkamą „OpenVPN“ versiją:

2 žingsnis
Toliau pamatysime, kaip paleisti „OpenVPN“ įvairiose operacinėse sistemose.

„Windows“ paleiskite „OpenVPN“In „Windows“, kuri yra pavyzdinė sistema, mes privalome nukopijuokite .ovpn failą maršrute:

 C: \ Program Files \ OpenVPN \ config 

3 žingsnis
Iš ten galime dešiniuoju pelės mygtuku spustelėti failą ir pasirinkti parinktį Šiame konfigūracijos faile paleiskite „OpenVPN“

DIDELIS

Tokiu būdu mes prisijungsime prie „OpenVPN“ serverio.

Pastaba„OpenVPN“ turi būti paleistas su administracines privilegijas.

„Linux“ paleiskite „OpenVPN“„Linux“ sistemose procesas turėtų būti toks:

Pirmiausia atnaujiname sistemą ir įdiegiame „OpenVPN“ naudodami šias komandas:

 sudo apt-get atnaujinimas 

 sudo apt-get įdiegti openvpn 

Jei naudosime „CentOS“ naudosime šias komandas:

 sudo yum install epel-release sudo yum install openvpn

Įdiegus „OpenVPN“ vykdysime šią komandą:

 ls / etc / openvpn 

Kitas žingsnis yra redaguoti .ovpn failą perkelta su norimu redaktoriumi.

 sudo nano failas.ovpn 

Atidarytame faile turime nekomentuoti šias eilutes:

 script-security 2 iki / etc / openvpn / update-resolv-conf

 žemyn / etc / openvpn / update-resolv-con 

Dabar galime prisijungti prie VPN naudodami šią sintaksę:

 sudo openvpn --config Failas.ovpn

„Mac OS“ paleiskite „OpenVPN“Jei naudojame „Mac OS“, tai taikoma „macOS Sierra“, mes galime naudoti įrankį tunelblick kurį galime nemokamai atsisiųsti iš šios nuorodos:

Vykdydami programą pavadinimo juostoje pamatysime atitinkamą piktogramą, spustelėkite ten ir pasirinkite Prisijungti ir pasirenkame klientą, kurį sukonfigūravome, pvz. Solvetikas 1.

„Android“ paleiskite „OpenVPN“„Android“ vartotojams, norintiems prisijungti prie „Linux“ per VPN, galime atsisiųsti „OpenVPN Connect“ programą naudodami šią nuorodą:

Failas .ovpn mes turime perkelti jį per USB į telefoną naudoti.
Vykdydami programą einame į meniu ir pasirenkame vietą, kurioje turime .ovpn failą, ir iš ten jį importuojame. Norėdami prisijungti, spustelėkite mygtuką Prisijungti.

Bet kuriuo iš nurodytų būdų tikslas yra pasiekti „Ubuntu 16.04“ per VPN ir naudotis „OpenVPN“ teikiamais pranašumais.

DIDELIS

Kaip matote, „OpenVPN“ serverio konfigūravimas „Ubuntu“ yra šiek tiek sudėtingas, tačiau su šiuo išsamiu vadovu turite žingsnis po žingsnio viską, ką turite padaryti, kad įdėtumėte jį į šią sistemą. Jei be „Ubuntu“ naudojate kitus platinimo įrenginius, mes paliekame jus kaip sukonfigūruoti ir įdiegti „OpenVPN“ serverį „Debian“.

„OpenVPN Debian“ serveris