Telepítse és konfigurálja az openvpn kiszolgálót a debianon
Telepítési és konfigurációs utasítások az OpenVPN-kiszolgáló számára Linux-Debian disztribúció alapján 8 Jessie.
Az OpenVPN-hez TUN / TAP interfész támogatás szükséges a kiszolgálón. Ha az OpenVPN-t fizikai gépen telepíti, vagy használja a KVM virtualizációt, ez nem jelent problémát.
Az OpenVZ használata esetén aktiválni kell a TUN / TAP támogatást a konténer beállításaiban.
Ellenőrizzük a támogatást a tun / tap-interfaces rendszerben:
Az ügyfelek kulcsfontosságú hitelesítést használnak a kiszolgálón. Ehhez hozzon létre egy könyvtárat, amelybe a generált kulcsok átmásolódnak:
És másoljuk a segédprogramokat és konfiguráljuk a kulcsokkal való munkát:
menjen a létrehozott könyvtárba:
A vars fájlban megadhatja a kulcsok és tanúsítványok beállításait. Ez a tétel opcionális, és kihagyhatja azt, ha akarja.
A következő sorokat megváltoztatjuk (akarattal):
A többi marad alapértelmezés szerint.
A vars szerkesztése után indítsa el a változókat, és törölje a kulcs / kiszolgáló könyvtárat a régi tanúsítványokról és kulcsokról:
Tanúsítványok létrehozása
Gyökér-tanúsítvány létrehozása:
Szerver és ügyfél-tanúsítványok generálása:
Minden ügyfél számára külön kulcsokat kell létrehozni.
Mi generáljuk a Diffie-Hellman kulcsot:
Tls-hitelesítéshez kulcsot hozunk létre:
Az összes létrehozott tanúsítvány és kulcs az / etc / openvpn / easy-rsa / keys /
A tanúsítványokat és a kiszolgáló kulcsokat az OpenVPN könyvtárba másoljuk:
A következő kulcsokat és tanúsítványokat át kell másolni az OpenVPN ügyfélgépre:
client1.crt
client1.key
ca.crt
ta.key
A megfelelő fájlok céljának és helyének megértéséhez egy kis táblát készítettem:
Az OpenVPN kiszolgáló konfigurálása
Az OpenVPN konfigurációs fájl egyik példája a /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz könyvtárban található. másolja és csomagolja ki az / etc / openvpn könyvtárba:
# cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz / etc / openvpn /
# gzip -d /etc/openvpn/server.conf.gz
Az igényektől függően megváltoztatjuk az OpenVPN szerver beállításait:
Itt van a konfigurációim:
Így az ügyfelek alapértelmezett átjárója az OpenVPN kiszolgáló.
Hozzon létre egy könyvtárat az ügyfélbeállításokhoz és indítsa újra a kiszolgálót:
Miután az OpenVPN telepítése befejeződött, indítsa újra a kiszolgálót:
Az OpenVPN sikeres elindítása esetén új tun0 felületet kell megjeleníteni a rendszerben:
Az interfész jelenléte azt jelenti, hogy az OpenVPN fut és fut. Ha valamilyen oknál fogva nem jelenik meg, akkor a hibák naplófájljára tekintünk:
Útválasztás konfigurálása az OpenVPN kliensek számára
Miután az ügyfelet az OpenVPN kiszolgálóhoz csatlakoztatta, ha az ügyfél (a kliens) a helyi hálózaton tartózkodik, akkor a hálózaton belüli források elérésének útvonalait is be kell állítania. Ehhez hozzon létre egy fájlt a ccd könyvtárban, ugyanazzal az ügyfélkulcsnévvel:
Adja hozzá a következő paramétereket a fájlhoz:
Az első sor egy útvonalat ad az ügyfél helyi hálózatához. Egyszerűen fogalmazva megmondja az OpenVPN kliensnek, hogy "megy" a 192.168.2.0 hálózathoz az OpenVPN szerveren keresztül. Ha a localhost egy másik alhálózathoz van társítva, azt is meg kell adni.
A második sor megadja a DNS-kiszolgálót, amelyet a kapcsolat után használni fog. (Ha nincsen DNS-kiszolgáló a helyi hálózaton, megadhat ns-t a Google-tól - 8.8.8.8 vagy egyáltalán nem adhat meg.
Engedélyezze a NAT-ot az OpenVPN szerveren
Annak érdekében, hogy OpenVPN-t használhasson az internethez való hozzáféréshez, szabályt kell beállítani a kiszolgálóra az OpenVPN hálózatról a helyi hálózathoz vagy az ISP-hálózatra és visszafelé irányuló forgalmat irányítani.
Alkalmazza a módosításokat (töltse be a rendszermag változókat):
Ne felejtse el írni az iptables szabályokat. Engedélyeznünk kell a 10.10.10.0 / 10 alhálózatról az ügyfelek számára, hogy hozzáférjenek az internethez, lehetővé téve számukra, hogy csomagokat fogadjanak az internetről, és hagyják el az ügyfelek forgalmát NAT-on keresztül.
Az első sorban engedélyezzük a csomagok továbbítását a tun0 interfészre.
A második sor lehetővé teszi a továbbítást a tun0-tól az eth0-ig.
Harmadszor - hagyjuk formázni az eth0-t a tun0-ba.
Cserélje ki az eth0-ot a külső interfész nevével. Meg kell jegyezni, hogy a MASQUERADE terhelést hoz létre a processzoron. Ezért előnyös az SNAT alkalmazása:
Mentse el a szabályokat, és vegye fel őket az indításhoz:
Az OpenVPN ügyfél konfigurálása
Ha az OpenVPN nincs telepítve, akkor telepítse azt:
Másolja a következő kulcsokat és tanúsítványokat az ügyfélszámítógépre:
Ezután az OpenVPN könyvtárba továbbítjuk - / etc / openvpn /
A minta konfigurációs fájljának másolása és kicsomagolása az OpenVPN könyvtár tartalmába:
és szerkessze:
Adja hozzá a következő paramétereket a fájl tartalmához:
Windows gépek esetén a kliens.ovpn fájlt kell elhelyeznie a mappában:
A kliens és a kiszolgáló protokolljának, titkosítási és tömörítési beállításainak azonosnak kell lenniük.
Ezen a ponton befejeződött az OpenVPN Debian telepítése, ellenőrizzük a munkaképességét:
Az ügyfélgépről az OpenVPN-kiszolgálóra csatlakozunk. és pingold meg OpenVPN-kiszolgálót:
Ha a ping megy, akkor minden rendben van, ha nem, akkor nézze meg a naplókat és ellenőrizze az útvonalbeállításokat.
Ui Ha dinamikus IP van a kiszolgálón, használhatja az IP-helyettesítő szkriptet az OpenVPN konfigurációban. majd elküldjük e-mailben.