在Ubuntu 10.04 Server上使用OpenVPN安裝自己的VPN服務器

在Ubuntu 10.04 Server上使用OpenVPN安裝自己的VPN服務器

注意

過了一會兒沒有發布，我帶給您本指南 如何在Ubuntu服務器上創建自己的VPN，以連接到家用PC或在不安全的Wi-Fi網絡中安全使用互聯網。

OpenVPN的 根據我們的配置，它是一個充當客戶端和服務器的軟件，我明確指出它有2個版本：
* OpenVPN社區軟件：這是我們將使用的版本，並且是100％開源的
* OpenVPN存取伺服器：這是付費版本，最多只能免費使用2個用戶，其他用戶非常便宜，它還具有其他功能，例如Web管理面板，超級易於配置等等。

介紹

OpenVPN是James Yonan於2001年創建的軟件產品，此後一直在改進。

沒有其他解決方案可以提供企業級安全性，安全性，易用性和豐富功能的融合。

它是一種多平台解決方案，極大地簡化了VPN的配置，拋棄了其他難以配置的解決方案（例如IPsec）的時代，使沒有經驗的人可以更輕鬆地使用此類技術。

假設我們需要溝通組織的不同部門。 在下面，我們將看到針對這些類型的需求而提供的一些解決方案。

過去，通信是通過郵件，電話或傳真進行的。 如今，有一些因素使得有必要在全球各組織的辦公室之間實施更複雜的連接解決方案。

這些因素是：

*業務流程的加速以及隨之而來的對靈活，快速的信息交換的需求的增加。
*許多組織在不同位置都有幾個分支機構，以及在家中遠程工作的遠程工作人員，他們需要毫不延遲地交換信息，就像他們在物理上一樣。
*需要計算機網絡滿足確保真實性，完整性和可用性的高安全性標準。

來源： 維基百科

服務器：

本指南適用於Ubuntu 10.04 Server，我想它可以在其他版本和發行版中使用，我們已經安裝了ubuntu服務器並可以正常工作。
由於安全性基於ssl，因此我們同時安裝了OpenVPN和OpenSSL。

sudo apt-get -y install openvpn sudo apt-get -y install openssl

我們將OpenVPN守護程序配置為不與系統自動啟動
我們通過在每行的開頭添加＃來註釋所有內容。

須藤Nano / etc /默認/ openvpn

還要刪除啟動腳本，以防止在配置時啟動該腳本

sudo update-rc.d -f /etc/init.d/openvpn刪除

現在，我們在/ etc / openvpn /中創建文件openvpn.conf。

sudo nano /etc/openvpn/server.conf

我們把這個配置

dev tun proto tcp端口1194 ca /​​etc/openvpn/keys/ca.crt cert /etc/openvpn/keys/server.crt密鑰/etc/openvpn/keys/server.key dh /etc/openvpn/keys/dh2048.pem用戶無人組nogroup服務器10.6.0.0 255.255.255.0 ifconfig-pool-persist /etc/openvpn/clients.txt狀態/etc/openvpn/status.txt持久鍵persist-tun推送“重定向網關def1”推送“路由192.168.0.0 .255.255.255.0 10“ keepalive 120 3動詞3 comp-lzo max-clients XNUMX

如您所見，它是可以自定義的，這是一個經過測試的示例

如果您不想將vpn用於安全的Internet，即不要從vpn上網，請刪除“ redirect-gateway”行。

其他可以修改的數據：
* ca，cert，key和dh =是服務器的實體，證書，密鑰和Diffie Hellman，我們將在以後創建它們。
*服務器10.6.0.0 255.255.255.0 =是VPN將使用的IP範圍，使用另一個但不使用與真實網絡相同的IP。
* ifconfig-pool-persist ipp.txt =保存在vpn中為每個IP分配了誰
* proto和port =協議和端口，可以使用tcp和utp，在utp中並沒有給我很好的效果，可以更改端口。
* plicate-cn =允許在多個客戶端中同時使用相同的證書和密鑰，建議不要激活它。
* up /etc/openvpn/openvpn.up =是一個在啟動時加載openvpn的腳本，用於ROUTING和FORWARDING，我們將在以後創建它。
* client-to-client =防止vpn用戶互相看到，這取決於有用的情況。
* comp-lzo =壓縮，壓縮所有VPN流量。
*動詞3 =增加或減少服務器上的錯誤詳細信息。
* max-clients 30 =同時連接到服務器的最大用戶數，可以增加或減少。
* push route =允許您查看或位於VPN服務器後面的網絡上，請注意不要激活客戶端到客戶端。
* push«redirect =強制客戶端將VPN用作網關。

現在，我們為其創建腳本以配置和啟動vpn服務器。

須藤nano /etc/init.d/vpnserver

然後粘貼此代碼，根據上一步的配置更改ip範圍

＃！/ bin / sh＃vpnserver_start（）{回顯“ VPN Server [確定]”回顯1> / proc / sys / net / ipv4 / ip_forward /etc/init.d/網絡重啟> / dev / null / sbin / iptables -t nat -A POSTROUTING -s 10.6.0.0/24 -o eth0 -j MASQUERADE / usr / sbin / openvpn --config /etc/openvpn/server.conf 2 >> /etc/openvpn/error.txt 1 >> /etc/openvpn/normal.txt＆} vpnserver_stop（）{回顯“ VPN Server [NO]” / usr / bin / killall“ openvpn” iptables -F iptables -X /etc/init.d/networking restart> / dev / null} vpnserver_restart（）{vpnserver_stop sleep 1 vpnserver_start}＃case'$ 1'in'start'）vpnserver_start ;; 'stop'）vpnserver_stop ;; 'restart'）vpnserver_restart ;; *）vpnserver_start ;; 那C

現在我們為其分配可執行權限

須藤chmod + x /etc/init.d/vpnserver

以及配置為自動啟動系統的內容

sudo update-rc.d vpnserver默認

好了，我們已經配置了OpenVPN，現在我們必須激活內核中的TUN模塊，並用這些行加載它，就是這樣

sudo modprobe tun sudo echo“ tun” >> / etc /模塊

如您所見，配置並不是那麼困難，但是現在是最慢的：

*創建2048位Diffie Hellman
*創建證書頒發機構。
*創建服務器的證書和密鑰。
*為每個用戶創建證書和密鑰。

我們複製easy-rsa示例來創建使用OpenVPN的實體，證書，密鑰和加密，

sudo cp -R / usr / share / doc / openvpn /示例/ easy-rsa // etc / openvpn /

現在您必須輸入我們複製的實用程序所在的文件夾並創建keys文件夾

sudo cp -R / usr / share / doc / openvpn /示例/easy-rsa//etc/openvpn/cd/etc/openvpn/easy-rsa/2.0 sudo mkdir鍵

我們只需要編輯/etc/openvpn/easy-rsa/2.0中的vars文件

須藤納米/etc/openvpn/easy-rsa/2.0/vars

然後我們修改這些值

導出KEY_DIR =“ $ EASY_RSA /密鑰”

由

導出KEY_DIR =“ / etc / openvpn / easy-rsa / 2.0 / keys”

是在/etc/openvpn/easy-rsa/2.0/keys中生成yes或yes
我們繼續，我們還修改了2048位Diffie Hellman的參數

導出KEY_SIZE = 1024

由

導出KEY_SIZE = 2048

我們只缺少發布實體的數據

導出KEY_COUNTRY =“美國”導出KEY_PROVINCE =“ CA”導出KEY_CITY =“舊金山”導出KEY_ORG =“ Fort-Funston”導出KEY_EMAIL =“ me@myhost.mydomain”

修改您國家，省，市，公司和郵件的每個值
一個例子

導出KEY_COUNTRY =“ AR”導出KEY_PROVINCE =“ SF”導出KEY_CITY =“阿姆斯特朗”導出KEY_ORG =“ LAGA-Systems”導出KEY_EMAIL =“ info@lagasystems.com.ar”

如您所見，AR =阿根廷，SF =聖達菲（我的省），其他人彼此了解。
好了，現在我們準備開始，按照這些步驟進行操作，因為錯誤和所有內容都被破壞了。

我們執行

源./vars

並要求我們進行清理，以防存在實體，證書和密鑰，我們很樂意這樣做

./clean-all

現在我們生成2048bits的Diffie Hellman安全性

./build-dh

現在我們生成了證書頒發機構，它將要求他們提供與vars文件中相同的數據，我建議您完成每一個，儘管它們已經存在，但這無關緊要

./build-ca

現在，我們將能夠首先生成服務器的證書和密鑰，將服務器更改為您喜歡的名稱，它將要求與vars文件中的數據相同，我建議您完成每個文件，儘管它們已經存在， 沒關係。

./build-key-server服務器

我們已經有了證書和服務器密鑰，現在是客戶端，將客戶端更改為您喜歡的任何名稱，
它將要求與vars文件中的數據相同。我建議您完成每個數據，儘管它們已經存在，但這並不重要。

./build-key客戶端

對於要連接到VPN的每個客戶端或用戶，必須重複此步驟，我們已經可以正常工作，不，我們需要將生成的文件複製到我們在openvpn.conf中配置的位置。
由於將密鑰文件夾複製到/ etc / openvpn /

須藤cp -R /etc/openvpn/easy-rsa/2.0/keys/etc/openvpn/

現在我們檢查所有內容是否都在適當的位置，我們進入/ etc / openvpn / keys文件夾

cd / etc / openvpn /鍵

並通過ls檢查文件是否存在
現在我們再生成一個文件，這是由openvpn生成的

須藤openvpn --genkey --secret ta.key

您只需要復製文件ca.crt，client.crt，client.key，如果您創建了更多的客戶端，則分別複製pent的crt和key或其他方式，請勿使用電子郵件發送它們，就像給您的文件一樣。陌生人的房門鑰匙。

準備就緒，一切都在服務器上，現在我們啟動它以測試一切正確

sudo /etc/init.d/vpnserver啟動

如果沒有錯誤，則我們已經在運行vpn，僅缺少客戶端。

客戶端：

本指南適用於Ubuntu 10.04 Desktop，我想它可以在其他版本和發行版中使用，我們已經安裝了ubuntu並且可以正常工作。
我們安裝了OpenVPN以及OpenSSL，因為安全性基於ssl
並且由於我們將使用Ubuntu Network Manager，因此我們必須安裝OpenVPN插件

sudo apt-get -y install openvpn sudo apt-get -y install openssl sudo aptitude -y install network-manager-openvpn

現在我們可以為我們的客戶端配置一個配置示例：

使用文本編輯器，可以將gedit粘貼此代碼

客戶端dev tun協議tcp遠程IP服務器端口解析重試無限nobind #user none #group nonepersist-keypersist-tun ca.crt client cert.crt key client.key comp-lzo tun-mtu 1500 keepalive 10 120動詞4

他們修改數據，IP-DEL-SERVER這是服務器和PORT的公共IP或Internet IP，通過它們在服務器上分配它們，文件ca.crt，client.crt和client.key是我們生成並複制的文件在使用筆式驅動器之類的東西之前。

如果您有動態的公共IP，建議您使用DDNS服務（DyDNS，NO-IP，CDMon），並且不要忘記打開並重定向端口1194或為服務器選擇的端口。

他們將代碼保存為所需名稱，但擴展名為.conf，並且與ca.crt，client.crt和client.key文件位於同一文件夾中

現在打開Ubuntu網絡管理器，在VPN選項卡中有一個導入按鈕，尋找我們之前保存的.conf文件。

我希望它能對您有所幫助，因為要使openvpn正常工作，我仔細閱讀了所找到的所有指南和手冊。

感謝您的評論，如果有任何錯誤，那是您的想像力的產物，哈哈哈