A VPN Linux konfigurálása
VPN – virtuális magánhálózat, t. E. Védett magánhálózat, amely több különböző hálózatot ötvözi az interneten keresztül. Az OpenVPN a technológia ingyenes megvalósítása. A VPN hálózatok kényelmesek, mert lehetővé teszik Önt, hogy hozzáférjenek a magánhálózatok hozzáférése bárhol az internetes ellenőrzött ügyfelek. Sok szervezet így építik a helyi vagy intraneteket, amikor irodái (szerverek és számítógépek) messze vannak (még a különböző kontinenseken) egymástól. Ez az egyetlen lehetőség ilyen helyzetben, mint a kiemelt fizikai kommunikációs csatorna bérleti díja (például a tenger aljára szolgáló kábelek) – túl drága. Így a munkavállalók otthon vagy bármely más pontból csatlakozhatnak szervezetük hálózatához, csak internet-hozzáféréssel és speciális kulcsokkal. A titkosítási kulcsokat használja, amelyeket a kommunikációs alagutak szervezettek, egyes hálózatokon egy védett VPN-szerkezetbe kerülnek.
Ami erre van szükség?
Az OpenVPN SETUP a következő összetevőket igényli:
- Számos ügyfélszámítógép a szervezet számára, valójában a VPN hálózat infrastruktúrája;
- OpenVPN minden számítógépen ügyfelek számára;
- Easy-RSA – a tanúsítási központok megszervezéséhez és a kulcsokkal való együttműködéshez, minden számítógépen is;
- Helyesen konfigurált tanúsító hatóság.
Meg kell jegyezni, hogy a tanúsító hatóságot (CA) ajánlott egy külön gépen használni. A CA tanúsítványok fenntartásához szolgál.
Telepítés
Ez talán a legegyszerűbb szakasz. Elég a csomagkezelő vagy a csomagkezelő rendszer (leves) használata a szükséges csomagok telepítéséhez. A népszerű Linux-eloszlások bármelyikére vonatkozóan standard tárolókból állnak rendelkezésre. Például az Ubuntu számára
$ sudo apt telepítse az OpenVPN Easy-RSA-t
A használt csomagnév eloszlásától függően változhat. Mindkét csomagot a kiszolgálóra és az ügyfelekre kell telepíteni.
A tanúsítási központ szervezése
Ez egy nagyon fontos szakasz, mivel a VPN szervezett hálózat biztonsága a saját CA elérhetőségétől függ. Ez is kényelmes, mert a saját CA lehetővé teszi, hogy könnyedén kezelje a kulcsokat és a tanúsítványokat, valamint elosztja őket az ügyfelek számára. Az összes ügyfél-tanúsítvány tárolásának szükségessége is eltűnik, mivel aláírásaik a CA-ban vannak.
Ca lesz a katalógusban . Általában a CA bárhol elhelyezhető. Az Easy-RSA konfigurációs parancsfájlokat is másolnia kell a tárolóba:
Sudo mkdir / etc / OpenVPN / Easy-RSA sudo cp -r / usr / share / easy-rsa / etc / openvpn / easy-rsa
Most a katalógusba kell telepítenie a CA-t . Ehhez végezzen el néhány szkriptet (amelyeket korábban másoltak itt), hogy infrastruktúrát hozzon létre a CA munkájához:
$ sudo -i # CD / etc / OpenVPN / Easy-RSA # forrás ./ Vars # ./ Tiszta # ./ Build-ca
A kényelem érdekében a parancskonzolt lefordították a “Super User” módba a sudo -i parancs segítségével. A második parancs beállítja az összes szükséges környezeti változót. A harmadik parancs ellenőrzi, hogy van-e kulcskatalógus / és ha nem, létrehozza azt. Ha létezik, akkor a tartalma tisztítja. Ezután a szükséges hozzáférési módok vannak beállítva. A Keys / Server kulcsok és az alapértelmezett tanúsítványok negyedik parancsnoksága.
Generációs és ügyfélkulcs beállítása
Ebben a szakaszban meg kell, hogy hasonló beállításokat Easy-RSA kliens gép, azzal a különbséggel, hogy a generál szükséges gombok alapján a fő tanúsítványt a szerver gépen, amelyen az OpenVPN szerver működik. A fő tanúsítványt át kell másolni az ügyfélgépekre. De először meg kell teremteni egy ügyfélkörnyezet infrastruktúrát a kulcsokkal való munkavégzéshez:
$ Sudo cp -r / usr / share / Easy-RSA / etc / OpenVPN / Easy-RSA
Ezután át kell másolnia a fő kiszolgálói tanúsítványt (fájl *).Crt) minden ügyfélszámítógépre. Ehhez kényelmes az SCP segédprogram használata:
$ sudo scp username @ host: / etc / OpenVPN / Easy-RSA / Keys / Hab / etc / OpenVPN / Easy-RSA / gombok
Ezután létrehozhat (generálhatja) az ügyfélkulcsokat a kiszolgálóról másolt tanúsítvány segítségével. Ehhez a katalógus ügyfélszámítógépén a következő parancsokat kell végrehajtania:
$ sudo -i # CD / etc / OpenVPN / Easy-RSA # forrás ./ Vars # build-req john
Fontos megérteni, hogy ahhoz, hogy a generációs kliens kulcsok lehetséges, szükséges, hogy a kiszolgáló tanúsítvány a katalógusban KULCSOK / Az ügyfeleknél. Az eredmény által generált ügyfélkulcsok lehetővé teszik az OpenVPN szerverhez való csatlakozáshoz. Azonban annak érdekében, hogy a kiszolgáló megkapja őket, és hozzáférjen a VPN hálózathoz, szükséges, hogy ezek a gombok (fájlok *.A CSR-t a kiszolgálón írták alá. Az SCP használatával küldje el őket a kiszolgálóra:
$ SCP / etc / OpenVPN / Easy-RSA / Keys / Hab username @ host: ~ /
Most, a kiszolgálón, miután átadta a könyvtárba, aláírhatja a HAB kulcsot:
$ sudo -i # CD / etc / OpenVPN / Easy-RSA # ./ Sign-Req ~ / John
Ennek eredményeképpen a tanúsítványt már aláírta a kiszolgáló, amelyet meg kell küldeni az ügyfélnek:
$ sudo scp username @ host: / home / Hab / etc / OpenVPN / Easy-RSA / gombok
Ez az infrastruktúra szervezése a kulcsok (és a tanúsítványok) munkájához. Most ez elég ahhoz, hogy az OpenVPN szerver és az ügyfelek biztonságos kapcsolatot telepítették. Az OpenVPN rendszerhez továbbra is szükség van az OpenVPN rendszerre.
Továbbá, ha a TLS titkosítást szeretné használni a megbízhatóbb védelem érdekében, akkor a kiszolgáló oldalán minden a könyvtárban ugyanaz, a parancs végrehajtásához:
$ ./ Build-dh
Setup OpenVPN Server
Az OpenVPN telepítése után általában nincs konfigurációs fájlja a munkához. Ez azért történik, mert meg kell kezdeni, meg kell határozni az OpenVPN használatát egy adott gépen: Szerverként vagy ügyfélként. Csak azt követően, hogy a konfigurációt meg kell határozni, amely, amint azt megértheti, eltér a kiszolgálóra és az ügyfélre.
A kényelmesebb konfigurációs feladat esetén rendelkezésre állnak sablonfájlok . Alapjuk alapján lehetőség van gyorsan konfigurálni az egész OpenVPN-kiszolgálót vagy annak ügyfelét:
$ ZCAT / USR / SHARE / DOC / OpenVPN / Példák / Minta-konfigurációs fájlok / egyéb | Sudo tee / etc / openvpn / Hab
Ez a parancs (pontosabban, a parancs szállítószalag) eltávolítja a HAB szöveges adatok archiválására és hozza létre a HAB konfigurációs fájl az alapvető beállításokat a OpenVPN szerver. Most meg kell kérdeznie, valójában az aktuális lehetőségek. Protokoll és portszám:
Port Proto UDP
A könyvtárból származó kiszolgáló gombokat és tanúsítványokat is meg kell határozni a konfigurációban:
Ca / etc / OpenVPN / Easy-RSA / Keys / Easy-RSA / etc / OpenVPN / Easy-RSA / OpenVPN / Easy-RSA / Keys / Hab DH / etc / OpenVN / Easy-RSA / Keys / Hab
Meg kell adnia a VPN hálózat tartományát is:
szerver
Ez a bejegyzés meghatározza az OpenVPN-kiszolgáló címét (), valamint a hálózat maszkját. Ennek eredményeként a munkaszerkezetnek így kell kinéznie:
Port Proto UDP COMP-LZO DEV Tun CA / ETC / OpenVPN / Easy-RSA / kulcsok / HAB CERT / ETC / OpenVPN / EASY-RSA / kulcsok / HAB DH / ETC / OpenVPN / Easy-RSA / kulcsok / HAB TOPOLÓGIA ALHAL SERVER Ifconfig-medence marad
Most már mentheti az OpenVPN-kiszolgáló beállításait. Ezután az OpenVPN parancs használatával kell futtatnia a megfelelő konfigurációs fájl megadásával:
$ OpenVPN / ETC / OpenVPN / Hab
OpenVPN-ügyfelek beállítása
Most be kell állítania az ügyfélgépeket. Fájlos sablonokat is kell használnia, de kicsomagolás nélkül érhető el:
SUDO CP / USR / SHARE / DOC / OpenVPN / Példák / Minta-konfigurációs fájlok / Hab / etc / OpenVPN / Hab
Az ügyfél számára számos konfigurációs fájl is megadható a különböző OpenVPN szerverekhez való csatlakozáshoz. Az ügyfélkonfiguráció legfontosabb paraméterei távoli, CA, CERT, valamint kulcsfontosságúak:
REMOTE CA / etc / OpenVPN / Easy-RSA / OpenVPN / Easy-RSA / etc / OpenVPN / Easy-RSA / OpenVPN / Easy-RSA / Keys / Hab
Itt Remote Meghatározza az OpenVPN szerver IP-címét az interneten, valamint a csatlakozási portot, amelynek meg kell egyeznie meghatározott konfigurációs. A CA paraméter egy kiszolgálói tanúsítvány, és a CERT egy HAB-kulcs, amelyet az alapon hoz létre, és most az aláírt HAB tanúsítványparaméter kulcs egy kliens zárt kulcs. Meg kell jegyezni, hogy olyan CERT és kulcsfontosságú paramétereket használ, amelyeket az ügyfelek a VPN hálózathoz kapcsolódnak.
A kész működő ügyfélkonfiguráció a következő:
Ügyfél DEV TUN PROTO UDP Távoli felbontás-Retry Infinite Nobind Persist-Key Persist-tun CA / etc / OpenVPN / Easy-RSA / KEYS / HAB CERT / etc / OpenVPN / Easy-RSA / Keys / Hab key / stb / OpenVPN / Easy -RSA / Keys / Hab TLS-Auth Hab Hab 1 Comp-LZO verb 3
Most futtathatja az OpenVPN-t az ügyfélszámítógépen:
$ OpenVPN / ETC / OpenVPN / Hab
Ezután, ha minden rendben van konfigurálva, az ügyfelek csatlakoznak a VPN-hez. De ez nem minden. Be kell állítania a VPN-alagút átirányítását úgy, hogy a felhasználók közvetlenül irányíthassák és fogadhassák a forgalmat. Először engedélyeznie kell a szerver kihagyását a csomagok:
$ Systl -w hab_forward = 1
Ezután mindenki csatlakozhat az OpenVPN szerverhez:
$ iptables -a input -p UDP –Dport -j Elfogadva
Nos, és engedélyezze az ügyfelek internet-hozzáférését az alagúton keresztül:
Iptables -i előre -I TUNK0-O eth0 -j Elfogadja az iptables -i -i -i előre -I eth0 -o tun0 -j elfogadva iptables -t -t Nat -a postttrouting -o eth0 -j masquerade
Az előző három iptables szabályokat kell alkalmazni, ha a házirendek a hálózatban működnek. Biztosítania kell, hogy a tűzfal ne blokkolja az UDP protokollon keresztül az OpenVPN szerverre.
Következtetés
Következésképpen meg kell jegyezni, hogy a VPN hálózat konfigurációja meglehetősen időigényes és felelős foglalkozás. Különös figyelmet kell fordítani a CA szervezetére, a kulcsok és tanúsítványok terjesztésére, valamint a továbbítási csomagok terjesztésére. Ezért az ilyen feladatokhoz nagyon fontos, hogy jó láncadminisztrációs képesítést kapjunk. Azt is érdemes figyelembe venni, hogy az Ubuntu rendszerek OpenVPN beállításai figyelembe vették, de az egyéb eloszlásokra vonatkozó alapvető különbség nincs.
Ha hibát talált, válasszon ki egy szövegfragmenst, és nyomja meg a Ctrl + Enter gombot.
Comments are closed, but trackbacks and pingbacks are open.