Debian

Cara Menyiapkan VPN dengan OpenVPN Pada Debian 9 Stretch Linux

Cara Menyiapkan VPN dengan OpenVPN Pada Debian 9 Stretch Linux

Pengagihan

Panduan ini diuji untuk Debian 9 Stretch Linux, tetapi ia mungkin berfungsi dengan versi Debian yang lain.

Keperluan

  • Panduan ini mengandaikan bahawa anda menjalankan Debian pada VPS atau pelayan jauh, kerana itulah senario yang paling mungkin untuk VPN.
  • Pemasangan kerja regangan debian dengan akses root

Kesukaran

Medium

Konvensyen

  • # - Memerlukan arahan Linux yang diberikan untuk dilaksanakan dengan keistimewaan akar sama ada secara langsung sebagai pengguna root atau dengan menggunakan sudo perintah
  • $ - Memerlukan arahan Linux yang diberikan sebagai pengguna yang tidak layak

Mengkonfigurasi iptables

Menyediakan VPN anda sendiri bukan tugas kecil, tetapi terdapat banyak sebab yang ingin anda lakukan. Untuk satu, apabila anda menjalankan VPN anda sendiri, anda mempunyai kawalan sepenuhnya dan mengetahui dengan tepat apa yang dilakukannya.

Keselamatan adalah faktor penting bagi VPN. Mungkin untuk menubuhkan yang mudah dalam beberapa minit, tetapi ia tidak akan selamat sama sekali. Anda perlu mengambil langkah yang sesuai untuk memastikan bahawa pelayan dan sambungan anda tetap peribadi dan disulitkan.

Sebelum memulakan jalan ini, anda mungkin ingin mempertimbangkan untuk menyulitkan cakera anda, meningkatkan keselamatan kernel dengan selinux atau pax, dan memastikan segala -galanya dikunci.

IPTABLES adalah sebahagian besar keselamatan pelayan. Anda memerlukan iptables untuk memastikan maklumat tidak bocor dari VPN anda. Iptables juga berfungsi untuk mengelakkan sambungan yang tidak dibenarkan. Oleh itu, langkah pertama dalam menubuhkan VPN di Debian adalah menubuhkan iptables.

Cari antara muka WAN anda

Sebelum anda boleh mula menulis peraturan iptables anda, anda perlu tahu antara muka yang anda menuliskannya.

Gunakan ifconfig atau ip a untuk mencari antara muka yang disambungkan oleh pelayan anda ke internet dengan.

Selebihnya panduan ini akan merujuk kepada antara muka itu sebagai ETH0, Tetapi itu mungkin tidak akan menjadi milik anda. Pastikan untuk menukar nama antara muka rangkaian pelayan anda.

Membuat peraturan iptables

Setiap pengguna dan pentadbir Linux suka menulis peraturan iptables, betul? Ia tidak akan menjadi buruk. Anda akan menyusun fail dengan semua arahan dan memulihkannya ke iptables.

Buat fail anda. Anda boleh membuatnya di tempat yang anda mahu simpan atau hanya membuangnya /TMP. Ipnya akan menyimpan peraturan anda, jadi /TMP adalah baik.

$ vim /tmp /v4rules

Mulakan fail dengan menambah *penapis untuk memberitahu iptables bahawa ini adalah peraturan penapis.

Ya, akan ada juga IPv6, tetapi ia akan menjadi lebih pendek.

Peraturan Loopback

Mulakan dengan set peraturan yang paling mudah, antara muka loopback. Ini hanya memberitahu iptables untuk hanya menerima trafik looback yang berasal dari localhost.

-Input -i lo -j terima -a input ! -Saya lo 127.0.0.0/8 -J menolak -a output -o lo -j Terima

Membenarkan ping

Seterusnya, anda mungkin mahu dapat menembusi pelayan anda. Kumpulan peraturan ini membolehkan ping melalui.

-Input -P icmp -m keadaan -state baru --icmp -type 8 -j menerima -a input -p icmp -m state -state ditubuhkan, berkaitan -j menerima -a output -p icmp -j menerima

Persediaan SSH

Anda mungkin sepatutnya mengubah SSH dari port 22, jadi biarkan peraturan anda mencerminkannya. 

-Input -i eth0 -p tcp -m negeri -state baru, ditubuhkan --dport 22 -j menerima -a output -o eth0 -p tcp -m negeri -state ditubuhkan - -sport 22 -j menerima

Benarkan OpenVPN melalui

Jelas, anda akan mahu membenarkan trafik OpenVPN melalui. Panduan ini akan menggunakan UDP untuk OpenVPN. Sekiranya anda memilih untuk pergi dengan TCP, biarkan peraturan mencerminkannya.

-Input -i eth0 -p udp -m negeri -state baru, ditubuhkan --dport 1194 -j menerima -a output -o eth0 -p udp -m negeri -state ditubuhkan - -sport 1194 -j Terima

DNS

Anda juga ingin membenarkan trafik DNS melalui pelayan VPN anda. Ini akan melalui UDP dan TCP.

-Input -i eth0 -p udp -m negeri -state ditubuhkan - -sport 53 -j menerima -a output -o eth0 -p udp -m state -state baru, ditubuhkan --dport 53 -j menerima -a input -I ETH0 -P TCP -M Negeri -State Ditubuhkan - -SPORT 53 -J ACCEPT -A OUTPUT -O ETH0 -P TCP -M Negeri -baru, ditubuhkan -DPORT 53 -J ACCEPT

Http/s untuk kemas kini

Mungkin kelihatan aneh untuk membolehkan trafik http/s, tetapi anda lakukan mahu Debian dapat mengemas kini sendiri, betul? Peraturan ini membolehkan Debian memulakan permintaan HTTP, tetapi tidak menerimanya dari luar.

-Input -i eth0 -p tcp -m negeri -state ditubuhkan - -sport 80 -j menerima -a input -i et0 -p tcp -m negeri -state ditubuhkan - -sport 443 -j menerima -a output -o ETH0 -P TCP -M Negeri -baru, ditubuhkan -Dport 80 -J menerima -a output -O ETH0 -P TCP -M Negeri -baru, ditubuhkan -Dport 443 -j Terima

NTP untuk menyegerakkan jam anda

Dengan mengandaikan bahawa anda tidak akan menyegerakkan jam pelayan anda secara manual dan jam klien, anda akan memerlukan NTP. Benarkan juga.

-Input -i eth0 -p udp -m negeri -state ditubuhkan - -sport 123 -j menerima -a output -o eth0 -p udp -m state -state baru, ditubuhkan --dport 123 -j menerima

Tunn ke terowong melalui VPN

Panduan ini menggunakan Tun untuk terowong melalui VPN, jika anda menggunakan TAP, sesuaikan dengan sewajarnya.

-Input -i tun0 -j menerima -a forward -i tun0 -j menerima -a output -o tun0 -j Terima

Untuk VPN untuk meneruskan trafik anda ke Internet, anda perlu membolehkan penghantaran dari TUN ke antara muka rangkaian fizikal anda.

-Ke hadapan -i tun0 -o eth0 -s 10.8.0.0/24 -J Terima -A ke hadapan -M Negeri -State Ditubuhkan, Berkaitan -J Terima

Log Log yang disekat

Anda mungkin sepatutnya mempunyai iptables log lalu lintas yang menyekatnya. Dengan cara ini, anda menyedari sebarang ancaman yang berpotensi.

-Limit input -m -Limit 3/min -j log - -log -prefix "IPTABLES_INPUT_DENIED:" -Log -level 4 -a forward -m Limit -Limit 3/min -j Log - -Prefix " IPTABLES_FORWARD_DENIED: " - -log -level 4 -a output -m Limit -Limit 3/min -j Log - -log -prefix" IPTABLES_OUTPUT_DENIED: " -Log -level 4

Menolak semua lalu lintas yang lain

Sekarang anda telah melog masuk semua yang tidak sesuai dengan peraturan yang ada, menolaknya.

-Input -j menolak -a ke hadapan -j menolak -a output -j menolak

Jangan lupa untuk menutup fail anda dengan Melakukan.

Nat

Bahagian seterusnya ini memerlukan jadual yang berbeza. Anda tidak dapat menambahkannya ke fail yang sama, jadi anda hanya perlu menjalankan arahan secara manual.

Buat lalu lintas dari penyamaran VPN sebagai lalu lintas dari antara muka rangkaian fizikal.

# iptables -t nat -a postrouting -s 10.8.0.0/24 -O ETH0 -J Masquerade

Sekat semua trafik IPv6

Trafik boleh bocor melalui IPv6, dan tidak ada keperluan untuk menggunakan IPv6 sekarang. Perkara yang paling mudah dilakukan ialah menutupnya sepenuhnya.

Buat fail lain dan buang peraturan untuk menolak semua trafik IPv6.

$ vim /tmp /v6rules
*penapis -a input -j menolak -a ke hadapan -j menolak -a output -j menolak komitmen

Melakukan segalanya

Mulakan dengan membuang semua peraturan iptables yang ada. 

# IPPABLES -F && ippables -x

Import setiap fail peraturan yang anda buat.

# IPPALES-RESTORE < /tmp/v4rules # ip6tables-restore < /tmp/v6rules

Menjadikannya melekat

Debian mempunyai pakej yang akan mengendalikan secara automatik memuatkan peraturan iPPABLE anda, jadi anda tidak perlu membuat pekerjaan cron atau apa -apa seperti itu.

# Apt Pasang iptables-prersistent

Proses pemasangan akan meminta anda jika anda ingin menyimpan konfigurasi anda. Jawab, "Ya."

Pada masa akan datang, anda boleh mengemas kini peraturan anda dengan menjalankan arahan Linux berikut.

# Perkhidmatan NetFilter-Prersistent Simpan

Konfigurasi tambahan

Terdapat beberapa perkara lagi yang perlu anda lakukan untuk mendapatkan semua antara muka rangkaian anda berfungsi seperti yang diperlukan.

Pertama, buka /etc/hos dan mengulas semua baris IPv6.

Seterusnya, buka /etc/sysctl.D/99-SYSCTL.Conf. Cari dan uncomment baris berikut.

jaring.IPv4.ip_forward = 1

Tambahkan baris seterusnya ini untuk melumpuhkan IPv6 sepenuhnya.

jaring.IPv6.Conf.semua.disable_ipv6 = 1 bersih.IPv6.Conf.lalai.disable_ipv6 = 1 bersih.IPv6.Conf.LO.disable_ipv6 = 1 bersih.IPv6.Conf.ETH0.disable_ipv6 = 1

Akhirnya, gunakan perubahan anda. 

# sysctl -p

Apa yang akan datang

Itulah bahagian pertama ke bawah. Firewall pelayan anda kini bersedia untuk menjalankan OpenVPN, dan rangkaian anda juga diselaraskan dengan betul.

Langkah seterusnya adalah untuk membuat kuasa sijil untuk mengendalikan semua kunci penyulitan anda. Ia tidak panjang proses seperti ini, tetapi ia sama pentingnya.

Pihak Berkuasa Persijilan

Gunakan mudah-RSA untuk menubuhkan pihak berkuasa sijil yang anda akan gunakan untuk membuat dan kunci penyulitan untuk pelayan OpenVPN anda.

Ini adalah bahagian kedua dalam mengkonfigurasi pelayan OpenVPN di Debian Stretch.

VPN bergantung pada penyulitan. Sangat penting bahawa mereka menyulitkan hubungan mereka dengan pelanggan serta proses sambungan itu sendiri.

Untuk menghasilkan kunci yang diperlukan untuk komunikasi yang disulitkan, anda perlu menubuhkan pihak berkuasa sijil. Ia benar -benar tidak sukar, dan ada alat yang memudahkan proses lebih jauh.

Memasang pakej

Sebelum anda memulakan, pasang OpenVPN dan Easy-RSA.

# Apt Pasang OpenVPN Easy-RSA

Sediakan direktori

Pakej OpenVPN mencipta direktori untuk dirinya sendiri di /etc/openvpn. Di situlah anda boleh menyediakan pihak berkuasa sijil.

Easy-RSA merangkumi skrip yang secara automatik membuat direktori dengan semua yang anda perlukan. Gunakannya untuk membuat direktori pihak berkuasa sijil anda.

# make-cadir/etc/openvpn/certs

Masukkan direktori itu dan buat pautan lembut antara config openSSL terkini dengan OpenSSL.cnf.

# ln -s openssl -1.0.0.CNF OpenSSL.cnf

Tetapkan pembolehubah

Di dalam folder adalah fail yang dipanggil, vars. Fail itu mengandungi pembolehubah yang mudah digunakan oleh RSA untuk menjana kunci anda. Buka. Terdapat beberapa nilai yang perlu anda ubah.

Mulakan dengan mencari Key_size pemboleh ubah dan tukar nilai itu 4096.

Eksport key_size = 4096

Seterusnya, cari blok maklumat mengenai lokasi dan identiti pihak berkuasa sijil anda.

Eksport key_country = "us" eksport key_province = "ca" eksport key_city = "sanfrancisco" eksport key_org = "fort-funston" key_email = "[email protected] "Export Key_ou =" MyOrganizationalUnit "

Tukar nilai untuk sesuai dengan anda.

Pemboleh ubah terakhir yang perlu anda cari ialah Key_name

Eksport key_name = "VPNServer"

Namakan sesuatu yang boleh dikenal pasti.

Buat kekunci pihak berkuasa

Easy-RSA termasuk skrip untuk menjana Pihak Berkuasa Sijil.

Muatkan pemboleh ubah terlebih dahulu.

# sumber ./VARS

Mesej amaran akan muncul di terminal yang memberitahu anda bahawa bersih-semua akan memadamkan kunci anda. Anda belum mempunyai apa -apa, jadi tidak mengapa.

# ./membersihkan semua

Anda kini boleh menjalankan skrip untuk benar -benar menjana kuasa sijil anda. Skrip akan mengemukakan soalan mengenai kunci yang anda hasilkan. Jawapan lalai akan menjadi pembolehubah yang telah anda masukkan. Anda boleh menghancurkan "dengan selamat."Ingatlah untuk memasukkan kata laluan jika anda mahu dan menjawab" ya "kepada dua soalan terakhir.

# ./Build-CA

Buat Kekunci Pelayan

Kekunci yang anda buat adalah untuk pihak berkuasa sijil itu sendiri. Anda juga memerlukan kunci untuk pelayan. Sekali lagi, ada skrip untuk itu.

# ./Build-Key-Server Server

Menjana pEM diffie-hellman

Anda perlu menjana PEM diffie-hellman yang OpenVPN akan digunakan untuk membuat kunci sesi klien yang selamat. Easy-RSA menyediakan skrip untuk ini juga, tetapi lebih mudah menggunakan OpenSSL biasa.

Oleh kerana matlamat di sini adalah keselamatan, sebaiknya menjana kunci 4096bit. Ia akan mengambil sedikit masa untuk menjana, dan ia mungkin melambatkan proses sambungan sedikit, tetapi penyulitan akan cukup kuat.

# OpenSSL DHPARAM 4096>/etc/OpenVPN/DH4096.PEM

Menjana kunci HMAC

Ya, anda memerlukan kunci penyulitan yang lain. OpenVPN menggunakan kekunci HMAC untuk menandatangani paket yang digunakannya dalam proses pengesahan TLS. Dengan menandatangani paket tersebut, OpenVPN dapat menjamin bahawa hanya paket yang berasal dari mesin dengan kunci diterima. Ia hanya menambah satu lagi lapisan keselamatan.

Utiliti untuk menjana kunci HMAC anda sebenarnya dibina ke OpenVPN sendiri. Jalankan ia.

# openvpn --genkey -secret/etc/openvpn/certs/kekunci/ta.kunci

Apa yang akan datang

Membuat penyulitan yang kuat adalah salah satu aspek yang paling penting dalam menubuhkan pelayan OpenVPN. Tanpa penyulitan yang baik, keseluruhan proses pada dasarnya tidak bermakna.

Pada ketika ini, anda akhirnya bersedia untuk mengkonfigurasi pelayan itu sendiri. Konfigurasi pelayan sebenarnya kurang rumit daripada apa yang telah anda lakukan setakat ini, jadi tahniah.

OpenVPN Sever

Konfigurasikan pelayan OpenVPN menggunakan kekunci penyulitan yang anda hasilkan di bahagian sebelumnya panduan.

Ini adalah bahagian ketiga dalam mengkonfigurasi pelayan OpenVPN di Debian Stretch.

Sekarang, anda telah tiba di acara utama. Ini adalah konfigurasi pelayan openvpn sebenar. Segala -galanya yang telah anda lakukan setakat ini sangat diperlukan, tetapi tidak ada yang menyentuh OpenVPN sendiri, sehingga sekarang.

Bahagian ini sepenuhnya prihatin dengan mengkonfigurasi dan menjalankan pelayan OpenVPN, dan sebenarnya kurang rumit daripada yang anda mungkin berfikir.

Dapatkan konfigurasi asas

OpenVPN telah membuat proses ini sangat mudah. Pakej yang anda pasang datang dengan fail konfigurasi sampel untuk kedua -dua pelanggan dan pelayan. Anda hanya perlu unzip pelayan ke dalam anda /etc/openvpn direktori.

# Gunzip -c/usr/share/doc/openvpn/contoh/sampel-config-files/pelayan.Conf.gz>/etc/openvpn/pelayan.Conf

Buka di editor teks kegemaran anda dan bersiaplah untuk mula mengubah barang.

Gunakan kunci anda

Sebaik sahaja anda berada di dalam fail, anda akan melihat bahawa semuanya diisi dengan mungkir yang munasabah, dan terdapat banyak komen yang memberikan dokumentasi yang sangat baik tentang apa yang dilakukannya.

Perkara pertama yang perlu anda cari ialah bahagian untuk menambah kuasa sijil dan kekunci pelayan anda. Pembolehubah adalah ca, cert, dan kunci. Tetapkannya sama dengan jalan penuh setiap fail tersebut. Ia sepatutnya kelihatan seperti contoh di bawah.

ca/etc/openvpn/certs/kekunci/ca.CRT CERT/ETC/OPENVPN/CERTS/KEYS/Server.kekunci CRT/etc/openvpn/certs/kekunci/pelayan.kunci # fail ini harus dirahsiakan

Bahagian seterusnya yang perlu anda cari ialah diffie-hellman .PEM Apabila anda selesai, ia sepatutnya kelihatan seperti ini:

DH DH4096.PEM

Akhirnya, cari TLS-Auth Untuk kunci HMAC anda.

TLS-AUTH/ETC/OPENVPN/CERTS/KEYS/TA.kunci 0 # fail ini rahsia

Ya, tinggalkan 0 di sana.

Beef Up Security

Tetapan penyulitan dalam fail konfigurasi baik -baik saja, tetapi mereka boleh banyak lebih baik. Sudah tiba masanya untuk membolehkan tetapan penyulitan yang lebih baik.

Cari bahagian yang bermula dengan, # Pilih cipher kriptografi. Di situlah anda perlu menambah baris berikut di bawah pilihan yang ada.

Cipher AES-256-CBC

Ia bukan salah satu pilihan yang disenaraikan di sana, tetapi ia disokong oleh OpenVPN. Penyulitan AES 256bit mungkin yang terbaik yang ditawarkan oleh OpenVPN.

Tatal ke hujung fail. Dua pilihan seterusnya belum ada dalam konfigurasi, jadi anda perlu menambahkannya.

Pertama, anda perlu menentukan pencernaan pengesahan yang kuat. Ini adalah penyulitan yang akan digunakan oleh OpenVPN untuk Pengesahan Pengguna. Pilih SHA512.

# Auth Digest Auth Sha512

Seterusnya, hadkan ciphers yang OpenVPN akan digunakan untuk yang lebih kuat. Lebih baik mengehadkannya sejauh mungkin.

# Hadkan ciphers TLS-CIPHER TLS-DHE-RSA-With-AES-256-GCM-SHA384: TLS-DHE-RSA-With-AES-128-GCM-SHA256: TLS-DHE-RSA-WITH-AES-AES-256- Cbc-sha: TLS-dhe-rsa-with-camellia-256-cbc-sha: tls-dhe-rsa-with-aes-128-cbc-sha: tls-dhe-rsa-with-camellia-128-cbc- Sha

Lalu lintas langsung

Semua barangan penyulitan tidak habis. Sudah tiba masanya untuk melakukan penghalaan. Anda perlu memberitahu OpenVPN untuk mengendalikan trafik dan DNS mengalihkan.

Mulakan dengan mengalihkan trafik. Cari garis di bawah dan uncomment itu.

Tolak "Redirect-Gateway DEF1 Bypass-DHCP"

Untuk laluan DNS melalui OpenVPN, anda perlu memberikan pilihan DNS. Garis -garis ini sudah ada dan juga mengulas. Uncomment mereka. Sekiranya anda ingin menggunakan pelayan DNS yang berbeza, anda juga boleh menukar IP ke DNS tersebut.

Tolak "DHCP-Option DNS 208.67.222.222 "PUSH" DHCP-OPTION DNS 208.67.220.220 "

Sediakan pengguna OpenVPN

OpenVPN berjalan sebagai akar secara lalai. Itu idea yang cukup mengerikan. Sekiranya OpenVPN dikompromi, keseluruhan sistem itu diskrukan. Terdapat beberapa baris yang dikomentari untuk menjalankan OpenVPN sebagai "tiada siapa," tetapi "tiada siapa" biasanya menjalankan perkhidmatan lain juga. Sekiranya anda tidak mahu OpenVPN mempunyai akses kepada apa -apa tetapi OpenVPN, anda perlu menjalankannya sebagai pengguna sendiri yang tidak layak.

Buat pengguna sistem untuk OpenVPN untuk dijalankan sebagai.

# adduser --system --shell/usr/sbin/nologin --no-create-home OpenVPN

Kemudian, anda boleh mengedit fail konfigurasi dengan uncommenting garis yang menjalankan OpenVPN sebagai "tiada siapa," dan menggantinya dengan nama pengguna yang baru anda buat.

Pengguna OpenVPN Group Nogroup

Hantar Log ke Null

Terdapat dua pilihan ketika datang ke balak, dan kedua -duanya mempunyai merit mereka. Anda boleh log semuanya seperti biasa dan mempunyai kayu balak untuk kembali pada masa akan datang, atau anda boleh menjadi paranoid dan log masuk /dev/null.

Dengan log masuk ke /dev/null, Anda memadamkan rekod pelanggan yang menyambung ke VPN dan ke mana mereka pergi. Walaupun anda mengawal VPN anda, anda mungkin mahu pergi ke laluan ini jika anda berusaha untuk menjadi lebih privasi.

Sekiranya anda ingin memusnahkan balak anda, cari status, log, dan Log-append pembolehubah dan tunjuk semuanya di /dev/null. Ia sepatutnya kelihatan serupa dengan contoh di bawah.

status /dev /null ... log /dev /null log-append /dev /null

Itulah bahagian terakhir konfigurasi. Simpan, dan bersiaplah untuk menjalankan pelayan anda.

Jalankan pelayan anda

Sebenarnya terdapat dua perkhidmatan yang anda perlukan untuk mula berputar OpenVPN di Debian Stretch. Mulakan mereka berdua dengan SystemD.

# Systemctl Mula OpenVPN # Systemctl Mula OpenVPN@Server

Sahkan bahawa mereka berjalan dengan betul.

# status systemctl openvpn*.perkhidmatan

Membolehkan mereka berdua berjalan pada permulaan.

# Systemctl Dayakan OpenVPN # Systemctl Dayakan OpenVPN@Server

Anda kini mempunyai pelayan VPN yang sedang berjalan di Debian Stretch!

Apa yang akan datang

Anda di sini. Anda telah melakukannya! Debian kini menjalankan OpenVPN di belakang firewall yang selamat, dan sudah bersedia untuk pelanggan menyambung.

Di bahagian seterusnya, anda akan menyediakan pelanggan pertama anda dan menyambungkannya ke pelayan anda.

Pelanggan OpenVPN

Konfigurasikan dan klien OpenVPN untuk menyambung ke pelayan OpenVPN yang baru dikonfigurasikan.

Ini adalah bahagian keempat dan terakhir dalam mengkonfigurasi pelayan OpenVPN di Debian Stretch.

Sekarang pelayan anda berjalan, anda boleh menyediakan pelanggan untuk menyambungnya. Pelanggan itu boleh menjadi peranti yang menyokong OpenVPN, yang hampir apa -apa.

Terdapat sesuatu yang perlu anda lakukan pada pelayan terlebih dahulu untuk menyerahkan kepada pelanggan, tetapi selepas itu, ini semua mengenai penyediaan sambungan itu.

Buat kunci pelanggan

Mulakan dengan membuat satu set kunci pelanggan. Prosesnya hampir sama dengan yang anda gunakan untuk membuat kunci pelayan.

CD ke dalam direktori pihak berkuasa sijil, tetapkan sumber dari fail pembolehubah dan membina kunci.

# cd/etc/openvpn/certs # sumber ./var # ./Build-Key FirstClient

Anda boleh menamakan kunci pelanggan apa sahaja yang anda pilih. Sekali lagi, skrip akan mengemukakan beberapa soalan kepada anda. Lalai harus baik untuk segalanya.

Fail konfigurasi pelanggan

OpenVPN Menyediakan Contoh Konfigurasi Pelanggan Selain pelayan yang. Peti direktori baru untuk konfigurasi pelanggan anda dan menyalin contohnya.

# mkdir/etc/openvpn/pelanggan # cp/usr/share/doc/openvpn/contoh/sampel-config-files/client.conf/etc/openvpn/pelanggan/pelanggan.ovpn

Buka fail dalam editor teks pilihan anda.

Tuan rumah jauh

Cari garis dengan Jauh pembolehubah. Tetapkannya sama dengan IP pelayan anda.

Jauh 192.168.1.5 1194

Menjadi tiada siapa

Tidak ada latihan dengan lelaki yang tidak berwajah yang diperlukan. Cari sahaja uncomment garis di bawah.

pengguna tiada kumpulan kumpulan kumpulan

Sediakan kunci anda

Anda mesti memberitahu konfigurasi pelanggan di mana untuk mencari kunci yang diperlukan juga. Cari baris berikut dan editnya untuk menyesuaikan apa yang telah anda buat.

ca ca.CRT CERT FirstClient.CRT Key FirstClient.kunci

Pastikan anda menggunakan nama sebenar pelanggan dan kunci. Jalannya baik -baik saja. Anda akan meletakkan semuanya dalam direktori yang sama.

Cari dan Uncomment garis untuk HMAC.

TLS-Auth TA.Kunci 1

Tentukan penyulitan

Pelanggan perlu mengetahui penyulitan yang digunakan oleh pelayan. Sama seperti pelayan, beberapa baris ini perlu ditambah.

Cari cipher pembolehubah. Ia berkomentar. Uncomment dan tambahkan cipher yang anda gunakan di pelayan.

Cipher AES-256-CBC

Tambah dalam Pengesahan Digest dan sekatan Cipher pada akhir konfigurasi pelanggan.

# Pengesahan Digest Auth Sha512 # Sekatan Cipher TLS-CIPHER TLS-DHE-RSA-With-AES-AES-256-GCM-SHA384: TLS-DHE-RSA-With-AES-128-GCM-SHA256: TLS-DHE-RSA-With-with -AES-256-CBC-SHA: TLS-DHE-RSA-With-Camellia-256-CBC-SHA: TLS-DHE-RSA-With-AES-128-CBC-SHA: TLS-DHE-RSA-With-Camellia -128-cbc-sha

Simpan konfigurasi dan keluar.

Hantar pelanggan tarball

Anda perlu mengemas konfigurasi dan kunci pelanggan anda dalam tarball dan menghantarnya kepada pelanggan. Muatkan segalanya ke dalam satu tarball untuk memudahkan perkara pada akhir pelanggan.

# tar cjf/etc/openvpn/pelanggan/firstclient.tar.xz -c/etc/openvpn/certs/kekunci ca.CRT FirstClient.CRT FirstClient.Kunci TA.kunci -c/etc/openvpn/pelanggan/pelanggan.ovpn

Sekarang, anda boleh memindahkan tarball itu kepada pelanggan anda tetapi anda memilih.

Sambung

Dengan mengandaikan bahawa pelanggan anda adalah pengedaran debian, proses sambungannya sangat mudah. Pasang OpenVPN seperti yang anda lakukan di pelayan.

# Apt Pasang OpenVPN

Ekstrak tarball anda ke /etc/openvpn direktori yang dibuat pemasangan.

# cd/etc/openvpn # tar xjf/path/to/firstcient.tar.xz

Anda mungkin perlu menamakan semula pelanggan.ovpn ke OpenVPN.Conf. Anda akan mendapat ralat pada permulaan jika anda melakukannya.

Mulakan dan aktifkan OpenVPN dengan SystemD.

# Systemctl Mula OpenVPN # Systemctl Dayakan OpenVPN

Kesimpulan

Anda mempunyai pelayan VPN yang bekerja dan pelanggan yang bersambung! Anda juga boleh mengikuti prosedur yang sama dalam panduan ini untuk pelanggan anda yang lain. Pastikan untuk membuat kunci berasingan untuk setiap satu. Anda boleh menggunakan fail konfigurasi yang sama, walaupun.

Anda juga mungkin mahu memastikan semuanya berfungsi dengan baik. Pergi ke ujian kebocoran DNS untuk memastikan IP anda menambal pelayan, dan anda tidak menggunakan DNS IPS anda.

Tutorial Linux Berkaitan:

  • Asas Ubuntu 22.04 Persediaan Sambungan Pelanggan/Pelayan OpenVPN
  • Cara Menyiapkan Pelayan OpenVPN di Ubuntu 20.04
  • Perkara yang hendak dipasang di Ubuntu 20.04
  • Perkara yang perlu dilakukan setelah memasang ubuntu 20.04 Focal Fossa Linux
  • Muat turun linux
  • Pasang Arch Linux di Workstation VMware
  • Distro linux terbaik untuk pemaju
  • Perintah Linux: Top 20 Perintah Paling Penting yang Anda Perlu ..
  • Cara membuat VPN di Ubuntu 20.04 Menggunakan Wireguard
  • Pengenalan kepada Automasi, Alat dan Teknik Linux