Pred niekoľkými dňami bola vydaná nová verzia OpenVPN 2.4.9je toto opravná verzia ktorý bol spustený za účelom opravy zraniteľnosti CVE-2.020-11.810, ktorý umožňuje preložiť reláciu klienta na novú adresu IP, ktorá dovtedy nebola zaregistrovaná.
Problém je možné použiť na prerušenie novo pripojeného klienta vo fáze, keď už bola generovaná peer identifikácia, ale vyjednávanie kľúčov relácie nebolo dokončené (klient môže zastaviť relácie iných klientov).
Informácie o OpenVPN
Pre tých, ktorí OpenVPN nepoznajú, mali by ste to vedieť toto je bezplatný softvér na pripojenie, SSL (Secure Sockets Layer), VPN Virtual Private Network.
OpenVPN ponúka pripojenie typu point-to-point s hierarchickou validáciou pripojených používateľov a hostiteľov na diaľku. Je to veľmi dobrá voľba v technológiách Wi-Fi (bezdrôtové siete IEEE 802.11) a podporuje širokú konfiguráciu vrátane vyvažovania záťaže.
OpenVPN je multiplatformový nástroj, ktorý zjednodušil konfiguráciu sietí VPN v porovnaní so staršími a ťažšie konfigurovateľnými, ako je napríklad IPsec, a sprístupnil ho neskúseným ľuďom v tomto type technológie.
Čo je nové v OpenVPN 2.4.9?
Okrem opravy vyššie uvedenej chyby táto nová verzia tiež zavádza zmenu postupu overovania interaktívnych služieb používateľa (Vo Windows sa najskôr overí umiestnenie konfigurácie a potom sa odošle požiadavka na radič domény.)
Pri použití možnosti "- súbor auth-user-pass", ak je v súbore iba jedno používateľské meno vyžadujúce heslo,čas potrebný na správu rozhraní (prestať požadovať heslo pomocou OpenVPN cez výzvu konzoly).
Na platforme Windows je povolené používať vyhľadávacie reťazce unicode v možnosti „–cryptoapicert“.
Opravili sme tiež problém s nemožnosťou stiahnuť viac CRL (Zoznam zrušených certifikátov) umiestnený v rovnakom súbore, keď sa v systémoch OpenSSL používa voľba „–crl-verify“.
A problémy s kompiláciou boli na platforme FreeBSD vyriešené pomocou príznaku –enable-async-push.
Opravené oznámenia týkajúce sa prístupovej frázy súkromného kľúča OpenSSL a certifikáty s vypršanou platnosťou sa odovzdajú do skladu certifikátov Windows.
Ako nainštalovať OpenVPN?
Pre tých, ktorí majú záujem o inštaláciu OpenVPN do svojho systému, môžu to urobiť podľa pokynov ktoré zdieľame nižšie.
Prvá vec bude inštalácia nástroja a Easy RSA Na vydávanie dôveryhodných certifikátov je potrebné nakonfigurovať jednoduchú certifikačnú autoritu (CA):
sudo apt update sudo apt install openvpn easy-rsa
Teraz ideme konfigurovať certifikačnú autoritu s:
make-cadir ~/openvpn-ca cd ~/openvpn-ca
Y upravme niektoré z premenných ktoré pomáhajú rozhodnúť sa, ako vytvoriť certifikáty:
gedit vars
Vyhľadajte sekciu easy-rsa a upravte ju tak, aby vyzerala takto:
Po niekoľkých úpravách:
# These are the default values for fields # which will be placed in the certificate. # Don't leave any of these fields blank. export KEY_COUNTRY="US" export KEY_PROVINCE="CA" export KEY_CITY="Tustin" export KEY_ORG="SSD Nodes" export KEY_EMAIL= class="hljs-string">"joel@example.com" export KEY_OU="Marketing" # X509 Subject Field export KEY_NAME="vpnserver"
Uložíte a napíšete do terminálu:
source vars ./build-ca
Vytvorí sa nový kľúč RSA a budete požiadaní o potvrdenie podrobností, ktoré ste zadali do súboru. Hotovo teraz je čas vytvoriť verejné / súkromné kľúče klienta, kde na server [server] dajú požadované meno.
./build-key-server [server]
Ďalej musia zostaviť kľúče Diffie-Hellman.
./build-dh
Nakoniec musia vygenerovať podpis HMAC na posilnenie certifikátu.
openvpn --genkey --secret keys/ta.key source vars ./build-key client1
Y ak chcete vytvoriť poverenia chránené heslom:
zdroj vars
./build-key-pass client1
Teraz ideme konfigurovať server OpenVPN
cd ~/openvpn-ca/keys sudo cp ca.crt ca.key vpnserver.crt vpnserver.key ta.key dh2048.pem /etc/openvpn gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | sudo tee /etc/openvpn/server.conf
Teraz musíme urobiť nejaké úpravy v konfiguračnom súbore.
sudo nano /etc/openvpn/server.conf
Najskôr sa uistite, či OpenVPN hľadá správne súbory .crt a .key.
Pred:
ca ca.crt cert server.crt key server.key # This file should be kept secret
potom:
ca ca.crt cert vpnserver.crt key vpnserver.key # This file should be kept secret
Potom použijeme identický HMAC medzi klientmi a serverom.
Pred:
;tls-auth ta.key 0 # This file is secret
potom:
tls-auth ta.key 0 # This file is secret key-direction 0
Ak dávate prednosť použitiu iného DNS ako otvoreného, musíte zmeniť dva riadky, ktoré začínajú tlačením «dhcp-option.
Pred:
# If enabled, this directive will configure # all clients to redirect their default # network gateway through the VPN, causing # all IP traffic such as web browsing and # and DNS lookups to go through the VPN # (The OpenVPN server machine may need to NAT # or bridge the TUN/TAP interface to the internet # in order for this to work properly). ;push "redirect-gateway def1 bypass-dhcp" # Certain Windows-specific network settings # can be pushed to clients, such as DNS # or WINS server addresses. CAVEAT: # http://openvpn.net/faq.html#dhcpcaveats # The addresses below refer to the public # DNS servers provided by opendns.com. ;push "dhcp-option DNS 208.67.222.222" ;push "dhcp-option DNS 208.67.220.220"
potom:
# If enabled, this directive will configure # all clients to redirect their default # network gateway through the VPN, causing # all IP traffic such as web browsing and # and DNS lookups to go through the VPN # (The OpenVPN server machine may need to NAT # or bridge the TUN/TAP interface to the internet # in order for this to work properly). push "redirect-gateway def1" # Certain Windows-specific network settings # can be pushed to clients, such as DNS # or WINS server addresses. CAVEAT: # http://openvpn.net/faq.html#dhcpcaveats # The addresses below refer to the public # DNS servers provided by opendns.com. push "dhcp-option DNS 208.67.222.222" push "dhcp-option DNS 208.67.220.220"
Potom musíme zvoliť šifry, ktoré sa majú použiť:
Pred:
# Select a cryptographic cipher. # This config item must be copied to # the client config file as well. ;cipher BF-CBC # Blowfish (default) ;cipher AES-128-CBC # AES ;cipher DES-EDE3-CBC # Triple-DES
potom:
# Select a cryptographic cipher. # This config item must be copied to # the client config file as well. ;cipher BF-CBC # Blowfish (default) cipher AES-256-CBC # AES ;cipher DES-EDE3-CBC # Triple-DES auth SHA512
Nakoniec urobme, aby OpenVPN používal neprivilegované používateľské konto namiesto root, čo nie je nijako zvlášť bezpečné.
user openvpn group nogroup
Teraz môžeme tento súbor uložiť a zavrieť, aby sme vytvorili tohto používateľa:
sudo adduser --system --shell /usr/sbin/nologin --no-create-home openvpn
Službu aktivujeme pomocou:
sudo systemctl enable openvpn@server sudo systemctl start openvpn@server