Instale seu próprio servidor VPN com OpenVPN no Ubuntu 10.04 Server

Instale seu próprio servidor VPN com OpenVPN no Ubuntu 10.04 Server

ATENÇÃO

Depois de um tempo sem postar, trago para vocês este guia de como criar sua própria VPN no Ubuntu Server, seja para se conectar ao PC doméstico ou para usar a Internet com segurança em redes Wi-Fi inseguras.

OpenVPN É um Software que atua como cliente e servidor conforme o configuramos, esclareço que existem 2 versões deste:
* Software da comunidade OpenVPN: É a versão que vamos usar e é 100% Open Source
* Servidor de acesso OpenVPN: É a versão paga, você pode usar gratuitamente apenas até 2 usuários, os usuários adicionais são muito baratos, também possui extras como painel de administração web, é super fácil de configurar e muito mais.

Introdução

OpenVPN é um produto de software criado por James Yonan em 2001 e vem se aprimorando desde então.

Nenhuma outra solução oferece tal combinação de segurança de nível empresarial, segurança, facilidade de uso e recursos ricos.

É uma solução multiplataforma que simplificou muito a configuração de VPNs, deixando para trás os tempos de outras soluções difíceis de configurar como o IPsec e tornando-a mais acessível para pessoas inexperientes neste tipo de tecnologia.

Suponha que precisamos comunicar diferentes ramos de uma organização. A seguir, veremos algumas soluções que foram oferecidas em resposta a esses tipos de necessidades.

No passado, as comunicações eram feitas por correio, telefone ou fax. Hoje existem fatores que tornam necessária a implementação de soluções de conectividade mais sofisticadas entre os escritórios de organizações em todo o mundo.

Esses fatores são:

* A aceleração dos processos de negócio e seu conseqüente aumento da necessidade de troca ágil e rápida de informações.
* Muitas organizações têm várias filiais em locais diferentes, bem como teletrabalhadores remotos de casa, que precisam trocar informações sem demora, como se estivessem fisicamente juntos.
* A necessidade de as redes de computadores atenderem a altos padrões de segurança que garantam autenticidade, integridade e disponibilidade.

fonte: Wikipedia

O servidor:

Este guia é para Ubuntu 10.04 Server, imagino que funcione em outras versões e distros, já temos um ubuntu server instalado e funcionando.
Instalamos OpenVPN e também OpenSSL, pois a segurança é baseada em SSL.

sudo apt-get -y install openvpn sudo apt-get -y install openssl

Configuramos o OpenVPN Daemon para não iniciar automaticamente com o sistema
Comentamos tudo adicionando # ao início de cada linha.

sudo nano / etc / default / openvpn

também remova o script de inicialização, para evitar que ele inicie se você configurar

sudo update-rc.d -f /etc/init.d/openvpn remover

Agora criamos o arquivo openvpn.conf em / etc / openvpn /

sudo nano /etc/openvpn/server.conf

e colocamos esta configuração

dev tun proto tcp port 1194 ca /etc/openvpn/keys/ca.crt cert /etc/openvpn/keys/server.crt key /etc/openvpn/keys/server.key dh /etc/openvpn/keys/dh2048.pem usuário ninguém grupo nogroup server 10.6.0.0 255.255.255.0 ifconfig-pool-persist /etc/openvpn/clients.txt status /etc/openvpn/status.txt persist-key persist-tun push "redirect-gateway def1" push "rota 192.168.0.0 .255.255.255.0 10 "keepalive 120 3 verbo 3 comp-lzo max-clients XNUMX

como você pode ver, pode ser personalizado, este é um exemplo que foi testado

Se você não quiser usar o vpn para internet segura, ou seja, não navegar na internet a partir do vpn, retire a linha "redirect-gateway".

Outros dados que podem ser modificados:
* ca, cert, key e dh = são a entidade, os certificados, a chave e o Diffie Hellman do servidor, iremos criá-los mais tarde.
* server 10.6.0.0 255.255.255.0 = é a faixa de ip que o vpn vai usar, usa outro mas, não usa o mesmo que a rede real.
* ifconfig-pool-persist ipp.txt = salvar quem foi atribuído a cada ip no vpn
* proto e porta = protocolo e porta, vc pode usar tcp e utp, em utp não me deu bons resultados, a porta é vc pode mudar
* duplicate-cn = permite que o mesmo certificado e chave sejam usados ​​em vários clientes ao mesmo tempo, eu recomendo não ativá-lo.
* up /etc/openvpn/openvpn.up = é um script que carrega openvpn na inicialização, ele é usado para ROTEAMENTO e ENCAMINHAMENTO, nós o criaremos mais tarde.
* client-to-client = evita que os usuários vpn se vejam, dependendo do caso, é útil.
* comp-lzo = compressão, comprime todo o tráfego VPN.
* verbo 3 = aumenta ou diminui os detalhes do erro no servidor.
* max-clients 30 = número máximo de usuários conectados simultaneamente ao servidor, pode ser aumentado ou diminuído.
* push route = permite que você veja ou esteja na rede atrás do servidor vpn, tome cuidado para não ativar cliente para cliente.
* push «redirect = força o cliente a usar a VPN como gateway.

agora criamos o script para configurar e iniciar o servidor vpn.

sudo nano /etc/init.d/vpnserver

e colamos este código, alteramos a faixa de ip de acordo com a configuração da etapa anterior

#! / bin / sh # vpnserver_start () {echo "Servidor VPN [OK]" echo 1> / proc / sys / net / ipv4 / ip_forward /etc/init.d/networking restart> / dev / null / sbin / iptables -t nat -A POSTROUTING -s 10.6.0.0/24 -o eth0 -j MASQUERADE / usr / sbin / openvpn --config /etc/openvpn/server.conf 2 >> /etc/openvpn/error.txt 1 >> /etc/openvpn/normal.txt &} vpnserver_stop () {echo "Servidor VPN [NÃO]" / usr / bin / killall "openvpn" iptables -F iptables -X /etc/init.d/networking restart> / dev / null} vpnserver_restart () {vpnserver_stop sleep 1 vpnserver_start} # case "$ 1" em 'start') vpnserver_start ;; 'stop') vpnserver_stop ;; 'reiniciar') vpnserver_restart ;; *) vpnserver_start ;; aquele C

agora atribuímos permissões executáveis ​​a ele

sudo chmod + x /etc/init.d/vpnserver

também e o que configurar para iniciar automaticamente com o sistema

sudo update-rc.d padrões do servidor vpn

Bem, já configuramos o OpenVPN, agora temos que ativar o módulo TUN no kernel, com essas linhas, carregamos e pronto

sudo modprobe tun sudo echo "tun" >> / etc / modules

Como você verá, a configuração não foi tão difícil, mas agora é a mais lenta:

* Criar Diffie Hellman de 2048 bits
* Crie a Autoridade de Certificação.
* Crie os certificados e chaves do servidor.
* Crie certificados e chaves para cada usuário.

Copiamos os exemplos easy-rsa para criar a entidade, os certificados, chaves e criptografia, que usam OpenVPN,

sudo cp -R / usr / share / doc / openvpn / examples / easy-rsa / / etc / openvpn /

agora você tem que entrar na pasta onde os utilitários que copiamos estão localizados e criar a pasta de chaves

sudo cp -R / usr / share / doc / openvpn / examples / easy-rsa / / etc / openvpn / cd /etc/openvpn/easy-rsa/2.0 sudo mkdir keys

Só precisamos editar o arquivo vars que está em /etc/openvpn/easy-rsa/2.0

sudo nano /etc/openvpn/easy-rsa/2.0/vars

e nós modificamos esses valores

exportar KEY_DIR = "$ EASY_RSA / chaves"

por

export KEY_DIR = "/ etc / openvpn / easy-rsa / 2.0 / keys"

é gerar sim ou sim em /etc/openvpn/easy-rsa/2.0/keys
continuamos, também modificamos os parâmetros para Diffie Hellman de 2048bits

export KEY_SIZE = 1024

por

export KEY_SIZE = 2048

faltam apenas os dados da entidade emissora

export KEY_COUNTRY = "US" export KEY_PROVINCE = "CA" export KEY_CITY = "SanFrancisco" export KEY_ORG = "Fort-Funston" export KEY_EMAIL = "me@myhost.mydomain"

modifique cada valor para aqueles de seu país, província, cidade, empresa e correio
um exemplo

export KEY_COUNTRY = "AR" export KEY_PROVINCE = "SF" export KEY_CITY = "Armstrong" export KEY_ORG = "LAGA-Systems" export KEY_EMAIL = "info@lagasystems.com.ar"

Como você vê, AR = Argentina, SF = Santa Fé (minha província) e os outros se entendem.
Bem, agora estamos prontos para começar, siga esses passos ao pé da letra, porque um erro e tudo está arruinado.

nós executamos

fonte ./vars

e nos pede para limpar caso haja entidades, certificados e chaves, fazemos com prazer

./limpar tudo

agora geramos a segurança Diffie Hellman de 2048bits

./build-dh

Agora geramos a autoridade de certificação, ela pedirá a eles os mesmos dados dos arquivos vars, recomendo preencher cada um, embora já estejam lá, não importa

./build-ca

Agora podemos gerar os certificados e as chaves primeiro no servidor, mudar o servidor para o nome que você quiser, ele pedirá os mesmos dados dos arquivos vars, recomendo preencher cada um, embora já estejam lá , isso não importa.

./build-key-server server

Já temos os certificados e as chaves do servidor, agora o cliente, mude o cliente para o nome que quiser,
Pedirá os mesmos dados dos arquivos vars. Recomendo preencher cada um, embora já estejam lá, não importa.

./build-key client

Este passo deve ser repetido para cada cliente ou usuário que quiser se conectar a VPN, já temos tudo para funcionar, não, precisamos copiar os arquivos que geramos para o local que configuramos no openvpn.conf
já que copie a pasta de chaves para / etc / openvpn /

sudo cp -R /etc/openvpn/easy-rsa/2.0/keys / etc / openvpn /

agora verificamos se tudo está em seu lugar, entramos na pasta / etc / openvpn / keys

cd / etc / openvpn / keys

e com um ls vemos se os arquivos são
agora geramos mais um arquivo, este é gerado pelo openvpn

sudo openvpn --genkey --secret ta.key

Você só precisa copiar os arquivos ca.crt, client.crt, client.key, se você criou mais clientes copie o crt e a chave de cada um pendrive ou outro meio, não use e-mail para enviá-los, é como dar o seu chave da casa para um estranho.

Pronto está tudo no servidor, agora vamos começar para testar se está tudo correto

sudo /etc/init.d/vpnserver start

Se não houver erros, já estamos com nosso vpn rodando, só falta o cliente.

O cliente:

Este guia é para Ubuntu 10.04 Desktop, imagino que funcione em outras versões e distros, já temos um ubuntu instalado e funcionando.
Instalamos OpenVPN e também OpenSSL, pois a segurança é baseada em SSL
e como usaremos o Ubuntu Network Manager, devemos instalar os plugins para OpenVPN

sudo apt-get -y install openvpn sudo apt-get -y install openssl sudo aptitude -y install network-manager-openvpn

Agora podemos configurar nosso cliente um exemplo de configuração:

Com um editor de texto, gedit pode ser, cole este código

cliente dev tun proto tcp remoto PORTA SERVER-IP resolv-retry infinito nobind # usuário ninguém # grupo ninguém persist-key persist-tun ca.crt cliente cert.crt chave client.key comp-lzo tun-mtu 1500 keepalive 10 120 verbo 4

Eles modificam os dados, IP-DEL-SERVER este é o IP público ou internet do servidor e a PORTA pela qual eles atribuíram no servidor, os arquivos ca.crt, client.crt e client.key são os que geramos e copiamos antes em um pendrive ou algo assim.

Se você tem IP Público Dinâmico, recomendo que use um serviço DDNS (DyDNS, NO-IP, CDMon), e não se esqueça de abrir e redirecionar a porta 1194 ou aquela que você escolheu para o servidor.

Eles salvam o código com o nome que desejam, mas com uma extensão .conf e na mesma pasta que os arquivos ca.crt, client.crt e client.key

Agora abra o Ubuntu Network Manager e na aba VPN há um botão Import, procure o arquivo .conf que salvamos antes e isso é tudo.

Espero que ajude você, pois para fazer o openvpn funcionar, passei por todos os guias e manuais que encontrei.

Obrigado pelos seus comentários, se houver algum ERRO é produto da sua imaginação, hahaha