OpenVPN, orosz nyelvű leírás ubuntu
Csatlakozás biztonság OpenVPN ebben az esetben alapul a tanúsítványok használata és a kulcsokat a kiszolgáló és az ügyfelek. Mert az ő generációja OpenVPN csomag speciális script található /usr/share/doc/openvpn/examples/easy-rsa/2.0 munka előtt másolja őket, úgy, hogy nem változik az eredeti.
Mi jár a létrehozott könyvtárba, ahol fogunk csinálni kulcs generáló és tanúsítás
Edit a változók fájl
Itt adhatja meg, mint ez:
másolat config openssl
Mi törölje a régi kulcsok és tanúsítványok mappába, és hozzon létre egy soros kulcs, és az index fájlokat az új kulcsok
Hozzon létre egy tanúsítványt. Alapértelmezésben a mező tele lesz az adatok korábban megadott var. így nem lehet megváltoztatni semmit.
Hozzon létre egy szerver kulcsot
A kihívás jelszó []: Ki kell tölteni egy tetszőleges értéket, ha jól értem csak meg kell hozzon létre egy kulcsot, és több nem kell. Ki tudja pontosan, korrekt cikket.
A végén már egyetértenek a kérelem jelzést, és hozzáadjuk az igazolást az adatbázisban.
Tudod csak meg a kulcsokat az ügyfél megy, a vonatkozó része a cikket. Odaadtam egy külön részleget, ügyfél kulcsokat lehet egynél többször, hogy világosabb kezdeni abban az esetben, amikor meg kell adni az ügyfélnek
Hozzon létre egy Diffie-Hellman kulcs
Hozzon létre egy kulcsot a TLS-autifikatsii
Hozzon létre egy könyvtárat a kliens config
Akkor futtatni a OpenVPN szerver
Élvezi a felületek listáját
Ha azt látja, többek között
VPN-szerver eszköz sebet. Ha nem, akkor nézd meg a log
Ha a szerver egy „fehér» IP hogy nem kell beállítani semmilyen routing a szerver oldalon. Ha a szerver található, egy helyi hálózaton egy NAT router, akkor be kell állítania az útvonal.
Annak érdekében, hogy az ügyfelek, hogy elérjük a szerver meg kell port forwarding a router a szerver. A különböző modellek azt másképpen. A lényeg az, hogy kopogtat a külső port, például 12345 1). ügyfelek esett a OpenVPN szerver port 1194 (vagy bármely más, azt kérte a szerver). Amellett, hogy a LAN eszközök tájékoztatni kell, hogy a hálózathoz való hozzáférés mögött OpenVPN szerver kell vele a kapcsolatot. De ez könnyebb feltenni ezt az útvonalat a router, amely arra szolgál, lokalku.
Hozzon létre egy fájlt a könyvtárban CCD a neve megegyezik a legfontosabb, hogy az ügyfél, azaz a Az / etc / openvpn / CCD / kliens
ügyfél kulcsok generálása a szerveren
Mi jár a létrehozott könyvtárba, és ahol zamomsya generációs kulcsok és tanúsítványok
Hozzon létre egy ügyfél kulcs
Ebben az esetben a név a kulcs - kliens. Mindegyik legfontosabb, hogy legyen az ő neve.
Ha azt szeretnénk, hogy megvédje kulcs jelszavát, akkor keletkezik, amikor egy másik csapat
Ebben az esetben a kapcsolat kezdődött meg kell adnia egy jelszót minden egyes alkalommal, amikor egy gombot.
Most, ne felejtsük el, hogy másolja a gombokat (ca.crt, client.crt, client.key, ta.key) az OpenVPN kliens / etc / openvpn / kulcsok /
Meg lehet futtatni a kliens OpenVPN
Gép OpenVPN kész együttműködni a szerver látható
De ahhoz, hogy használni az alagút másik irodában lehet más eszközökkel a hálózatban kell mutatnunk nekik, hogy a hozzáférés az alhálózati 192.168.1.0/24 keresztül 192.168.0.100. Vagy az, hogy gyakran könnyebb és gyorsabb legyen ez routing szabályt a router, hogy az átjáró a hálózati eszközöket.
Továbbá, mint ahogy az a szerver.
Ha céljai között - csak, hogy szervezzen egy VPN vagy csatlakozni egy elszigetelt hálózatban (pl otthonról, hogy a helyi hálózaton a munkahelyen), ez a része a cikket nem kell.
Itt jelezzük, hogy a hálózat 10.8.0.0/24 kimegyünk a eth0.
Annak érdekében, hogy konfigurálja iptables megőrzött egy újraindítás után kell menteni őket tovább:
A konfigurációs kliens client.conf kell hozzá egy sort
Ha minden rendben megy tisztán kell látnia az alábbi kimenetet, amely azt mondja, hogy a tanúsítvány visszavonásra:
visszavonja tele szkript CRL-fájl (tanúsítvány-visszavonási lista, CRL), a nevét egy alkönyvtárban crl.pem kulcsokat. A fájlt kell másolni a könyvtárba, ahol a OpenVPN szerver tud hozzáférni. Korábban a config már regisztrált, hogy a fájl kell az / etc / openvpn és másolni.
Ez akkor hasznos, például, ha az ügyfél egy kulccsal jelszóval védett, a még induláskor egy ilyen kapcsolat nem emelkedik hiányában egy jelszót a kulcsot. És abban az esetben, ha nem a kulcs egy jelszót, akkor nagy valószínűséggel, akkor nem kell állandó kapcsolatot.
VPN-szerver VM Virtualbox (1 i5-4670 mag)
Gigabit Network (titkosítatlan soros átviteli sebesség 120 Mb / s). Speed kerül meghatározásra megabyte, nem megabit az!
Az adatok továbbítása a fogadó
Windows 7 kliens, OpenVPN 2.3 64 FX-6300
Speed mindig pihent a virtuális géphez, ahol a processzor lenne tele. CPU ügyfél már betöltött 10% - 40% 1/6 magok.
A fenti config - 14 MB / s
Kikapcsolása a kompressziós; comp-lzo - növekedés nem több, mint 1 Mb / s - akár 15 MB / s
Engedélyezik az auth none 2 MB / s - akár 17 MB / s
Kikapcsolja a titkosítás titkosító none 2 MB / s - akár 19 MB / s
Compression comp-LZO borogatást tömöríti a fájlokat a 2-szer rosszabb, mint a zlib, de szinte nincs hatással sem a CPU-használat (tízszer gyorsabb). Ellenőrzés példányon telepíthető Windows Libreoffice 5. Compress zip archiváló segítségével 7z adta eredményeként 35% körüli, kompressziós comp-LZO hálózati interfész statisztikák - mintegy 70%.
A maximális erősítés lehúzásakor tömörítés, titkosítás és azonosítás volt körülbelül 35%. Nem hiszem, hogy megéri letiltani biztonsági mechanizmusokat, de a helyzet más.
Lehet, hogy valaki, mint én, érdekes lenne lehetőség befolyásolják a teljesítmény, és nem kell időt tölteni a gyűjtemény mérések, bár szeretnék megismerni az eredmények más emberek. Kezdetben a tésztát maguknak, ezért a pontos méréseket nem végeznek, aztán úgy döntöttem, hogy megosszák az eredményeket.