Hogyan készítsünk OpenVPN-t

A kiszolgáló és az ügyfél OpenVPN konfigurálása

Tartalomjegyzék

1. Az orosz VPS használatával járó zárak megkerülése

2. Mit kell a VPN-nek, amit ad

3. Hogyan működik a VPN

4. Mi az OpenVPN

5. Törölje és működik az OpenVPN beállításához

6. OpenVPN tanúsítványok

7. Az OpenVPN telepítése

nyolc. OpenVPN gombok létrehozása

kilenc. Hozzon létre OpenVPN kulcsokat a Debianban, Ubuntuban, Linux Mint, Kali Linux-ban

OpenVPN gombok létrehozása Arch Linux, Blackarch

A kulcsfájlok elhelyezése a kiszolgálóra és az ügyfélre

Az OpenVPN szerver indítása

Konfigurációs fileOpenvpn

Az OpenVPN szerver tesztelése és elindítása

Engedélyezze a forgalomirányítás az OpenVPN szerveren

OpenVPN szerver ügyfelek beállítása

A Windows létrehozása az OpenVPN használatához

Debian konfiguráció (Ubuntu, Linux Mint, Kali Linux), valamint Arch Linux (Blackarch) az OpenVPN használatához

Tanúsítványok beágyazása a fájlba .OVPN

Információk az OpenVPN új verzióinak kiadásáról

Következtetés

Az orosz VPS használatával járó zárak megkerülése

Kezdjük egy kis Life Haka-val: Ha már van VPS (virtuális privát szerver, egy típusú tárhely, mikor, eltérően egy közös (megosztott tárhely), akkor nem mappa a szerveren, hanem egy egész virtuális gép, amelyben Ön telepítheti az operációs rendszert, és testreszabhatja azt, ahogyan azt kérem), így, ha már van VPS, és még akkor is, ha a virtuális kiszolgáló az Orosz Föderációban van, akkor nagyon valószínű, hogy alkalmas a Roskomnadzor zárak megkerülésére.

Ennek ellenõrzése, adott esetben konfigurálja a VPN-t a távoli kiszolgálóhoz való csatlakozáshoz (például az SSH), és próbáljon meg valamit elvégezni:

Curl Blocked_URL_IIP

Valószínű, hogy megkapja a zárolt HTML forrás oldal kódja, hogy azt jelenti, hogy az orosz VPS beállíthatja VPN bypass blokkoló.

Elvileg az oka nyilvánvaló: a zárak felszerelése csak az utolsó mérföld szolgáltatóinak megállapítására. T.E. Ezek különböző rostelecoms, blayna és t.Ns. azok, akik az internetért fizetnek.

Ki írja az orosz VPS-t a megjegyzésekben, letiltotta a webhelyeket VPS-en keresztül, vagy sem? Érdekes lesz néhány statisztikát gyűjteni. Azt is adja meg, hogy az IPv6 konfigurálva van-e, könnyű.

Csak ne gondoljam, hogy idézem a bérleti díjat, hogy pontosan orosz VPS megkerülje a blokkoló nem, csak akkor, ha webmester, és már van ilyen szerver, akkor néhány dollárt takaríthat meg havonta, anélkül, hogy bérelnénk egy idegen VP-t a VPN alatt.

Mit kell a VPN-nek, amit ad

A VPN létrehoz egy kapcsolatot egy vagy több számítógép között. Ez a kapcsolat megbízható titkosítást használ. Ennek eredményeként biztonságosan továbbíthatja az adatokat megbízhatatlan kapcsolatok segítségével. Például, amikor csatlakozik a nyílt Wi-Fi hálózatra, a forgalom függvényében SNOFFING, mind a többi eszköz a helyi hálózaton, illetve azoktól, akik nem is erre a hálózatra csatlakoztatott elég, hogy elkapjam a vezeték nélküli forgalom csatlakozás nélkül. De ha a VPN-t a nyitott hálózathoz való csatlakozás után kezeli, akkor a forgalmát titkosított formában továbbítják.

Ebből a titkosított forgalomból lehetetlen bármilyen adatot kivonni. Például, ha nem egy VPN megnyit egy weboldal segítségével HTTPS, majd ennek eredményeként SNFFing lehetetlen kideríteni, hogy melyik adatot küldött és mely oldalakat látogatott. De még a https-val is láthatja, hogy milyen webhelyeket csatlakoztat. Amikor egy VPN harmadik fél, akkor is, ha van hozzáférése a forgalom, nem lehet meghatározni, hogy melyik oldalakat megnyitott vagy kivonat egyéb adatokat a teljes forgalom áramlását titkosított adatokat, amelyek ugyanazt az értéket idegenek, mint a véletlenszerű halmaza nullák és egységek.

Hogyan működik a VPN

A VPN technológia lehetővé teszi, hogy több eszközt is kombináljon egy biztonságos hálózathoz.

A munkájában a VPN a kiszolgáló és az ügyfél részét használja. Az egyik kiszolgálónak számos olyan ügyfele lehet, akik egy virtuális magánhálózatba kerülnek, ahol biztonságosan cserélhetnek adatokat.

Ha valamilyen ügyfélnek hozzáférnie kell a globális hálózathoz, akkor a VPN-kiszolgálóra utal, ez a kiszolgáló adatokat kap, és átirányítja a kért ügyfelet. Ennek a munkának köszönhetően a VPN-t gyakran használják az IP elrejtésére és a blokkolás megkerülésére.

Például ha konfigurálva a VPN-kiszolgáló a számítógépen (például a VPS virtuális privát szerver), amely nem az Orosz Föderáció, akkor, amikor belépnek az interneten, ez a szerver információkat kér az Ön számára, ennek eredményeként, Az IP-címe rejtve lesz (megjeleníti a távoli kiszolgáló IP-címét), és mivel az orosz zárak nem működnek külföldi számítógépeken, akkor hozzáférhetnek bármely webhelyen, amelyet közvetlenül nem lehet megnyitni.

Mi az OpenVPN

Az OpenVPN egy ingyenes nyílt forráskódú program, amely végrehajtja a VPN technológiát. Ez a program ügyfélrész és szerver. Különböző operációs rendszereken dolgozik, beleértve a Linuxot és a Windows-t is.

Az előfordulási gyakoriságnak köszönhetően még vannak routerek, amelyek támogatják az OpenVPN-t.

Törölje és működik az OpenVPN beállításához

Megpróbáltam minden egyes lépést a lehető legegyszerűbben leírni. Ha bármilyen kérdése van, írja be őket a megjegyzésekben.

Nem lusta voltam, és ellenőrizte az OpenVPN-kiszolgáló működtethetőségét két VPS-on’Arch Linux által kezelt Arch Linux (a fő virtuális szerverem) és a Debian (speciálisan írásbeli utasítások esetén), valamint a Windows, Debian (Kali Linux, Ubuntu), Arch Linux.

T.E. Ha nem működik, vagy hibák fordulnak elő, akkor próbálkozzon a műveletek gondosabban. Ha ez nem segít, akkor írjon a megjegyzésekben, próbálja meg kitalálni.

Az összes részletességgel ez az utasítás nem teljes noobs, legalábbis:

• VPS-nek kell lennie
• Képesnek kell lennie arra, hogy a szövegszerkesztőket a parancssori interfésszel (Vim vagy Nano) használhatja. Nano könnyebb, ha nem tudja, hogyan kell használni a vim, akkor a parancsok, cserélje ki a nano-val

Nos, elegendő koncentrációra van szükség ahhoz, hogy ne zavarja őket. Az ilyen megközelítés plusz (az aszimmetrikus titkosítás és a különböző kiegészítő védelem használatával) az, hogy ha a titkosítási kulcsokat feloldják, a továbbított forgalmat semmilyen módon nem lehet visszafejteni, nincs szuperszámítógépek.

OpenVPN tanúsítványok

Az OpenVPN-t úgy állítjuk be, hogy a munkájában a program tanúsítványokat fogja használni. Ez egy nagyon megbízható módja annak, hogy titkosítja a továbbított forgalmat, és megvédje a kapcsolatot a kiszolgálóval.

Az OpenVPN beállítása világosabb lesz, ha megérti a kriptográfiai alapítványokat.

A kriptográfiában van egy koncepció a szimmetrikus titkosítás és aszimmetrikus titkosítás.

A szimmetrikus titkosítás példája: A titkosításhoz jelszót használnak, ugyanazt a jelszót használják a dekódoláshoz.

Aszimmetrikus titkosítással az adatok egy kulcskal titkosítva vannak, de a másik által visszafejtik.

Például, ha nyilvános kulcs használatával titkosítva: Két kulcs van: privát és nyilvános kulcs (nyilvános kulcsot neveznek tanúsítványnak). A magánt titokban kell tárolni, és az állami elterjedt szabadon terjed. Nyilvános kulcs használatával titkosíthatja az üzeneteket és ellenőrizze az elektronikus digitális aláírás ellenőrzését. Privát kulcs használatával dekódolhatja az üzeneteket titkosítva egy nyilvános kulcs, és aláírhatja az adatok elektronikus aláírását.

Ha két oldal van saját privát kulcsában, és nyilvános kulcsokat cserélnek, akkor az adatok küldése előtt titkosítják őket a másik oldal nyilvános kulcsával. Az ilyen titkosított adatok csak egy privát kulcs tulajdonosának igazi címzettjét megfejthetik.

De ez nem minden. A párok nem hozhatók létre egyszerűen, így azokat az engedélyezési központ (hitelesítő hatóság (CA)) kell aláírnia. A tanúsítványok aláírásához a tanúsító hatóság saját magánkulcsot használja. És így, hogy ellenőrizni tudja, hogy a tanúsítvány valóban aláírt egy felhatalmazott tanúsító hatóság nyilvános kulcs (tanúsítvány) az e CA oszlik.

Szóval kiderül, hogy:

• A kiszolgálónak két fájlja van (tanúsítvány, t.E. Nyilvános kulcs, és privát kulcs)
• Az ügyfélnek két fájlja van (tanúsítvány, t.E. Nyilvános kulcs, és privát kulcs)
• A tanúsító hatóságnak két fájlja van (tanúsítvány, t.E. Nyilvános kulcs, és privát kulcs)

A tanúsítványok nem titok, és a magánkulcsoknak titokban kell lenniük!

• Ezenkívül generált fájl .PEM: Diffplee Hellman Protocol (Anglia. Diffie-Hellman, DH) kriptográfiai protokoll, amely lehetővé teszi két vagy több oldal számára, hogy közös titkos kulcsot kapjanak a kommunikációs csatorna védelem nélküli kommunikációs csatornával. A kapott kulcs titkosításához használt további cseréjére szimmetrikus titkosítási algoritmusokat.

Hét kötelező fájlt kiderül.

• Ha további HMAC aláírást szeretne hozzáadni az SSL / TLS Handshake csomagokhoz, létrehozhat egy másik fájlt, amely nyolcadik lesz. Ez egy opcionális fájl, de továbbra is használjuk, mert lehetővé teszi, hogy eldobja az egyértelműen nem megfelelő csomagokat.

Ez a fájl számát, és zavart okozhat. De ha megérted, hogy milyen fájl az, amit használnak, akkor nincs probléma.

Ha valaki érdekel, nézze meg a megfelelő cikkeket a Wikipédiában (ha nem teljesen tisztázott neked, akkor ne aggódj, még mindig hangoljuk a VPN-t):

Az összes tanúsítvány létrehozása után közvetlenül be kell állítania a kiszolgálót és az ügyfelet. Ez a beállítás az, hogy a generált kulcsfájlokat a kiszolgáló és az ügyfelek megfelelő helyére kell másolni (a páros ügyfelek mindegyike nyilvános-magán kulcs), és adja meg a kulcsok elérési útját, adja meg az IP-kapcsolatok és néhány egyéb opciók.

Az OpenVPN telepítése

A különböző rendszerekben az OpenVPN egy kicsit másképp. Linuxban egyszerre telepítjük mind a kiszolgálót, mind az ügyfelet. A Windows rendszerben csak az ügyféllel fogunk dolgozni. T.E. Telepítenie kell és a szerveren, és az ügyfélgépen. Például, ha van egy VPS Linux, és akkor használja a VPN egy otthoni számítógép Windows, majd telepítse OpenVPN mindkét gépen ahogy meg van írva minden rendszert az alábbiak.

Az OpenVPN telepítése Debianban, Ubuntuban, Linux Mint, Kali Linux

A csomagok telepítéséhez elegendő a következő parancsok végrehajtásához (javasoljuk, hogy a rendszer frissítse és újrainduljon):

Sudo apt frissítés sudo apt Install OpenVPN Easy-RSA

Az OpenVPN telepítése Arch Linux, Blackarch

A telepítést a következő parancs végzi:

Sudo pacman -s openvpn Easy-RSA

Telepítse az OpenVPN-t a Windows rendszerbe

Windows esetén az OpenVPN grafikus héjjal rendelkezik. Menj a Hab oldalra, keressen egy fájlt Windows Installer (NSIS) És töltse le a telepítőt a kiterjesztéssel .alkalmazás. Vagy töltse le a közvetlen linklab legújabb verzióját

A telepítés a Windows programok szokásos módon történik a telepítővarázslóval.

Kérjük, vegye figyelembe, hogy ha szeretné, ellenőrizheti az ellentétes négyzetet EASYRSA 2 tanúsítványkezelő szkriptek. Ez egy program és szkript, amely kulcsokat generál. Ebben az utasításban kulcsokat fogunk létrehozni a Linux gépen, T.E. Nem kell ezeket a parancsfájlokat, de ha szeretné, telepítheti őket.

Az OpenVPN GUI-hiba problémájának megoldása nem támogat több mint 50 konfigurációt. Kérjük, lépjen kapcsolatba a szerzővel, ha többre van szüksége.

Hiba történt:

Az OpenVPN GUI nem támogat több mint 50 konfigurációt. Kérjük, lépjen kapcsolatba a szerzővel, ha többre van szüksége.

Meg kell javítani, menj a mappába C: Programfájlok \ OpenVPN \ Config \ és törölje a fájlokat. Ezek a fájlok elhagyhatják az OpenVPN-alapú összeszerelést.

OpenVPN gombok létrehozása

Javasoljuk, hogy a tanúsító hatóság külön számítógép, a szerver kulcsot generálunk egy másik számítógépen, és minden ügyfél generált a kulcsokat a számítógépen.

Az egyszerűség érdekében ugyanazon a rendszeren (az OpenVPN-kiszolgálón) műveleteket hajtok végre, majd elhalasztja az ügyfélkulcsokat a kívánt számítógépre.

Fájl név	Szükség valamire	Cél	Titok
Hab	Szerver + Minden ügyfél	Nyilvános kulcs (tanúsítvány) a gyökérző hatóság (CA)	NEM
Hab	Csak a gép aláíró gombjaira	Private Certification Root Center (CA)	IGEN
Dh {n}.PEM	Csak kiszolgáló	Paraméterek DIFFY HELMANA	NEM
Hab	Szerver + Minden ügyfél	HMAC aláírása SSL / TLS csomagokhoz	IGEN
Hab	Csak kiszolgáló	Szerver tanúsítvány (nyilvános kulcs)	NEM
Hab	Csak kiszolgáló	Privát kulcsszerver	IGEN
Hab	csak ügyfél1	Tanúsítvány (nyilvános kulcs) ügyfél1	NEM
Hab	csak ügyfél1	Privát kulcs kliens1	IGEN
Hab	csak ügyfél2	Tanúsítvány (nyilvános kulcs) ügyfél2	NEM
Hab	csak ügyfél2	Privát kulcs kliens2	IGEN
Hab	csak ügyfél3	Tanúsítvány (nyilvános kulcs) ügyfél3	NEM
Hab	csak ügyfél3	Privát kulcs kliens3	IGEN

A kulcsok bármely operációs rendszeren generálhatók, amelyek bármelyik operációs rendszeren is dolgoznak. Például a szerveren fut Arch Linux és kulcsok jönnek létre, és akkor az ügyfél kulcsok továbbítjuk a Windows vagy Ubuntu.

A rendszertől függően válassza ki a kívánt utasítást: a Debian származékokhoz vagy az Arch Linux származékaihoz.

Hozzon létre OpenVPN kulcsokat a Debianban, Ubuntuban, Linux Mint, Kali Linux-ban

A tanúsítási központ inicializálásával kezdődnek:

CD / usr / share / Easy-RSA export Easyra = $ (pwd) sudo ./ Easyra Init-PKI sudo dd ha = / dev / urandom = PKI /.Rand bs = count = 1 sudo dd, ha = / dev / urandom = PKI /.Rnd bs = count = 1 sudo ./ EASYRSA BUILD-CA

Szükség lesz arra, hogy jöjjön fel, és adja meg a jelszót 4-ről karakterre kétszer.

Két fájl jön létre:

• / Usr / Share / Easy-RSA / PKI / Hab
• USR / Share / Easy-RSA / PKI / magán / Hab

Először (Hab) tanúsítvány, t.E. Nyilvános tanúsító központ. Azt is szükséges a szerver és minden ügyfélnek a segítségével meg fogják ellenőrizni, hogy a nyilvános kulcs mások valóban aláírta a Certification Center és hogy valaki nem hagyta, nem hagyta jóvá a Certification Center.

Hozzon létre egy mappát, ahol az összes OpenVPN szerver tanúsítvány:

Mkdir / etc / openvpn / certs /

És azonnal másolja az első fájlt:

CP / USR / Share / Easy-RSA / PKI / HAK / etc / OpenVPN / CERTS / Hab

OpenVPN szerver gombok létrehozása

Most meg kell hoznunk egy kiszolgáló OpenVPN Server kulcsokat.

./ EASYRSA GEN-REQ Server Nopass

Ehhez alá kell írnia a tanúsítási kulcskulcsok igazolását:

./ EASYRSA SIGN-REQ Server Server

Kérdezzük meg, hogy pontosan szeretnénk aláírni, írjuk be Igen, Ezután írja be a jelszót a tanúsító központból (CA).

Amikor megjelenik a kifejezés:

Adja meg a Pass Pass Pass for / usr / Share / Easy-RSA / PKI / Private / Hab:

Meg kell adnia a regisztrációs központ jelszavát, amelyet az előző lépésben telepítettek.

Másolja a kívánt mappákat, amelyek szükségesek az OpenVPN szerver elindításához:

CP / usr / share / Easy-RSA / PKI / Kiadva / Hab / ETC / OpenVPN / certs / CP / usr / share / EASY-RSA / PKI / private / HAB az / etc / openvpn / certs /

A Diffie-Hellman (DH) paraméterfájl szükséges a nyilvános kulcsok csere protokolljához.

OPENSSL DHPARAM -OUT / ETC / OpenVPN / CERTS / DHPEM

HMAC kulcs létrehozása:

Sudo openvpn –enkey titkos / etc / openvpn / certs / Hab

Most 5 fájlunk van az OpenVPN szerver elindításához, az / etc / OpenVPN / CERT / mappában /. Ellenőrizze, hogy az összes fájl a következő:

Ls -l / etc / openvpn / certs /

Az OpenVPN létrehozása és alosztályozó ügyfelei

./ EASYRSA GEN-REQ kliens1 nopass ./ Easyli Sign-REQ Client Client1

Hasonlóképpen, meg kell válaszolni a kérdésre Igen és írja be a hitelesítő hatóság jelszavát.

Most töltse le a fájlt a kiszolgálóról / etc / OpenVPN / CERTS / Hab és helyezze ugyanazt az utat, t.E. / etc / OpenVPN / CERTS / Hab Egy ügyfélgépen.

Töltse le a fájlt a kiszolgálóról / etc / OpenVPN / CERTS / Hab és helyezze ugyanazt az utat, t.E. / etc / OpenVPN / CERTS / Hab Egy ügyfélgépen.

Töltse le a fájlt a kiszolgálóról / Usr / Share / Easy-RSA / PKI / Kiadott / Hab, De az ügyfélkocsiban helyezze az utat / etc / OpenVPN / CERTS / Hab.

Töltse le a fájlt a kiszolgálóról USR / Share / Easy-RSA / PKI / magán / Hab, De az ügyfélkocsiban helyezze az utat / etc / OpenVPN / CERTS / Hab.

A fájlok szövegszerkesztővel és másolat-betét segítségével nyithatók meg az ügyfélgéphez.

Ellenőrizze, hogy az összes fájl a helyén van-e (legyen négy fájl az ügyfélen):

Ls -l / etc / openvpn / certs /

Tehát, ha már létrehozott kulcsok Debian (vagy származékai), akkor nem kell létrehoznia kulcsok Arch Linux, T.E. Ugrás a következő részre.

A régi verzió – nem releváns

Ha a fenti parancs hibát okozott, akkor van egy régi változata Easy-RSA, a következő parancsokat kell dolgozni benne:

CD / usr / share / Easy-RSA CP OpenSSLCNF HAB FORRÁS ./ Vars ./ Clean-all ./ Beépített Ca

Két fájl jön létre:

• / Usr / Share / Easy-RSA / Keys / Hab
• / Usr / Share / Easy-RSA / Keys / Hab

Először (Hab) tanúsítvány, t.E. Nyilvános tanúsító központ. Azt is szükséges a szerver és minden ügyfélnek a segítségével meg fogják ellenőrizni, hogy a nyilvános kulcs mások valóban aláírta a Certification Center és hogy valaki nem hagyta, nem hagyta jóvá a Certification Center.

Hozzon létre egy mappát, ahol az összes OpenVPN szerver tanúsítvány:

Mkdir / etc / openvpn / certs /

És azonnal másolja az első fájlt:

CP / USR / Share / Easy-RSA / Keys / Hab / etc / OpenVPN / Certs / Hab

OpenVPN szerver gombok létrehozása

Most meg kell hoznunk egy kiszolgáló OpenVPN Server kulcsokat.

./ Build-Key-Server ServerName

Az összes érték alapértelmezés szerint maradhat. Pozitívan válaszolunk két kérésre:

Aláírja a tanúsítványt? [Y / N]: y ki az 1 tanúsítványkérés tanúsítvánnyal, elkövetve? [Y / n] y

Másolja a kívánt mappákat, amelyek szükségesek az OpenVPN szerver elindításához:

CP / USR / share / EASY-RSA / Keys / HAB / ETC / OpenVPN / certs / CP / USR / share / EASY-RSA / Keys / HAB / ETC / OpenVPN / certs /

A Diffie-Hellman (DH) paraméterfájl szükséges a nyilvános kulcsok csere protokolljához.

./ BUILD-DH MV / USR / SHARE / EASY-RSA / KEYS / DHPEM / ETC / OpenVPN / CERTS /

HMAC kulcs létrehozása:

Sudo openvpn –enkey titkos / etc / openvpn / certs / Hab

Most 5 fájlunk van az OpenVPN szerver elindításához, az / etc / OpenVPN / CERT / mappában /. Ellenőrizze, hogy az összes fájl a következő:

Ls -l / etc / openvpn / certs /

OpenVPN kliens gombok létrehozása

./ Build-Key Client1

Az összes érték alapértelmezés szerint maradhat. Pozitívan válaszolunk két kérésre:

Aláírja a tanúsítványt? [Y / N]: y ki az 1 tanúsítványkérés tanúsítvánnyal, elkövetve? [Y / n] y

Most töltse le a fájlt a kiszolgálóról / etc / OpenVPN / CERTS / Hab és helyezze ugyanazt az utat, t.E. / etc / OpenVPN / CERTS / Hab Egy ügyfélgépen.

Töltse le a fájlt a kiszolgálóról / etc / OpenVPN / CERTS / Hab és helyezze ugyanazt az utat, t.E. / etc / OpenVPN / CERTS / Hab Egy ügyfélgépen.

Töltse le a fájlt a kiszolgálóról / Usr / Share / Easy-RSA / Keys / Hab, De az ügyfélkocsiban helyezze az utat / Etc / OpenVPN / certs / HAB.

Töltse le a fájlt a szerver / Usr / share / Easy-RSA / kulcsok / HAB, De az ügyfél autó, helyezze azt az utat / Etc / OpenVPN / certs / HAB.

Fájlokat lehet megnyitni egy szövegszerkesztővel, és copy-betét a kliens gépen.

Ellenőrizze, hogy az összes fájl a helyén van (nem kell négy fájlokat a kliens):

LS -L / ETC / OpenVPN / certs /

Tehát, ha már létrehozott kulcsok Debian (vagy származékai), akkor nem kell létrehoznia kulcsok Arch Linux, T.E. Ugrás a következő fejezetben.

Létrehozása OpenVPN kulcsok Arch Linux, Blackarch

Kiterjed

Létrehozása a Certification Center kulcsok

Kezdjük inicializálása Certification Center:

CD / ETC / Easy-RSA EXPORT EASYRSA = $ (PWD)

A következő parancs, akkor formázza meg a nyilvános kulcsú infrastruktúra:

Easyrsa Init-PKI

Mi lesz warful, hogy az előző infrastruktúra törlődik, és ha azt akarjuk, hogy továbbra is meg kell tárcsázni Igen.

Mi generál tanúsító hatóságok:

Easyrsa Beépített Ca

Szükség lesz arra, hogy jöjjön fel, és adja meg a jelszót 4-ről karakterre kétszer.

Két fájl jön létre:

• / Etc / Easy-RSA / PKI / Hab
• / Etc / Easy-RSA / PKI / magán / hab

Először (Hab) tanúsítvány, t.E. Nyilvános tanúsító központ. Azt is szükséges a szerver és minden ügyfélnek a segítségével meg fogják ellenőrizni, hogy a nyilvános kulcs mások valóban aláírta a Certification Center és hogy valaki nem hagyta, nem hagyta jóvá a Certification Center.

A kiszolgálógépen a fájlnak az / etc / OpenVPN / CERTS / BAB-n kell lennie, mivel van egy CA és a kiszolgáló egy gép, akkor létrehozok egy mappát, ahol az összes OpenVPN szerver tanúsítvány lesz:

Mkdir / etc / openvpn / certs /

És azonnal másolja az első fájlt:

CP / etc / Easy-RSA / PKI / HAK / etc / OpenVPN / CERTS / Hab

OpenVPN szerver gombok létrehozása

Most meg kell hoznunk egy kiszolgáló OpenVPN Server kulcsokat. Ha ezt egy másik gépen végzi, inicializálni kell:

CD / etc / Easy-RSA EASYRSA INIT-PKI

Minden olyan műveletet végezek egy számítógépen, ezért azonnal fordulok a következő lépéshez:

CD / etc / Easy-RSA EASYRSA GEN-REQ SERVERNAME NOPASS

Meg kell adnia a kiszolgáló nevét, ahová elhagyom az alapértelmezett értéket.

Két fájl jön létre:

• / Etc / Easy-RSA / PKI / magán / hab
• / Etc / Easy-RSA / PKI / REQS / Hab

Az első az OpenVPN-kiszolgáló privát kulcsa, amelyet a titokban tárolnak, és amelyet azonnal a megfelelő helyre költözhet, mert nem igényel további feldolgozást. Ha egy OpenVPN-kiszolgáló van egy másik gépen, helyezze ezt a fájlt az / etc / OpenVPN / CERTS / mappába, ehhez hozzon létre:

Mkdir / etc / openvpn / certs /

Mivel van egy CA és a kiszolgáló egy autó, akkor azonnal áthelyezem a fájlt a megfelelő helyre:

CP / etc / Easy-RSA / PKI / magán / Hab / etc / OpenVPN / CERTS /

De a Hab fájl egy lekérdezési fájl, amelyet a tanúsító hatóság aláír. Tehát ha van egy hitelesítő hatóság egy másik számítógépen, akkor adja át a mappába / Etc / Easy-RSA / PKI / REQS /, Ha ugyanazon a számítógépen tanúsító hatóság van, akkor hagyja őket, ahol hazudnak.

Diffie-Hellman (DH) paraméterfájl

Ez a fájl a nyilvános kulcsok csere protokolljához szükséges.

Az OpenVPN szerver gépen hozzon létre egy DHPEM parancsot a parancs segítségével:

OPENSSL DHPARAM -OUT / ETC / OpenVPN / CERTS / DHPEM

Ne feledje: Az értékek nagyobbak lehetnek, mint például (például), de jelentősen több időt igényel a létrehozáshoz, és semmi sem kerül a biztonsághoz; Javasoljuk, hogy az RSA kulcs megfelelő hosszának hossza hossza legyen.

Ismét az OpenVPN szerveren hozzon létre egy HMAC gombot:

Sudo openvpn –enkey titkos / etc / openvpn / certs / Hab

Használja a további HMAC aláírást az SSL / TLS Handshake csomagokhoz. Ennek eredményeként minden olyan UDP-t, amely nem rendelkezik a megfelelő HMAC aláírással, azonnal eldobja a következőket:

• Szkennelési portok.
• Dos támadások az UDP port OpenVPN-ben.
• Inicializálás SSL / TLS HENDSHKA jogosulatlan gépekről.
• Bármilyen lehetséges puffer túlcsordulási sérülékenység az SSL / TLS végrehajtásában.

OpenVPN kliens gombok létrehozása

Az ügyfélfájlok bármely gépen generálhatók. Ha a tanúsító hatóság még nincs inicializálva, megtesszük:

CD / etc / Easy-RSA EASYRSA INIT-PKI

Generálunk egy ügyfél privát kulcsot és egy lekérdezési fájlt:

CD / etc / Easy-RSA Easylisa Gen-Req Client1 nopass

Két fájl jön létre:

• / Etc / Easy-RSA / PKI / magán / hab
• / Etc / Easy-RSA / PKI / REQS / Hab

Az első egy privát kulcs, letöltenie kell az OpenVPN Server Client klienst és a második lekérdezési fájlt, alá kell írni egy ügyfél-tanúsítvány létrehozásához. Tehát ha van egy hitelesítő hatóság egy másik számítógépen, akkor adja át a mappába / Etc / Easy-RSA / PKI / REQS /, Ha ugyanazon a számítógépen tanúsító hatóság van, akkor hagyja őket, ahol hazudnak.

Az ügyfelek számára annyi párot hozhat létre, hogy mennyire szüksége van minden ügyfélnek saját nyilvános magánszemélypárra.

A tanúsítványok tanúsító központjának aláírása

Most arra van szükség, hogy írja alá a szerver kérések és az ügyfél fájlokat, hogy tanúsítványokat (nyilvános kulcs), valamint a hely fájlokat a kívánt mappák. Kezdjük az aláírással.

Ha van egy tanúsító hatóság, amely egy külön gépen található, akkor adja meg a kérésfájlokat .Req mappában / Etc / Easy-RSA / PKI / REQS /

Most a Tanúsítványközpontban kövesse:

CD / etc / Easy-RSA Easyrna Sign-Req Server ServerName Easyli Sign-Req Client Client1

Mindkét alkalommal felkérik, hogy gondoljunk arra, hogy igazán szeretnénk aláírni ezeket a fájlokat, és ténylegesen bízunk a forrásban. Be kell írnia a jelszót is, hogy jöttünk fel, amikor a generált hitelesítő hatóság kulcsai.

Ennek eredményeképpen a következő fájlok jönnek létre:

• / Etc / Easy-RSA / PKI / Kiadott / Hab
• / Etc / Easy-RSA / PKI / Kiadott / Hab

A felesleges lekérdezési fájlokat törölheti:

RM / etc / Easy-RSA / PKI / REQS / *.Req

Mozgassa a kiszolgálófájlokat:

Mv / etc / Easy-RSA / PKI / Kiadott / Hab / etc / OpenVPN / CERTS / Hab Chown gyökerek / etc / OpenVPN / CERTS / HAF MV / etc / Easy-RSA / PKI / privát / Hab / etc / OpenVPN Certs / Hab Chown gyökér: gyökér / etc / OpenVPN / Certs / Hab

Ennek eredményeként a kulcsfájlok a megfelelő könyvtárban kerülnek közzétételre.

Ellenőrizze, hogy az összes fájl a helyén van-e (legyen öt fájl az ügyfélen):

Ls -l / etc / openvpn / certs /

Fájlok betöltése az ügyfélgépekhez

• Most töltse le a fájlt a kiszolgálóról / etc / OpenVPN / CERTS / Hab és helyezze ezért az utat, t.E. / etc / OpenVPN / CERTS / Hab Egy ügyfélgépen.
• Töltse le a fájlt a kiszolgálóról / etc / OpenVPN / CERTS / Hab és helyezze ugyanazt az utat, t.E. / etc / OpenVPN / CERTS / Hab Egy ügyfélgépen.
• Töltse le a fájlt a kiszolgálóról / Etc / Easy-RSA / PKI / Kiadott / Hab, De az ügyfélkocsiban helyezze az utat / etc / OpenVPN / CERTS / Hab.
• Töltse le a fájlt a kiszolgálóról / Etc / Easy-RSA / PKI / magán / hab, De az ügyfélkocsiban helyezze az utat / etc / OpenVPN / CERTS / Hab.

A fájlok szövegszerkesztővel és másolat-betét segítségével nyithatók meg az ügyfélgéphez.

Ellenőrizze, hogy az összes fájl a helyén van-e (legyen négy fájl az ügyfélen):

Ls -l / etc / openvpn / certs /

A kulcsfájlok elhelyezése a kiszolgálóra és az ügyfélre

Tehát öt fájlnak kell lennie a szerveren, és azokat a következő könyvtárakban kell közzétenni:

• / etc / OpenVPN / CERTS / Hab
• / etc / OpenVPN / CERTS / Hab
• / etc / OpenVPN / CERTS / Hab
• / etc / openvpn / certs / dhpem
• / etc / OpenVPN / CERTS / Hab

Ellenőrizze, hogy az összes fájl a következő:

Ls -l / etc / openvpn / certs /

Az ügyfélgépnek a következő fájlokat kell tartalmaznia, és Linux esetében helyezze el őket az alábbiak szerint:

• / etc / OpenVPN / CERTS / Hab
• / etc / OpenVPN / CERTS / Hab
• / etc / OpenVPN / CERTS / Hab
• / etc / OpenVPN / CERTS / Hab

Ellenőrizze, hogy az összes fájl a következő:

Ls -l / etc / openvpn / certs /

A fájlok letölthetők a program használatával SCP vagy más módon. Továbbá, tartalmuk másolható – beilleszthető, mert a szokásos szöveg.

Windows gépekhez hozzon létre egy mappát C: Programfájlok \ OpenVPN \ CERTS \ És helyezze ezeket a fájlokat:

• C: Programfájlok \ OpenVPN \ Certs \ Hab
• C: Programfájlok \ OpenVPN \ Certs \ Hab
• C: Programfájlok \ OpenVPN \ Certs \ Hab
• C: Programfájlok \ OpenVPN \ Certs \ Hab

Az OpenVPN szerver indítása

Ez egy univerzális utasítás a Debian, az Ubuntu, Linux menta, Kali Linux, Arch Linux és származékaik számára.

Konfigurációs fileOpenvpn

Az Archív / USR / share / doc / OpenVPN / Példák / minta-CONFIG-FILES / HAB vagy a / usr / share / OpenVPN / Példák mappa / vannak példák a konfigurációs fájlok. Innen el lehet vinni a Hab fájlt, és beállíthatja az Ön igényeit. Ha ezt az utasítást cselekedte, egyszerűen létrehozhat egy új fájlt / Etc / OpenVPN / Server / Hab

VIM / ETC / OpenVPN / Server / Hab

és másolja meg:

# Mi port használat # alapértelmezett érték # i kezelhető 53 port mimicing alatt DNS-forgalom # még egy ilyen környezetben néha segít, hogy kb # lehallgató portálok (Captive portálok) #port Port 53 # TCP vagy az UDP protokollt. Ajánlott UDP; Proto TCP-Server Proto UDP # nem kell megváltoztatnia; DEV TAP DEV TUN # gombok: Az első az első kiszolgáló kulcs a tanúsítási központ #, majd a nyilvános kiszolgáló csavarkulcsa, majd egy privát kulcskiszolgáló Ca / etc / OpenVPN / certs / HAB CERT / ETC / OpenVPN / certs / HAB KEY / ETC / OpenVPN / certs / HAB # Ez a fájl el kell helyezni a secret paraméterek Diffie Hellman DH / ETC / OpenVPN / certs / DHPEM # jön létre Virtuális helyi hálózat # Itt meghatározhatja annak paramétereit # nem kell változtatni semmit anélkül, hogy speciális okok topológia alhálózati Server # Ha a szerver újraindítására, az ügyfél lesz rendelve a korábbi IP-cím ifconfig-POOL-ENYHÜLNEK HAB # Ez a beállítás nem igaz Tehát, hogy ha kapcsolódik a VPN-hez # ügyfelek számára, akkor a VPN-kiszolgáló az alapértelmezett átjáró nyomógomb-átjáró-átjáró def1 bypass -dhcp # Ha vasúti vasúti beállítást, #, akkor több ügyfél számára használhatja ugyanazt a páros-nyilvános kulcsot,# De ez nem ajánlott; Ismétlődő-CN # ping távoli csomópont minden 10 másodpercben # és olvassa el esett, ha nem válaszolt másodpercben KeepAlive 10 # további védelme DOS támadások és az árvíz portok UDP # létrehozásának köszönhetően a HMAC tűzfal rovására további Sappings az SSL / TLS # a HAB fájl létrehozásának míg kulcsok generálása # Azt is meg kell szállítani minden ügyfél Remote-Cert-TLS kliens TLS-AUTH az / etc / OpenVPN / certs / HAB 0 # Ez a fájl kell tartani titkot a kiválasztási kriptográfiai titkosítási titkosítók # ügyfelek is # a verziók korábban #Cipher AESCBC # az adat-titkosítók AESGCM verzió: AESGCM # Engedélyezze a tömörítést és küldjön egy ügyfélbeállítót; tömörítő LZ4-V2 V2 # maximális számát a csatlakoztatott fogyasztók számára; Max -Clients # csökkentése OpenVPN # Demon kiváltságairól megkezdése után # # csak nem Windows rendszereken. ; A felhasználó senkinek; senki sem csoportosítja a memóriában lévő kulcsokat, ha nem működik # hozzáférést kap nekik, mivel csökkenti a fennmaradó kulcs Perzist-tun # rövid fájlja # Az aktuális állapot rövid fájlja # az aktuális kapcsolatokat tartalmazza Minden perces Állapot HAB # alapértelmezett naplók Ugrás a Syslog # naplóeszközre A naplófájl felülírása Minden alkalommal, amikor az OpenVPN elindul, a # és a napló-kiegészítő azt jelenti, hogy csak egy napló nézetet ad hozzá, és nem mindkettőt! ; Log hab, log-apend HAB # Level Verbrality # # 0 Silent, mellett végzetes hibák # 4 Normál használatra alkalmas az # 5 és 6 segítséget hibakeresés közben problémák megoldására összekötő # 9 Rendkívül verbális IGE 4 # Figyelmeztetés ügyfelet, hogy a szerver újraindul # A vevők automatikusan felismer. Explicit-Exit-Értesítést 1

Mentés és bezárás a fájlt.

Tesztelés és vízre OpenVPN szerver

Meg lehet próbálni a OpenVPN szerver beállításokat, mint ez:

OpenVPN / ETC / OpenVPN / server / HAB

Ha vannak hibák a konfigurációs fájl, akkor a program azonnal befejeződött egy hiba. Hogy oldja meg a problémákat, lehetővé rönkök az beállítások fájl, növeli a verbalitás 6 és tanulmányozzák a hiba log:

Cat / var / log / Hab cat / var / log / Hab

És ha minden rendben, hogy indítsa el a OpenVPN szerver és add meg a autoload

SystemCTL START OpenVPN-Server @ Habe SystemCTL állapota OpenVPN-Server @ Habe SystemCTL engedélyezése OpenVPN-Server @ Habe

Vegye figyelembe, hogy Systemctl Használt típus parancs OpenVPN-Server @ konfiguráció.Szolgáltatás, ahol Konfiguráció – Ez egy olyan konfigurációs fájl, amely a mappában található / etc / OpenVPN / Server / Server /, De bővülés nélkül .Conf

Ha ezt az utasítást követi, és nem változtatta meg a fájl nevét, akkor a fenti parancsok megfelelőek lesznek, nem kell megváltoztatniuk.

Ha hibát észleltél:

Options Hiba: – –explicit-Exit bejelenti Can nem használható –mode Server

Mot fájl / Etc / OpenVPN / Server / Hab

Az irányelv törlése

Explicit-Exit-Notify 1

A hiba oka az irányelv támogatásaExplicit-Exit-Notify 1Az OpenVPN-hez adódott a verzióból és a gépen, nyilvánvalóan az OpenVPN egy régebbi verzió.

Ha már használatban lévő hibát észlelt, például:

TCP / UDP: Socket Bind sikerült a helyi cím [AF_INET] [undef] A cím már használatban kilépés miatt Végzetes hiba

Ez azt jelenti, hogy a kikötő elfoglalt egy másik program. Ellenőrizze, hogy melyik program használja a portot, parancsot adhat meg:

Sudo netstat -tulpn | Grep: number_number

Például, hogy ellenőrizze a portot

Sudo netstat -tulpn | Grep

Használjon más port nem foglalt portot erre az OpenVPN-kiszolgáló és az ügyfélkonfigurációs fájlok módosítása Az irányelv módosítása 53. port.

Engedélyezze a forgalomirányítás az OpenVPN szerveren

Ebben a szakaszban, ha valaki csatlakozik az OpenVPN szerverhez, akkor nem lesz képes csatlakozni a globális hálózathoz. Hogy lehetővé tegye a forgalomirányítás konfigurálását.

Ehhez hozzon létre egy fájlt Vpn_hab.

Ne feledje, hogy létrehozok egy parancsfájlt a mappában / root / bin /, Ha nincs, akkor hozzon létre korábban

Mkdir / root / bin /

Ha egy parancsfájlt szeretne elhelyezni egy másik mappába, akkor szerkessze a következő adatokat az Ön alatt.

Fájl létrehozása:

Vim / root / bin / vpn_hab

B Ez a fájl a következő tartalmat másolja az Ön igényeinek megfelelően. Figyelni:

• Privát = / 24 Módosítsa az alhálózatot a beállítások szerint. Ha ezt az utasítást tették, akkor semmit sem kell megváltoztatni.
• Adja meg az értéket Dev! Adja meg a hálózati felület nevét. Ezt a nevet egy csapat lehet megtekinteni

IP A

Ha nem adja meg a nevet, akkor valószínű, hogy a számítógép letöltésekor a parancsfájl nem kap automatikusan a hálózati felület nevét, ezért a forgalomirányítás nem fog megfelelően működni!

#!/ Bin / sh # Adja meg az interfész nevét, különben a parancsfájl megpróbál automatikusan kiválasztani # dev = ‘eth0’ dev = ‘Ens3’ privát = / 24, ha [-z “$ dev”]; Akkor dev = $ (IP útvonal | GREP alapértelmezett | Fej -N 1 | Awk ‘{PRINT $ 5}’) fi # A továbbító csomagok forgatása az alagút interfész létrehozásához # megütötték a Systl Hab_forward külső felületét Meggyőződve arról, hogy az iptables nem blokkolja az átirányított forgalmat: iptables -i előre -J Elfogadja # Címek konverzió (NAT) az alagútból származó csomagokhoz # Ha a szállítmányt alapértelmezés szerint be kell kapcsolni, az alapértelmezett csomagok átirányításra kerülnek a forráscímre, változások nélkül, Vagyis az esetünkben * # Az ilyen csomagokat eltávolítják az átjáró ISP-en, vagy akár akkor is, ha azokat a rendeltetési helyre küldték, a válasz soha nem találja vissza az utat. # Ezeket a privát címek nem routing az Interneten. A megoldás az, hogy konvertálni címeket (NAT) kimenő forgalmat, # hogy van, cserélje ki a saját * ​​címét nyilvános IP-címet a VPN szerver. # Ez lehetővé teszi választ, hogy elérje a VPN-kiszolgáló, # és ott fogják vissza kell küldeni az alagút. Iptables -t NAT -I POSTROUTING -S $ Private -o $ DeV -J Masquerade

Egy fájl futtatható:

CHMOD / root / bin / VPN_HAB

Ahhoz, hogy a változások most, a számítógép újraindítása előtt végezze:

bash / root / bin / vpn_hab

Ha minden rendben van, akkor hozzon létre egy fájlt, hogy add meg autoload / Etc / systemd / System / Habe:

VIM / ETC / systemd / SYSTEM / HABE

A következő tartalmakkal:

[Egység] Leírás = bekapcsolása OpenVPN közlekedési útvonal. [Service] execstart = / root / bin / vpn_hab [install] WANTEDBY = HAB

Ügyeljen arra, hogy a húr / Root / bin / vpn_hab Cserélje el az utat, ha feltöltött a fájlt máshol, vagy nevezzük másképp.

És aktiválja az AutoRun programot:

Systemctl Enable Enable-OpenVPN-útválasztás engedélyezése

OpenVPN szerver ügyfelek beállítása

A Windows létrehozása az OpenVPN használatához

Amint már említettük, a szükséges kulcsokat a következő mappákban kell megadni:

• C: Programfájlok \ OpenVPN \ Certs \ Hab
• C: Programfájlok \ OpenVPN \ Certs \ Hab
• C: Programfájlok \ OpenVPN \ Certs \ Hab
• C: Programfájlok \ OpenVPN \ Certs \ Hab

Most a mappában C: Programfájlok \ OpenVPN \ Config \ Fájl létrehozása Hab A következő tartalmakkal:

Figyelem: Cserélje ki a karakterláncot Távoli IP cím a!!!

# A program működik, mint egy kliens (és nem szerver) kliens # A legfontosabb beállítás: # Adja meg itt az IP-címét OpenVPN szerver # beállítások nem változott!!! Távoli # szerver a 53 port, ugyanazt a portot jelzi itt. Port 53 # ne változtassa meg a DEV TUN # kiválasztása TCP vagy UDP # jegyzőkönyvet meg kell egyeznie a szerveren; Proto TCP-Client Proto UDP # Host / IP név és szerver port. # Több távoli kiszolgálót adhat meg a terheléskiegyenlítéshez. ; Távoli My-Server-1; távoli My-Server-2 # Ha több gazdagépet adott meg a terhelés kiegyensúlyozásához; ha engedélyezi ezt az opciót, akkor véletlenszerűen lesz kiválasztva a sorban; távoli-véletlen # végtelenül próbál A NAME HOST # SERVER OpenVPN átalakítása. Nagyon hasznos gépeken # ami nem folyamatosan csatlakozik az internethez, senki # próbáljuk az előző állapothoz újraindítása után. Perzist-Key Persist-Tun # Itt konfigurálhatja a HTTP Proxy-t az OpenVPN Server # támogatott hitelesítéséhez a távoli proxy használatához; HTTP-Proxy-Retry # Újra próbálkozás a kapcsolódási hibákon; HTTP-proxy [proxy szerver] [Proxy port #] A vezeték nélküli hálózatok gyakran hozzanak létre sok duplikált csomagot # Kapcsolja be ezt a beállítást, hogy ne mutasson figyelmeztetéseket # a duplikátumokról; Némítás-visszajátszás-figyelmeztetések # módja a tanúsítványoknak #. # visszatérő flare árnyékolt CA C: \\ Program Files \\ \\ OpenVPN Certs \\ Hab Cert C: \\ Program Files \\ \\ OpenVPN Certs \\ Hab Key C: \\ Program Files \\ \\ OpenVPN Certs \ \ HAB # további védelem Remote-Cert-TLS Server # gombot további védelmet TLS-AUTH C: \\ Program Files \\ \\ OpenVPN Certs \\ HAB 1 # Állítsa be a titkosítást a szerver # rejtjel Aescbc # régi verziók Data-Ciphers AESGCM:AESGCM # tömörítés. NE kapcsolja be, ha nem szerepel a szerveren # comp-lzo # log verbal. Verb 3

Most válassza a Csatlakozás lehetőséget Ügyfél és nyomja meg Összekapcsol:

Ellenőrizheti az IP-t a Hab weboldalán?ACT = myip

Debian konfiguráció (Ubuntu, Linux Mint, Kali Linux), valamint Arch Linux (Blackarch) az OpenVPN használatához

Ez egy univerzális utasítás az összes Debian és Arch Linux származék számára az OpenVPN csatlakoztatásához.

Most az Ügyfél konfigurációja, amely az OpenVPNNA LINUX-ot használja. Amint azt szinte elején mondták, az OpenVPN csomagot már telepíteni kell.

A generált kulcsoknak ezeknek a fájloknak kell lenniük:

• / etc / OpenVPN / CERTS / Hab
• / etc / OpenVPN / CERTS / Hab
• / etc / OpenVPN / CERTS / Hab
• / etc / OpenVPN / CERTS / Hab

Ha nincs mappája / etc / OpenVPN / CERTS /, Létrehozni:

Sudo mkdir / etc / openvpn / certs /

És másolja az összes szükséges kulcsot.

Ellenőrizze, hogy az összes fájl a helyén van-e (4 fájl):

Ls -l / etc / openvpn / certs /

Fájl létrehozása / Etc / OpenVPN / Client / Hab

Sudo gedit / etc / OpenVPN / Client / Hab

És másolja be (győződjön meg róla, hogy megváltoztatja az IP-címet a karakterláncban Távoli Az OpenVPN szerver IP-címén):

# A program működik, mint egy kliens (és nem szerver) kliens # A legfontosabb beállítás: # Adja meg itt az IP-címét OpenVPN szerver # beállítások nem változott!!! Távoli # szerver a 53 port, ugyanazt a portot jelzi itt. Port 53 # ne változtassa meg a DEV TUN # kiválasztása TCP vagy UDP # jegyzőkönyvet meg kell egyeznie a szerveren; Proto TCP-Client Proto UDP # Host / IP név és szerver port. # Több távoli kiszolgálót adhat meg a terheléskiegyenlítéshez. ; Távoli My-Server-1; távoli My-Server-2 # Ha több gazdagépet adott meg a terhelés kiegyensúlyozásához; ha engedélyezi ezt az opciót, akkor véletlenszerűen lesz kiválasztva a sorban; távoli-véletlen # végtelenül próbál A NAME HOST # SERVER OpenVPN átalakítása. Nagyon hasznos gépeken # ami nem folyamatosan csatlakozik az internethez, senki # próbáljuk az előző állapothoz újraindítása után. Perzist-Key Persist-Tun # Itt konfigurálhatja a HTTP Proxy-t az OpenVPN Server # támogatott hitelesítéséhez a távoli proxy használatához; HTTP-Proxy-Retry # Újra próbálkozás a kapcsolódási hibákon; HTTP-proxy [proxy szerver] [Proxy port #] A vezeték nélküli hálózatok gyakran sok duplikált csomagot hoznak létre # Kapcsolja be ezt a beállítást, hogy ne mutasson figyelmeztetésekre # a duplikátumokról; Némítás-visszajátszás-figyelmeztetés # elérési út a Ca / etc / OpenVPN / CERTS / HAB CERT / ETC / OpenVPN / CERT / HAF gombra / Etc / OpenVPN / CERTS / Hab # További védelem távoli-cert-tls szerver # kulcsa a további védelemhez TLS-AUTH / ETC / OpenVPN / CERTS / Hab 1 # Ciphers a kiszolgálón # Cipher AESCBC # a régi verziókhoz Ciphers AESGCM: AESGCM # tömörítés. NE kapcsolja be, ha nem szerepel a szerveren # comp-lzo # log verbal. Verb 3

Tesztelheti az OpenVPN szerver beállításait:

Sudo OpenVPN / etc / OpenVPN / Client / Hab

A szavak Az inicializálási szekvencia befejeződött Javasoljuk, hogy a kapcsolat sikeres legyen.

Ha valamilyen oknál fogva nincs internet, akkor ellenőrizze, hogy az IP rögzíthető-e

Ping

És hogy a házigazdák neve ping

Ping

Ha a ping az IP-hez halad, de nincs-e gazdanév, majd nyissa meg a fájlt / etc / Hab:

Sudo gedit / etc / Hab

És cserélje ki a tartalmát:

NAMEERVER

És ha jól joga elindítani az OpenVPN klienst a háttérben, és ha szeretné, add hozzá az indításhoz. Nem szükséges, ha csak szükség szerint csatlakozhat az OpenVPN-hez.

Fuss:

Sudo systemctl start openvpn-client @ habe

Ellenőrizd az állapotot:

Sudo systemctl status openvpn-client @ habe

Az Autoload hozzáadásához:

Sudo systemctl Engedélyezze az OpenVPN-Client @ habe-t

Ha le kell állítania, akkor írja be:

Sudo systemctl stop openvpn-client @ habe

Ha szeretné letiltani az autorunot, akkor végezze el:

Sudo systemctl letiltja az OpenVPN-Client @ habe-t

Tanúsítványok beágyazása a fájlba .OVPN

A tanúsítványok nem feltétlenül külön fájlokban kell lenniük. A tanúsítvány közvetlenül megvalósítható a fájlhoz .OVPN És valójában nagyon kényelmes! Ez azt jelenti, hogy osztja a konfiguráció között OpenVPN szerver ügyfeleknek, akkor nem kell adási öt fájlt (beállítások és négy igazolásokat), hogy csak át csak egy beállítás fájlt, amely már beépített tanúsítványok.

Az OpenVPN lehetővé teszi, hogy fájlokat tartalmazzon az opciók által megadott fő konfigurációs fájlokba –Kb, –Cert, –Dh, –Extra Certs, –Kulcs, –Pkcs12, –Titok, –CRL-ellenőrzés, –http-proxy-user-pass, –TLS-AUTH és –TLS-Crypt.

Mielőtt minden egyes tanúsítvány sor választási lehetőség (Ha a szó opció helyett be kell írnia az opciót, hogy ez a tanúsítvány helyettesíti, azaz azt Kb, Cert, Dh stb). Amikor a tanúsítvány szövege véget ér, a záró címke be van állítva /választási lehetőség.

Példa a beépített tanúsítvány használatára:

A CERT megkezdi a tanúsítványt [] végi tanúsítvány / cert

Amint láthatja, teljesen másolja a fájlok tartalmát, megjegyzésekkel együtt. Ha a fájlt végrehajtják –Pkcs12, Ezután kódolni kell a baserize fájlban .P12 a Base64-ben, például az OpenSSL használatával

OpenSSL Base64 -N bemenet.P12

Fontolja meg kifejezetten a konfigurációnk számára. Négy tanúsítványt használunk:

C C C C: \\ Programfájlok \\ OpenVPN \\ CERTS \\ Hab CERT C: \\ Programfájlok \\ OpenVPN \\ CERTS \ HA HAB kulcs C: \\ Programfájlok \\ Openvpn \\ certs \ hab tls- AUTH C: Programfájlok \\ OpenVPN \\ certs \ t

Ezeket a négy vonalat el kell távolítani a konfigurációs fájlból. Vegye figyelembe, hogy TLS-AUTH a fájlnév után ér a szám egy olyan kiegészítő lehetőséget, és hogy ne vesszen el, add, hogy a már rendelkezésre álló lehetőségeket .OVPN Fájl karakterlánc:

Kulcsirány 1

Most közvetlenül a fájlhoz .OVPN Hozzáadás:

CA [] / CA CERT [] / CERT KEY [] / KEY TLS-AUTH [] / TLS-AUTH

Ahol a pontok helyett [& #;] Helyezze be teljesen a megfelelő tanúsítványokat / gombokat, a megjegyzésekkel együtt. Kiderül valami ilyesmi:

CA Kezdje a tanúsítványt [] End Certificate / CA CERT [] / CERT kulcs megkezdése Privát kulcs [] End Private Key / Key Tls-Auth # # bit OpenVPN statikus kulcs V [] End OpenVPN statikus kulcs v / tls-

Most fájlbeállítások .OVPN Letölthető a különböző OpenVPN-ügyfelekre: a telefonon, például egy másik számítógépen, az egyes tanúsítványfájlok már nem szükségesek.

Információk az OpenVPN új verzióinak kiadásáról

Információ az új verziók kibocsátásáról, valamint egy másik érdekes anyagról az OpenVPN-ről a fórumon.

Következtetés

Ha nincs saját VPS, és most meg akarja vásárolni, akkor egy pár link:

Neked ajánlott:

Alexey26 április, IP, Kali Linux, Linux, Linux Mint, OpenVPN, Ubuntu, VPN, Windows, az adatok korlátozása és blokkolása, az adatok titkosítása és a bűncselekmények