Prije nekoliko dana objavljena je nova verzija OpenVPN 2.4.9, biti ovo korektivna verzija koji je pokrenut kako bi se ispravila ranjivost CVE-2.020-11.810, koji omogućava prevođenje sesije klijenta na novu IP adresu koja do tada nije bila registrirana.
Problem se može koristiti za prekidanje novopostavljenog klijenta u fazi kada je identifikacija kolega već generirana, ali pregovaranje o ključevima sesije nije dovršeno (klijent može zaustaviti sesije drugih klijenata).
O OpenVPN-u
Za one koji nisu upoznati sa OpenVPN-om, trebali biste to znati ovo je besplatni alat za povezivanje zasnovan na softveru, SSL (sloj sigurnih utičnica), VPN virtualna privatna mreža.
OpenVPN nudi povezivanje od točke do točke s hijerarhijskom provjerom valjanosti povezanih korisnika i hostova na daljinu. To je vrlo dobra opcija u Wi-Fi tehnologijama (IEEE 802.11 bežične mreže) i podržava široku konfiguraciju, uključujući uravnoteženje opterećenja.
OpenVPN je multiplatformni alat koji je pojednostavio konfiguraciju VPN-ova u odnosu na starije i teže konfigurira kao što je IPsec i čineći ga pristupačnijim za neiskusne ljude u ovoj vrsti tehnologije.
Što je novo u OpenVPN 2.4.9?
Pored ispravka u gore spomenutoj grešci, i ova nova verzija implementira promjenu postupka za provjeru interaktivnih korisničkih usluga (U sustavu Windows prvo se provjerava lokacija konfiguracije, a zatim se zahtjev šalje kontroloru domene.)
Kada koristite opciju "- datoteka za autorizaciju korisnika", ako u datoteci postoji samo jedno korisničko ime za traženje lozinke, navrijeme potrebno je sučelje za upravljanje vjerodajnicama (Prestanite tražiti lozinku koristeći OpenVPN putem upita konzole).
Na Windows platformi dozvoljeno je koristiti nizove pretraživanja Unicode u opciji "–cryptoapicert".
Također je riješen problem s nemogućnošću preuzimanja više CRL-ova (Lista opoziva certifikata) koja se nalazi u istoj datoteci kada se koristi opcija "–crl-verify" na OpenSSL sistemima.
A problemi sa kompilacijom su riješeni na FreeBSD platformi pomoću zastavice –enable-async-push.
Ispravljene su obavijesti o lozinci za privatni ključ OpenSSL-a a istekli certifikati prosljeđuju se u Windows skladište certifikata.
Kako instalirati OpenVPN?
Za one koje zanima mogućnost instaliranja OpenVPN-a na njihov sistem, to mogu učiniti slijedeći upute koje delimo u nastavku.
Prva stvar bit će instalacija alata i Easy RSA Budući da se za izdavanje pouzdanih certifikata mora konfigurirati jednostavno tijelo za izdavanje certifikata (CA):
sudo apt update sudo apt install openvpn easy-rsa
Sada konfigurirat ćemo tijelo za izdavanje certifikata sa:
make-cadir ~/openvpn-ca cd ~/openvpn-ca
Y uredimo neke od varijabli koji pomažu u odluci kako stvoriti certifikate:
gedit vars
Potražite odjeljak easy-rsa i uredite ga tako da izgleda ovako:
Nakon nekih podešavanja:
# These are the default values for fields # which will be placed in the certificate. # Don't leave any of these fields blank. export KEY_COUNTRY="US" export KEY_PROVINCE="CA" export KEY_CITY="Tustin" export KEY_ORG="SSD Nodes" export KEY_EMAIL= class="hljs-string">"joel@example.com" export KEY_OU="Marketing" # X509 Subject Field export KEY_NAME="vpnserver"
Spremate i upisujete u terminal:
source vars ./build-ca
Stvorit će se novi RSA ključ i od vas će se tražiti da potvrdite detalje koje ste unijeli u datoteku. Gotovo sada je vrijeme za kreiranje klijentovih javnih / privatnih ključeva, gdje u [server] stavljaju ime koje žele.
./build-key-server [server]
Dalje, trebaju izgraditi Diffie-Hellman ključeve.
./build-dh
Konačno, moraju generirati HMAC potpis kako bi ojačali certifikat.
openvpn --genkey --secret keys/ta.key source vars ./build-key client1
Y ako želite stvoriti vjerodajnice zaštićene lozinkom:
izvor vars
./build-key-pass client1
Sada ćemo konfigurirati OpenVPN server
cd ~/openvpn-ca/keys sudo cp ca.crt ca.key vpnserver.crt vpnserver.key ta.key dh2048.pem /etc/openvpn gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | sudo tee /etc/openvpn/server.conf
Sada moramo izvršiti neke izmjene u konfiguracijskoj datoteci.
sudo nano /etc/openvpn/server.conf
Prvo, pobrinimo se da OpenVPN traži prave .crt i .key datoteke.
Prije:
ca ca.crt cert server.crt key server.key # This file should be kept secret
Poslije:
ca ca.crt cert vpnserver.crt key vpnserver.key # This file should be kept secret
Zatim primjenjujemo identični HMAC između klijenata i poslužitelja.
Prije:
;tls-auth ta.key 0 # This file is secret
Poslije:
tls-auth ta.key 0 # This file is secret key-direction 0
Ako više volite koristiti DNS koji nije otvaranje, morate promijeniti dvije linije koje počinju s push «dhcp-opcijom.
Prije:
# If enabled, this directive will configure # all clients to redirect their default # network gateway through the VPN, causing # all IP traffic such as web browsing and # and DNS lookups to go through the VPN # (The OpenVPN server machine may need to NAT # or bridge the TUN/TAP interface to the internet # in order for this to work properly). ;push "redirect-gateway def1 bypass-dhcp" # Certain Windows-specific network settings # can be pushed to clients, such as DNS # or WINS server addresses. CAVEAT: # http://openvpn.net/faq.html#dhcpcaveats # The addresses below refer to the public # DNS servers provided by opendns.com. ;push "dhcp-option DNS 208.67.222.222" ;push "dhcp-option DNS 208.67.220.220"
Poslije:
# If enabled, this directive will configure # all clients to redirect their default # network gateway through the VPN, causing # all IP traffic such as web browsing and # and DNS lookups to go through the VPN # (The OpenVPN server machine may need to NAT # or bridge the TUN/TAP interface to the internet # in order for this to work properly). push "redirect-gateway def1" # Certain Windows-specific network settings # can be pushed to clients, such as DNS # or WINS server addresses. CAVEAT: # http://openvpn.net/faq.html#dhcpcaveats # The addresses below refer to the public # DNS servers provided by opendns.com. push "dhcp-option DNS 208.67.222.222" push "dhcp-option DNS 208.67.220.220"
Zatim moramo odabrati šifre koje ćemo koristiti:
Prije:
# Select a cryptographic cipher. # This config item must be copied to # the client config file as well. ;cipher BF-CBC # Blowfish (default) ;cipher AES-128-CBC # AES ;cipher DES-EDE3-CBC # Triple-DES
Poslije:
# Select a cryptographic cipher. # This config item must be copied to # the client config file as well. ;cipher BF-CBC # Blowfish (default) cipher AES-256-CBC # AES ;cipher DES-EDE3-CBC # Triple-DES auth SHA512
Na kraju, učinimo da OpenVPN koristi ne privilegirani korisnički račun umjesto root-a, koji nije posebno siguran.
user openvpn group nogroup
Sada ovu datoteku možemo spremiti i zatvoriti da bismo kreirali tog korisnika:
sudo adduser --system --shell /usr/sbin/nologin --no-create-home openvpn
A uslugu aktiviramo sa:
sudo systemctl enable openvpn@server sudo systemctl start openvpn@server