在Ubuntu 10.04 Server上使用OpenVPN安装自己的VPN服务器

在Ubuntu 10.04 Server上使用OpenVPN安装自己的VPN服务器

注意

过了一会儿没有发布，我带给您本指南 如何在Ubuntu服务器上创建自己的VPN，以连接到家用PC或在不安全的Wi-Fi网络中安全地使用互联网。

OpenVPN的 根据我们的配置，它是一个充当客户端和服务器的软件，我明确指出它有2个版本：
* OpenVPN社区软件：这是我们将使用的版本，并且是100％开源的
* OpenVPN存取伺服器：这是付费版本，最多只能免费使用2个用户，其他用户非常便宜，它还具有其他功能，例如Web管理面板，超级易于配置等等。

简介

OpenVPN是James Yonan在2001年创建的软件产品，此后一直在改进。

没有其他解决方案可以提供企业级安全性，安全性，易用性和丰富功能的融合。

它是一种多平台解决方案，极大地简化了VPN的配置，抛弃了其他难以配置的解决方案（例如IPsec）的时代，使没有经验的人可以更轻松地使用此类技术。

假设我们需要沟通组织的不同部门。 下面，我们将看到针对这些类型的需求而提供的一些解决方案。

过去，通信是通过邮件，电话或传真进行的。 如今，有一些因素使得有必要在全球各组织的办公室之间实施更复杂的连接解决方​​案。

这些因素是：

*业务流程的加速以及随之而来的对灵活，快速的信息交换的需求的增加。
*许多组织在不同位置都有几个分支机构，以及在家中远程工作的远程工作人员，他们需要毫不拖延地交换信息，就像他们在物理上在一起一样。
*需要计算机网络满足确保真实性，完整性和可用性的高安全性标准。

数据来源： 维基百科上的数据

服务器：

本指南适用于Ubuntu 10.04 Server，我想它可以在其他版本和发行版中使用，我们已经安装了ubuntu服务器并可以正常工作。
由于安全性基于ssl，因此我们同时安装了OpenVPN和OpenSSL。

sudo apt-get -y install openvpn sudo apt-get -y install openssl

我们将OpenVPN守护程序配置为不与系统自动启动
我们通过在每行的开头添加＃来注释一切。

须藤Nano / etc /默认/ openvpn

还要删除启动脚本，以防止在配置时启动该脚本

sudo update-rc.d -f /etc/init.d/openvpn删除

现在，我们在/ etc / openvpn /中创建文件openvpn.conf。

须藤nano /etc/openvpn/server.conf

我们把这个配置

dev tun proto tcp端口1194 ca /​​etc/openvpn/keys/ca.crt cert /etc/openvpn/keys/server.crt密钥/etc/openvpn/keys/server.key dh /etc/openvpn/keys/dh2048.pem用户无人组nogroup服务器10.6.0.0 255.255.255.0 ifconfig-pool-persist /etc/openvpn/clients.txt状态/etc/openvpn/status.txt .1 192.168.0.0“ keepalive 255.255.255.0 10动词120 comp-lzo max-clients 3

如您所见，它是可以自定义的，这是一个经过测试的示例

如果您不想将vpn用于安全的Internet，即不要从vpn上网，请删除“ redirect-gateway”行。

其他可以修改的数据：
* ca，cert，key和dh =是服务器的实体，证书，密钥和Diffie Hellman，我们将在以后创建它们。
*服务器10.6.0.0 255.255.255.0 =是VPN将使用的IP范围，使用另一个但不使用与真实网络相同的IP。
* ifconfig-pool-persist ipp.txt =保存谁分配了vpn中的每个IP
* proto和port =协议和端口，可以使用tcp和utp，在utp中并没有给我很好的效果，端口是可以更改的。
* plicate-cn =允许在多个客户端中同时使用相同的证书和密钥，建议不要将其激活。
* up /etc/openvpn/openvpn.up =是一个在启动时加载openvpn的脚本，用于ROUTING和FORWARDING，我们稍后将创建它。
* client-to-client =防止vpn用户互相看到，这取决于有用的情况。
* comp-lzo =压缩，压缩所有VPN流量。
*动词3 =增加或减少服务器上的错误详细信息。
* max-clients 30 =同时连接到服务器的最大用户数，可以增加或减少。
* push route =允许您查看或位于VPN服务器后面的网络上，请注意不要激活客户端到客户端。
* push«redirect =强制客户端将VPN用作网关。

现在，我们为其创建脚本以配置和启动vpn服务器。

须藤nano /etc/init.d/vpnserver

然后粘贴此代码，根据上一步的配置更改ip范围

＃！/ bin / sh＃vpnserver_start（）{回显“ VPN Server [确定]”回显1> / proc / sys / net / ipv4 / ip_forward /etc/init.d/网络重启> / dev / null / sbin / iptables -t nat -A POSTROUTING -s 10.6.0.0/24 -o eth0 -j MASQUERADE / usr / sbin / openvpn --config /etc/openvpn/server.conf 2 >> /etc/openvpn/error.txt 1 >> /etc/openvpn/normal.txt＆} vpnserver_stop（）{回显“ VPN Server [NO]” / usr / bin / killall“ openvpn” iptables -F iptables -X /etc/init.d/networking restart> / dev / null} vpnserver_restart（）{vpnserver_stop sleep 1 vpnserver_start}＃case'$ 1'in'start'）vpnserver_start ;; 'stop'）vpnserver_stop ;; 'restart'）vpnserver_restart ;; *）vpnserver_start ;; 那C

现在我们为其分配可执行权限

须藤chmod + x /etc/init.d/vpnserver

以及配置为自动启动系统的内容

sudo update-rc.d vpnserver默认

好了，我们已经配置了OpenVPN，现在我们必须激活内核中的TUN模块，并用这些行加载它，就是这样

sudo modprobe tun sudo echo“ tun” >> / etc /模块

如您所见，配置并不是那么困难，但是现在是最慢的：

*创建2048位Diffie Hellman
*创建证书颁发机构。
*创建服务器的证书和密钥。
*为每个用户创建证书和密钥。

我们复制easy-rsa示例来创建使用OpenVPN的实体，证书，密钥和加密，

sudo cp -R / usr / share / doc / openvpn /示例/ easy-rsa // etc / openvpn /

现在您必须输入我们复制的实用程序所在的文件夹并创建keys文件夹

sudo cp -R / usr / share / doc / openvpn /示例/easy-rsa//etc/openvpn/cd/etc/openvpn/easy-rsa/2.0 sudo mkdir键

我们只需要编辑/etc/openvpn/easy-rsa/2.0中的vars文件

须藤纳米/etc/openvpn/easy-rsa/2.0/vars

然后我们修改这些值

导出KEY_DIR =“ $ EASY_RSA /密钥”

由

导出KEY_DIR =“ / etc / openvpn / easy-rsa / 2.0 / keys”

是在/etc/openvpn/easy-rsa/2.0/keys中生成yes或yes
我们继续，我们还修改了2048位Diffie Hellman的参数

导出KEY_SIZE = 1024

由

导出KEY_SIZE = 2048

我们只缺少发布实体的数据

导出KEY_COUNTRY =“美国”导出KEY_PROVINCE =“ CA”导出KEY_CITY =“旧金山”导出KEY_ORG =“ Fort-Funston”导出KEY_EMAIL =“ me@myhost.mydomain”

修改您的国家，省，市，公司和邮件的每个值
一个例子

导出KEY_COUNTRY =“ AR”导出KEY_PROVINCE =“ SF”导出KEY_CITY =“阿姆斯特朗”导出KEY_ORG =“ LAGA-Systems”导出KEY_EMAIL =“ info@lagasystems.com.ar”

如您所见，AR =阿根廷，SF =圣达菲（我的省），其他人彼此了解。
好了，现在我们准备开始，按照这些步骤进行操作，因为一个错误，一切都毁了。

我们执行

源./vars

并要求我们进行清理，以防存在实体，证书和密钥，我们很乐意这样做

./全部清除

现在我们生成2048bits的Diffie Hellman安全性

./build-dh

现在我们生成了证书颁发机构，它将要求他们提供与vars文件中相同的数据，我建议您完成每一个，尽管它们已经存在，但这并不重要

./build-ca

现在，我们将能够首先生成服务器的证书和密钥，将服务器更改为您喜欢的名称，它将要求与vars文件中的数据相同，我建议您完成每个文件，尽管它们已经存在， 没关系。

./build-key-server服务器

我们已经有了证书和服务器密钥，现在是客户端，将客户端更改为您喜欢的任何名称，
它将要求与vars文件中的数据相同。我建议您完成每个数据，尽管它们已经存在，但这无关紧要。

./build-key客户端

对于要连接到VPN的每个客户端或用户，必须重复此步骤，我们已经可以正常工作，不，我们需要将生成的文件复制到我们在openvpn.conf中配置的位置。
由于将密钥文件夹复制到/ etc / openvpn /

须藤cp -R /etc/openvpn/easy-rsa/2.0/keys/etc/openvpn/

现在我们检查所有内容是否都在适当的位置，我们进入/ etc / openvpn / keys文件夹

cd / etc / openvpn /键

并通过ls查看文件是否
现在我们再生成一个文件，这是由openvpn生成的

须藤openvpn --genkey --secret ta.key

您只需要复制文件ca.crt，client.crt，client.key，如果您创建了更多的客户端，则分别复制pent的crt和key或其他方式，请勿使用电子邮件发送它们，就像给您的文件一样。陌生人的房门钥匙。

准备就绪，一切都在服务器上，现在我们启动它以测试一切正确

sudo /etc/init.d/vpnserver启动

如果没有错误，则我们已经在运行vpn，仅缺少客户端。

客户端：

本指南适用于Ubuntu 10.04 Desktop，我想它可以在其他版本和发行版中使用，我们已经安装了ubuntu并且可以正常工作。
我们安装了OpenVPN以及OpenSSL，因为安全性基于ssl
并且由于我们将使用Ubuntu Network Manager，因此我们必须安装OpenVPN插件

sudo apt-get -y install openvpn sudo apt-get -y install openssl sudo aptitude -y install network-manager-openvpn

现在我们可以为我们的客户端配置一个配置示例：

使用文本编辑器，可以将gedit粘贴此代码

client dev tun proto tcp远程SERVER-IP PORT resolv-retry无限nobind #user none #group nonepersist-keypersist-tun ca.crt client cert.crt key client.key comp-lzo tun-mtu 1500 keepalive 10动词120

他们修改数据，IP-DEL-SERVER这是服务器和PORT的公共IP或Internet IP，通过它们在服务器上分配它们，文件ca.crt，client.crt和client.key是我们生成并复制的文件在使用Pendrive或其他任何方式之前。

如果您具有动态公共IP，建议您使用DDNS服务（DyDNS，NO-IP，CDMon），并且不要忘记打开并重定向端口1194或为服务器选择的端口。

他们将代码保存为所需名称，但扩展名为.conf，并且与ca.crt，client.crt和client.key文件位于同一文件夹中

现在打开Ubuntu网络管理器，在VPN选项卡中有一个导入按钮，寻找我们之前保存的.conf文件。

我希望它能对您有所帮助，因为要使openvpn正常工作，我仔细阅读了所找到的所有指南和手册。

感谢您的评论，如果有任何错误，这是您的想象力的产物，哈哈哈