Asenna oma VPN-palvelin OpenVPN: llä Ubuntu 10.04 -palvelimeen

Asenna oma VPN-palvelin OpenVPN: llä Ubuntu 10.04 -palvelimeen

HUOMIO

Jonkin ajan kuluttua julkaisematta tuon sinulle tämän oppaan kuinka luoda oma VPN Ubuntu Serveriin, joko yhteyden muodostamiseksi koti-PC: hen tai Internetin turvalliseen käyttöön epävarmoissa Wi-Fi-verkoissa.

OpenVPN Se on ohjelmisto, joka toimii asiakkaana ja palvelimena sen mukaan, miten konfiguroimme sen, selvennän, että tästä on 2 versiota:
* OpenVPN-yhteisöohjelmisto: Tätä versiota käytämme ja se on 100% avointa lähdekoodia
* OpenVPN-yhteyspalvelin: Se on maksettu versio, voit käyttää vain korkeintaan kahta käyttäjää ilmaiseksi, lisäkäyttäjät ovat erittäin halpoja, sillä on myös lisäominaisuuksia, kuten web-hallintapaneeli, se on erittäin helppo määrittää ja paljon muuta.

Esittely

OpenVPN on James Yonanin vuonna 2001 luoma ohjelmistotuote, joka on parantunut siitä lähtien.

Mikään muu ratkaisu ei tarjoa tällaista yhdistelmää yritysluokan tietoturvaa, tietoturvaa, helppokäyttöisyyttä ja monipuolisia ominaisuuksia.

Se on monialustainen ratkaisu, joka on yksinkertaistanut huomattavasti VPN-verkkojen kokoonpanoa, jättäen taakseen muiden vaikeiden konfigurointiaikaisten aikojen, kuten IPsecin, ajat ja tekemällä sen helpommin kokemattomille tämän tyyppisessä tekniikassa.

Oletetaan, että meidän täytyy kommunikoida organisaation eri haaroista. Alla on joitain ratkaisuja, joita on tarjottu vastauksena tämäntyyppisiin tarpeisiin.

Aikaisemmin viestintä tapahtui postitse, puhelimitse tai faksilla. Nykyään on olemassa tekijöitä, jotka edellyttävät kehittyneempien yhteysratkaisujen toteuttamista organisaatioiden toimistojen välillä ympäri maailmaa.

Nämä tekijät ovat:

* Liiketoimintaprosessien kiihtyminen ja sen seurauksena joustavan ja nopean tiedonvaihdon tarpeen lisääntyminen.
* Monilla organisaatioilla on useita toimipisteitä eri paikoissa sekä etätyöntekijöitä kotoa, joiden on vaihdettava tietoja viipymättä ikään kuin olisivat fyysisesti yhdessä.
* Tietokoneverkkojen on täytettävä tiukat tietoturvastandardit, jotka takaavat aitouden, eheyden ja saatavuuden.

lähde: wikipedia

Palvelin:

Tämä opas on tarkoitettu Ubuntu 10.04 -palvelimelle, luulen, että se toimii muissa versioissa ja distroissa, meillä on jo asennettu ja toimiva ubuntu-palvelin.
Asennamme OpenVPN: n ja myös OpenSSL: n, koska suojaus perustuu ssl: ään.

sudo apt-get -y install openvpn sudo apt-get -y install openssl

Määritämme OpenVPN-demonin Ei käynnisty automaattisesti järjestelmällä
Kommentoimme kaiken lisäämällä # jokaisen rivin alkuun.

sudo nano / etc / default / openvpn

Poista myös käynnistyskomentosarja, jotta se ei käynnisty, jos määrität

sudo update-rc.d -f /etc/init.d/openvpn poista

Luomme nyt tiedoston openvpn.conf tiedostoon / etc / openvpn /

sudo nano /etc/openvpn/server.conf

ja laitamme tämän kokoonpanon

dev tun proto -tcp-portti 1194 ca /etc/openvpn/keys/ca.crt cert /etc/openvpn/keys/server.crt avain /etc/openvpn/keys/server.key dh /etc/openvpn/keys/dh2048.pem käyttäjän kukaan ei ryhmä ryhmäryhmäpalvelin 10.6.0.0 255.255.255.0 ifconfig-pool-persist /etc/openvpn/clients.txt status /etc/openvpn/status.txt persist-key persist-tun push "redirect-gateway def1" push "route 192.168.0.0 .255.255.255.0 10 "keepalive 120 verbi 3 comp-lzo max-asiakkaita 3

kuten näette, sitä voidaan mukauttaa, tämä on testattu esimerkki

Jos et halua käyttää vpn: tä suojattuun internetiin, toisin sanoen, älä surffaa internetissä vpn: stä, poista rivi "redirect-gateway".

Muut muokattavat tiedot:
* ca, cert, key ja dh = ovat palvelimen kokonaisuus, varmenteet, avain ja Diffie Hellman, luomme ne myöhemmin.
* palvelin 10.6.0.0 255.255.255.0 = on ip-alue, jota vpn käyttää, käytä toista, mutta älä käytä samaa kuin todellinen verkko.
* ifconfig-pool-persist ipp.txt = tallenna kenelle jokaiselle ip: lle on annettu vpn
* proto ja portti = protokolla ja portti, voit käyttää tcp: tä ja utp: ta, utp: ssä se ei antanut minulle hyviä tuloksia, portti on, että voit muuttaa sitä.
* duplicate-cn = sallii saman varmenteen ja avaimen käytön useilla asiakkailla samanaikaisesti, suosittelen, ettei sitä aktivoida.
* up /etc/openvpn/openvpn.up = on komentosarja, joka lataa openvpn: n käynnistyksen yhteydessä, sitä käytetään reititykseen ja eteenpäin, me luomme sen myöhemmin.
* client-to-client = on estää VPN-käyttäjiä näkemästä toisiaan tapauksesta riippuen.
* comp-lzo = pakkaus, pakkaa koko VPN-liikenne.
* verbi 3 = lisää tai vähentää palvelimen virhetietoja.
* max-clients 30 = palvelimeen samanaikaisesti kytkettyjen käyttäjien enimmäismäärä, sitä voidaan lisätä tai vähentää.
* työnnä reitti = antaa sinun nähdä tai olla verkossa VPN-palvelimen takana, ole varovainen, ettet aktivoi asiakasta toiselle.
* push «redirect = pakottaa asiakkaan käyttämään VPN: ää yhdyskäytävänä.

nyt luomme sen komentosarjan VPN-palvelimen määrittämiseksi ja käynnistämiseksi.

sudo nano /etc/init.d/vpnserver

ja liitämme tämän koodin, vaihdamme ip-aluetta edellisen vaiheen kokoonpanon mukaan

#! / bin / sh # vpnserver_start () {echo "VPN-palvelin [OK]" kaiku 1> / proc / sys / net / ipv4 / ip_forward /etc/init.d/networking restart> / dev / null / sbin / iptables -t nat -A POSTROUTING -s 10.6.0.0/24 -o eth0 -j MASQUERADE / usr / sbin / openvpn --config /etc/openvpn/server.conf 2 >> /etc/openvpn/error.txt 1 >> /etc/openvpn/normal.txt &} vpnserver_stop () {echo "VPN Server [NO]" / usr / bin / killall "openvpn" iptables -F iptables -X /etc/init.d/networking restart> / dev / null} vpnserver_restart () {vpnserver_stop sleep 1 vpnserver_start} # tapaus "$ 1" 'start') vpnserver_start ;; 'stop') vpnserver_stop ;; 'uudelleenkäynnistys') vpnserver_restart ;; *) vpnserver_start ;; että C

nyt annamme sille suoritettavat oikeudet

sudo chmod + x /etc/init.d/vpnserver

myös ja mitä määritetään käynnistämään järjestelmä automaattisesti

sudo update-rc.d vpnserver -oletusasetukset

No, olemme jo määrittäneet OpenVPN: n, nyt meidän on aktivoitava TUN-moduuli ytimessä, näillä riveillä lataamme sen ja kaikki

sudo modprobe tun sudo echo "tun" >> / etc / modules

Kuten huomaat, kokoonpano ei ollut niin vaikeaa, mutta se tulee nyt hitaimmin:

* Luo 2048bit Diffie Hellman
* Luo varmentaja.
* Luo palvelimen varmenteet ja avaimet.
* Luo varmenteet ja avaimet jokaiselle käyttäjälle.

Kopioimme easy-rsa-esimerkit luodaksemme entiteetin, varmenteet, avaimet ja salauksen, jotka käyttävät OpenVPN: ää,

sudo cp -R / usr / share / doc / openvpn / esimerkit / helppo-rsa / / etc / openvpn /

nyt sinun on syötettävä kansio, johon kopioimamme apuohjelmat sijaitsevat, ja luotava avainkansio

sudo cp -R / usr / share / doc / openvpn / esimerkit / helppo-rsa / / etc / openvpn / cd /etc/openvpn/easy-rsa/2.0 sudo mkdir-avaimet

Meidän on muokattava vain tiedostoa /etc/openvpn/easy-rsa/2.0 olevaa vars-tiedostoa

sudo nano /etc/openvpn/easy-rsa/2.0/vars

ja muokkaamme näitä arvoja

vienti KEY_DIR = "$ EASY_RSA / avaimet"

mukaan

vie KEY_DIR = "/ etc / openvpn / easy-rsa / 2.0 / avaimet"

on tuottaa kyllä ​​tai kyllä ​​tiedostossa /etc/openvpn/easy-rsa/2.0/keys
Jatkamme, muokkaamme myös Diffie Hellmanin 2048 bitin parametreja

vienti KEY_SIZE = 1024

mukaan

vienti KEY_SIZE = 2048

meiltä puuttuu vain liikkeeseenlaskijan tietoja

vienti KEY_COUNTRY = "Yhdysvallat" vienti KEY_PROVINCE = "CA" vienti KEY_CITY = "SanFrancisco" vienti KEY_ORG = "Fort-Funston" vienti KEY_EMAIL = "me@myhost.mydomain"

muokkaa jokaista arvoa maasi, maakuntasi, kaupunkisi, yrityksesi ja postisi arvoille
Esimerkki

vienti KEY_COUNTRY = "AR" vienti KEY_PROVINCE = "SF" vienti KEY_CITY = "Armstrong" vienti KEY_ORG = "LAGA-Systems" vienti KEY_EMAIL = "info@lagasystems.com.ar"

Kun näet AR = Argentiina, SF = Santa Fe (maakuntani) ja muut ymmärtävät toisiaan.
No, nyt olemme valmiita aloittamaan, noudata näitä ohjeita kirjeeseen, koska yksi virhe ja kaikki on pilalla.

me toteutamme

lähde ./vars

ja pyytää meitä puhdistamaan, jos on olemassa entiteettejä, varmenteita ja avaimia, teemme sen mielihyvin

./clean-all

nyt luomme 2048 bitin Diffie Hellman -turvallisuuden

./build-dh

Nyt luodaan sertifiointiviranomainen, se pyytää heiltä samoja tietoja kuin vars-tiedostoissa, suosittelen täyttämään jokaisen, vaikka ne ovat jo siellä, sillä ei ole väliä

./build-ca

Pystymme nyt luomaan sertifikaatit ja avaimet ensin palvelimelle, vaihtamaan palvelimen haluamallesi nimelle, se pyytää samoja tietoja kuin vars-tiedostoissa, suosittelen, että täytät jokaisen, vaikka ne ovat jo siellä , ei se mitään.

./build-key-server-palvelin

Meillä on jo varmenteet ja palvelinavaimet, nyt asiakas, vaihda asiakas haluamaasi nimeksi,
Se pyytää samoja tietoja kuin vars-tiedostoissa.Suosittelen niiden täydentämisen, vaikka ne ovat jo siellä, sillä ei ole väliä.

./build-key-asiakas

Tämä vaihe on toistettava jokaiselle asiakkaalle tai käyttäjälle, joka haluaa muodostaa yhteyden VPN: ään, meillä on jo kaikki toimiva, ei, meidän on kopioitava luomamme tiedostot paikkaan, jonka määritämme osoitteessa openvpn.conf
koska kopioi avainkansio tiedostoon / etc / openvpn /

sudo cp -R /etc/openvpn/easy-rsa/2.0/keys / etc / openvpn /

nyt tarkistamme, että kaikki on paikoillaan, siirrymme kansioon / etc / openvpn / keys

cd / etc / openvpn / avaimet

ja tarkistamme ls: llä, ovatko tiedostot siellä
nyt luomme vielä yhden tiedoston, tämän generoi openvpn

sudo openvpn --genkey -salainen avain

Sinun tarvitsee kopioida vain tiedostot ca.crt, client.crt, client.key, jos olet luonut useampia asiakkaita, kopioi jokaisen pendriven crt ja avain tai muuten, älä lähetä sähköpostia lähettämällä niitä, se on kuin talon avain muukalaiselle.

Valmiina, kaikki on palvelimella, nyt aloitamme sen testaamaan, että kaikki on oikein

sudo /etc/init.d/vpnserver start

Jos virheitä ei ole, vpn on jo käynnissä, vain asiakas puuttuu.

Asiakas:

Tämä opas on tarkoitettu Ubuntu 10.04 Desktopille, luulen, että se toimii muissa versioissa ja distroissa, meillä on jo asennettu ja toimiva ubuntu.
Asennamme OpenVPN: n ja myös OpenSSL: n, koska suojaus perustuu ssl: ään
ja kun käytämme Ubuntu Network Manageria, meidän on asennettava laajennukset OpenVPN: lle

sudo apt-get -y asenna openvpn sudo apt-get -y asenna openssl sudo aptitude -y asenna verkko-manager-openvpn

Nyt voimme määrittää asiakkaallemme kokoonpanoesimerkin:

Tekstieditorilla gedit voi olla, liitä tämä koodi

client dev tun proto tcp remote IP-OF-SERVER PORT resolv-retry infinite nobind #user nobody #group nobody persist-key persist-tun ca ca.crt cert client.crt key client.key comp-lzo tun-mtu 1500 keepalive 10 120 verbi 4

He muokkaavat tietoja, IP-DEL-SERVER, tämä on palvelimen ja PORTin julkinen tai Internet-IP, jonka kautta he määrittivät palvelimelle, tiedostot ca.crt, client.crt ja client.key ovat ne, jotka olemme luoneet ja kopioineet ennen pendrivessa tai mitä tahansa.

Jos sinulla on dynaaminen julkinen IP, suosittelen käyttämään DDNS-palvelua (DyDNS, NO-IP, CDMon) .Älä unohda avata ja ohjata uudelleen porttia 1194 tai valitsemaasi palvelimelle.

He tallentavat koodin haluamallaan nimellä, mutta .conf-laajennuksella ja samaan kansioon kuin ca.crt-, client.crt- ja client.key-tiedostot

Avaa nyt Ubuntu Network Manager ja VPN-välilehdessä on Tuo-painike, he etsivät aiemmin tallentamaamme .conf-tiedostoa ja siinä kaikki.

Toivon, että se auttaa sinua, koska avoimen VPN: n tekemiseksi kävin läpi kaikki löytämäni oppaat ja käsikirjat.

Kiitos kommenteistasi. Jos on virheitä, se on mielikuvituksenne tuote, hahaha