Несколько дней тому назад вышла новая версия OpenVPN 2.4.9, будучи этим корректирующая версия это было запущено для исправления уязвимости CVE-2.020-11.810, что позволяет перевести сеанс клиента на новый IP-адрес, который до этого не был зарегистрирован.
Проблема может быть использована для прерывания вновь подключенного клиента на этапе, когда идентификация однорангового узла уже была сгенерирована, но согласование сеансовых ключей не было завершено (клиент может остановить сеансы других клиентов).
О OpenVPN
Тем, кто не знаком с OpenVPN, следует знать, что это бесплатный инструмент для подключения к программному обеспечению, SSL (уровень защищенных сокетов), виртуальная частная сеть VPN.
OpenVPN предлагает двухточечное соединение с иерархической проверкой подключенных пользователей и хостов удаленно. Это очень хороший вариант в технологиях Wi-Fi (беспроводные сети IEEE 802.11) и поддерживает широкую конфигурацию, включая балансировку нагрузки.
OpenVPN - это многоплатформенный инструмент, который упростил настройку VPN по сравнению с более старыми и более сложными в настройке, такими как IPsec, и сделал его более доступным для неопытных людей в этом типе технологий.
Что нового в OpenVPN 2.4.9?
Помимо исправления вышеупомянутой ошибки, эта новая версия также вносит изменения в процедуру проверки интерактивных пользовательских сервисов (В Windows сначала проверяется расположение конфигурации, а затем на контроллер домена отправляется запрос.)
При использовании опции "- файл аутентификации пользователя", если в файле есть только одно имя пользователя для запроса пароля, чтобывремя, когда требуется интерфейс для управления учетными данными (прекратите запрашивать пароль с помощью OpenVPN через консоль).
На платформе Windows разрешено использовать строки поиска Unicode в параметре «–cryptoapicert».
Также исправлена проблема с невозможностью загрузить несколько CRL. (Список отозванных сертификатов), расположенный в том же файле, при использовании параметра «–crl-verify» в системах OpenSSL.
И проблемы компиляции были решены на платформе FreeBSD с помощью флага –enable-async-push.
Исправлены уведомления о парольной фразе для закрытого ключа OpenSSL а сертификаты с истекшим сроком действия передаются в хранилище сертификатов Windows.
Как установить OpenVPN?
Для тех, кто заинтересован в возможности установить OpenVPN в своей системе, они могут сделать это, следуя инструкциям которые мы делимся ниже.
Первым делом нужно установить инструмент и Easy RSA. Поскольку для выдачи доверенных сертификатов необходимо настроить простой центр сертификации (CA):
sudo apt update sudo apt install openvpn easy-rsa
Сейчас мы собираемся настроить центр сертификации с помощью:
make-cadir ~/openvpn-ca cd ~/openvpn-ca
Y давайте отредактируем некоторые из переменных которые помогают решить, как создавать сертификаты:
gedit vars
Найдите раздел easy-rsa и отредактируйте его так, чтобы он выглядел так:
После некоторых корректировок:
# These are the default values for fields # which will be placed in the certificate. # Don't leave any of these fields blank. export KEY_COUNTRY="US" export KEY_PROVINCE="CA" export KEY_CITY="Tustin" export KEY_ORG="SSD Nodes" export KEY_EMAIL= class="hljs-string">"joel@example.com" export KEY_OU="Marketing" # X509 Subject Field export KEY_NAME="vpnserver"
Вы сохраняете и вводите в терминал:
source vars ./build-ca
Будет создан новый ключ RSA, и вам будет предложено подтвердить данные, которые вы ввели в файл. Сделано это теперь пришло время создать открытый / закрытый ключи клиента, где в [server] они помещают желаемое имя.
./build-key-server [server]
Затем им нужно построить ключи Диффи-Хеллмана.
./build-dh
Наконец, они должны сгенерировать подпись HMAC для усиления сертификата.
openvpn --genkey --secret keys/ta.key source vars ./build-key client1
Y если вы хотите создать учетные данные, защищенные паролем:
исходные вары
./build-key-pass client1
Теперь мы собираемся настроить сервер OpenVPN.
cd ~/openvpn-ca/keys sudo cp ca.crt ca.key vpnserver.crt vpnserver.key ta.key dh2048.pem /etc/openvpn gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | sudo tee /etc/openvpn/server.conf
Теперь нам нужно внести некоторые изменения в файл конфигурации.
sudo nano /etc/openvpn/server.conf
Во-первых, давайте убедимся, что OpenVPN ищет нужные файлы .crt и .key.
До:
ca ca.crt cert server.crt key server.key # This file should be kept secret
то:
ca ca.crt cert vpnserver.crt key vpnserver.key # This file should be kept secret
Затем мы применяем идентичный HMAC между клиентами и сервером.
До:
;tls-auth ta.key 0 # This file is secret
то:
tls-auth ta.key 0 # This file is secret key-direction 0
Если вы предпочитаете использовать DNS, отличный от opendns, вы должны изменить две строки, которые начинаются с push «dhcp-option.
До:
# If enabled, this directive will configure # all clients to redirect their default # network gateway through the VPN, causing # all IP traffic such as web browsing and # and DNS lookups to go through the VPN # (The OpenVPN server machine may need to NAT # or bridge the TUN/TAP interface to the internet # in order for this to work properly). ;push "redirect-gateway def1 bypass-dhcp" # Certain Windows-specific network settings # can be pushed to clients, such as DNS # or WINS server addresses. CAVEAT: # http://openvpn.net/faq.html#dhcpcaveats # The addresses below refer to the public # DNS servers provided by opendns.com. ;push "dhcp-option DNS 208.67.222.222" ;push "dhcp-option DNS 208.67.220.220"
то:
# If enabled, this directive will configure # all clients to redirect their default # network gateway through the VPN, causing # all IP traffic such as web browsing and # and DNS lookups to go through the VPN # (The OpenVPN server machine may need to NAT # or bridge the TUN/TAP interface to the internet # in order for this to work properly). push "redirect-gateway def1" # Certain Windows-specific network settings # can be pushed to clients, such as DNS # or WINS server addresses. CAVEAT: # http://openvpn.net/faq.html#dhcpcaveats # The addresses below refer to the public # DNS servers provided by opendns.com. push "dhcp-option DNS 208.67.222.222" push "dhcp-option DNS 208.67.220.220"
Затем мы должны выбрать используемые шифры:
До:
# Select a cryptographic cipher. # This config item must be copied to # the client config file as well. ;cipher BF-CBC # Blowfish (default) ;cipher AES-128-CBC # AES ;cipher DES-EDE3-CBC # Triple-DES
то:
# Select a cryptographic cipher. # This config item must be copied to # the client config file as well. ;cipher BF-CBC # Blowfish (default) cipher AES-256-CBC # AES ;cipher DES-EDE3-CBC # Triple-DES auth SHA512
Наконец, давайте заставим OpenVPN использовать учетную запись непривилегированного пользователя вместо root, что не особенно безопасно.
user openvpn group nogroup
Теперь мы можем сохранить и закрыть этот файл, чтобы создать этого пользователя:
sudo adduser --system --shell /usr/sbin/nologin --no-create-home openvpn
И активируем услугу с помощью:
sudo systemctl enable openvpn@server sudo systemctl start openvpn@server