Cara Menyiapkan VPN dengan OpenVPN Pada Debian 9 Stretch Linux
- 3943
- 778
- Daryl Wilderman
Pengagihan
Panduan ini diuji untuk Debian 9 Stretch Linux, tetapi ia mungkin berfungsi dengan versi Debian yang lain.
Keperluan
- Panduan ini mengandaikan bahawa anda menjalankan Debian pada VPS atau pelayan jauh, kerana itulah senario yang paling mungkin untuk VPN.
- Pemasangan kerja regangan debian dengan akses root
Kesukaran
Medium
Konvensyen
- # - Memerlukan arahan Linux yang diberikan untuk dilaksanakan dengan keistimewaan akar sama ada secara langsung sebagai pengguna root atau dengan menggunakan
sudo
perintah - $ - Memerlukan arahan Linux yang diberikan sebagai pengguna yang tidak layak
Mengkonfigurasi iptables
Menyediakan VPN anda sendiri bukan tugas kecil, tetapi terdapat banyak sebab yang ingin anda lakukan. Untuk satu, apabila anda menjalankan VPN anda sendiri, anda mempunyai kawalan sepenuhnya dan mengetahui dengan tepat apa yang dilakukannya.
Keselamatan adalah faktor penting bagi VPN. Mungkin untuk menubuhkan yang mudah dalam beberapa minit, tetapi ia tidak akan selamat sama sekali. Anda perlu mengambil langkah yang sesuai untuk memastikan bahawa pelayan dan sambungan anda tetap peribadi dan disulitkan.
Sebelum memulakan jalan ini, anda mungkin ingin mempertimbangkan untuk menyulitkan cakera anda, meningkatkan keselamatan kernel dengan selinux atau pax, dan memastikan segala -galanya dikunci.
IPTABLES adalah sebahagian besar keselamatan pelayan. Anda memerlukan iptables untuk memastikan maklumat tidak bocor dari VPN anda. Iptables juga berfungsi untuk mengelakkan sambungan yang tidak dibenarkan. Oleh itu, langkah pertama dalam menubuhkan VPN di Debian adalah menubuhkan iptables.
Cari antara muka WAN anda
Sebelum anda boleh mula menulis peraturan iptables anda, anda perlu tahu antara muka yang anda menuliskannya.
Gunakan ifconfig
atau ip a
untuk mencari antara muka yang disambungkan oleh pelayan anda ke internet dengan.
Selebihnya panduan ini akan merujuk kepada antara muka itu sebagai ETH0
, Tetapi itu mungkin tidak akan menjadi milik anda. Pastikan untuk menukar nama antara muka rangkaian pelayan anda.
Membuat peraturan iptables
Setiap pengguna dan pentadbir Linux suka menulis peraturan iptables, betul? Ia tidak akan menjadi buruk. Anda akan menyusun fail dengan semua arahan dan memulihkannya ke iptables.
Buat fail anda. Anda boleh membuatnya di tempat yang anda mahu simpan atau hanya membuangnya /TMP
. Ipnya akan menyimpan peraturan anda, jadi /TMP
adalah baik.
$ vim /tmp /v4rules
Mulakan fail dengan menambah *penapis
untuk memberitahu iptables bahawa ini adalah peraturan penapis.
Ya, akan ada juga IPv6, tetapi ia akan menjadi lebih pendek.
Peraturan Loopback
Mulakan dengan set peraturan yang paling mudah, antara muka loopback. Ini hanya memberitahu iptables untuk hanya menerima trafik looback yang berasal dari localhost.
-Input -i lo -j terima -a input ! -Saya lo 127.0.0.0/8 -J menolak -a output -o lo -j Terima
Membenarkan ping
Seterusnya, anda mungkin mahu dapat menembusi pelayan anda. Kumpulan peraturan ini membolehkan ping melalui.
-Input -P icmp -m keadaan -state baru --icmp -type 8 -j menerima -a input -p icmp -m state -state ditubuhkan, berkaitan -j menerima -a output -p icmp -j menerima
Persediaan SSH
Anda mungkin sepatutnya mengubah SSH dari port 22, jadi biarkan peraturan anda mencerminkannya.
-Input -i eth0 -p tcp -m negeri -state baru, ditubuhkan --dport 22 -j menerima -a output -o eth0 -p tcp -m negeri -state ditubuhkan - -sport 22 -j menerima
Benarkan OpenVPN melalui
Jelas, anda akan mahu membenarkan trafik OpenVPN melalui. Panduan ini akan menggunakan UDP untuk OpenVPN. Sekiranya anda memilih untuk pergi dengan TCP, biarkan peraturan mencerminkannya.
-Input -i eth0 -p udp -m negeri -state baru, ditubuhkan --dport 1194 -j menerima -a output -o eth0 -p udp -m negeri -state ditubuhkan - -sport 1194 -j Terima
DNS
Anda juga ingin membenarkan trafik DNS melalui pelayan VPN anda. Ini akan melalui UDP dan TCP.
-Input -i eth0 -p udp -m negeri -state ditubuhkan - -sport 53 -j menerima -a output -o eth0 -p udp -m state -state baru, ditubuhkan --dport 53 -j menerima -a input -I ETH0 -P TCP -M Negeri -State Ditubuhkan - -SPORT 53 -J ACCEPT -A OUTPUT -O ETH0 -P TCP -M Negeri -baru, ditubuhkan -DPORT 53 -J ACCEPT
Http/s untuk kemas kini
Mungkin kelihatan aneh untuk membolehkan trafik http/s, tetapi anda lakukan mahu Debian dapat mengemas kini sendiri, betul? Peraturan ini membolehkan Debian memulakan permintaan HTTP, tetapi tidak menerimanya dari luar.
-Input -i eth0 -p tcp -m negeri -state ditubuhkan - -sport 80 -j menerima -a input -i et0 -p tcp -m negeri -state ditubuhkan - -sport 443 -j menerima -a output -o ETH0 -P TCP -M Negeri -baru, ditubuhkan -Dport 80 -J menerima -a output -O ETH0 -P TCP -M Negeri -baru, ditubuhkan -Dport 443 -j Terima
NTP untuk menyegerakkan jam anda
Dengan mengandaikan bahawa anda tidak akan menyegerakkan jam pelayan anda secara manual dan jam klien, anda akan memerlukan NTP. Benarkan juga.
-Input -i eth0 -p udp -m negeri -state ditubuhkan - -sport 123 -j menerima -a output -o eth0 -p udp -m state -state baru, ditubuhkan --dport 123 -j menerima
Tunn ke terowong melalui VPN
Panduan ini menggunakan Tun untuk terowong melalui VPN, jika anda menggunakan TAP, sesuaikan dengan sewajarnya.
-Input -i tun0 -j menerima -a forward -i tun0 -j menerima -a output -o tun0 -j Terima
Untuk VPN untuk meneruskan trafik anda ke Internet, anda perlu membolehkan penghantaran dari TUN ke antara muka rangkaian fizikal anda.
-Ke hadapan -i tun0 -o eth0 -s 10.8.0.0/24 -J Terima -A ke hadapan -M Negeri -State Ditubuhkan, Berkaitan -J Terima
Log Log yang disekat
Anda mungkin sepatutnya mempunyai iptables log lalu lintas yang menyekatnya. Dengan cara ini, anda menyedari sebarang ancaman yang berpotensi.
-Limit input -m -Limit 3/min -j log - -log -prefix "IPTABLES_INPUT_DENIED:" -Log -level 4 -a forward -m Limit -Limit 3/min -j Log - -Prefix " IPTABLES_FORWARD_DENIED: " - -log -level 4 -a output -m Limit -Limit 3/min -j Log - -log -prefix" IPTABLES_OUTPUT_DENIED: " -Log -level 4
Menolak semua lalu lintas yang lain
Sekarang anda telah melog masuk semua yang tidak sesuai dengan peraturan yang ada, menolaknya.
-Input -j menolak -a ke hadapan -j menolak -a output -j menolak
Jangan lupa untuk menutup fail anda dengan Melakukan
.
Nat
Bahagian seterusnya ini memerlukan jadual yang berbeza. Anda tidak dapat menambahkannya ke fail yang sama, jadi anda hanya perlu menjalankan arahan secara manual.
Buat lalu lintas dari penyamaran VPN sebagai lalu lintas dari antara muka rangkaian fizikal.
# iptables -t nat -a postrouting -s 10.8.0.0/24 -O ETH0 -J Masquerade
Sekat semua trafik IPv6
Trafik boleh bocor melalui IPv6, dan tidak ada keperluan untuk menggunakan IPv6 sekarang. Perkara yang paling mudah dilakukan ialah menutupnya sepenuhnya.
Buat fail lain dan buang peraturan untuk menolak semua trafik IPv6.
$ vim /tmp /v6rules
*penapis -a input -j menolak -a ke hadapan -j menolak -a output -j menolak komitmen
Melakukan segalanya
Mulakan dengan membuang semua peraturan iptables yang ada.
# IPPABLES -F && ippables -x
Import setiap fail peraturan yang anda buat.
# IPPALES-RESTORE < /tmp/v4rules # ip6tables-restore < /tmp/v6rules
Menjadikannya melekat
Debian mempunyai pakej yang akan mengendalikan secara automatik memuatkan peraturan iPPABLE anda, jadi anda tidak perlu membuat pekerjaan cron atau apa -apa seperti itu.
# Apt Pasang iptables-prersistent
Proses pemasangan akan meminta anda jika anda ingin menyimpan konfigurasi anda. Jawab, "Ya."
Pada masa akan datang, anda boleh mengemas kini peraturan anda dengan menjalankan arahan Linux berikut.
# Perkhidmatan NetFilter-Prersistent Simpan
Konfigurasi tambahan
Terdapat beberapa perkara lagi yang perlu anda lakukan untuk mendapatkan semua antara muka rangkaian anda berfungsi seperti yang diperlukan.
Pertama, buka /etc/hos
dan mengulas semua baris IPv6.
Seterusnya, buka /etc/sysctl.D/99-SYSCTL.Conf
. Cari dan uncomment baris berikut.
jaring.IPv4.ip_forward = 1
Tambahkan baris seterusnya ini untuk melumpuhkan IPv6 sepenuhnya.
jaring.IPv6.Conf.semua.disable_ipv6 = 1 bersih.IPv6.Conf.lalai.disable_ipv6 = 1 bersih.IPv6.Conf.LO.disable_ipv6 = 1 bersih.IPv6.Conf.ETH0.disable_ipv6 = 1
Akhirnya, gunakan perubahan anda.
# sysctl -p
Apa yang akan datang
Itulah bahagian pertama ke bawah. Firewall pelayan anda kini bersedia untuk menjalankan OpenVPN, dan rangkaian anda juga diselaraskan dengan betul.
Langkah seterusnya adalah untuk membuat kuasa sijil untuk mengendalikan semua kunci penyulitan anda. Ia tidak panjang proses seperti ini, tetapi ia sama pentingnya.
Pihak Berkuasa Persijilan
Gunakan mudah-RSA untuk menubuhkan pihak berkuasa sijil yang anda akan gunakan untuk membuat dan kunci penyulitan untuk pelayan OpenVPN anda.
Ini adalah bahagian kedua dalam mengkonfigurasi pelayan OpenVPN di Debian Stretch.
VPN bergantung pada penyulitan. Sangat penting bahawa mereka menyulitkan hubungan mereka dengan pelanggan serta proses sambungan itu sendiri.
Untuk menghasilkan kunci yang diperlukan untuk komunikasi yang disulitkan, anda perlu menubuhkan pihak berkuasa sijil. Ia benar -benar tidak sukar, dan ada alat yang memudahkan proses lebih jauh.
Memasang pakej
Sebelum anda memulakan, pasang OpenVPN dan Easy-RSA.
# Apt Pasang OpenVPN Easy-RSA
Sediakan direktori
Pakej OpenVPN mencipta direktori untuk dirinya sendiri di /etc/openvpn
. Di situlah anda boleh menyediakan pihak berkuasa sijil.
Easy-RSA merangkumi skrip yang secara automatik membuat direktori dengan semua yang anda perlukan. Gunakannya untuk membuat direktori pihak berkuasa sijil anda.
# make-cadir/etc/openvpn/certs
Masukkan direktori itu dan buat pautan lembut antara config openSSL terkini dengan OpenSSL.cnf
.
# ln -s openssl -1.0.0.CNF OpenSSL.cnf
Tetapkan pembolehubah
Di dalam folder adalah fail yang dipanggil, vars
. Fail itu mengandungi pembolehubah yang mudah digunakan oleh RSA untuk menjana kunci anda. Buka. Terdapat beberapa nilai yang perlu anda ubah.
Mulakan dengan mencari Key_size
pemboleh ubah dan tukar nilai itu 4096
.
Eksport key_size = 4096
Seterusnya, cari blok maklumat mengenai lokasi dan identiti pihak berkuasa sijil anda.
Eksport key_country = "us" eksport key_province = "ca" eksport key_city = "sanfrancisco" eksport key_org = "fort-funston" key_email = "[email protected] "Export Key_ou =" MyOrganizationalUnit "
Tukar nilai untuk sesuai dengan anda.
Pemboleh ubah terakhir yang perlu anda cari ialah Key_name
Eksport key_name = "VPNServer"
Namakan sesuatu yang boleh dikenal pasti.
Buat kekunci pihak berkuasa
Easy-RSA termasuk skrip untuk menjana Pihak Berkuasa Sijil.
Muatkan pemboleh ubah terlebih dahulu.
# sumber ./VARS
Mesej amaran akan muncul di terminal yang memberitahu anda bahawa bersih-semua
akan memadamkan kunci anda. Anda belum mempunyai apa -apa, jadi tidak mengapa.
# ./membersihkan semua
Anda kini boleh menjalankan skrip untuk benar -benar menjana kuasa sijil anda. Skrip akan mengemukakan soalan mengenai kunci yang anda hasilkan. Jawapan lalai akan menjadi pembolehubah yang telah anda masukkan. Anda boleh menghancurkan "dengan selamat."Ingatlah untuk memasukkan kata laluan jika anda mahu dan menjawab" ya "kepada dua soalan terakhir.
# ./Build-CA
Buat Kekunci Pelayan
Kekunci yang anda buat adalah untuk pihak berkuasa sijil itu sendiri. Anda juga memerlukan kunci untuk pelayan. Sekali lagi, ada skrip untuk itu.
# ./Build-Key-Server Server
Menjana pEM diffie-hellman
Anda perlu menjana PEM diffie-hellman yang OpenVPN akan digunakan untuk membuat kunci sesi klien yang selamat. Easy-RSA menyediakan skrip untuk ini juga, tetapi lebih mudah menggunakan OpenSSL biasa.
Oleh kerana matlamat di sini adalah keselamatan, sebaiknya menjana kunci 4096bit. Ia akan mengambil sedikit masa untuk menjana, dan ia mungkin melambatkan proses sambungan sedikit, tetapi penyulitan akan cukup kuat.
# OpenSSL DHPARAM 4096>/etc/OpenVPN/DH4096.PEM
Menjana kunci HMAC
Ya, anda memerlukan kunci penyulitan yang lain. OpenVPN menggunakan kekunci HMAC untuk menandatangani paket yang digunakannya dalam proses pengesahan TLS. Dengan menandatangani paket tersebut, OpenVPN dapat menjamin bahawa hanya paket yang berasal dari mesin dengan kunci diterima. Ia hanya menambah satu lagi lapisan keselamatan.
Utiliti untuk menjana kunci HMAC anda sebenarnya dibina ke OpenVPN sendiri. Jalankan ia.
# openvpn --genkey -secret/etc/openvpn/certs/kekunci/ta.kunci
Apa yang akan datang
Membuat penyulitan yang kuat adalah salah satu aspek yang paling penting dalam menubuhkan pelayan OpenVPN. Tanpa penyulitan yang baik, keseluruhan proses pada dasarnya tidak bermakna.
Pada ketika ini, anda akhirnya bersedia untuk mengkonfigurasi pelayan itu sendiri. Konfigurasi pelayan sebenarnya kurang rumit daripada apa yang telah anda lakukan setakat ini, jadi tahniah.
OpenVPN Sever
Konfigurasikan pelayan OpenVPN menggunakan kekunci penyulitan yang anda hasilkan di bahagian sebelumnya panduan.
Ini adalah bahagian ketiga dalam mengkonfigurasi pelayan OpenVPN di Debian Stretch.
Sekarang, anda telah tiba di acara utama. Ini adalah konfigurasi pelayan openvpn sebenar. Segala -galanya yang telah anda lakukan setakat ini sangat diperlukan, tetapi tidak ada yang menyentuh OpenVPN sendiri, sehingga sekarang.
Bahagian ini sepenuhnya prihatin dengan mengkonfigurasi dan menjalankan pelayan OpenVPN, dan sebenarnya kurang rumit daripada yang anda mungkin berfikir.
Dapatkan konfigurasi asas
OpenVPN telah membuat proses ini sangat mudah. Pakej yang anda pasang datang dengan fail konfigurasi sampel untuk kedua -dua pelanggan dan pelayan. Anda hanya perlu unzip pelayan ke dalam anda /etc/openvpn
direktori.
# Gunzip -c/usr/share/doc/openvpn/contoh/sampel-config-files/pelayan.Conf.gz>/etc/openvpn/pelayan.Conf
Buka di editor teks kegemaran anda dan bersiaplah untuk mula mengubah barang.
Gunakan kunci anda
Sebaik sahaja anda berada di dalam fail, anda akan melihat bahawa semuanya diisi dengan mungkir yang munasabah, dan terdapat banyak komen yang memberikan dokumentasi yang sangat baik tentang apa yang dilakukannya.
Perkara pertama yang perlu anda cari ialah bahagian untuk menambah kuasa sijil dan kekunci pelayan anda. Pembolehubah adalah ca
, cert
, dan kunci
. Tetapkannya sama dengan jalan penuh setiap fail tersebut. Ia sepatutnya kelihatan seperti contoh di bawah.
ca/etc/openvpn/certs/kekunci/ca.CRT CERT/ETC/OPENVPN/CERTS/KEYS/Server.kekunci CRT/etc/openvpn/certs/kekunci/pelayan.kunci # fail ini harus dirahsiakan
Bahagian seterusnya yang perlu anda cari ialah diffie-hellman .PEM
Apabila anda selesai, ia sepatutnya kelihatan seperti ini:
DH DH4096.PEM
Akhirnya, cari TLS-Auth
Untuk kunci HMAC anda.
TLS-AUTH/ETC/OPENVPN/CERTS/KEYS/TA.kunci 0 # fail ini rahsia
Ya, tinggalkan 0
di sana.
Beef Up Security
Tetapan penyulitan dalam fail konfigurasi baik -baik saja, tetapi mereka boleh banyak lebih baik. Sudah tiba masanya untuk membolehkan tetapan penyulitan yang lebih baik.
Cari bahagian yang bermula dengan, # Pilih cipher kriptografi.
Di situlah anda perlu menambah baris berikut di bawah pilihan yang ada.
Cipher AES-256-CBC
Ia bukan salah satu pilihan yang disenaraikan di sana, tetapi ia disokong oleh OpenVPN. Penyulitan AES 256bit mungkin yang terbaik yang ditawarkan oleh OpenVPN.
Tatal ke hujung fail. Dua pilihan seterusnya belum ada dalam konfigurasi, jadi anda perlu menambahkannya.
Pertama, anda perlu menentukan pencernaan pengesahan yang kuat. Ini adalah penyulitan yang akan digunakan oleh OpenVPN untuk Pengesahan Pengguna. Pilih SHA512.
# Auth Digest Auth Sha512
Seterusnya, hadkan ciphers yang OpenVPN akan digunakan untuk yang lebih kuat. Lebih baik mengehadkannya sejauh mungkin.
# Hadkan ciphers TLS-CIPHER TLS-DHE-RSA-With-AES-256-GCM-SHA384: TLS-DHE-RSA-With-AES-128-GCM-SHA256: TLS-DHE-RSA-WITH-AES-AES-256- Cbc-sha: TLS-dhe-rsa-with-camellia-256-cbc-sha: tls-dhe-rsa-with-aes-128-cbc-sha: tls-dhe-rsa-with-camellia-128-cbc- Sha
Lalu lintas langsung
Semua barangan penyulitan tidak habis. Sudah tiba masanya untuk melakukan penghalaan. Anda perlu memberitahu OpenVPN untuk mengendalikan trafik dan DNS mengalihkan.
Mulakan dengan mengalihkan trafik. Cari garis di bawah dan uncomment itu.
Tolak "Redirect-Gateway DEF1 Bypass-DHCP"
Untuk laluan DNS melalui OpenVPN, anda perlu memberikan pilihan DNS. Garis -garis ini sudah ada dan juga mengulas. Uncomment mereka. Sekiranya anda ingin menggunakan pelayan DNS yang berbeza, anda juga boleh menukar IP ke DNS tersebut.
Tolak "DHCP-Option DNS 208.67.222.222 "PUSH" DHCP-OPTION DNS 208.67.220.220 "
Sediakan pengguna OpenVPN
OpenVPN berjalan sebagai akar secara lalai. Itu idea yang cukup mengerikan. Sekiranya OpenVPN dikompromi, keseluruhan sistem itu diskrukan. Terdapat beberapa baris yang dikomentari untuk menjalankan OpenVPN sebagai "tiada siapa," tetapi "tiada siapa" biasanya menjalankan perkhidmatan lain juga. Sekiranya anda tidak mahu OpenVPN mempunyai akses kepada apa -apa tetapi OpenVPN, anda perlu menjalankannya sebagai pengguna sendiri yang tidak layak.
Buat pengguna sistem untuk OpenVPN untuk dijalankan sebagai.
# adduser --system --shell/usr/sbin/nologin --no-create-home OpenVPN
Kemudian, anda boleh mengedit fail konfigurasi dengan uncommenting garis yang menjalankan OpenVPN sebagai "tiada siapa," dan menggantinya dengan nama pengguna yang baru anda buat.
Pengguna OpenVPN Group Nogroup
Hantar Log ke Null
Terdapat dua pilihan ketika datang ke balak, dan kedua -duanya mempunyai merit mereka. Anda boleh log semuanya seperti biasa dan mempunyai kayu balak untuk kembali pada masa akan datang, atau anda boleh menjadi paranoid dan log masuk /dev/null
.
Dengan log masuk ke /dev/null
, Anda memadamkan rekod pelanggan yang menyambung ke VPN dan ke mana mereka pergi. Walaupun anda mengawal VPN anda, anda mungkin mahu pergi ke laluan ini jika anda berusaha untuk menjadi lebih privasi.
Sekiranya anda ingin memusnahkan balak anda, cari status
, log
, dan Log-append
pembolehubah dan tunjuk semuanya di /dev/null
. Ia sepatutnya kelihatan serupa dengan contoh di bawah.
status /dev /null ... log /dev /null log-append /dev /null
Itulah bahagian terakhir konfigurasi. Simpan, dan bersiaplah untuk menjalankan pelayan anda.
Jalankan pelayan anda
Sebenarnya terdapat dua perkhidmatan yang anda perlukan untuk mula berputar OpenVPN di Debian Stretch. Mulakan mereka berdua dengan SystemD.
# Systemctl Mula OpenVPN # Systemctl Mula OpenVPN@Server
Sahkan bahawa mereka berjalan dengan betul.
# status systemctl openvpn*.perkhidmatan
Membolehkan mereka berdua berjalan pada permulaan.
# Systemctl Dayakan OpenVPN # Systemctl Dayakan OpenVPN@Server
Anda kini mempunyai pelayan VPN yang sedang berjalan di Debian Stretch!
Apa yang akan datang
Anda di sini. Anda telah melakukannya! Debian kini menjalankan OpenVPN di belakang firewall yang selamat, dan sudah bersedia untuk pelanggan menyambung.
Di bahagian seterusnya, anda akan menyediakan pelanggan pertama anda dan menyambungkannya ke pelayan anda.
Pelanggan OpenVPN
Konfigurasikan dan klien OpenVPN untuk menyambung ke pelayan OpenVPN yang baru dikonfigurasikan.
Ini adalah bahagian keempat dan terakhir dalam mengkonfigurasi pelayan OpenVPN di Debian Stretch.
Sekarang pelayan anda berjalan, anda boleh menyediakan pelanggan untuk menyambungnya. Pelanggan itu boleh menjadi peranti yang menyokong OpenVPN, yang hampir apa -apa.
Terdapat sesuatu yang perlu anda lakukan pada pelayan terlebih dahulu untuk menyerahkan kepada pelanggan, tetapi selepas itu, ini semua mengenai penyediaan sambungan itu.
Buat kunci pelanggan
Mulakan dengan membuat satu set kunci pelanggan. Prosesnya hampir sama dengan yang anda gunakan untuk membuat kunci pelayan.
CD
ke dalam direktori pihak berkuasa sijil, tetapkan sumber dari fail pembolehubah dan membina kunci.
# cd/etc/openvpn/certs # sumber ./var # ./Build-Key FirstClient
Anda boleh menamakan kunci pelanggan apa sahaja yang anda pilih. Sekali lagi, skrip akan mengemukakan beberapa soalan kepada anda. Lalai harus baik untuk segalanya.
Fail konfigurasi pelanggan
OpenVPN Menyediakan Contoh Konfigurasi Pelanggan Selain pelayan yang. Peti direktori baru untuk konfigurasi pelanggan anda dan menyalin contohnya.
# mkdir/etc/openvpn/pelanggan # cp/usr/share/doc/openvpn/contoh/sampel-config-files/client.conf/etc/openvpn/pelanggan/pelanggan.ovpn
Buka fail dalam editor teks pilihan anda.
Tuan rumah jauh
Cari garis dengan Jauh
pembolehubah. Tetapkannya sama dengan IP pelayan anda.
Jauh 192.168.1.5 1194
Menjadi tiada siapa
Tidak ada latihan dengan lelaki yang tidak berwajah yang diperlukan. Cari sahaja uncomment garis di bawah.
pengguna tiada kumpulan kumpulan kumpulan
Sediakan kunci anda
Anda mesti memberitahu konfigurasi pelanggan di mana untuk mencari kunci yang diperlukan juga. Cari baris berikut dan editnya untuk menyesuaikan apa yang telah anda buat.
ca ca.CRT CERT FirstClient.CRT Key FirstClient.kunci
Pastikan anda menggunakan nama sebenar pelanggan dan kunci. Jalannya baik -baik saja. Anda akan meletakkan semuanya dalam direktori yang sama.
Cari dan Uncomment garis untuk HMAC.
TLS-Auth TA.Kunci 1
Tentukan penyulitan
Pelanggan perlu mengetahui penyulitan yang digunakan oleh pelayan. Sama seperti pelayan, beberapa baris ini perlu ditambah.
Cari cipher
pembolehubah. Ia berkomentar. Uncomment dan tambahkan cipher yang anda gunakan di pelayan.
Cipher AES-256-CBC
Tambah dalam Pengesahan Digest dan sekatan Cipher pada akhir konfigurasi pelanggan.
# Pengesahan Digest Auth Sha512 # Sekatan Cipher TLS-CIPHER TLS-DHE-RSA-With-AES-AES-256-GCM-SHA384: TLS-DHE-RSA-With-AES-128-GCM-SHA256: TLS-DHE-RSA-With-with -AES-256-CBC-SHA: TLS-DHE-RSA-With-Camellia-256-CBC-SHA: TLS-DHE-RSA-With-AES-128-CBC-SHA: TLS-DHE-RSA-With-Camellia -128-cbc-sha
Simpan konfigurasi dan keluar.
Hantar pelanggan tarball
Anda perlu mengemas konfigurasi dan kunci pelanggan anda dalam tarball dan menghantarnya kepada pelanggan. Muatkan segalanya ke dalam satu tarball untuk memudahkan perkara pada akhir pelanggan.
# tar cjf/etc/openvpn/pelanggan/firstclient.tar.xz -c/etc/openvpn/certs/kekunci ca.CRT FirstClient.CRT FirstClient.Kunci TA.kunci -c/etc/openvpn/pelanggan/pelanggan.ovpn
Sekarang, anda boleh memindahkan tarball itu kepada pelanggan anda tetapi anda memilih.
Sambung
Dengan mengandaikan bahawa pelanggan anda adalah pengedaran debian, proses sambungannya sangat mudah. Pasang OpenVPN seperti yang anda lakukan di pelayan.
# Apt Pasang OpenVPN
Ekstrak tarball anda ke /etc/openvpn
direktori yang dibuat pemasangan.
# cd/etc/openvpn # tar xjf/path/to/firstcient.tar.xz
Anda mungkin perlu menamakan semula pelanggan.ovpn
ke OpenVPN.Conf
. Anda akan mendapat ralat pada permulaan jika anda melakukannya.
Mulakan dan aktifkan OpenVPN dengan SystemD.
# Systemctl Mula OpenVPN # Systemctl Dayakan OpenVPN
Kesimpulan
Anda mempunyai pelayan VPN yang bekerja dan pelanggan yang bersambung! Anda juga boleh mengikuti prosedur yang sama dalam panduan ini untuk pelanggan anda yang lain. Pastikan untuk membuat kunci berasingan untuk setiap satu. Anda boleh menggunakan fail konfigurasi yang sama, walaupun.
Anda juga mungkin mahu memastikan semuanya berfungsi dengan baik. Pergi ke ujian kebocoran DNS untuk memastikan IP anda menambal pelayan, dan anda tidak menggunakan DNS IPS anda.
Tutorial Linux Berkaitan:
- Asas Ubuntu 22.04 Persediaan Sambungan Pelanggan/Pelayan OpenVPN
- Cara Menyiapkan Pelayan OpenVPN di Ubuntu 20.04
- Perkara yang hendak dipasang di Ubuntu 20.04
- Perkara yang perlu dilakukan setelah memasang ubuntu 20.04 Focal Fossa Linux
- Muat turun linux
- Pasang Arch Linux di Workstation VMware
- Distro linux terbaik untuk pemaju
- Perintah Linux: Top 20 Perintah Paling Penting yang Anda Perlu ..
- Cara membuat VPN di Ubuntu 20.04 Menggunakan Wireguard
- Pengenalan kepada Automasi, Alat dan Teknik Linux
- « Persediaan pelayan/klien VNC pada debian 9 stretch linux
- Cara Memasang Pelayan Komuniti MySQL di Debian 9 Stretch Linux »