opsætning og konfigurere openvpn - server på centos 6,5

, indledningen, openvpn, er en stærk og mere fleksibelt uden ansøgning, der bruger alle af kryptering, autentificering og certificering elementer i openssl bibliotek til sikkert tunnel ip - net over en enkelt tcp /udp - havn.openvpn er udviklet af james yonan af openvpn teknologier. i dette korte vejledning, lad os her openvpn - server på centos 6.5, og forbinde fra en anden klient.i forbindelse med denne lektion, jeg bruger to systemer med centos 6.5, fungerer som vpn - server og andre retsakter, som vpn - klient. del 1 – vpn - server side konfiguration, her bruger jeg centos 6,5 som vpn - serveren, og det ’ s faktiske ip - adresse er 192.168.1.2 /24. en betingelse, openvpn og det ’ s afhængighed ikke er til rådighed i centos misligholdelse samlinger.så vi skal installere, og&" epel &", register med henblik på at installere openvpn og tilhørende områder. for at gøre det muligt for epel register i centos, vedrører følgende link.,, installere epel register i centos /rhel /videnskabelige linux 6, også ajourføre systemet ved at anvende følgende kommando.:, yum opdatering, installere openvpn software, installere openvpn software med følgende kommando:, yum installere openvpn let rsa, let rsa manuskripter er beliggende ved misligholdelse i, /bar /andel /let rsa /,, fortegnelse.en fortegnelse over /let rsa /nøgler, indenfor, /etc /openvpn,, registre og kopiere manuskripter til det register, som vist nedenfor: mkdir - p /etc /openvpn /let rsa /nøgler kp - rf /bar /andel /let rsa /2 /* /etc /openvpn /let rsa /,, skabe ca. certifikat og ca - nøgle, redigere fil, /etc /openvpn /let rsa /2 /vars,,,, vi /etc /openvpn /let rsa /vars og ændre de værdier, som svarer til deres land, stats -, by -, post - id osv. [...],]&#ikke efterlade noget af disse områder er tomme.eksport key_country = "i" eksport key_province = "læ" eksport key_city = "udhule" eksport key_org = "unixmen" eksport key_email = "[email protected]" eksport key_ou = "tjener" [...], gå til den, openvpn /let rsa, fortegnelse:, cd /etc /openvpn /let rsa /, komme ind følgende kommandoer, én efter én til at nulstille certifikat myndighed:, cp openssl-1.0.0.cnf openssl.cnf kilde. /vars. ren, så løb efter ordre til at skabe ca. certifikat og ca - nøgle:,. /bygge ca, stikprøve, produktion, der skaber en 2048 lidt rsa private nøgle........................................................................ + + + + + +............................................................) nye private nøgle til "ca.key ') er ved at blive bedt om at indføre oplysninger, der vil blive indarbejdet ideres certifikat anmodning.hvad du er ved at komme ind er en såkaldt fornemt navn eller en dn.der er en række områder, men du kan efterlade nogle tomme for nogle områder, der vil være en fast værdi, hvis man træder ind. "" marken vil blive udfyldt.) navn (2 bogstaver) [i]:, det er > tryk enter, staten eller provinsen navn (fulde navn) [3], det er > tryk enter, lokalitet navn (f. eks. by) [undergrave]:, - - > tryk enter, organisation navn (f. eks. virksomhed) [unixmen]:, det er > tryk enter, organisatoriske enheds navn (f. eks. afsnit) [computer]:, det er > tryk enter, fælles navn (f. eks. dit navn og din server er hostname) [unixmen ca.]:, det er > tryk enter, navn [easyrsa]:, det er > tryk enter, e - mail - adresse [sk @ unixmen. kom]:, det er > tryk enter, nu har vi skabt ca - certifikat, og ca.så skabe certifikat, og nøglen til server ved anvendelse af følgende kommando:,. /bygge centrale server - serveren, stikprøve, produktion, der skaber en 2048 lidt rsa private nøgle................ + + + + + + til at skrive...... nye private nøgle til "server. nøgle"), du er ved at blive bedt om at indføre oplysninger, der vil blive indarbejdet i deres certifikat anmodning.hvad du er ved at komme ind er en såkaldt fornemt navn eller en dn.der er en række områder, men du kan efterlade nogle tomme for nogle områder, der vil være en fast værdi, hvis man træder ind. "" marken vil blive udfyldt.----- Country Name (2 letter code) [IN]: ,----> Press Enter, State or Province Name (full name) [TN]: ,----> Press Enter, Locality Name (eg, city) [Erode]: ,----> Press Enter, Organization Name (eg, company) [Unixmen]: ,----> Press Enter, Organizational Unit Name (eg, section) [server]: ,----> Press Enter, Common Name (eg, your name or your server's hostname) [server]: ,----> Press Enter, Name [EasyRSA]: ,----> Press Enter, Email Address [[email protected]]: ,----> Press Enter, Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: ,----> Press Enter      , An optional company name []: ,----> Press Enter, Using configuration from /etc/openvpn - /let rsa /openssl-1.0.0.cnf kontrollere, at anmodningen svarer til underskrift, underskrift - emnet er fornemt navn er således countryname           : printervenlig: '' stateorprovincename   : printervenlig:'tn "localityname          : printervenlig:'erode" organizationname      : printervenlig:'unixmen "organizationalunitname: printervenlig:'server" commonname            : printervenlig:'server "navn                  : printervenlig:'easyrsa" emailaddress          : la5string: "[email protected] certifikat skal være certificeret til mar 23 12:21:34 2024 gmt (3650 dage) underskrive certifikatet?[j /n. y, det er > - y og trykke enter, 1 ud af 1. anmodninger om certifikater, der begår?[j /n. y, det er > - y og trykke enter, skriver database med 1 nye angivelser database opdateret, skabe certifikat, og nøglen til vpn - klienter, der bruger følgende kommando:,. /bygge vigtigste kunde, hvis du ønsker at skabe certifikat og vigtige filer for hver kunde, du skal erstatte,, en kunde, parameter med en entydig identifikator, stikprøve, produktion, der skaber en 2048 lidt rsa private nøgle... + + + + + +.................................................................................................. skrive nye private nøgle til "klient. nøgle"), du er ved at blive bedt om at indføre oplysninger, der vil blive indarbejdet i deres certifikat anmodning.hvad du er ved at komme ind er en såkaldt fornemt navn eller en dn.der er en række områder, men du kan efterlade nogle tomme for nogle områder, der vil være en fast værdi, hvis man træder ind. "" marken vil blive udfyldt.----- Country Name (2 letter code) [IN]: ,----> Press Enter, State or Province Name (full name) [TN]: ,----> Press Enter, Locality Name (eg, city) [Erode]: ,----> Press Enter, Organization Name (eg, company) [Unixmen]: ,----> Press Enter, Organizational Unit Name (eg, section) [server]: ,----> Press Enter, Common Name (eg, your name or your server's hostname) [client]: ,----> Press Enter, Name [EasyRSA]: ,----> Press Enter, Email Address [[email protected]]: ,----> Press Enter, Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: ,----> Press Enter, An optional company name []: ,----> Press Enter, Using configuration from /etc/openvpn/easy-rsa /openssl-1.0.0.cnf kontrollere, at anmodningen svarer til underskrift, underskrift - emnet er fornemt navn er således countryname           : printervenlig: '' stateorprovincename   : printervenlig:'tn "localityname          : printervenlig:'erode" organizationname      : printervenlig:'unixmen "organizationalunitname: printervenlig:'server" commonname            : printervenlig:'client navn                  : trykt:'easyrsa "emailaddress          : la5string:" [email protected] certifikat skal være certificeret til mar 23 12:23:44 2024 gmt (3650 dage) underskrive certifikatet?[j /n. y, det er > - y og trykke enter, 1 ud af 1. anmodninger om certifikater, der begår?[j /n. y, det er > - y og trykke enter, skriver database med 1 nye angivelser database opdateret, skabe diffie - hellman parameter angives efter ordre til at generere dh parameter,.,. /bygge dh, stikprøve, produktion, som skaber dh parametre, 2048 lidt lang i prime, generator. det kommer til at tage lang tid, de nødvendige nøgler og certifikater skal genereres i, /etc /openvpn /let rsa /nøgler /,, fortegnelse.kopi af følgende certifikat og de vigtigste sager, /etc /openvpn /, fortegnelse.,,, ca.crt, dh /2048,.,,, - server. crt,,, - server. centrale, gå til registret, /etc /openvpn /let rsa /nøgler /,, i den følgende kommando til overførsel af ovennævnte dokumenter, /etc /openvpn /, fortegnelse, cd /etc /openvpn /let rsa /nøgler /cp dh2048.pem ca.crt server.crt server.key /etc /openvpn /, og så skal du kopiere alle brugercertifikater og nøgler til fjerntliggende vpn - kunder for at bekræfte, at et vpn - server.i vores tilfælde, vi har skabt, certifikater og nøgler til kun én klient, så vi skal kopiere følgende filer til vpn - klient.,,, ca.crt, klient. crt, klient. nøglen, som jeg nævnte før, har jeg et andet system med centos 6.5, der fungerer som min vpn - klient.sørg for at have installeret openvpn pakke din klient systemer.da ovennævnte filer til din vpn - klient system, der anvender følgende kommando:, ca.crt client.crt client.key) rod @ 192.168.1.101: /etc /openvpn, kopierer nøglen med forsigtighed.hvis der er nogen, der har chancer for at få nøglen, kan de let trænge ind og får fuld adgang til deres virtual private network, fjerne klient adgang til vpn - server, hvis du ønsker at fjerne en bruger ’ adgang til vpn - server, anføre følgende:, kommando./etc /openvpn /let rsa /2.0/vars./etc /openvpn /let rsa /2.0/revoke-full klient, ovennævnte kommandoer, fjerne den bruger, der har autorisation til adgang til vpn - server, konfigureringen vpn - server, nu er vi nødt til at forme vores vpn - server.en kopi af det dossier, server.conf, fil, /etc /openvpn /, fortegnelse.,,, kp /bar /andel /doc /openvpn-2.3.2/sample/sample-config-files/server.conf /etc /openvpn /, redigere fil serveren. conf,,, vi /etc /openvpn /server. conf, finde og uncomment følgende linjer til rute klient systemer trafikken gennem openvpn server., [...]&#erstatning. 2048 for 1024, hvis du brugerࠀ lidt nøgler.dh dh2048.pem [...] tryk "omdirigere gateway def1 bypass dhcp" [...], også uncomment og ændre dns servere til at afspejle deres egne dns værdier.her bruger jeg google offentlige dns servere., [...] tryk "dhcp mulighed dns 8.8.8.8" push "dhcp mulighed dns 8.8.4.4" [...], uncomment følgende linjer: [...] bruger ingen gruppe ingen [...], redde og lukke sagen. så vi skal efterligne og redigere client.conf fil.vi har brug for det dossier, der skal overføres til vpn - kunder.den første kopi filen til et hvilket som helst sted (f.eks. /hjem, directory). cp /bar /andel /doc /openvpn-2.3.2/sample/sample-config-files/client.conf /home /, redigere fil klient. conf,,, vi /home /klient. conf, sæt vpn - server vært navn /ip - adresse:,,&#den hostname /ip og havnen i serveren.# kan du har flere fjerntliggende angivelser&#at laste balance mellem servere, fjerntliggende 192.168.1.2 1194, her 192.168.1.2, er min vpn - ip - adresse.næste, kopiere,, client.conf, akter, at din klient system., scp /home /client.conf root @ 192.168.1.101: /etc /openvpn, ip fremsendelse og rutning konfiguration, redigere, sysctl.conf, fil, vi /etc /sysctl. conf, finder følgende linje og værdi og&", 1, og&" for at gøre det muligt for undersøgelsesperioden fremsendelse.,&#kontrol ip - pakke fremsendelse net.ipv4.ip_forward = 1, løb efter ordre til at anvende, sysctl, ændringer, sysctl - p, tilpasse iptables at sende trafik gennem vpn - korrekt. anføres følgende kommandoer, én efter én, iptables - t - - en postrouting - er 10.8.0.0/24 - o eth0 - j maskerade, redde iptables ændringer ved hjælp af kommandoen: -, service - iptables redde tjeneste iptables genstarte endelig begynde at openvpn service og gøre det til automatisk begynde på hver genstart med.e efter ordre: -, service - openvpn begynder chkconfig openvpn, på dette tidspunkt, bør du have en openvpn server.næste, lad os gå over til klient side konfiguration. kontrollere, hvis vpn - interface (tun0) er oprettet ved hjælp af ifconfig kommando:, ifconfig, stikprøve output:, eth0       forbindelse encap: ethernet   hwaddr 08:00:27:46:36:62             inet adresse: 192.168.1.2   bcast: 192.168.1.255   maske: 255.255.255.0           inet6 adresse: fe80: a00:27ff: fe46:3662 /64 anvendelsesområde: forbindelse           op udsendelse ved multicast   mtu: 1500   metriske: 1           rx pakker: 604 fejl: 0 tabte: 0 overskridelser: 0 ramme: 0           tx pakker: 100 fejl: 0 tabte: 0 overskridelser: 0 luftfartsselskab: 0           sammenstød: 0 txqueuelen: 1000           rx bytes: 44166 (43,1 kib)   tx bytes: 14434 (14,0 kib) er         forbindelse encap: lokale loopback            inet adresse: 127.0.0.1   maske: 255.0.0.0           inet6 adresse::: 1 /128 anvendelsesområde: vært           op loopback løber   mtu: 16436   metriske: 1           rx pakker: 0 fejl: 0 tabte: 0 overskridelser: 0 ramme: 0           tx pakker: 0 fejl: 0 tabte: 0 overskridelser: 0 selskab: 0           sammenstød: 0 txqueuelen: 0           rx bytes: 0 (0, 0 b)   tx bytes: 0 (0, 0 b), tun0,       forbindelse encap: unspec   hwaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00             inet adresse:, 10.8.0.1,   p-t-p: 10.8.0.2   maske: 255.255.255.255           op pointopoint løber noarp multicast   mtu: 1500   metriske: 1           rx pakker: 0 fejl: 0 tabte: 0 overskridelser: 0 ramme0           tx pakker: 0 fejl: 0 tabte: 0 overskridelser: 0 luftfartsselskab: 0           sammenstød: 0 txqueuelen: 100           rx bytes: 0 (0, 0 b)   tx bytes: 0 (0, 0 b), anden del, og– vpn - klient side konfiguration, her bruger jeg centos 6. 5 min vpn - klient system.og det ’ s faktiske ip - adresse er 192.168.1.101 /24., installere openvpn, anføres efter ordre fra terminalen til at installere openvpn pakke., yum installere openvpn, efter montering openvpn, service og gøre det til at løbe automatisk på hver genstart. -, service - openvpn begynder chkconfig openvpn nu, tjek, om tun0 (vpn - grænseflade) er oprettet. ifconfig, stikprøve output:, eth0       forbindelse encap: ethernet   hwaddr 08:00:27:: 25:49             inet adresse: 192.168.1.101   bcast: 192.168.1.255   maske: 255.255.255.0           inet6 adresse: fe80: a00:27ff: febe: 2549 /64 anvendelsesområde: forbindelse           op udsendelse løb multicast   mtu: 1500   metriske: 1           rx pakker: 537 fejl: 0 tabte: 0 overskridelser: 0 0     ramme:       tx pakker: 387 fejl: 0 tabte: 0 overskridelser: 0 luftfartsselskab: 0           sammenstød: 0 txqueuelen: 1000           rx bytes: 52177 (50 kib)   tx bytes: 50170 (48,9 kib) er         forbindelse encap: lokale loopback             inet adresse: 127.0.0.1   maske: 255.0.0.0           inet6 adresse::: 1 /128 anvendelsesområde: vært           op loopback løber   mtu: 16436   metriske: 1           rx pakker: 0 fejl: 0 tabte: 0 overskridelser: 0 ramme: 0           tx pakker: 0 fejl: 0 tabte: 0 overskridelser: 0 luftfartsselskab: 0           sammenstød: 0 txqueuelen: 0           rx bytes: 0 (0, 0 b)   tx bytes: 0 (0, 0 b), tun0,       forbindelse encap: unspec   hwaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00             inet adresse:, 10.8.0.6,   p-t-p: 10.8.0.5   maske: 255.255.255.255           op pointopoint løber noarp multicast   mtu: 1500   metriske: 1           rx pakker: 0 fejl: 0 tabte: 0 overskridelser: 0 ramme: 0           tx pakker: 0 fejl: 0 tabte: 0 overskridelser: 0 luftfartsselskab: 0           sammenstød: 0 txqueuelen: 100           rx bytes: 0 (0, 0 b)   tx bytes: 0 (0, 0 b), som de kan se i ovennævnte produktion, vpn - server er automatisk tildelte ip - adresse 10.8.0.6 til min vpn - klient. se, om du kan spore din vpn - server fra klientens system, ping. 10.8.0.1,10.8.0.1 er min vpn - server tun0 adresse., stikprøve output:, ping 10.8.0.1 (10.8.0.1) 56 (84) bytes af data.64 bytes fra 10.8.0.1: icmp_seq = 1 ttl = 64 tid = ­ 9.61 ms 64 bytes fra 10.8.0.1: icmp_seq = 2 ttl = 64 tid = 7.17 ms 64 bytes fra 10.8.0.1: icmp_seq = 3 ttl = 64 tid = 4,87 ms, at ’ det.nu vpn - server og klient er klar.- til din vpn - server forsvarligt.glad vpning!,



Previous:
Next Page: