OpenVPN, orosz nyelvű leírás ubuntu

Csatlakozás biztonság OpenVPN ebben az esetben alapul a tanúsítványok használata és a kulcsokat a kiszolgáló és az ügyfelek. Mert az ő generációja OpenVPN csomag speciális script található /usr/share/doc/openvpn/examples/easy-rsa/2.0 munka előtt másolja őket, úgy, hogy nem változik az eredeti.

Mi jár a létrehozott könyvtárba, ahol fogunk csinálni kulcs generáló és tanúsítás

Edit a változók fájl

Itt adhatja meg, mint ez:

másolat config openssl

Mi törölje a régi kulcsok és tanúsítványok mappába, és hozzon létre egy soros kulcs, és az index fájlokat az új kulcsok

Hozzon létre egy tanúsítványt. Alapértelmezésben a mező tele lesz az adatok korábban megadott var. így nem lehet megváltoztatni semmit.

Hozzon létre egy szerver kulcsot

A kihívás jelszó []: Ki kell tölteni egy tetszőleges értéket, ha jól értem csak meg kell hozzon létre egy kulcsot, és több nem kell. Ki tudja pontosan, korrekt cikket.

A végén már egyetértenek a kérelem jelzést, és hozzáadjuk az igazolást az adatbázisban.

Tudod csak meg a kulcsokat az ügyfél megy, a vonatkozó része a cikket. Odaadtam egy külön részleget, ügyfél kulcsokat lehet egynél többször, hogy világosabb kezdeni abban az esetben, amikor meg kell adni az ügyfélnek

Hozzon létre egy Diffie-Hellman kulcs

Hozzon létre egy kulcsot a TLS-autifikatsii

Hozzon létre egy könyvtárat a kliens config

Akkor futtatni a OpenVPN szerver

Élvezi a felületek listáját

Ha azt látja, többek között

VPN-szerver eszköz sebet. Ha nem, akkor nézd meg a log

Ha a szerver egy „fehér» IP hogy nem kell beállítani semmilyen routing a szerver oldalon. Ha a szerver található, egy helyi hálózaton egy NAT router, akkor be kell állítania az útvonal.
Annak érdekében, hogy az ügyfelek, hogy elérjük a szerver meg kell port forwarding a router a szerver. A különböző modellek azt másképpen. A lényeg az, hogy kopogtat a külső port, például 12345 1). ügyfelek esett a OpenVPN szerver port 1194 (vagy bármely más, azt kérte a szerver). Amellett, hogy a LAN eszközök tájékoztatni kell, hogy a hálózathoz való hozzáférés mögött OpenVPN szerver kell vele a kapcsolatot. De ez könnyebb feltenni ezt az útvonalat a router, amely arra szolgál, lokalku.

Hozzon létre egy fájlt a könyvtárban CCD a neve megegyezik a legfontosabb, hogy az ügyfél, azaz a Az / etc / openvpn / CCD / kliens

ügyfél kulcsok generálása a szerveren

Mi jár a létrehozott könyvtárba, és ahol zamomsya generációs kulcsok és tanúsítványok

Hozzon létre egy ügyfél kulcs

Ebben az esetben a név a kulcs - kliens. Mindegyik legfontosabb, hogy legyen az ő neve.

Ha azt szeretnénk, hogy megvédje kulcs jelszavát, akkor keletkezik, amikor egy másik csapat

Ebben az esetben a kapcsolat kezdődött meg kell adnia egy jelszót minden egyes alkalommal, amikor egy gombot.

Most, ne felejtsük el, hogy másolja a gombokat (ca.crt, client.crt, client.key, ta.key) az OpenVPN kliens / etc / openvpn / kulcsok /

Meg lehet futtatni a kliens OpenVPN

Gép OpenVPN kész együttműködni a szerver látható

De ahhoz, hogy használni az alagút másik irodában lehet más eszközökkel a hálózatban kell mutatnunk nekik, hogy a hozzáférés az alhálózati 192.168.1.0/24 keresztül 192.168.0.100. Vagy az, hogy gyakran könnyebb és gyorsabb legyen ez routing szabályt a router, hogy az átjáró a hálózati eszközöket.

Továbbá, mint ahogy az a szerver.

Ha céljai között - csak, hogy szervezzen egy VPN vagy csatlakozni egy elszigetelt hálózatban (pl otthonról, hogy a helyi hálózaton a munkahelyen), ez a része a cikket nem kell.

Itt jelezzük, hogy a hálózat 10.8.0.0/24 kimegyünk a eth0.

Annak érdekében, hogy konfigurálja iptables megőrzött egy újraindítás után kell menteni őket tovább:

A konfigurációs kliens client.conf kell hozzá egy sort

Ha minden rendben megy tisztán kell látnia az alábbi kimenetet, amely azt mondja, hogy a tanúsítvány visszavonásra:

visszavonja tele szkript CRL-fájl (tanúsítvány-visszavonási lista, CRL), a nevét egy alkönyvtárban crl.pem kulcsokat. A fájlt kell másolni a könyvtárba, ahol a OpenVPN szerver tud hozzáférni. Korábban a config már regisztrált, hogy a fájl kell az / etc / openvpn és másolni.

Ez akkor hasznos, például, ha az ügyfél egy kulccsal jelszóval védett, a még induláskor egy ilyen kapcsolat nem emelkedik hiányában egy jelszót a kulcsot. És abban az esetben, ha nem a kulcs egy jelszót, akkor nagy valószínűséggel, akkor nem kell állandó kapcsolatot.

VPN-szerver VM Virtualbox (1 i5-4670 mag)

Gigabit Network (titkosítatlan soros átviteli sebesség 120 Mb / s). Speed ​​kerül meghatározásra megabyte, nem megabit az!

Az adatok továbbítása a fogadó

Windows 7 kliens, OpenVPN 2.3 64 FX-6300

Speed ​​mindig pihent a virtuális géphez, ahol a processzor lenne tele. CPU ügyfél már betöltött 10% - 40% 1/6 magok.

A fenti config - 14 MB / s

Kikapcsolása a kompressziós; comp-lzo - növekedés nem több, mint 1 Mb / s - akár 15 MB / s

Engedélyezik az auth none 2 MB / s - akár 17 MB / s

Kikapcsolja a titkosítás titkosító none 2 MB / s - akár 19 MB / s

Compression comp-LZO borogatást tömöríti a fájlokat a 2-szer rosszabb, mint a zlib, de szinte nincs hatással sem a CPU-használat (tízszer gyorsabb). Ellenőrzés példányon telepíthető Windows Libreoffice 5. Compress zip archiváló segítségével 7z adta eredményeként 35% körüli, kompressziós comp-LZO hálózati interfész statisztikák - mintegy 70%.

A maximális erősítés lehúzásakor tömörítés, titkosítás és azonosítás volt körülbelül 35%. Nem hiszem, hogy megéri letiltani biztonsági mechanizmusokat, de a helyzet más.

Lehet, hogy valaki, mint én, érdekes lenne lehetőség befolyásolják a teljesítmény, és nem kell időt tölteni a gyűjtemény mérések, bár szeretnék megismerni az eredmények más emberek. Kezdetben a tésztát maguknak, ezért a pontos méréseket nem végeznek, aztán úgy döntöttem, hogy megosszák az eredményeket.

Kapcsolódó cikkek