Pasang Pelayan VPN Anda Sendiri dengan OpenVPN pada Pelayan Ubuntu 10.04

Pasang Pelayan VPN Anda Sendiri dengan OpenVPN pada Pelayan Ubuntu 10.04

PERHATIAN

Selepas beberapa ketika tanpa mengepos, saya membawakan panduan ini bagaimana membuat VPN anda sendiri di Ubuntu Server, sama ada untuk menyambung ke PC rumah atau menggunakan internet dengan selamat dalam rangkaian Wi-Fi yang tidak selamat.

OpenVPN Ini adalah Perisian yang bertindak sebagai pelanggan dan pelayan mengikut cara kami mengkonfigurasinya, saya menjelaskan bahawa terdapat 2 versi ini:
* Perisian Komuniti OpenVPN: Ini adalah versi yang akan kami gunakan dan 100% Open Source
* Pelayan Akses OpenVPN: Ini adalah versi berbayar, anda hanya dapat menggunakan hingga 2 pengguna secara gratis, pengguna tambahan sangat murah, ia juga mempunyai tambahan seperti panel pentadbiran web, sangat mudah dikonfigurasi dan banyak lagi.

pengenalan

OpenVPN adalah produk perisian yang dibuat oleh James Yonan pada tahun 2001 dan telah bertambah baik sejak itu.

Tidak ada penyelesaian lain yang menawarkan gabungan keselamatan, keselamatan, kemudahan penggunaan, dan ciri-ciri kelas perusahaan.

Ini adalah penyelesaian pelbagai platform yang telah mempermudah konfigurasi VPN, meninggalkan masa penyelesaian sukar yang lain untuk dikonfigurasi seperti IPsec dan menjadikannya lebih mudah diakses oleh orang yang tidak berpengalaman dalam jenis teknologi ini.

Andaikan kita perlu menyampaikan pelbagai cabang organisasi. Di bawah ini kita akan melihat beberapa penyelesaian yang telah ditawarkan sebagai tindak balas kepada jenis keperluan ini.

Pada masa lalu, komunikasi dibuat melalui surat, telefon atau faks. Hari ini terdapat faktor-faktor yang menjadikannya perlu untuk melaksanakan penyelesaian hubungan yang lebih canggih antara pejabat organisasi di seluruh dunia.

Faktor-faktor ini adalah:

* Percepatan proses perniagaan dan peningkatannya dalam keperluan pertukaran maklumat yang fleksibel dan cepat.
* Banyak organisasi mempunyai beberapa cabang di lokasi yang berbeza serta pekerja telekomunikasi jauh dari rumah, yang perlu bertukar maklumat tanpa berlengah, seolah-olah mereka secara fizikal bersama.
* Keperluan untuk rangkaian komputer memenuhi standard keselamatan yang tinggi yang memastikan keaslian, integriti dan ketersediaan.

Fuente: Wikipedia

Pelayan:

Panduan ini adalah untuk Pelayan Ubuntu 10.04, saya membayangkan ia berfungsi dalam versi dan distro lain, kami mempunyai pelayan ubuntu yang sudah dipasang dan berfungsi.
Kami memasang OpenVPN dan juga OpenSSL, kerana keselamatan berdasarkan ssl.

sudo apt-get -y install openvpn sudo apt-get -y install openssl

Kami mengkonfigurasi Daemon OpenVPN untuk Tidak Memulakan Auto dengan Sistem
Kami mengulas semuanya dengan menambahkan # pada permulaan setiap baris.

sudo nano / etc / default / openvpn

hapus juga skrip permulaan, untuk mengelakkannya bermula jika anda mengkonfigurasi

sudo kemas kini-rc.d -f /etc/init.d/openvpn hapus

Sekarang kita buat fail openvpn.conf di / etc / openvpn /

sudo nano /etc/openvpn/server.conf

dan kami meletakkan konfigurasi ini

dev tun proto tcp port 1194 ca /etc/openvpn/keys/ca.crt cert /etc/openvpn/keys/server.crt key /etc/openvpn/keys/server.key dh /etc/openvpn/keys/dh2048.pem pengguna tiada siapa kumpulan pelayan nogroup 10.6.0.0 255.255.255.0 ifconfig-pool-persist /etc/openvpn/clients.txt status /etc/openvpn/status.txt persisten-kunci pers-tun push "redirect-gateway def1" push "route 192.168.0.0 .255.255.255.0 10 "keepalive 120 3 kata kerja 3 comp-lzo max-client XNUMX

seperti yang anda lihat boleh disesuaikan, ini adalah contoh yang telah diuji

Sekiranya anda tidak mahu menggunakan vpn untuk internet yang selamat, iaitu, jangan melayari internet dari vpn, hapus baris "redirect-gateway".

Data lain yang boleh diubah suai:
* ca, cert, key dan dh = adalah entiti, sijil, kunci dan Diffie Hellman pelayan, kami akan membuatnya kemudian.
* pelayan 10.6.0.0 255.255.255.0 = adalah julat ip yang akan digunakan vpn, gunakan yang lain tetapi, tidak menggunakan yang sama dengan rangkaian yang sebenarnya.
* ifconfig-pool-persist ipp.txt = simpan siapa yang diberi setiap ip dalam vpn
* proto dan port = protokol dan port, anda boleh menggunakan tcp dan utp, dalam utp itu tidak memberikan hasil yang baik, port adalah anda boleh mengubahnya.
* duplicate-cn = membenarkan sijil dan kunci yang sama digunakan pada beberapa pelanggan pada masa yang sama, saya mengesyorkan agar tidak mengaktifkannya.
* up /etc/openvpn/openvpn.up = adalah skrip yang memuat openvpn pada permulaan, ia digunakan untuk ROUTING dan FORWARDING, kita akan membuatnya kemudian.
* client-to-client = adalah untuk mencegah pengguna vpn saling melihat, bergantung pada kes itu berguna.
* comp-lzo = pemampatan, kompres semua trafik VPN.
* kata kerja 3 = menambah atau mengurangkan perincian kesalahan pada pelayan.
* max-client 30 = jumlah maksimum pengguna yang disambungkan secara serentak ke pelayan, dapat ditingkatkan atau dikurangkan.
* tolak laluan = membolehkan anda melihat atau berada di rangkaian di belakang pelayan vpn, berhati-hatilah untuk tidak mengaktifkan klien ke klien.
* tekan «redirect = memaksa klien untuk menggunakan VPN sebagai pintu masuk.

sekarang kita membuat skrip untuk mengkonfigurasi dan memulakan pelayan vpn.

sudo nano /etc/init.d/vpnserver

dan kami tampal kod ini, ubah julat ip mengikut konfigurasi langkah sebelumnya

#! / bin / sh # vpnserver_start () {echo "Server VPN [OK]" echo 1> / proc / sys / net / ipv4 / ip_forward /etc/init.d/networking restart> / dev / null / sbin / iptables -t nat -A POSTROUTING -s 10.6.0.0/24 -o eth0 -j MASQUERADE / usr / sbin / openvpn --config /etc/openvpn/server.conf 2 >> /etc/openvpn/error.txt 1 >> /etc/openvpn/normal.txt &} vpnserver_stop () {echo "Server VPN [NO]" / usr / bin / killall "openvpn" iptables -F iptables -X /etc/init.d/networking restart> / dev / null} vpnserver_restart () {vpnserver_stop sleep 1 vpnserver_start} # kes "$ 1" dalam 'start') vpnserver_start ;; 'berhenti') vpnserver_stop ;; 'mulakan semula') vpnserver_restart ;; *) vpnserver_start ;; bahawa C

sekarang kita memberikan kebenaran yang dapat dilaksanakan

sudo chmod + x /etc/init.d/vpnserver

juga dan apa yang harus dikonfigurasi untuk memulakan secara automatik dengan sistem

sudo update-rc.d vpnserver lalai

Nah, kita sudah mengkonfigurasi OpenVPN, sekarang kita harus mengaktifkan modul TUN di kernel, dengan baris ini, kita memuatkannya dan itu saja

sudo modprobe tun sudo echo "tun" >> / etc / modul

Seperti yang akan anda lihat, konfigurasi tidak begitu sukar, tetapi sekarang yang paling lambat:

* Buat Diffie Hellman 2048bit
* Buat Lembaga Perakuan.
* Buat sijil dan kunci pelayan.
* Buat sijil dan kunci untuk setiap pengguna.

Kami menyalin contoh easy-rsa untuk membuat entiti, sijil, kunci dan enkripsi, yang menggunakan OpenVPN

sudo cp -R / usr / share / doc / openvpn / contoh / mudah-rsa / / etc / openvpn /

sekarang anda perlu memasukkan folder di mana utiliti yang kami salin berada dan membuat folder kunci

sudo cp -R / usr / share / doc / openvpn / example / easy-rsa / / etc / openvpn / cd /etc/openvpn/easy-rsa/2.0 kekunci sudo mkdir

Kita hanya perlu mengedit fail vars yang ada di /etc/openvpn/easy-rsa/2.0

sudo nano /etc/openvpn/easy-rsa/2.0/vars

dan kami mengubahsuai nilai-nilai ini

eksport KEY_DIR = "$ EASY_RSA / kunci"

oleh

eksport KEY_DIR = "/ etc / openvpn / easy-rsa / 2.0 / kunci"

adalah untuk menghasilkan ya atau ya di /etc/openvpn/easy-rsa/2.0/keys
kami teruskan, kami juga mengubah parameter untuk Diffie Hellman 2048 bit

eksport KEY_SIZE = 1024

oleh

eksport KEY_SIZE = 2048

kami hanya kehilangan data untuk entiti yang mengeluarkan

eksport KEY_COUNTRY = "US" eksport KEY_PROVINCE = "CA" eksport KEY_CITY = "SanFrancisco" eksport KEY_ORG = "Fort-Funston" eksport KEY_EMAIL = "me@myhost.mydomain"

ubah setiap nilai bagi negara, wilayah, bandar, syarikat dan surat anda
Satu contoh

eksport KEY_COUNTRY = eksport "AR" KEY_PROVINCE = "SF" eksport KEY_CITY = "Armstrong" eksport KEY_ORG = "LAGA-Systems" eksport KEY_EMAIL = "info@lagasystems.com.ar"

Seperti yang anda lihat AR = Argentina, SF = Santa Fe (wilayah saya) dan yang lain saling memahami.
Baiklah sekarang kita sudah bersedia untuk memulai, ikuti langkah-langkah berikut hingga surat, kerana satu kesalahan dan semuanya hancur.

kami melaksanakan

sumber ./vars

dan meminta kami membersihkan sekiranya terdapat entiti, sijil dan kunci, kami melakukannya dengan senang hati

./clean-all

sekarang kita menjana keselamatan Diffie Hellman 2048 bit

./build-dh

Sekarang kita menghasilkan pihak berkuasa perakuan, ia akan meminta mereka untuk data yang sama seperti dalam fail vars, saya cadangkan untuk melengkapkan masing-masing, walaupun mereka sudah ada, itu tidak menjadi masalah

./build-ca

Kami sekarang dapat menghasilkan sijil dan kunci terlebih dahulu pelayan, menukar pelayan ke nama yang anda suka, ia akan meminta data yang sama seperti dalam fail vars, saya cadangkan melengkapkan masing-masing, walaupun mereka sudah ada , tidak mengapa.

pelayan ./build-key-server

Kami sudah mempunyai sijil dan kunci pelayan, sekarang pelanggan, menukar klien ke nama apa sahaja yang anda suka,
Ia akan meminta data yang sama seperti dalam fail vars. Saya mengesyorkan melengkapkan setiap data, walaupun data tersebut sudah ada, tidak menjadi masalah.

./build-key klien

Langkah ini mesti diulang untuk setiap pelanggan atau pengguna yang ingin menyambung ke VPN, kita sudah mempunyai segala-galanya untuk berfungsi, tidak, kita perlu menyalin fail yang kita hasilkan ke tempat yang kita konfigurasi di openvpn.conf
sejak menyalin folder kunci ke / etc / openvpn /

sudo cp -R /etc/openvpn/easy-rsa/2.0/keys / etc / openvpn /

sekarang kita periksa bahawa semuanya ada di tempatnya, kita memasuki folder / etc / openvpn / keys

cd / etc / openvpn / kekunci

dan dengan ls kita melihat apakah failnya
sekarang kita menghasilkan satu fail lagi, ini dihasilkan oleh openvpn

sudo openvpn --genkey --secret ta.key

Anda hanya perlu menyalin fail ca.crt, client.crt, client.key, jika anda membuat lebih banyak pelanggan, salin crt dan kunci masing-masing pendrive atau cara lain, jangan gunakan e-mel untuk menghantarnya, seperti memberi anda kunci rumah untuk orang asing.

Sudah siap, semuanya ada di pelayan, sekarang kami memulakannya untuk menguji bahawa semuanya betul

sudo /etc/init.d/vpnserver mula

Sekiranya tidak ada kesilapan, kita sudah menjalankan vpn kita, hanya pelanggan yang hilang.

Klien:

Panduan ini adalah untuk Desktop Ubuntu 10.04, saya membayangkan ia berfungsi dalam versi dan distro lain, kita mempunyai ubuntu yang sudah dipasang dan berfungsi.
Kami memasang OpenVPN dan juga OpenSSL, kerana keselamatan berdasarkan ssl
dan kerana kita akan menggunakan Pengurus Rangkaian Ubuntu, kita mesti memasang pemalam untuk OpenVPN

sudo apt-get -y install openvpn sudo apt-get -y install openssl sudo aptitude -y install network-manager-openvpn

Sekarang kita dapat mengkonfigurasi klien kita contoh konfigurasi:

Dengan penyunting teks, gedit boleh, tampal kod ini

client dev tun proto tcp remote IP-OF-SERVER PORT resolv-retry nobindite infusite #user none #group tiada siapa-siapa kumpulan-tetap ada-kunci tetap-tun ca.crt cert client.crt key client.key comp-lzo tun-mtu 1500 keepalive 10 120 kata kerja 4

Mereka mengubah data, IP-DEL-SERVER ini adalah IP awam atau internet pelayan dan PORT yang mereka tetapkan pada pelayan, fail ca.crt, client.crt dan client.key adalah yang kami hasilkan dan salin sebelum di pendrive atau apa sahaja.

Sekiranya anda mempunyai IP awam yang dinamik, saya cadangkan menggunakan perkhidmatan DDNS (DyDNS, NO-IP, CDMon), dan jangan lupa untuk membuka dan mengarahkan port 1194 atau yang anda pilih untuk pelayan.

Mereka menyimpan kod dengan nama yang mereka mahukan tetapi dengan sambungan .conf dan dalam folder yang sama dengan fail ca.crt, client.crt dan client.key

Sekarang buka Pengurus Rangkaian Ubuntu dan di tab VPN ada butang Import, mereka mencari fail .conf yang kita simpan sebelumnya dan itu saja.

Saya harap ia dapat membantu anda, kerana untuk membuat kerja openvpn saya telah melalui semua panduan dan manual yang saya dapati.

Terima kasih atas Komen anda, Sekiranya terdapat KESILAPAN, ia adalah produk imaginasi anda, hahaha