Installa il tuo server VPN con OpenVPN su Ubuntu 10.04 Server

Installa il tuo server VPN con OpenVPN su Ubuntu 10.04 Server

ATTENZIONE

Dopo un po 'senza postare ti porto questa guida di come creare la tua VPN su Ubuntu Server, per connettersi al PC di casa o per utilizzare Internet in modo sicuro in reti Wi-Fi non sicure.

OpenVPN È un Software che funge da client e server a seconda di come lo configuriamo, chiarisco che esistono 2 versioni di questo:
* Software della community OpenVPN: È la versione che useremo ed è al 100% Open Source
* Server di accesso OpenVPN: È la versione a pagamento, puoi usare solo fino a 2 utenti gratuitamente, gli utenti aggiuntivi sono molto economici, ha anche extra come un pannello di amministrazione web, è semplicissimo da configurare e altro ancora.

Introduzione

OpenVPN è un prodotto software creato da James Yonan nel 2001 e da allora è andato migliorando.

Nessun'altra soluzione offre una tale combinazione di sicurezza di livello aziendale, protezione, facilità d'uso e funzionalità avanzate.

Si tratta di una soluzione multipiattaforma che ha notevolmente semplificato la configurazione delle VPN, lasciandosi alle spalle i tempi di altre soluzioni difficili da configurare come IPsec e rendendola più accessibile a persone inesperte in questo tipo di tecnologia.

Supponiamo di dover comunicare diversi rami di un'organizzazione. Di seguito vedremo alcune soluzioni che sono state offerte in risposta a questo tipo di esigenze.

In passato le comunicazioni venivano effettuate tramite posta, telefono o fax. Oggi esistono fattori che rendono necessaria l'implementazione di soluzioni di connettività più sofisticate tra le sedi delle organizzazioni di tutto il mondo.

Questi fattori sono:

* L'accelerazione dei processi aziendali e il conseguente aumento della necessità di uno scambio di informazioni flessibile e rapido.
* Molte organizzazioni hanno diverse filiali in luoghi diversi e telelavoratori remoti da casa, che hanno bisogno di scambiarsi informazioni senza alcun ritardo, come se fossero fisicamente insieme.
* La necessità che le reti di computer soddisfino elevati standard di sicurezza che garantiscano autenticità, integrità e disponibilità.

fonte: wikipedia

Il server:

Questa guida è per Ubuntu 10.04 Server, immagino che funzioni in altre versioni e distribuzioni, abbiamo un server Ubuntu già installato e funzionante.
Installiamo OpenVPN e anche OpenSSL, poiché la sicurezza è basata su ssl.

sudo apt-get -y install openvpn sudo apt-get -y install openssl

Configuriamo il demone OpenVPN in modo che non si avvii automaticamente con il sistema
Commentiamo tutto aggiungendo # all'inizio di ogni riga.

sudo nano / etc / default / openvpn

rimuovere anche lo script di avvio, per impedirne l'avvio se si configura

sudo update-rc.d -f /etc/init.d/openvpn rimuovi

Ora creiamo il file openvpn.conf in / etc / openvpn /

sudo nano /etc/openvpn/server.conf

e mettiamo questa configurazione

dev tun proto tcp porta 1194 ca /etc/openvpn/keys/ca.crt cert /etc/openvpn/keys/server.crt chiave /etc/openvpn/keys/server.key dh /etc/openvpn/keys/dh2048.pem utente nessuno gruppo nogroup server 10.6.0.0 255.255.255.0 ifconfig-pool-persist /etc/openvpn/clients.txt stato /etc/openvpn/status.txt persist-key persist-tun push "redirect-gateway def1" push "route 192.168.0.0 .255.255.255.0 10 "keepalive 120 verbo 3 comp-lzo max-clients 3

come puoi vedere può essere personalizzato, questo è un esempio che è stato testato

Se non si desidera utilizzare la VPN per una connessione Internet sicura, ovvero non navigare in Internet dalla VPN, rimuovere la riga "redirect-gateway".

Altri dati che possono essere modificati:
* ca, cert, key e dh = sono l'entità, i certificati, la chiave e le Diffie Hellman del server, le creeremo in seguito.
* server 10.6.0.0 255.255.255.0 = è l'intervallo di ip che la VPN utilizzerà, usane un altro ma, non usa lo stesso della rete reale.
* ifconfig-pool-persist ipp.txt = salva chi è stato assegnato a ciascun ip nella VPN
* proto e porta = protocollo e porta, puoi usare tcp e utp, in utp non mi ha dato buoni risultati, la porta è che puoi cambiarla.
* duplicate-cn = consente di utilizzare lo stesso certificato e la stessa chiave in più client contemporaneamente, consiglio di non attivarlo.
* up /etc/openvpn/openvpn.up = è uno script che carica openvpn all'avvio, è usato per ROUTING e FORWARDING, lo creeremo in seguito.
* client-to-client = serve per impedire agli utenti VPN di vedersi, a seconda dei casi è utile.
* comp-lzo = compressione, comprime tutto il traffico VPN.
* verbo 3 = aumenta o diminuisce i dettagli dell'errore sul server.
* max-clients 30 = numero massimo di utenti connessi simultaneamente al server, può essere aumentato o diminuito.
* push route = ti permette di vedere o essere sulla rete dietro il server vpn, fai attenzione a non attivare client-to-client.
* push «redirect = forza il client a utilizzare la VPN come gateway.

ora creiamo lo script per configurare e avviare il server vpn.

sudo nano /etc/init.d/vpnserver

e incolliamo questo codice, cambiamo l'intervallo ip in base alla configurazione del passaggio precedente

#! / bin / sh # vpnserver_start () {echo "VPN Server [OK]" echo 1> / proc / sys / net / ipv4 / ip_forward /etc/init.d/networking restart> / dev / null / sbin / iptables -t nat -A POSTROUTING -s 10.6.0.0/24 -o eth0 -j MASQUERADE / usr / sbin / openvpn --config /etc/openvpn/server.conf 2 >> /etc/openvpn/error.txt 1 >> /etc/openvpn/normal.txt &} vpnserver_stop () {echo "VPN Server [NO]" / usr / bin / killall "openvpn" iptables -F iptables -X /etc/init.d/networking restart> / dev / null} vpnserver_restart () {vpnserver_stop sleep 1 vpnserver_start} # case "$ 1" in 'start') vpnserver_start ;; 'stop') vpnserver_stop ;; 'riavvio') vpnserver_restart ;; *) vpnserver_start ;; che C

ora gli assegniamo i permessi eseguibili

sudo chmod + x /etc/init.d/vpnserver

anche e cosa configurare per l'avvio automatico con il sistema

sudo update-rc.d vpnserver predefiniti

Bene, abbiamo già configurato OpenVPN, ora dobbiamo attivare il modulo TUN nel kernel, con queste righe lo carichiamo e basta

sudo modprobe tun sudo echo "tun" >> / etc / modules

Come vedrai, la configurazione non era così difficile, ma ora arriva la più lenta:

* Crea Diffie Hellman a 2048 bit
* Crea l'autorità di certificazione.
* Creare i certificati e le chiavi del server.
* Crea certificati e chiavi per ogni utente.

Copiamo gli esempi easy-rsa per creare l'entità, i certificati, le chiavi e la crittografia, che utilizzano OpenVPN,

sudo cp -R / usr / share / doc / openvpn / examples / easy-rsa / / etc / openvpn /

ora devi entrare nella cartella dove si trovano le utility che abbiamo copiato e creare la cartella delle chiavi

sudo cp -R / usr / share / doc / openvpn / examples / easy-rsa / / etc / openvpn / cd /etc/openvpn/easy-rsa/2.0 sudo mkdir keys

Dobbiamo solo modificare il file vars che si trova in /etc/openvpn/easy-rsa/2.0

sudo nano /etc/openvpn/easy-rsa/2.0/vars

e modifichiamo questi valori

export KEY_DIR = "$ EASY_RSA / keys"

by

export KEY_DIR = "/ etc / openvpn / easy-rsa / 2.0 / keys"

è generare sì o sì in /etc/openvpn/easy-rsa/2.0/keys
continuiamo, modifichiamo anche i parametri per Diffie Hellman di 2048bits

esporta KEY_SIZE = 1024

by

esporta KEY_SIZE = 2048

ci mancano solo i dati per l'ente emittente

export KEY_COUNTRY = "US" export KEY_PROVINCE = "CA" export KEY_CITY = "SanFrancisco" export KEY_ORG = "Fort-Funston" export KEY_EMAIL = "me@myhost.mydomain"

modificare ogni valore per quelli del tuo paese, provincia, città, azienda e posta
Un esempio

export KEY_COUNTRY = "AR" export KEY_PROVINCE = "SF" export KEY_CITY = "Armstrong" export KEY_ORG = "LAGA-Systems" export KEY_EMAIL = "info@lagasystems.com.ar"

Come vedi AR = Argentina, SF = Santa Fe (la mia provincia) e gli altri si capiscono.
Bene, ora siamo pronti per iniziare, segui questi passaggi alla lettera, perché un errore e tutto è rovinato.

eseguiamo

fonte ./vars

e ci chiede di pulire nel caso ci siano entità, certificati e chiavi, lo facciamo con piacere

./pulisci tutto

ora generiamo la sicurezza Diffie Hellman di 2048 bit

./build-dh

Ora generiamo l'autorità di certificazione, chiederà loro gli stessi dati dei file vars, consiglio di completarli tutti, anche se sono già lì, non importa

./build-ca

Ora dobbiamo essere in grado di generare i certificati e le chiavi prima il server, cambiare il server con il nome che ti piace, chiederà gli stessi dati dei file vars, ti consiglio di completarli tutti, anche se sono già lì , non importa.

./build-key-server server

Abbiamo già i certificati e le chiavi del server, ora il client, cambia il client con il nome che preferisci,
Chiederà gli stessi dati dei file vars, consiglio di completarli tutti, anche se sono già lì, non importa.

./build-key client

Questo passaggio deve essere ripetuto per ogni client o utente che vuole connettersi alla VPN, abbiamo già tutto per funzionare, no, dobbiamo copiare i file che generiamo nel posto che configuriamo in openvpn.conf
poiché copia la cartella delle chiavi in ​​/ etc / openvpn /

sudo cp -R /etc/openvpn/easy-rsa/2.0/keys / etc / openvpn /

ora controlliamo che tutto sia al suo posto, entriamo nella cartella / etc / openvpn / keys

cd / etc / openvpn / keys

e con un ls controlliamo se i file ci sono
ora generiamo un altro file, questo è generato da openvpn

sudo openvpn --genkey --secret ta.key

Devi solo copiare i file ca.crt, client.crt, client.key, se hai creato più client copia il crt e la chiave di ciascuno una pendrive o altri mezzi, non usare la posta elettronica per inviarli, è come dare il tuo chiave di casa per uno sconosciuto.

Pronto, tutto è sul server, ora lo avviamo per verificare che tutto sia corretto

sudo /etc/init.d/vpnserver start

Se non ci sono errori, abbiamo già la nostra VPN in esecuzione, manca solo il client.

Il cliente:

Questa guida è per Ubuntu 10.04 Desktop, immagino che funzioni in altre versioni e distribuzioni, abbiamo un Ubuntu già installato e funzionante.
Installiamo OpenVPN e anche OpenSSL, poiché la sicurezza è basata su ssl
e poiché useremo Ubuntu Network Manager, dobbiamo installare i plugin per OpenVPN

sudo apt-get -y install openvpn sudo apt-get -y install openssl sudo aptitude -y install network-manager-openvpn

Ora siamo in grado di configurare il nostro client un esempio di configurazione:

Con un editor di testo, gedit può essere, incolla questo codice

client dev tun proto tcp remoto IP-OF-SERVER PORT resolv-retry infinite nobind #user nessuno #group nessuno persist-key persist-tun ca ca.crt cert client.crt key client.key comp-lzo tun-mtu 1500 keepalive 10 120 verbo 4

Modificano i dati, IP-DEL-SERVER questo è l'IP pubblico o internet del server e la PORTA con cui hanno assegnato sul server, i file ca.crt, client.crt e client.key sono quelli che abbiamo generato e copiato prima in una pendrive o altro.

Se hai un IP pubblico dinamico, ti consiglio di utilizzare un servizio DDNS (DyDNS, NO-IP, CDMon) e non dimenticare di aprire e reindirizzare la porta 1194 o quella che hai scelto per il server.

Salvano il codice con il nome che vogliono ma con un'estensione .conf e nella stessa cartella dei file ca.crt, client.crt e client.key

Ora apri Ubuntu Network Manager e nella scheda VPN c'è un pulsante Importa, cercano il file .conf che abbiamo salvato prima e basta.

Spero ti sia d'aiuto, dato che per far funzionare openvpn ho letto tutte le guide ei manuali che ho trovato.

Grazie per i tuoi commenti, se c'è qualche ERRORE è il prodotto della tua immaginazione, hahaha