Hogyan készítsünk OpenVPN-t
A kiszolgáló és az ügyfél OpenVPN konfigurálása
Tartalomjegyzék
1. Az orosz VPS használatával járó zárak megkerülése
2. Mit kell a VPN-nek, amit ad
3. Hogyan működik a VPN
4. Mi az OpenVPN
5. Törölje és működik az OpenVPN beállításához
6. OpenVPN tanúsítványok
7. Az OpenVPN telepítése
nyolc. OpenVPN gombok létrehozása
kilenc. Hozzon létre OpenVPN kulcsokat a Debianban, Ubuntuban, Linux Mint, Kali Linux-ban
OpenVPN gombok létrehozása Arch Linux, Blackarch
A kulcsfájlok elhelyezése a kiszolgálóra és az ügyfélre
Az OpenVPN szerver indítása
Konfigurációs fileOpenvpn
Az OpenVPN szerver tesztelése és elindítása
Engedélyezze a forgalomirányítás az OpenVPN szerveren
OpenVPN szerver ügyfelek beállítása
A Windows létrehozása az OpenVPN használatához
Debian konfiguráció (Ubuntu, Linux Mint, Kali Linux), valamint Arch Linux (Blackarch) az OpenVPN használatához
Tanúsítványok beágyazása a fájlba .OVPN
Információk az OpenVPN új verzióinak kiadásáról
Következtetés
Az orosz VPS használatával járó zárak megkerülése
Kezdjük egy kis Life Haka-val: Ha már van VPS (virtuális privát szerver, egy típusú tárhely, mikor, eltérően egy közös (megosztott tárhely), akkor nem mappa a szerveren, hanem egy egész virtuális gép, amelyben Ön telepítheti az operációs rendszert, és testreszabhatja azt, ahogyan azt kérem), így, ha már van VPS, és még akkor is, ha a virtuális kiszolgáló az Orosz Föderációban van, akkor nagyon valószínű, hogy alkalmas a Roskomnadzor zárak megkerülésére.
Ennek ellenõrzése, adott esetben konfigurálja a VPN-t a távoli kiszolgálóhoz való csatlakozáshoz (például az SSH), és próbáljon meg valamit elvégezni:
Curl Blocked_URL_IIP
Valószínű, hogy megkapja a zárolt HTML forrás oldal kódja, hogy azt jelenti, hogy az orosz VPS beállíthatja VPN bypass blokkoló.
Elvileg az oka nyilvánvaló: a zárak felszerelése csak az utolsó mérföld szolgáltatóinak megállapítására. T.E. Ezek különböző rostelecoms, blayna és t.Ns. azok, akik az internetért fizetnek.
Ki írja az orosz VPS-t a megjegyzésekben, letiltotta a webhelyeket VPS-en keresztül, vagy sem? Érdekes lesz néhány statisztikát gyűjteni. Azt is adja meg, hogy az IPv6 konfigurálva van-e, könnyű.
Csak ne gondoljam, hogy idézem a bérleti díjat, hogy pontosan orosz VPS megkerülje a blokkoló nem, csak akkor, ha webmester, és már van ilyen szerver, akkor néhány dollárt takaríthat meg havonta, anélkül, hogy bérelnénk egy idegen VP-t a VPN alatt.
Mit kell a VPN-nek, amit ad
A VPN létrehoz egy kapcsolatot egy vagy több számítógép között. Ez a kapcsolat megbízható titkosítást használ. Ennek eredményeként biztonságosan továbbíthatja az adatokat megbízhatatlan kapcsolatok segítségével. Például, amikor csatlakozik a nyílt Wi-Fi hálózatra, a forgalom függvényében SNOFFING, mind a többi eszköz a helyi hálózaton, illetve azoktól, akik nem is erre a hálózatra csatlakoztatott elég, hogy elkapjam a vezeték nélküli forgalom csatlakozás nélkül. De ha a VPN-t a nyitott hálózathoz való csatlakozás után kezeli, akkor a forgalmát titkosított formában továbbítják.
Ebből a titkosított forgalomból lehetetlen bármilyen adatot kivonni. Például, ha nem egy VPN megnyit egy weboldal segítségével HTTPS, majd ennek eredményeként SNFFing lehetetlen kideríteni, hogy melyik adatot küldött és mely oldalakat látogatott. De még a https-val is láthatja, hogy milyen webhelyeket csatlakoztat. Amikor egy VPN harmadik fél, akkor is, ha van hozzáférése a forgalom, nem lehet meghatározni, hogy melyik oldalakat megnyitott vagy kivonat egyéb adatokat a teljes forgalom áramlását titkosított adatokat, amelyek ugyanazt az értéket idegenek, mint a véletlenszerű halmaza nullák és egységek.
Hogyan működik a VPN
A VPN technológia lehetővé teszi, hogy több eszközt is kombináljon egy biztonságos hálózathoz.
A munkájában a VPN a kiszolgáló és az ügyfél részét használja. Az egyik kiszolgálónak számos olyan ügyfele lehet, akik egy virtuális magánhálózatba kerülnek, ahol biztonságosan cserélhetnek adatokat.
Ha valamilyen ügyfélnek hozzáférnie kell a globális hálózathoz, akkor a VPN-kiszolgálóra utal, ez a kiszolgáló adatokat kap, és átirányítja a kért ügyfelet. Ennek a munkának köszönhetően a VPN-t gyakran használják az IP elrejtésére és a blokkolás megkerülésére.
Például ha konfigurálva a VPN-kiszolgáló a számítógépen (például a VPS virtuális privát szerver), amely nem az Orosz Föderáció, akkor, amikor belépnek az interneten, ez a szerver információkat kér az Ön számára, ennek eredményeként, Az IP-címe rejtve lesz (megjeleníti a távoli kiszolgáló IP-címét), és mivel az orosz zárak nem működnek külföldi számítógépeken, akkor hozzáférhetnek bármely webhelyen, amelyet közvetlenül nem lehet megnyitni.
Mi az OpenVPN
Az OpenVPN egy ingyenes nyílt forráskódú program, amely végrehajtja a VPN technológiát. Ez a program ügyfélrész és szerver. Különböző operációs rendszereken dolgozik, beleértve a Linuxot és a Windows-t is.
Az előfordulási gyakoriságnak köszönhetően még vannak routerek, amelyek támogatják az OpenVPN-t.
Törölje és működik az OpenVPN beállításához
Megpróbáltam minden egyes lépést a lehető legegyszerűbben leírni. Ha bármilyen kérdése van, írja be őket a megjegyzésekben.
Nem lusta voltam, és ellenőrizte az OpenVPN-kiszolgáló működtethetőségét két VPS-on’Arch Linux által kezelt Arch Linux (a fő virtuális szerverem) és a Debian (speciálisan írásbeli utasítások esetén), valamint a Windows, Debian (Kali Linux, Ubuntu), Arch Linux.
T.E. Ha nem működik, vagy hibák fordulnak elő, akkor próbálkozzon a műveletek gondosabban. Ha ez nem segít, akkor írjon a megjegyzésekben, próbálja meg kitalálni.
Az összes részletességgel ez az utasítás nem teljes noobs, legalábbis:
- VPS-nek kell lennie
- Képesnek kell lennie arra, hogy a szövegszerkesztőket a parancssori interfésszel (Vim vagy Nano) használhatja. Nano könnyebb, ha nem tudja, hogyan kell használni a vim, akkor a parancsok, cserélje ki a nano-val
Nos, elegendő koncentrációra van szükség ahhoz, hogy ne zavarja őket. Az ilyen megközelítés plusz (az aszimmetrikus titkosítás és a különböző kiegészítő védelem használatával) az, hogy ha a titkosítási kulcsokat feloldják, a továbbított forgalmat semmilyen módon nem lehet visszafejteni, nincs szuperszámítógépek.
OpenVPN tanúsítványok
Az OpenVPN-t úgy állítjuk be, hogy a munkájában a program tanúsítványokat fogja használni. Ez egy nagyon megbízható módja annak, hogy titkosítja a továbbított forgalmat, és megvédje a kapcsolatot a kiszolgálóval.
Az OpenVPN beállítása világosabb lesz, ha megérti a kriptográfiai alapítványokat.
A kriptográfiában van egy koncepció a szimmetrikus titkosítás és aszimmetrikus titkosítás.
A szimmetrikus titkosítás példája: A titkosításhoz jelszót használnak, ugyanazt a jelszót használják a dekódoláshoz.
Aszimmetrikus titkosítással az adatok egy kulcskal titkosítva vannak, de a másik által visszafejtik.
Például, ha nyilvános kulcs használatával titkosítva: Két kulcs van: privát és nyilvános kulcs (nyilvános kulcsot neveznek tanúsítványnak). A magánt titokban kell tárolni, és az állami elterjedt szabadon terjed. Nyilvános kulcs használatával titkosíthatja az üzeneteket és ellenőrizze az elektronikus digitális aláírás ellenőrzését. Privát kulcs használatával dekódolhatja az üzeneteket titkosítva egy nyilvános kulcs, és aláírhatja az adatok elektronikus aláírását.
Ha két oldal van saját privát kulcsában, és nyilvános kulcsokat cserélnek, akkor az adatok küldése előtt titkosítják őket a másik oldal nyilvános kulcsával. Az ilyen titkosított adatok csak egy privát kulcs tulajdonosának igazi címzettjét megfejthetik.
De ez nem minden. A párok nem hozhatók létre egyszerűen, így azokat az engedélyezési központ (hitelesítő hatóság (CA)) kell aláírnia. A tanúsítványok aláírásához a tanúsító hatóság saját magánkulcsot használja. És így, hogy ellenőrizni tudja, hogy a tanúsítvány valóban aláírt egy felhatalmazott tanúsító hatóság nyilvános kulcs (tanúsítvány) az e CA oszlik.
Szóval kiderül, hogy:
- A kiszolgálónak két fájlja van (tanúsítvány, t.E. Nyilvános kulcs, és privát kulcs)
- Az ügyfélnek két fájlja van (tanúsítvány, t.E. Nyilvános kulcs, és privát kulcs)
- A tanúsító hatóságnak két fájlja van (tanúsítvány, t.E. Nyilvános kulcs, és privát kulcs)
A tanúsítványok nem titok, és a magánkulcsoknak titokban kell lenniük!
- Ezenkívül generált fájl .PEM: Diffplee Hellman Protocol (Anglia. Diffie-Hellman, DH) kriptográfiai protokoll, amely lehetővé teszi két vagy több oldal számára, hogy közös titkos kulcsot kapjanak a kommunikációs csatorna védelem nélküli kommunikációs csatornával. A kapott kulcs titkosításához használt további cseréjére szimmetrikus titkosítási algoritmusokat.
Hét kötelező fájlt kiderül.
- Ha további HMAC aláírást szeretne hozzáadni az SSL / TLS Handshake csomagokhoz, létrehozhat egy másik fájlt, amely nyolcadik lesz. Ez egy opcionális fájl, de továbbra is használjuk, mert lehetővé teszi, hogy eldobja az egyértelműen nem megfelelő csomagokat.
Ez a fájl számát, és zavart okozhat. De ha megérted, hogy milyen fájl az, amit használnak, akkor nincs probléma.
Ha valaki érdekel, nézze meg a megfelelő cikkeket a Wikipédiában (ha nem teljesen tisztázott neked, akkor ne aggódj, még mindig hangoljuk a VPN-t):
Az összes tanúsítvány létrehozása után közvetlenül be kell állítania a kiszolgálót és az ügyfelet. Ez a beállítás az, hogy a generált kulcsfájlokat a kiszolgáló és az ügyfelek megfelelő helyére kell másolni (a páros ügyfelek mindegyike nyilvános-magán kulcs), és adja meg a kulcsok elérési útját, adja meg az IP-kapcsolatok és néhány egyéb opciók.
Az OpenVPN telepítése
A különböző rendszerekben az OpenVPN egy kicsit másképp. Linuxban egyszerre telepítjük mind a kiszolgálót, mind az ügyfelet. A Windows rendszerben csak az ügyféllel fogunk dolgozni. T.E. Telepítenie kell és a szerveren, és az ügyfélgépen. Például, ha van egy VPS Linux, és akkor használja a VPN egy otthoni számítógép Windows, majd telepítse OpenVPN mindkét gépen ahogy meg van írva minden rendszert az alábbiak.
Az OpenVPN telepítése Debianban, Ubuntuban, Linux Mint, Kali Linux
A csomagok telepítéséhez elegendő a következő parancsok végrehajtásához (javasoljuk, hogy a rendszer frissítse és újrainduljon):
Sudo apt frissítés sudo apt Install OpenVPN Easy-RSA
Az OpenVPN telepítése Arch Linux, Blackarch
A telepítést a következő parancs végzi:
Sudo pacman -s openvpn Easy-RSA
Telepítse az OpenVPN-t a Windows rendszerbe
Windows esetén az OpenVPN grafikus héjjal rendelkezik. Menj a Hab oldalra, keressen egy fájlt Windows Installer (NSIS) És töltse le a telepítőt a kiterjesztéssel .alkalmazás. Vagy töltse le a közvetlen linklab legújabb verzióját
A telepítés a Windows programok szokásos módon történik a telepítővarázslóval.
Kérjük, vegye figyelembe, hogy ha szeretné, ellenőrizheti az ellentétes négyzetet EASYRSA 2 tanúsítványkezelő szkriptek. Ez egy program és szkript, amely kulcsokat generál. Ebben az utasításban kulcsokat fogunk létrehozni a Linux gépen, T.E. Nem kell ezeket a parancsfájlokat, de ha szeretné, telepítheti őket.
Az OpenVPN GUI-hiba problémájának megoldása nem támogat több mint 50 konfigurációt. Kérjük, lépjen kapcsolatba a szerzővel, ha többre van szüksége.
Hiba történt:
Az OpenVPN GUI nem támogat több mint 50 konfigurációt. Kérjük, lépjen kapcsolatba a szerzővel, ha többre van szüksége.
Meg kell javítani, menj a mappába C: Programfájlok \ OpenVPN \ Config \ és törölje a fájlokat. Ezek a fájlok elhagyhatják az OpenVPN-alapú összeszerelést.
OpenVPN gombok létrehozása
Javasoljuk, hogy a tanúsító hatóság külön számítógép, a szerver kulcsot generálunk egy másik számítógépen, és minden ügyfél generált a kulcsokat a számítógépen.
Az egyszerűség érdekében ugyanazon a rendszeren (az OpenVPN-kiszolgálón) műveleteket hajtok végre, majd elhalasztja az ügyfélkulcsokat a kívánt számítógépre.
Fájl név | Szükség valamire | Cél | Titok |
Hab | Szerver + Minden ügyfél | Nyilvános kulcs (tanúsítvány) a gyökérző hatóság (CA) | NEM |
Hab | Csak a gép aláíró gombjaira | Private Certification Root Center (CA) | IGEN |
Dh {n}.PEM | Csak kiszolgáló | Paraméterek DIFFY HELMANA | NEM |
Hab | Szerver + Minden ügyfél | HMAC aláírása SSL / TLS csomagokhoz | IGEN |
Hab | Csak kiszolgáló | Szerver tanúsítvány (nyilvános kulcs) | NEM |
Hab | Csak kiszolgáló | Privát kulcsszerver | IGEN |
Hab | csak ügyfél1 | Tanúsítvány (nyilvános kulcs) ügyfél1 | NEM |
Hab | csak ügyfél1 | Privát kulcs kliens1 | IGEN |
Hab | csak ügyfél2 | Tanúsítvány (nyilvános kulcs) ügyfél2 | NEM |
Hab | csak ügyfél2 | Privát kulcs kliens2 | IGEN |
Hab | csak ügyfél3 | Tanúsítvány (nyilvános kulcs) ügyfél3 | NEM |
Hab | csak ügyfél3 | Privát kulcs kliens3 | IGEN |
A kulcsok bármely operációs rendszeren generálhatók, amelyek bármelyik operációs rendszeren is dolgoznak. Például a szerveren fut Arch Linux és kulcsok jönnek létre, és akkor az ügyfél kulcsok továbbítjuk a Windows vagy Ubuntu.
A rendszertől függően válassza ki a kívánt utasítást: a Debian származékokhoz vagy az Arch Linux származékaihoz.
Hozzon létre OpenVPN kulcsokat a Debianban, Ubuntuban, Linux Mint, Kali Linux-ban
A tanúsítási központ inicializálásával kezdődnek:
CD / usr / share / Easy-RSA export Easyra = $ (pwd) sudo ./ Easyra Init-PKI sudo dd ha = / dev / urandom = PKI /.Rand bs = count = 1 sudo dd, ha = / dev / urandom = PKI /.Rnd bs = count = 1 sudo ./ EASYRSA BUILD-CA
Szükség lesz arra, hogy jöjjön fel, és adja meg a jelszót 4-ről karakterre kétszer.
Két fájl jön létre:
- / Usr / Share / Easy-RSA / PKI / Hab
- USR / Share / Easy-RSA / PKI / magán / Hab
Először (Hab) tanúsítvány, t.E. Nyilvános tanúsító központ. Azt is szükséges a szerver és minden ügyfélnek a segítségével meg fogják ellenőrizni, hogy a nyilvános kulcs mások valóban aláírta a Certification Center és hogy valaki nem hagyta, nem hagyta jóvá a Certification Center.
Hozzon létre egy mappát, ahol az összes OpenVPN szerver tanúsítvány:
Mkdir / etc / openvpn / certs /
És azonnal másolja az első fájlt:
CP / USR / Share / Easy-RSA / PKI / HAK / etc / OpenVPN / CERTS / Hab
OpenVPN szerver gombok létrehozása
Most meg kell hoznunk egy kiszolgáló OpenVPN Server kulcsokat.
./ EASYRSA GEN-REQ Server Nopass
Ehhez alá kell írnia a tanúsítási kulcskulcsok igazolását:
./ EASYRSA SIGN-REQ Server Server
Kérdezzük meg, hogy pontosan szeretnénk aláírni, írjuk be Igen, Ezután írja be a jelszót a tanúsító központból (CA).
Amikor megjelenik a kifejezés:
Adja meg a Pass Pass Pass for / usr / Share / Easy-RSA / PKI / Private / Hab:
Meg kell adnia a regisztrációs központ jelszavát, amelyet az előző lépésben telepítettek.
Másolja a kívánt mappákat, amelyek szükségesek az OpenVPN szerver elindításához:
CP / usr / share / Easy-RSA / PKI / Kiadva / Hab / ETC / OpenVPN / certs / CP / usr / share / EASY-RSA / PKI / private / HAB az / etc / openvpn / certs /
A Diffie-Hellman (DH) paraméterfájl szükséges a nyilvános kulcsok csere protokolljához.
OPENSSL DHPARAM -OUT / ETC / OpenVPN / CERTS / DHPEM
HMAC kulcs létrehozása:
Sudo openvpn –enkey titkos / etc / openvpn / certs / Hab
Most 5 fájlunk van az OpenVPN szerver elindításához, az / etc / OpenVPN / CERT / mappában /. Ellenőrizze, hogy az összes fájl a következő:
Ls -l / etc / openvpn / certs /
Az OpenVPN létrehozása és alosztályozó ügyfelei
./ EASYRSA GEN-REQ kliens1 nopass ./ Easyli Sign-REQ Client Client1
Hasonlóképpen, meg kell válaszolni a kérdésre Igen és írja be a hitelesítő hatóság jelszavát.
Most töltse le a fájlt a kiszolgálóról / etc / OpenVPN / CERTS / Hab és helyezze ugyanazt az utat, t.E. / etc / OpenVPN / CERTS / Hab Egy ügyfélgépen.
Töltse le a fájlt a kiszolgálóról / etc / OpenVPN / CERTS / Hab és helyezze ugyanazt az utat, t.E. / etc / OpenVPN / CERTS / Hab Egy ügyfélgépen.
Töltse le a fájlt a kiszolgálóról / Usr / Share / Easy-RSA / PKI / Kiadott / Hab, De az ügyfélkocsiban helyezze az utat / etc / OpenVPN / CERTS / Hab.
Töltse le a fájlt a kiszolgálóról USR / Share / Easy-RSA / PKI / magán / Hab, De az ügyfélkocsiban helyezze az utat / etc / OpenVPN / CERTS / Hab.
A fájlok szövegszerkesztővel és másolat-betét segítségével nyithatók meg az ügyfélgéphez.
Ellenőrizze, hogy az összes fájl a helyén van-e (legyen négy fájl az ügyfélen):
Ls -l / etc / openvpn / certs /
Tehát, ha már létrehozott kulcsok Debian (vagy származékai), akkor nem kell létrehoznia kulcsok Arch Linux, T.E. Ugrás a következő részre.
A régi verzió – nem releváns
Ha a fenti parancs hibát okozott, akkor van egy régi változata Easy-RSA, a következő parancsokat kell dolgozni benne:
CD / usr / share / Easy-RSA CP OpenSSLCNF HAB FORRÁS ./ Vars ./ Clean-all ./ Beépített Ca
Két fájl jön létre:
- / Usr / Share / Easy-RSA / Keys / Hab
- / Usr / Share / Easy-RSA / Keys / Hab
Először (Hab) tanúsítvány, t.E. Nyilvános tanúsító központ. Azt is szükséges a szerver és minden ügyfélnek a segítségével meg fogják ellenőrizni, hogy a nyilvános kulcs mások valóban aláírta a Certification Center és hogy valaki nem hagyta, nem hagyta jóvá a Certification Center.
Hozzon létre egy mappát, ahol az összes OpenVPN szerver tanúsítvány:
Mkdir / etc / openvpn / certs /
És azonnal másolja az első fájlt:
CP / USR / Share / Easy-RSA / Keys / Hab / etc / OpenVPN / Certs / Hab
OpenVPN szerver gombok létrehozása
Most meg kell hoznunk egy kiszolgáló OpenVPN Server kulcsokat.
./ Build-Key-Server ServerName
Az összes érték alapértelmezés szerint maradhat. Pozitívan válaszolunk két kérésre:
Aláírja a tanúsítványt? [Y / N]: y ki az 1 tanúsítványkérés tanúsítvánnyal, elkövetve? [Y / n] y
Másolja a kívánt mappákat, amelyek szükségesek az OpenVPN szerver elindításához:
CP / USR / share / EASY-RSA / Keys / HAB / ETC / OpenVPN / certs / CP / USR / share / EASY-RSA / Keys / HAB / ETC / OpenVPN / certs /
A Diffie-Hellman (DH) paraméterfájl szükséges a nyilvános kulcsok csere protokolljához.
./ BUILD-DH MV / USR / SHARE / EASY-RSA / KEYS / DHPEM / ETC / OpenVPN / CERTS /
HMAC kulcs létrehozása:
Sudo openvpn –enkey titkos / etc / openvpn / certs / Hab
Most 5 fájlunk van az OpenVPN szerver elindításához, az / etc / OpenVPN / CERT / mappában /. Ellenőrizze, hogy az összes fájl a következő:
Ls -l / etc / openvpn / certs /
OpenVPN kliens gombok létrehozása
./ Build-Key Client1
Az összes érték alapértelmezés szerint maradhat. Pozitívan válaszolunk két kérésre:
Aláírja a tanúsítványt? [Y / N]: y ki az 1 tanúsítványkérés tanúsítvánnyal, elkövetve? [Y / n] y
Most töltse le a fájlt a kiszolgálóról / etc / OpenVPN / CERTS / Hab és helyezze ugyanazt az utat, t.E. / etc / OpenVPN / CERTS / Hab Egy ügyfélgépen.
Töltse le a fájlt a kiszolgálóról / etc / OpenVPN / CERTS / Hab és helyezze ugyanazt az utat, t.E. / etc / OpenVPN / CERTS / Hab Egy ügyfélgépen.
Töltse le a fájlt a kiszolgálóról / Usr / Share / Easy-RSA / Keys / Hab, De az ügyfélkocsiban helyezze az utat / Etc / OpenVPN / certs / HAB.
Töltse le a fájlt a szerver / Usr / share / Easy-RSA / kulcsok / HAB, De az ügyfél autó, helyezze azt az utat / Etc / OpenVPN / certs / HAB.
Fájlokat lehet megnyitni egy szövegszerkesztővel, és copy-betét a kliens gépen.
Ellenőrizze, hogy az összes fájl a helyén van (nem kell négy fájlokat a kliens):
LS -L / ETC / OpenVPN / certs /
Tehát, ha már létrehozott kulcsok Debian (vagy származékai), akkor nem kell létrehoznia kulcsok Arch Linux, T.E. Ugrás a következő fejezetben.
Létrehozása OpenVPN kulcsok Arch Linux, Blackarch
Kiterjed
Létrehozása a Certification Center kulcsok
Kezdjük inicializálása Certification Center:
CD / ETC / Easy-RSA EXPORT EASYRSA = $ (PWD)
A következő parancs, akkor formázza meg a nyilvános kulcsú infrastruktúra:
Easyrsa Init-PKI
Mi lesz warful, hogy az előző infrastruktúra törlődik, és ha azt akarjuk, hogy továbbra is meg kell tárcsázni Igen.
Mi generál tanúsító hatóságok:
Easyrsa Beépített Ca
Szükség lesz arra, hogy jöjjön fel, és adja meg a jelszót 4-ről karakterre kétszer.
Két fájl jön létre:
- / Etc / Easy-RSA / PKI / Hab
- / Etc / Easy-RSA / PKI / magán / hab
Először (Hab) tanúsítvány, t.E. Nyilvános tanúsító központ. Azt is szükséges a szerver és minden ügyfélnek a segítségével meg fogják ellenőrizni, hogy a nyilvános kulcs mások valóban aláírta a Certification Center és hogy valaki nem hagyta, nem hagyta jóvá a Certification Center.
A kiszolgálógépen a fájlnak az / etc / OpenVPN / CERTS / BAB-n kell lennie, mivel van egy CA és a kiszolgáló egy gép, akkor létrehozok egy mappát, ahol az összes OpenVPN szerver tanúsítvány lesz:
Mkdir / etc / openvpn / certs /
És azonnal másolja az első fájlt:
CP / etc / Easy-RSA / PKI / HAK / etc / OpenVPN / CERTS / Hab
OpenVPN szerver gombok létrehozása
Most meg kell hoznunk egy kiszolgáló OpenVPN Server kulcsokat. Ha ezt egy másik gépen végzi, inicializálni kell:
CD / etc / Easy-RSA EASYRSA INIT-PKI
Minden olyan műveletet végezek egy számítógépen, ezért azonnal fordulok a következő lépéshez:
CD / etc / Easy-RSA EASYRSA GEN-REQ SERVERNAME NOPASS
Meg kell adnia a kiszolgáló nevét, ahová elhagyom az alapértelmezett értéket.
Két fájl jön létre:
- / Etc / Easy-RSA / PKI / magán / hab
- / Etc / Easy-RSA / PKI / REQS / Hab
Az első az OpenVPN-kiszolgáló privát kulcsa, amelyet a titokban tárolnak, és amelyet azonnal a megfelelő helyre költözhet, mert nem igényel további feldolgozást. Ha egy OpenVPN-kiszolgáló van egy másik gépen, helyezze ezt a fájlt az / etc / OpenVPN / CERTS / mappába, ehhez hozzon létre:
Mkdir / etc / openvpn / certs /
Mivel van egy CA és a kiszolgáló egy autó, akkor azonnal áthelyezem a fájlt a megfelelő helyre:
CP / etc / Easy-RSA / PKI / magán / Hab / etc / OpenVPN / CERTS /
De a Hab fájl egy lekérdezési fájl, amelyet a tanúsító hatóság aláír. Tehát ha van egy hitelesítő hatóság egy másik számítógépen, akkor adja át a mappába / Etc / Easy-RSA / PKI / REQS /, Ha ugyanazon a számítógépen tanúsító hatóság van, akkor hagyja őket, ahol hazudnak.
Diffie-Hellman (DH) paraméterfájl
Ez a fájl a nyilvános kulcsok csere protokolljához szükséges.
Az OpenVPN szerver gépen hozzon létre egy DHPEM parancsot a parancs segítségével:
OPENSSL DHPARAM -OUT / ETC / OpenVPN / CERTS / DHPEM
Ne feledje: Az értékek nagyobbak lehetnek, mint például (például), de jelentősen több időt igényel a létrehozáshoz, és semmi sem kerül a biztonsághoz; Javasoljuk, hogy az RSA kulcs megfelelő hosszának hossza hossza legyen.
Ismét az OpenVPN szerveren hozzon létre egy HMAC gombot:
Sudo openvpn –enkey titkos / etc / openvpn / certs / Hab
Használja a további HMAC aláírást az SSL / TLS Handshake csomagokhoz. Ennek eredményeként minden olyan UDP-t, amely nem rendelkezik a megfelelő HMAC aláírással, azonnal eldobja a következőket:
- Szkennelési portok.
- Dos támadások az UDP port OpenVPN-ben.
- Inicializálás SSL / TLS HENDSHKA jogosulatlan gépekről.
- Bármilyen lehetséges puffer túlcsordulási sérülékenység az SSL / TLS végrehajtásában.
OpenVPN kliens gombok létrehozása
Az ügyfélfájlok bármely gépen generálhatók. Ha a tanúsító hatóság még nincs inicializálva, megtesszük:
CD / etc / Easy-RSA EASYRSA INIT-PKI
Generálunk egy ügyfél privát kulcsot és egy lekérdezési fájlt:
CD / etc / Easy-RSA Easylisa Gen-Req Client1 nopass
Két fájl jön létre:
- / Etc / Easy-RSA / PKI / magán / hab
- / Etc / Easy-RSA / PKI / REQS / Hab
Az első egy privát kulcs, letöltenie kell az OpenVPN Server Client klienst és a második lekérdezési fájlt, alá kell írni egy ügyfél-tanúsítvány létrehozásához. Tehát ha van egy hitelesítő hatóság egy másik számítógépen, akkor adja át a mappába / Etc / Easy-RSA / PKI / REQS /, Ha ugyanazon a számítógépen tanúsító hatóság van, akkor hagyja őket, ahol hazudnak.
Az ügyfelek számára annyi párot hozhat létre, hogy mennyire szüksége van minden ügyfélnek saját nyilvános magánszemélypárra.
A tanúsítványok tanúsító központjának aláírása
Most arra van szükség, hogy írja alá a szerver kérések és az ügyfél fájlokat, hogy tanúsítványokat (nyilvános kulcs), valamint a hely fájlokat a kívánt mappák. Kezdjük az aláírással.
Ha van egy tanúsító hatóság, amely egy külön gépen található, akkor adja meg a kérésfájlokat .Req mappában / Etc / Easy-RSA / PKI / REQS /
Most a Tanúsítványközpontban kövesse:
CD / etc / Easy-RSA Easyrna Sign-Req Server ServerName Easyli Sign-Req Client Client1
Mindkét alkalommal felkérik, hogy gondoljunk arra, hogy igazán szeretnénk aláírni ezeket a fájlokat, és ténylegesen bízunk a forrásban. Be kell írnia a jelszót is, hogy jöttünk fel, amikor a generált hitelesítő hatóság kulcsai.
Ennek eredményeképpen a következő fájlok jönnek létre:
- / Etc / Easy-RSA / PKI / Kiadott / Hab
- / Etc / Easy-RSA / PKI / Kiadott / Hab
A felesleges lekérdezési fájlokat törölheti:
RM / etc / Easy-RSA / PKI / REQS / *.Req
Mozgassa a kiszolgálófájlokat:
Mv / etc / Easy-RSA / PKI / Kiadott / Hab / etc / OpenVPN / CERTS / Hab Chown gyökerek / etc / OpenVPN / CERTS / HAF MV / etc / Easy-RSA / PKI / privát / Hab / etc / OpenVPN Certs / Hab Chown gyökér: gyökér / etc / OpenVPN / Certs / Hab
Ennek eredményeként a kulcsfájlok a megfelelő könyvtárban kerülnek közzétételre.
Ellenőrizze, hogy az összes fájl a helyén van-e (legyen öt fájl az ügyfélen):
Ls -l / etc / openvpn / certs /
Fájlok betöltése az ügyfélgépekhez
- Most töltse le a fájlt a kiszolgálóról / etc / OpenVPN / CERTS / Hab és helyezze ezért az utat, t.E. / etc / OpenVPN / CERTS / Hab Egy ügyfélgépen.
- Töltse le a fájlt a kiszolgálóról / etc / OpenVPN / CERTS / Hab és helyezze ugyanazt az utat, t.E. / etc / OpenVPN / CERTS / Hab Egy ügyfélgépen.
- Töltse le a fájlt a kiszolgálóról / Etc / Easy-RSA / PKI / Kiadott / Hab, De az ügyfélkocsiban helyezze az utat / etc / OpenVPN / CERTS / Hab.
- Töltse le a fájlt a kiszolgálóról / Etc / Easy-RSA / PKI / magán / hab, De az ügyfélkocsiban helyezze az utat / etc / OpenVPN / CERTS / Hab.
A fájlok szövegszerkesztővel és másolat-betét segítségével nyithatók meg az ügyfélgéphez.
Ellenőrizze, hogy az összes fájl a helyén van-e (legyen négy fájl az ügyfélen):
Ls -l / etc / openvpn / certs /
A kulcsfájlok elhelyezése a kiszolgálóra és az ügyfélre
Tehát öt fájlnak kell lennie a szerveren, és azokat a következő könyvtárakban kell közzétenni:
- / etc / OpenVPN / CERTS / Hab
- / etc / OpenVPN / CERTS / Hab
- / etc / OpenVPN / CERTS / Hab
- / etc / openvpn / certs / dhpem
- / etc / OpenVPN / CERTS / Hab
Ellenőrizze, hogy az összes fájl a következő:
Ls -l / etc / openvpn / certs /
Az ügyfélgépnek a következő fájlokat kell tartalmaznia, és Linux esetében helyezze el őket az alábbiak szerint:
- / etc / OpenVPN / CERTS / Hab
- / etc / OpenVPN / CERTS / Hab
- / etc / OpenVPN / CERTS / Hab
- / etc / OpenVPN / CERTS / Hab
Ellenőrizze, hogy az összes fájl a következő:
Ls -l / etc / openvpn / certs /
A fájlok letölthetők a program használatával SCP vagy más módon. Továbbá, tartalmuk másolható – beilleszthető, mert a szokásos szöveg.
Windows gépekhez hozzon létre egy mappát C: Programfájlok \ OpenVPN \ CERTS \ És helyezze ezeket a fájlokat:
- C: Programfájlok \ OpenVPN \ Certs \ Hab
- C: Programfájlok \ OpenVPN \ Certs \ Hab
- C: Programfájlok \ OpenVPN \ Certs \ Hab
- C: Programfájlok \ OpenVPN \ Certs \ Hab
Az OpenVPN szerver indítása
Ez egy univerzális utasítás a Debian, az Ubuntu, Linux menta, Kali Linux, Arch Linux és származékaik számára.
Konfigurációs fileOpenvpn
Az Archív / USR / share / doc / OpenVPN / Példák / minta-CONFIG-FILES / HAB vagy a / usr / share / OpenVPN / Példák mappa / vannak példák a konfigurációs fájlok. Innen el lehet vinni a Hab fájlt, és beállíthatja az Ön igényeit. Ha ezt az utasítást cselekedte, egyszerűen létrehozhat egy új fájlt / Etc / OpenVPN / Server / Hab
VIM / ETC / OpenVPN / Server / Hab
és másolja meg:
# Mi port használat # alapértelmezett érték # i kezelhető 53 port mimicing alatt DNS-forgalom # még egy ilyen környezetben néha segít, hogy kb # lehallgató portálok (Captive portálok) #port Port 53 # TCP vagy az UDP protokollt. Ajánlott UDP; Proto TCP-Server Proto UDP # nem kell megváltoztatnia; DEV TAP DEV TUN # gombok: Az első az első kiszolgáló kulcs a tanúsítási központ #, majd a nyilvános kiszolgáló csavarkulcsa, majd egy privát kulcskiszolgáló Ca / etc / OpenVPN / certs / HAB CERT / ETC / OpenVPN / certs / HAB KEY / ETC / OpenVPN / certs / HAB # Ez a fájl el kell helyezni a secret paraméterek Diffie Hellman DH / ETC / OpenVPN / certs / DHPEM # jön létre Virtuális helyi hálózat # Itt meghatározhatja annak paramétereit # nem kell változtatni semmit anélkül, hogy speciális okok topológia alhálózati Server # Ha a szerver újraindítására, az ügyfél lesz rendelve a korábbi IP-cím ifconfig-POOL-ENYHÜLNEK HAB # Ez a beállítás nem igaz Tehát, hogy ha kapcsolódik a VPN-hez # ügyfelek számára, akkor a VPN-kiszolgáló az alapértelmezett átjáró nyomógomb-átjáró-átjáró def1 bypass -dhcp # Ha vasúti vasúti beállítást, #, akkor több ügyfél számára használhatja ugyanazt a páros-nyilvános kulcsot,# De ez nem ajánlott; Ismétlődő-CN # ping távoli csomópont minden 10 másodpercben # és olvassa el esett, ha nem válaszolt másodpercben KeepAlive 10 # további védelme DOS támadások és az árvíz portok UDP # létrehozásának köszönhetően a HMAC tűzfal rovására további Sappings az SSL / TLS # a HAB fájl létrehozásának míg kulcsok generálása # Azt is meg kell szállítani minden ügyfél Remote-Cert-TLS kliens TLS-AUTH az / etc / OpenVPN / certs / HAB 0 # Ez a fájl kell tartani titkot a kiválasztási kriptográfiai titkosítási titkosítók # ügyfelek is # a verziók korábban #Cipher AESCBC # az adat-titkosítók AESGCM verzió: AESGCM # Engedélyezze a tömörítést és küldjön egy ügyfélbeállítót; tömörítő LZ4-V2 V2 # maximális számát a csatlakoztatott fogyasztók számára; Max -Clients # csökkentése OpenVPN # Demon kiváltságairól megkezdése után # # csak nem Windows rendszereken. ; A felhasználó senkinek; senki sem csoportosítja a memóriában lévő kulcsokat, ha nem működik # hozzáférést kap nekik, mivel csökkenti a fennmaradó kulcs Perzist-tun # rövid fájlja # Az aktuális állapot rövid fájlja # az aktuális kapcsolatokat tartalmazza Minden perces Állapot HAB # alapértelmezett naplók Ugrás a Syslog # naplóeszközre A naplófájl felülírása Minden alkalommal, amikor az OpenVPN elindul, a # és a napló-kiegészítő azt jelenti, hogy csak egy napló nézetet ad hozzá, és nem mindkettőt! ; Log hab, log-apend HAB # Level Verbrality # # 0 Silent, mellett végzetes hibák # 4 Normál használatra alkalmas az # 5 és 6 segítséget hibakeresés közben problémák megoldására összekötő # 9 Rendkívül verbális IGE 4 # Figyelmeztetés ügyfelet, hogy a szerver újraindul # A vevők automatikusan felismer. Explicit-Exit-Értesítést 1
Mentés és bezárás a fájlt.
Tesztelés és vízre OpenVPN szerver
Meg lehet próbálni a OpenVPN szerver beállításokat, mint ez:
OpenVPN / ETC / OpenVPN / server / HAB
Ha vannak hibák a konfigurációs fájl, akkor a program azonnal befejeződött egy hiba. Hogy oldja meg a problémákat, lehetővé rönkök az beállítások fájl, növeli a verbalitás 6 és tanulmányozzák a hiba log:
Cat / var / log / Hab cat / var / log / Hab
És ha minden rendben, hogy indítsa el a OpenVPN szerver és add meg a autoload
SystemCTL START OpenVPN-Server @ Habe SystemCTL állapota OpenVPN-Server @ Habe SystemCTL engedélyezése OpenVPN-Server @ Habe
Vegye figyelembe, hogy Systemctl Használt típus parancs OpenVPN-Server @ konfiguráció.Szolgáltatás, ahol Konfiguráció – Ez egy olyan konfigurációs fájl, amely a mappában található / etc / OpenVPN / Server / Server /, De bővülés nélkül .Conf
Ha ezt az utasítást követi, és nem változtatta meg a fájl nevét, akkor a fenti parancsok megfelelőek lesznek, nem kell megváltoztatniuk.
Ha hibát észleltél:
Options Hiba: – –explicit-Exit bejelenti Can nem használható –mode Server
Mot fájl / Etc / OpenVPN / Server / Hab
Az irányelv törlése
Explicit-Exit-Notify 1
A hiba oka az irányelv támogatásaExplicit-Exit-Notify 1Az OpenVPN-hez adódott a verzióból és a gépen, nyilvánvalóan az OpenVPN egy régebbi verzió.
Ha már használatban lévő hibát észlelt, például:
TCP / UDP: Socket Bind sikerült a helyi cím [AF_INET] [undef] A cím már használatban kilépés miatt Végzetes hiba
Ez azt jelenti, hogy a kikötő elfoglalt egy másik program. Ellenőrizze, hogy melyik program használja a portot, parancsot adhat meg:
Sudo netstat -tulpn | Grep: number_number
Például, hogy ellenőrizze a portot
Sudo netstat -tulpn | Grep
Használjon más port nem foglalt portot erre az OpenVPN-kiszolgáló és az ügyfélkonfigurációs fájlok módosítása Az irányelv módosítása 53. port.
Engedélyezze a forgalomirányítás az OpenVPN szerveren
Ebben a szakaszban, ha valaki csatlakozik az OpenVPN szerverhez, akkor nem lesz képes csatlakozni a globális hálózathoz. Hogy lehetővé tegye a forgalomirányítás konfigurálását.
Ehhez hozzon létre egy fájlt Vpn_hab.
Ne feledje, hogy létrehozok egy parancsfájlt a mappában / root / bin /, Ha nincs, akkor hozzon létre korábban
Mkdir / root / bin /
Ha egy parancsfájlt szeretne elhelyezni egy másik mappába, akkor szerkessze a következő adatokat az Ön alatt.
Fájl létrehozása:
Vim / root / bin / vpn_hab
B Ez a fájl a következő tartalmat másolja az Ön igényeinek megfelelően. Figyelni:
- Privát = / 24 Módosítsa az alhálózatot a beállítások szerint. Ha ezt az utasítást tették, akkor semmit sem kell megváltoztatni.
- Adja meg az értéket Dev! Adja meg a hálózati felület nevét. Ezt a nevet egy csapat lehet megtekinteni
IP A
Ha nem adja meg a nevet, akkor valószínű, hogy a számítógép letöltésekor a parancsfájl nem kap automatikusan a hálózati felület nevét, ezért a forgalomirányítás nem fog megfelelően működni!
#!/ Bin / sh # Adja meg az interfész nevét, különben a parancsfájl megpróbál automatikusan kiválasztani # dev = ‘eth0’ dev = ‘Ens3’ privát = / 24, ha [-z “$ dev”]; Akkor dev = $ (IP útvonal | GREP alapértelmezett | Fej -N 1 | Awk ‘{PRINT $ 5}’) fi # A továbbító csomagok forgatása az alagút interfész létrehozásához # megütötték a Systl Hab_forward külső felületét Meggyőződve arról, hogy az iptables nem blokkolja az átirányított forgalmat: iptables -i előre -J Elfogadja # Címek konverzió (NAT) az alagútból származó csomagokhoz # Ha a szállítmányt alapértelmezés szerint be kell kapcsolni, az alapértelmezett csomagok átirányításra kerülnek a forráscímre, változások nélkül, Vagyis az esetünkben * # Az ilyen csomagokat eltávolítják az átjáró ISP-en, vagy akár akkor is, ha azokat a rendeltetési helyre küldték, a válasz soha nem találja vissza az utat. # Ezeket a privát címek nem routing az Interneten. A megoldás az, hogy konvertálni címeket (NAT) kimenő forgalmat, # hogy van, cserélje ki a saját * címét nyilvános IP-címet a VPN szerver. # Ez lehetővé teszi választ, hogy elérje a VPN-kiszolgáló, # és ott fogják vissza kell küldeni az alagút. Iptables -t NAT -I POSTROUTING -S $ Private -o $ DeV -J Masquerade
Egy fájl futtatható:
CHMOD / root / bin / VPN_HAB
Ahhoz, hogy a változások most, a számítógép újraindítása előtt végezze:
bash / root / bin / vpn_hab
Ha minden rendben van, akkor hozzon létre egy fájlt, hogy add meg autoload / Etc / systemd / System / Habe:
VIM / ETC / systemd / SYSTEM / HABE
A következő tartalmakkal:
[Egység] Leírás = bekapcsolása OpenVPN közlekedési útvonal. [Service] execstart = / root / bin / vpn_hab [install] WANTEDBY = HAB
Ügyeljen arra, hogy a húr / Root / bin / vpn_hab Cserélje el az utat, ha feltöltött a fájlt máshol, vagy nevezzük másképp.
És aktiválja az AutoRun programot:
Systemctl Enable Enable-OpenVPN-útválasztás engedélyezése
OpenVPN szerver ügyfelek beállítása
A Windows létrehozása az OpenVPN használatához
Amint már említettük, a szükséges kulcsokat a következő mappákban kell megadni:
- C: Programfájlok \ OpenVPN \ Certs \ Hab
- C: Programfájlok \ OpenVPN \ Certs \ Hab
- C: Programfájlok \ OpenVPN \ Certs \ Hab
- C: Programfájlok \ OpenVPN \ Certs \ Hab
Most a mappában C: Programfájlok \ OpenVPN \ Config \ Fájl létrehozása Hab A következő tartalmakkal:
Figyelem: Cserélje ki a karakterláncot Távoli IP cím a!!!
# A program működik, mint egy kliens (és nem szerver) kliens # A legfontosabb beállítás: # Adja meg itt az IP-címét OpenVPN szerver # beállítások nem változott!!! Távoli # szerver a 53 port, ugyanazt a portot jelzi itt. Port 53 # ne változtassa meg a DEV TUN # kiválasztása TCP vagy UDP # jegyzőkönyvet meg kell egyeznie a szerveren; Proto TCP-Client Proto UDP # Host / IP név és szerver port. # Több távoli kiszolgálót adhat meg a terheléskiegyenlítéshez. ; Távoli My-Server-1; távoli My-Server-2 # Ha több gazdagépet adott meg a terhelés kiegyensúlyozásához; ha engedélyezi ezt az opciót, akkor véletlenszerűen lesz kiválasztva a sorban; távoli-véletlen # végtelenül próbál A NAME HOST # SERVER OpenVPN átalakítása. Nagyon hasznos gépeken # ami nem folyamatosan csatlakozik az internethez, senki # próbáljuk az előző állapothoz újraindítása után. Perzist-Key Persist-Tun # Itt konfigurálhatja a HTTP Proxy-t az OpenVPN Server # támogatott hitelesítéséhez a távoli proxy használatához; HTTP-Proxy-Retry # Újra próbálkozás a kapcsolódási hibákon; HTTP-proxy [proxy szerver] [Proxy port #] A vezeték nélküli hálózatok gyakran hozzanak létre sok duplikált csomagot # Kapcsolja be ezt a beállítást, hogy ne mutasson figyelmeztetéseket # a duplikátumokról; Némítás-visszajátszás-figyelmeztetések # módja a tanúsítványoknak #. # visszatérő flare árnyékolt CA C: \\ Program Files \\ \\ OpenVPN Certs \\ Hab Cert C: \\ Program Files \\ \\ OpenVPN Certs \\ Hab Key C: \\ Program Files \\ \\ OpenVPN Certs \ \ HAB # további védelem Remote-Cert-TLS Server # gombot további védelmet TLS-AUTH C: \\ Program Files \\ \\ OpenVPN Certs \\ HAB 1 # Állítsa be a titkosítást a szerver # rejtjel Aescbc # régi verziók Data-Ciphers AESGCM:AESGCM # tömörítés. NE kapcsolja be, ha nem szerepel a szerveren # comp-lzo # log verbal. Verb 3
Most válassza a Csatlakozás lehetőséget Ügyfél és nyomja meg Összekapcsol:
Ellenőrizheti az IP-t a Hab weboldalán?ACT = myip
Debian konfiguráció (Ubuntu, Linux Mint, Kali Linux), valamint Arch Linux (Blackarch) az OpenVPN használatához
Ez egy univerzális utasítás az összes Debian és Arch Linux származék számára az OpenVPN csatlakoztatásához.
Most az Ügyfél konfigurációja, amely az OpenVPNNA LINUX-ot használja. Amint azt szinte elején mondták, az OpenVPN csomagot már telepíteni kell.
A generált kulcsoknak ezeknek a fájloknak kell lenniük:
- / etc / OpenVPN / CERTS / Hab
- / etc / OpenVPN / CERTS / Hab
- / etc / OpenVPN / CERTS / Hab
- / etc / OpenVPN / CERTS / Hab
Ha nincs mappája / etc / OpenVPN / CERTS /, Létrehozni:
Sudo mkdir / etc / openvpn / certs /
És másolja az összes szükséges kulcsot.
Ellenőrizze, hogy az összes fájl a helyén van-e (4 fájl):
Ls -l / etc / openvpn / certs /
Fájl létrehozása / Etc / OpenVPN / Client / Hab
Sudo gedit / etc / OpenVPN / Client / Hab
És másolja be (győződjön meg róla, hogy megváltoztatja az IP-címet a karakterláncban Távoli Az OpenVPN szerver IP-címén):
# A program működik, mint egy kliens (és nem szerver) kliens # A legfontosabb beállítás: # Adja meg itt az IP-címét OpenVPN szerver # beállítások nem változott!!! Távoli # szerver a 53 port, ugyanazt a portot jelzi itt. Port 53 # ne változtassa meg a DEV TUN # kiválasztása TCP vagy UDP # jegyzőkönyvet meg kell egyeznie a szerveren; Proto TCP-Client Proto UDP # Host / IP név és szerver port. # Több távoli kiszolgálót adhat meg a terheléskiegyenlítéshez. ; Távoli My-Server-1; távoli My-Server-2 # Ha több gazdagépet adott meg a terhelés kiegyensúlyozásához; ha engedélyezi ezt az opciót, akkor véletlenszerűen lesz kiválasztva a sorban; távoli-véletlen # végtelenül próbál A NAME HOST # SERVER OpenVPN átalakítása. Nagyon hasznos gépeken # ami nem folyamatosan csatlakozik az internethez, senki # próbáljuk az előző állapothoz újraindítása után. Perzist-Key Persist-Tun # Itt konfigurálhatja a HTTP Proxy-t az OpenVPN Server # támogatott hitelesítéséhez a távoli proxy használatához; HTTP-Proxy-Retry # Újra próbálkozás a kapcsolódási hibákon; HTTP-proxy [proxy szerver] [Proxy port #] A vezeték nélküli hálózatok gyakran sok duplikált csomagot hoznak létre # Kapcsolja be ezt a beállítást, hogy ne mutasson figyelmeztetésekre # a duplikátumokról; Némítás-visszajátszás-figyelmeztetés # elérési út a Ca / etc / OpenVPN / CERTS / HAB CERT / ETC / OpenVPN / CERT / HAF gombra / Etc / OpenVPN / CERTS / Hab # További védelem távoli-cert-tls szerver # kulcsa a további védelemhez TLS-AUTH / ETC / OpenVPN / CERTS / Hab 1 # Ciphers a kiszolgálón # Cipher AESCBC # a régi verziókhoz Ciphers AESGCM: AESGCM # tömörítés. NE kapcsolja be, ha nem szerepel a szerveren # comp-lzo # log verbal. Verb 3
Tesztelheti az OpenVPN szerver beállításait:
Sudo OpenVPN / etc / OpenVPN / Client / Hab
A szavak Az inicializálási szekvencia befejeződött Javasoljuk, hogy a kapcsolat sikeres legyen.
Ha valamilyen oknál fogva nincs internet, akkor ellenőrizze, hogy az IP rögzíthető-e
Ping
És hogy a házigazdák neve ping
Ping
Ha a ping az IP-hez halad, de nincs-e gazdanév, majd nyissa meg a fájlt / etc / Hab:
Sudo gedit / etc / Hab
És cserélje ki a tartalmát:
NAMEERVER
És ha jól joga elindítani az OpenVPN klienst a háttérben, és ha szeretné, add hozzá az indításhoz. Nem szükséges, ha csak szükség szerint csatlakozhat az OpenVPN-hez.
Fuss:
Sudo systemctl start openvpn-client @ habe
Ellenőrizd az állapotot:
Sudo systemctl status openvpn-client @ habe
Az Autoload hozzáadásához:
Sudo systemctl Engedélyezze az OpenVPN-Client @ habe-t
Ha le kell állítania, akkor írja be:
Sudo systemctl stop openvpn-client @ habe
Ha szeretné letiltani az autorunot, akkor végezze el:
Sudo systemctl letiltja az OpenVPN-Client @ habe-t
Tanúsítványok beágyazása a fájlba .OVPN
A tanúsítványok nem feltétlenül külön fájlokban kell lenniük. A tanúsítvány közvetlenül megvalósítható a fájlhoz .OVPN És valójában nagyon kényelmes! Ez azt jelenti, hogy osztja a konfiguráció között OpenVPN szerver ügyfeleknek, akkor nem kell adási öt fájlt (beállítások és négy igazolásokat), hogy csak át csak egy beállítás fájlt, amely már beépített tanúsítványok.
Az OpenVPN lehetővé teszi, hogy fájlokat tartalmazzon az opciók által megadott fő konfigurációs fájlokba –Kb, –Cert, –Dh, –Extra Certs, –Kulcs, –Pkcs12, –Titok, –CRL-ellenőrzés, –http-proxy-user-pass, –TLS-AUTH és –TLS-Crypt.
Mielőtt minden egyes tanúsítvány sor választási lehetőség (Ha a szó opció helyett be kell írnia az opciót, hogy ez a tanúsítvány helyettesíti, azaz azt Kb, Cert, Dh stb). Amikor a tanúsítvány szövege véget ér, a záró címke be van állítva /választási lehetőség.
Példa a beépített tanúsítvány használatára:
A CERT megkezdi a tanúsítványt [] végi tanúsítvány / cert
Amint láthatja, teljesen másolja a fájlok tartalmát, megjegyzésekkel együtt. Ha a fájlt végrehajtják –Pkcs12, Ezután kódolni kell a baserize fájlban .P12 a Base64-ben, például az OpenSSL használatával
OpenSSL Base64 -N bemenet.P12
Fontolja meg kifejezetten a konfigurációnk számára. Négy tanúsítványt használunk:
C C C C: \\ Programfájlok \\ OpenVPN \\ CERTS \\ Hab CERT C: \\ Programfájlok \\ OpenVPN \\ CERTS \ HA HAB kulcs C: \\ Programfájlok \\ Openvpn \\ certs \ hab tls- AUTH C: Programfájlok \\ OpenVPN \\ certs \ t
Ezeket a négy vonalat el kell távolítani a konfigurációs fájlból. Vegye figyelembe, hogy TLS-AUTH a fájlnév után ér a szám egy olyan kiegészítő lehetőséget, és hogy ne vesszen el, add, hogy a már rendelkezésre álló lehetőségeket .OVPN Fájl karakterlánc:
Kulcsirány 1
Most közvetlenül a fájlhoz .OVPN Hozzáadás:
CA [] / CA CERT [] / CERT KEY [] / KEY TLS-AUTH [] / TLS-AUTH
Ahol a pontok helyett [& #;] Helyezze be teljesen a megfelelő tanúsítványokat / gombokat, a megjegyzésekkel együtt. Kiderül valami ilyesmi:
CA Kezdje a tanúsítványt [] End Certificate / CA CERT [] / CERT kulcs megkezdése Privát kulcs [] End Private Key / Key Tls-Auth # # bit OpenVPN statikus kulcs V [] End OpenVPN statikus kulcs v / tls-
Most fájlbeállítások .OVPN Letölthető a különböző OpenVPN-ügyfelekre: a telefonon, például egy másik számítógépen, az egyes tanúsítványfájlok már nem szükségesek.
Információk az OpenVPN új verzióinak kiadásáról
Információ az új verziók kibocsátásáról, valamint egy másik érdekes anyagról az OpenVPN-ről a fórumon.
Következtetés
Ha nincs saját VPS, és most meg akarja vásárolni, akkor egy pár link:
Neked ajánlott:
Alexey26 április, IP, Kali Linux, Linux, Linux Mint, OpenVPN, Ubuntu, VPN, Windows, az adatok korlátozása és blokkolása, az adatok titkosítása és a bűncselekmények
Comments are closed, but trackbacks and pingbacks are open.