OpenVPN 2.4.9 egy kisebb verzió, amely kijavít néhány hibát

Néhány napja megjelent az OpenVPN 2.4.9 új verziója, lévén ez javító változat hogy elindították a CVE-2.020-11.810 biztonsági rés kijavítása érdekében, Ez lehetővé teszi egy kliens munkamenet lefordítását egy új IP-címre, amelyet addig nem regisztráltak.

A probléma használható egy újonnan csatlakoztatott ügyfél megszakítására abban a szakaszban, ahol a társ azonosítás már létrejött, de a munkamenetkulcsok egyeztetése még nem fejeződött be (az ügyfél leállíthatja más ügyfelek munkameneteit).

Az OpenVPN-ről

Azok számára, akik nem ismerik az OpenVPN-t, ezt tudnia kell ez egy ingyenes szoftver alapú kapcsolódási eszköz, SSL (Secure Sockets Layer), VPN virtuális magánhálózat.

OpenVPN pont-pont összeköttetést kínál a csatlakoztatott felhasználók és gazdagépek hierarchikus ellenőrzésével távolról. Nagyon jó lehetőség a Wi-Fi technológiákban (IEEE 802.11 vezeték nélküli hálózatok), és széles konfigurációt támogat, beleértve a terheléselosztást is.

Az OpenVPN egy többplatformos eszköz, amely leegyszerűsítette a VPN-ek konfigurálását a régebbi és nehezebben konfigurálhatóakhoz, például az IPsec-hez képest, és hozzáférhetőbbé tette az ilyen típusú tapasztalatlan emberek számára.

Az OpenVPN 2.4.9 újdonságai

A fent említett hiba javításán kívül ez az új verzió is módosítja az interaktív felhasználói szolgáltatások ellenőrzésének eljárását (Windows rendszeren először a konfigurációs helyet ellenőrzik, majd kérést küldenek a tartományvezérlőnek.)

Az opció használatakor "- auth-user-pass fájl", ha a fájlban csak egy felhasználónév van jelszó kérésére, akkoramikor egy interfészre van szükség a hitelesítő adatok kezeléséhez (ne kérjen jelszót az OpenVPN használatával a konzol parancssorán keresztül).

A Windows platformon megengedett az unicode keresési karakterláncok használata a "–cryptoapicert" opcióban.

Megoldott egy problémát is azzal kapcsolatban, hogy nem sikerült több CRL-t letölteni (Tanúsítvány visszavonási lista), amely ugyanabban a fájlban található, amikor az OpenSSL rendszereken a „–crl-verify” opciót használja.

Az összeállítási kérdéseket pedig megoldották a FreeBSD platformon az –enable-async-push jelző használatával.

Javítva az OpenSSL titkos kulcs jelszófigyelmeztetései és a lejárt tanúsítványokat továbbítják a Windows tanúsítványtárolóba.

Hogyan telepítsem az OpenVPN-t?

Azok számára, akik szeretnék telepíteni az OpenVPN-t a rendszerükre, az utasításokat követve megtehetik amit alább megosztunk.

Az első dolog az eszköz és az Easy RSA telepítése lesz Megbízható tanúsítványok kiadásához egy egyszerű tanúsító hatóságot (CA) kell konfigurálni:

sudo apt update

sudo apt install openvpn easy-rsa

Most konfigurálni fogjuk a tanúsító hatóságot:

make-cadir ~/openvpn-ca

cd ~/openvpn-ca

Y szerkesszük néhány változót amelyek segítenek eldönteni a tanúsítványok létrehozásának módját:

gedit vars

Keresse meg az easy-rsa részt, és szerkessze úgy, hogy így nézzen ki:

Néhány kiigazítás után:

# These are the default values for fields

# which will be placed in the certificate.

# Don't leave any of these fields blank.

export KEY_COUNTRY="US"

export KEY_PROVINCE="CA"

export KEY_CITY="Tustin"

export KEY_ORG="SSD Nodes"

export KEY_EMAIL= class="hljs-string">"joel@example.com"

export KEY_OU="Marketing"

# X509 Subject Field

export KEY_NAME="vpnserver"

Menti és beírja a terminált:

source vars

./build-ca

Új RSA kulcs jön létre, és felkérést kap a fájlba beírt adatok megerősítésére. Kész ezt itt az ideje, hogy létrehozzuk az ügyfél nyilvános / privát kulcsait, ahová a [szerver] -be teszik a kívánt nevet.

./build-key-server [server]

Ezután meg kell építeniük a Diffie-Hellman kulcsokat.

./build-dh

Végül létre kell hozniuk egy HMAC aláírást a tanúsítvány megerősítése érdekében.

openvpn --genkey --secret keys/ta.key

source vars

./build-key client1

Y ha jelszóval védett hitelesítő adatokat szeretne létrehozni:

forrásváltozatok

./build-key-pass client1

Most konfigurálni fogjuk az OpenVPN szervert

cd ~/openvpn-ca/keys

sudo cp ca.crt ca.key vpnserver.crt vpnserver.key ta.key dh2048.pem /etc/openvpn

gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | sudo tee /etc/openvpn/server.conf

Most néhány módosítást kell végeznünk a konfigurációs fájlban.

sudo nano /etc/openvpn/server.conf

Először ellenőrizzük, hogy az OpenVPN a megfelelő .crt és .key fájlokat keresi-e.

Megelőzően:

ca ca.crt

cert server.crt

key server.key  # This file should be kept secret

akkor:

ca ca.crt

cert vpnserver.crt

key vpnserver.key  # This file should be kept secret

Ezután azonos HMAC-t alkalmazunk az ügyfelek és a kiszolgáló között.

Megelőzően:

;tls-auth ta.key 0 # This file is secret

akkor:

tls-auth ta.key 0 # This file is secret

key-direction 0

Ha az opendns-től eltérő DNS-t szeretne használni, meg kell változtatnia a push «dhcp-option kezdetű két sort.

Megelőzően:

# If enabled, this directive will configure

# all clients to redirect their default

# network gateway through the VPN, causing

# all IP traffic such as web browsing and

# and DNS lookups to go through the VPN

# (The OpenVPN server machine may need to NAT

# or bridge the TUN/TAP interface to the internet

# in order for this to work properly).

;push "redirect-gateway def1 bypass-dhcp"

# Certain Windows-specific network settings

# can be pushed to clients, such as DNS

# or WINS server addresses.  CAVEAT:

# http://openvpn.net/faq.html#dhcpcaveats

# The addresses below refer to the public

# DNS servers provided by opendns.com.

;push "dhcp-option DNS 208.67.222.222"

;push "dhcp-option DNS 208.67.220.220"

 

akkor:

# If enabled, this directive will configure

# all clients to redirect their default

# network gateway through the VPN, causing

# all IP traffic such as web browsing and

# and DNS lookups to go through the VPN

# (The OpenVPN server machine may need to NAT

# or bridge the TUN/TAP interface to the internet

# in order for this to work properly).

push "redirect-gateway def1"

# Certain Windows-specific network settings

# can be pushed to clients, such as DNS

# or WINS server addresses.  CAVEAT:

# http://openvpn.net/faq.html#dhcpcaveats

# The addresses below refer to the public

# DNS servers provided by opendns.com.

push "dhcp-option DNS 208.67.222.222"

push "dhcp-option DNS 208.67.220.220"

Akkor ki kell választanunk a használni kívánt rejtjeleket:

Megelőzően:

# Select a cryptographic cipher.

# This config item must be copied to

# the client config file as well.

;cipher BF-CBC        # Blowfish (default)

;cipher AES-128-CBC   # AES

;cipher DES-EDE3-CBC  # Triple-DES

akkor:

# Select a cryptographic cipher.

# This config item must be copied to

# the client config file as well.

;cipher BF-CBC        # Blowfish (default)

cipher AES-256-CBC   # AES

;cipher DES-EDE3-CBC  # Triple-DES

auth SHA512

Végül tegyük az OpenVPN-t nem privilegizált felhasználói fiókkal a root helyett, ami nem különösebben biztonságos.

user openvpn

group nogroup

Most elmenthetjük és bezárhatjuk ezt a fájlt a felhasználó létrehozásához:

sudo adduser --system --shell /usr/sbin/nologin --no-create-home openvpn

És aktiváljuk a szolgáltatást:

sudo systemctl enable openvpn@server

sudo systemctl start openvpn@server

A cikk tartalma betartja a szerkesztői etika. A hiba bejelentéséhez kattintson a gombra itt.

Legyen Ön az első hozzászóló

Hagyja megjegyzését

E-mail címed nem kerül nyilvánosságra. Kötelező mezők vannak jelölve *

*

*

  1. Az adatokért felelős: Miguel Ángel Gatón
  2. Az adatok célja: A SPAM ellenőrzése, a megjegyzések kezelése.
  3. Legitimáció: Az Ön beleegyezése
  4. Az adatok közlése: Az adatokat csak jogi kötelezettség alapján továbbítjuk harmadik felekkel.
  5. Adattárolás: Az Occentus Networks (EU) által üzemeltetett adatbázis
  6. Jogok: Bármikor korlátozhatja, helyreállíthatja és törölheti adatait.