OpenVPN, orosz nyelvű leírás ubuntu
Ha azt szeretnénk, több, mint egy előre közös kulcsok, OpenVPN egyszerűsíti a telepítést és a nyilvános kulcsú infrastruktúra (PKI), amelynek célja a hitelesítés SSL / TLS tanúsítványokat, és a legfontosabb közötti VPN-kiszolgáló és az ügyfelek. OpenVPN VPN-üzemmód használható az útvonal és a hálózati híd és konfigurálva, mint egy UDP vagy TCP. A port száma is állítható, de hivatalosan használni 1194. És ez az egyetlen használható minden kommunikációt. VPN kliens implementációk állnak rendelkezésre szinte mindent, beleértve az összes Linux. OS X Windows és az OpenWRT. amely alapján a WLAN router.
Telepítéséhez openvpn írd be a terminálba:
Az első lépéseként az OpenVPN konfiguráció telepíteni a PKI. PKI áll:
egyedi igazolásokat (más néven nyilvános kulcs), és privát kulcs a szerver és minden ügyfél
Chief Tanúsítvány központ (CA) és egy privát kulcsot aláírásához használható szerver és kliens tanúsítványokat.
OpenVPN támogatja a kétirányú hitelesítés a tanúsítványok, ami azt jelenti, hogy az ügyfél köteles hitelesíteni a szerver tanúsítvány, és a szerver kell hitelesíteni az ügyfél előtt bebizonyosodik a kölcsönös bizalom.
Mind a szerver és a kliens hitelesíti egymást első ellenőrző, hogy a bemutatott tanúsítvány aláírt tanúsítványokat elsősorban bizonyítvány központ, majd ellenőrzi fejléc információkat frissen hitelesített igazolást, mint a közös neve vagy tanúsítvány típusától (kliens vagy szerver).
Ahhoz, hogy telepíteni a saját tanúsítvány központ (CA), és létrehoz bizonyítványok saját kulcsokat a OpenVPN szerver és több ügyfél először másolja a könnyen rsa könyvtárat a / etc / openvpn. Ez biztosítja, hogy bármilyen változás a script nem fog veszni, ha a csomag bővíthető. Egy terminál kapcsolót a gyökér (sudo -s - kb sáv ..), és futtatni:
Ezután szerkessze az / etc / openvpn / easy-rsa / var, kijavítják a következő szerint a valóság:
A következő paranccsal létrehozunk egy központi hitelesítésszolgáltató tanúsítvány és személyi kulcs:
Ezután hozzunk létre egy tanúsítványt és személyes kulcsot a kiszolgáló:
Csakúgy, mint az előző lépésben, a legtöbb paraméter lehet az alapértelmezett beállítás. Két másik kérelmek igényelnek pozitív választ: „a tanúsítvány aláírására [Y / n]?” És „1-ből 1 tanúsítványkérelmekre tanúsított elkövetni [Y / n]?”.
Options Deffi-Hellman (Diffie-Hellman) kell létrehozni a szerver OpenVPN:
Minden tanúsítványok és kulcsok jön létre az alkönyvtár / gombokkal. Az általános gyakorlat, hogy másolja őket a / etc / openvpn /.
VPN kliens is tanúsítványt kér hitelesítést a szerver. Jellemzően akkor hozzon létre külön igazolást minden ügyfél számára. Létrehozásához a tanúsítványt, adja meg a következő a terminál root:
Másolja a következő fájlokat a kliens segítségével egy biztonságos módszer:
Mivel a tanúsítványokat és személyes kulcsokat csak a kliens oldalon, meg kell törölni őket a szerverről.
Együtt a telepítés OpenVPN lehet ezeket a minta konfigurációs állományokat (és még sok más, ha az ellenőrzés):
Kezdjük azzal, másolás és kicsomagolás server.conf.gz a /etc/openvpn/server.conf.
/etc/openvpn/server.conf szerkesztés és ellenőrizze, hogy az alábbi vonalak jelzik a kulcsok és tanúsítványok, amit teremtett az előző részben.
Ez a minimum, amit meg kell konfigurálni, hogy egy futó OpenVPN szerver. Használhatja az alapértelmezett értékek server.conf mintafájljában. Most fut a szerver. Meg fogja találni az eseménynapló és a hibákat a syslog.
Most ellenőrizze, hogy OpenVPN teremtett tun0 felület.
Számos megvalósításai kliens, mint OpenVPN GUI és nélküle. Elolvashatja többet az ügyfelek a következő részben. Abban a pillanatban, az általunk használt OpenVPN kliens Ubuntu, amely ugyanazt a programot, mint a szerver. Tehát újra kell rakni openvpn csomagot, de a kliens gépen:
Eközben másolja a példa fájl client.conf a / etc / openvpn /.
Másolja a kliens kulcsot és hitelesítésszolgáltató tanúsítványa létre az előző részben, például a / etc / openvpn / és szerkesztés /etc/openvpn/client.conf, hogy megbizonyosodjon arról, hogy ezek a vonalak jelzik ezeket a fájlokat. Ha fel a fájlokat az / etc / openvpn /. az utat hozzájuk lehet hagyni.
Ezután futtassa a OpenVPN kliens:
Győződjön meg róla, hogy a felület jön létre tun0:
Ellenőrizze, hogy elérhető OpenVPN szerver:
Ellenőrizze az útvonalat:
Ha valami nincs rendben, ahogy már említettük, nem működik, ellenőrizze a következőket:
Ellenőrizze a syslog, valahogy így:
Tud-e a kliens csatlakozni a szerverhez? Talán akadályozó tűzfalat? Ellenőrizze a syslog szervernek.
A kliens és a szerver kell használni ugyanazt a protokollt és a port, például UDP-portot 1194. Lásd a port és a proto konfigurációs beállítások.
Az ügyfél és a kiszolgáló ugyanazt a tömörítést. Lásd a beállítási lehetőség comp-LZO.
Az ügyfél és a kiszolgáló ugyanazt a módot: routing (útválasztó) vagy a hídon (áthidalt). Lásd a szerver konfigurációs lehetőség vagy kiszolgáló-híd.
Fent úgy vélik, egy nagyon egyszerű dolgozó VPN. Az ügyfél szolgáltatásokhoz való hozzáférést a VPN szerver gépen keresztül titkosított csatornán. Ha azt szeretnénk, hogy hozzáférjenek a több szervert, vagy valami más hálózatok, add több útvonal a kliens. Például, ha a cég hálózatán egészére lehet leírni, mint 192.168.0.0/16, felveheti ezt az utat, hogy az ügyfél számára. De meg kell még változtatni az útvonalat fordított - a szerver kell, hogy hogyan útvonal a VPN kliens hálózati.
Vagy megadhatja az alapértelmezett átjáró ügyfelei számára, hogy küldjön minden forgalmat a VPN szerver először, és onnan egy biztonságos szerveren keresztül (tűzfal) a cég az interneten. Ebben a részben, akkor látni bizonyos lehetőségeket a beállításokat.
Pass beállítást a DNS-kiszolgáló az ügyfél:
Kapcsolódásának engedélyezése az ügyfelek között:
Engedélyezze a tömörítést a VPN-kapcsolat:
keepalive előírja küldött ping típusú üzeneteket oda-vissza a kapcsolat mindkét oldalán ismerte a másik fél elérhetővé válik. Ellenőrizze újra egy másodperc, és úgy döntött, hogy a távoli pont nem válaszol, ha nem érkezik válasz 3 másodpercen belül:
Egy jó ötlet, hogy csökkentse jogosultságokat OpenVPN szolgáltatás telepítés után:
OpenVPN 2.0 Mi tartalmazza a lehetőséget az OpenVPN szerver biztonságosan letölteni a felhasználónév és jelszó a csatlakozó kliens és használja ezt az információt az alapja a kliens hitelesítést. Ahhoz, hogy ez a hitelesítési módszert, először hozzá a Auth-felhasználó-pass irányelv a kliens konfigurációs. Ez azt mondja OpenVPN kliens kéri a felhasználói nevet és a jelszót, és küldje el a szerver egy biztonságos TLS csatorna.
Ez megmondja a OpenVPN szerver ellenőrzi a felhasználónév és jelszó belépett az ügyfél által, a PAM modul. Ez akkor érvényes, ha a központosított hitelesítést, például a Kerberos.
Kérjük, olvassa el a kézikönyvet, hogy erősítse a biztonsági OpenVPN további konzultációk biztonságot.
OpenVPN lehet állítani a két mód VPN: Routing (irányítva) és a hálózati híd (áthidalt). Ezeket nevezik 2. szintű VPN (csatorna) és a 3. szinten (batch) OSI hálózati modell. összes VPN keretek (frame) 2. szintű, mint például az Ethernet keretek elküldött VPN partnere, míg csak a réteg-3 útvonal csomagokat küld a hálózati módban A híd üzemmódban. A bridge módban, az összes forgalom, beleértve a hagyományos helyi forgalom, mint például a hálózat broadcast csomagok, DHCP kérés ARP kéréseket, stb VPN küld a partnere, míg az útvonal módban kiszűrésre kerülnek.
Győződjön meg róla, hogy a híd-utils csomagot.
Felállítása előtt OpenVPN az áthidalt hálózati módot, meg kell változtatni a beállításokat felületen. Tegyük fel, hogy a szerver keresztül csatlakozik az internethez eth0 és az eth1 interfészen csatlakozik a helyi hálózathoz, amelynek meg szeretné telepíteni a hálózati hidat. Az / etc / network / interfaces kell kinéznie:
Ez a beállítás közvetlenül továbbítja interfészek korrigálni kell a bridge módban, ahol eth1 interfész konfigurációs mozog egy új br0 felületen. Plusz, mi rámutatni, hogy a híd br0 érintkezni fog a eth1. Azt is meg kell győződnie arról, hogy a eth1 interfész mindig a vegyes (lehallgató) üzemmód - ez mindent elmond az Ethernet interfész, hogy továbbítsa a csomagokat az IP-verem.
Ebben a szakaszban meg kell indítani a hálózathoz. Legyen felkészülve, akkor nem működik megfelelően, és elveszíti a távoli hozzáférést. Győződjön meg arról, hogy meg lehet oldani a problémákat a helyi hozzáférés.
Szerkesztése /etc/openvpn/server.conf változtassa meg a következő beállításokat:
Ezután hozzon létre egy segítő script hozzá csap felület a hídon és annak ellenőrzése, hogy az eth1 van vegyes üzemmódban. Készítsen /etc/openvpn/up.sh:
Futtathatóvá teszi a fájlt:
Miután a kiszolgáló beállításait, indítsa újra OpenVPN. gépelés:
Először is, meg az ügyfél OpenVPN:
Akkor a konfigurált szerver, és másolja a tanúsítványt a könyvtár kliens / etc / openvpn / hozzon létre egy kliens konfigurációs fájl másolásával példa. A terminál a kliens gépen, írja be:
Most szerkeszteni /etc/openvpn/client.conf, módosítsa a következő lehetőségek közül:
Végül indítsa újra OpenVPN.
Most megvan a képessége, hogy csatlakozni a távoli hálózaton keresztül a VPN.
Sok disztribúció, így a lehetőségek Ubuntu desktop, jön egy Network Manager programot. szép grafikus felület a hálózat beállítására. Azt is lehetővé teszi, hogy kezelje a VPN-kapcsolatokat. Győződjön meg arról, hogy a csomag network-manager-openvpn telepítve. Itt is látni a telepítés minden egyéb szükséges csomagokat:
Hogy tájékoztassa a network-manager az újonnan telepített csomagokat újra kell indítani:
Nyissa meg a Network Manager felület. válassza ki a VPN fület, majd kattintson # 'Add #' (Add). Válassza OpenVPN VPN típus megnyitni egy lekérdezést, majd kattintson # 'Create #' (Write). A következő ablakban adja hozzá a nevét OpenVPN szerver átjáróként állítsa a típust # Igazolásai (TLS) # ', meghatározza # „Felhasználói igazolás #” A felhasználói tanúsítvány # 'CA Certificate #' A hitelesítésszolgáltató tanúsítványok és # 'Private Key #' fájl a saját kulcsot. használja a # „# Advanced” beállíthatunk tömörítést és egyéb speciális beállított adatokat a szerveren. Most próbálja meg beállítani a VPN.
Meg kell futtatni a OpenVPN szolgáltatás. Válassza a Start> Számítógép Start menü> Kezelés> Services and Applications> Services. Keresse meg a OpenVPN szolgáltatás és futtatni. Állítsa be az automatikus betöltés típus. Ha letölti OpenVPN MI GUI először, meg kell csinálni rendszergazda módban. Ehhez kattintson jobb gombbal a program ikonjára, és látni fogja ezt a beállítást.
Meg kell, hogy írjuk le a konfigurációs OpenVPN egy szöveges fájlt, és helyezze el a C: \ Program Files \ OpenVPN \ config \ client.ovpn a tanúsítvánnyal együtt az igazolás központ. Tudod, hogy a felhasználói tanúsítványt az otthoni könyvtár, mint az ebben a példában:
OpenWRT le, mint Linux disztribúció Beépítendő típusú WLAN útválasztó eszköz. Van egy sor útválasztók, ahol lehet regisztrálni OpenWRT. Attól függően, hogy a rendelkezésre álló memóriát a OpenWRT router futtatható programokat, például az OpenVPN, és akkor például, hogy építsenek egy kicsi, olcsó irodai külső router csatlakozik VPN-en keresztül a központi irodában. Hol talál további információt OpenVPN az OpenWRT. És itt van a honlapja a projekt OpenWRT.
Csatlakoztassa a router, OpenWRT és telepíteni OpenVPN.
Találja meg a / etc / config / openvpn és helyezze az ügyfél konfiguráció. Másolja a tanúsítványok és kulcsok az / etc / openvpn /.
Meg kell majd látni, hogy meg kell változtatni a router routing és tűzfal szabályokat.