काही दिवसांपूर्वी ओपनव्हीपीएन 2.4.9 ची नवीन आवृत्ती प्रकाशित झाली, हे असणं सुधारात्मक आवृत्ती त्या सुरू करण्यात आल्या CVE-2.020-11.810 असुरक्षा सुधारण्यासाठी, हे एका नवीन आयपी पत्त्यावर क्लायंट सत्राचे भाषांतर करण्यास अनुमती देते, जो तोपर्यंत नोंदणीकृत नव्हता.
नव्याने कनेक्ट केलेल्या क्लायंटमध्ये व्यत्यय आणण्यासाठी समस्या वापरली जाऊ शकते ज्या टप्प्यावर समवयस्क ओळख आधीच तयार केली गेली आहे परंतु सत्र की ची बोलणी पूर्ण झाली नाही (क्लायंट इतर क्लायंटचे सत्र थांबवू शकतो).
ओपनव्हीपीएन बद्दल
जे ओपनव्हीपीएनशी परिचित नाहीत त्यांच्यासाठी तुम्हाला हे माहित असले पाहिजे हे एक विनामूल्य सॉफ्टवेअर आधारित कनेक्टिव्हिटी साधन आहे, एसएसएल (सिक्युअर सॉकेट लेअर), व्हीपीएन व्हर्च्युअल प्रायव्हेट नेटवर्क.
OpenVPN कनेक्ट केलेले वापरकर्ते आणि होस्टच्या श्रेणीबद्ध वैधतेसह पॉईंट-टू-पॉईंट कनेक्टिव्हिटी प्रदान करते दूरस्थपणे वाय-फाय तंत्रज्ञान (आयईईई 802.11 वायरलेस नेटवर्क) मध्ये हा एक चांगला पर्याय आहे आणि लोड बॅलेंसिंगसह विस्तृत कॉन्फिगरेशनचे समर्थन करते.
ओपनव्हीपीएन एक मल्टीप्लाटफॉर्म टूल आहे ज्याने व्हीपीएनची कॉन्फिगरेशन सुलभ केले आहे जे आयपीसेकसारखे कॉन्फिगरेशन करणे कठीण आणि या प्रकारच्या तंत्रज्ञानामध्ये अननुभवी लोकांसाठी अधिक प्रवेशयोग्य बनवते.
ओपनव्हीपीएन २.2.4.9..XNUMX मध्ये नवीन काय आहे?
उपरोक्त बगमधील निराकरणाशिवाय, ही नवीन आवृत्ती देखील परस्पर वापरकर्ता सेवा सत्यापित करण्यासाठी प्रक्रियेत बदल लागू करते (विंडोजवर, कॉन्फिगरेशन स्थान प्रथम सत्यापित केले जाते आणि त्यानंतर डोमेन नियंत्रकाकडे विनंती पाठविली जाते.)
पर्याय वापरताना "- लेखक-वापरकर्त्या-पास फाइल", संकेतशब्द विनंती करण्यासाठी फाइलमध्ये फक्त एकच वापरकर्तानाव असल्यास, वरप्रमाणपत्रे व्यवस्थापित करण्यासाठी इंटरफेस आवश्यक असतो (कन्सोल प्रॉम्प्टद्वारे ओपनव्हीपीएन वापरुन संकेतशब्द विनंती करणे थांबवा)
विंडोज प्लॅटफॉर्मवर, "rycryptoapicert" पर्यायात युनिकोड शोध स्ट्रिंग वापरण्याची परवानगी आहे.
एकाधिक सीआरएल डाउनलोड करण्यास असमर्थतेसह एक समस्या देखील निश्चित केली (प्रमाणपत्र रद्दीकरण यादी) ओपनएसएसएल प्रणालीवरील "rcrl-सत्यापित करा" पर्याय वापरताना.
सक्षम-एसिन्क-पुश ध्वज वापरून फ्रीबीएसडी प्लॅटफॉर्मवर संकलनाचे प्रश्न सोडविले गेले आहेत.
निश्चित ओपनएसएसएल खासगी की सांकेतिक वाक्यांशाच्या सूचना आणि कालबाह्य झालेली प्रमाणपत्रे Windows प्रमाणपत्र स्टोअरमध्ये पुरविली जातात.
ओपनव्हीपीएन कसे स्थापित करावे?
ज्यांना त्यांच्या सिस्टमवर ओपनव्हीपीएन स्थापित करण्यास स्वारस्य आहे त्यांच्यासाठी, ते सूचनांचे पालन करून हे करू शकतात जे आम्ही खाली सामायिक करतो.
पहिली गोष्ट म्हणजे साधन स्थापित करणे आणि सुलभ आरएसए विश्वसनीय प्रमाणपत्रे देण्यासाठी, एक सामान्य प्रमाणपत्र प्राधिकरण (सीए) कॉन्फिगर केले जाणे आवश्यक आहे:
sudo apt update sudo apt install openvpn easy-rsa
आता आम्ही यासह प्रमाणपत्र अधिकार कॉन्फिगर करणार आहोत:
make-cadir ~/openvpn-ca cd ~/openvpn-ca
Y चला काही व्हेरिएबल्स एडिट करू या जी प्रमाणपत्रे कशी तयार करावीत हे ठरविण्यात मदत करतातः
gedit vars
सुलभ-आरएसए विभाग पहा आणि संपादित करा जेणेकरुन हे दिसते:
काही समायोजनानंतरः
# These are the default values for fields # which will be placed in the certificate. # Don't leave any of these fields blank. export KEY_COUNTRY="US" export KEY_PROVINCE="CA" export KEY_CITY="Tustin" export KEY_ORG="SSD Nodes" export KEY_EMAIL= class="hljs-string">"joel@example.com" export KEY_OU="Marketing" # X509 Subject Field export KEY_NAME="vpnserver"
आपण टर्मिनलमध्ये सेव्ह आणि टाइप करा:
source vars ./build-ca
एक नवीन आरएसए की तयार केली जाईल आणि आपण फाईलमध्ये प्रविष्ट केलेल्या तपशीलांची पुष्टी करण्यास सांगितले जाईल. पूर्ण झाले आता ग्राहकांच्या सार्वजनिक / खासगी की तयार करण्याची वेळ आली आहे, जेथे [सर्व्हर] मध्ये त्यांना पाहिजे ते नाव ठेवले.
./build-key-server [server]
पुढे, त्यांना डिफि-हेलमॅन की तयार करण्याची आवश्यकता आहे.
./build-dh
शेवटी, प्रमाणपत्र बळकट करण्यासाठी त्यांनी HMAC स्वाक्षरी व्युत्पन्न करणे आवश्यक आहे.
openvpn --genkey --secret keys/ta.key source vars ./build-key client1
Y आपण संकेतशब्द संरक्षित प्रमाणपत्रे तयार करू इच्छित असल्यास:
स्त्रोत vars
./build-key-pass client1
आता आपण ओपनव्हीपीएन सर्व्हर कॉन्फिगर करणार आहोत
cd ~/openvpn-ca/keys sudo cp ca.crt ca.key vpnserver.crt vpnserver.key ta.key dh2048.pem /etc/openvpn gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | sudo tee /etc/openvpn/server.conf
आता आपल्याला कॉन्फिगरेशन फाईलमध्ये काही संपादने करण्याची आवश्यकता आहे.
sudo nano /etc/openvpn/server.conf
प्रथम, आपण खात्री करुन घेऊ की ओपनव्हीपीएन योग्य .crt आणि .key फायली शोधत आहे.
पूर्वीः
ca ca.crt cert server.crt key server.key # This file should be kept secret
नंतरः
ca ca.crt cert vpnserver.crt key vpnserver.key # This file should be kept secret
आम्ही नंतर क्लायंट आणि सर्व्हर दरम्यान एकसारखे एचएमएसी लागू करतो.
पूर्वीः
;tls-auth ta.key 0 # This file is secret
नंतरः
tls-auth ta.key 0 # This file is secret key-direction 0
आपण ओपेन्डन्स व्यतिरिक्त डीएनएस वापरण्यास प्राधान्य दिल्यास, आपण पुश h डीएचसीपी-पर्यायसह प्रारंभ होणार्या दोन ओळी बदलणे आवश्यक आहे.
पूर्वीः
# If enabled, this directive will configure # all clients to redirect their default # network gateway through the VPN, causing # all IP traffic such as web browsing and # and DNS lookups to go through the VPN # (The OpenVPN server machine may need to NAT # or bridge the TUN/TAP interface to the internet # in order for this to work properly). ;push "redirect-gateway def1 bypass-dhcp" # Certain Windows-specific network settings # can be pushed to clients, such as DNS # or WINS server addresses. CAVEAT: # http://openvpn.net/faq.html#dhcpcaveats # The addresses below refer to the public # DNS servers provided by opendns.com. ;push "dhcp-option DNS 208.67.222.222" ;push "dhcp-option DNS 208.67.220.220"
नंतरः
# If enabled, this directive will configure # all clients to redirect their default # network gateway through the VPN, causing # all IP traffic such as web browsing and # and DNS lookups to go through the VPN # (The OpenVPN server machine may need to NAT # or bridge the TUN/TAP interface to the internet # in order for this to work properly). push "redirect-gateway def1" # Certain Windows-specific network settings # can be pushed to clients, such as DNS # or WINS server addresses. CAVEAT: # http://openvpn.net/faq.html#dhcpcaveats # The addresses below refer to the public # DNS servers provided by opendns.com. push "dhcp-option DNS 208.67.222.222" push "dhcp-option DNS 208.67.220.220"
मग आम्हाला वापरण्यासाठी सिफर निवडावे लागतील:
पूर्वीः
# Select a cryptographic cipher. # This config item must be copied to # the client config file as well. ;cipher BF-CBC # Blowfish (default) ;cipher AES-128-CBC # AES ;cipher DES-EDE3-CBC # Triple-DES
नंतरः
# Select a cryptographic cipher. # This config item must be copied to # the client config file as well. ;cipher BF-CBC # Blowfish (default) cipher AES-256-CBC # AES ;cipher DES-EDE3-CBC # Triple-DES auth SHA512
अखेरीस, रूट ऐवजी ओपनव्हीपीएनला विना-सुविधायुक्त वापरकर्ता खाते वापरूया, जे विशेषतः सुरक्षित नाही.
user openvpn group nogroup
तो वापरकर्ता तयार करण्यासाठी आम्ही ही फाईल सेव्ह आणि बंद करू शकतो.
sudo adduser --system --shell /usr/sbin/nologin --no-create-home openvpn
आणि आम्ही यासह सेवा सक्रिय करतो:
sudo systemctl enable openvpn@server sudo systemctl start openvpn@server