Security er det viktigste aspektet i internett. Utenforstående kan overvåke internett-trafikk mellom datamaskinen og Internett. Her betydningen av VPN kommer. VPN, eller virtuelt privat nettverk, er en sikker metode for å koble eksterne ressurser internett sammen som om de var under samme LAN. OpenVPN er en populær open source program som implementerer et virtuelt privat nettverk. fungerer på Linux, Windows og Mac operativsystemer. Det kan brukes til å opprette en sikker forbindelse mellom fysisk distribuerte servere.
Denne artikkelen forklarer hvordan du installerer og konfigurerer OpenVPN i CentOS 7 server.
Forutsetninger
CentOS 7-server .
root-tilgang til serveren.
domene eller underdomene som tolkes til serveren din som du kan bruke for sertifikatene
OpenVPN er ikke tilgjengelig i standard CentOS repositories. Så vi trenger å installere Enterprise Linux (Epel) depotet. Bruk følgende kommando for å installere Epel depot
yum install Epel-release
Trinn 1 -. Installere OpenVPN
Først skal vi installere i serveren ved å oppgi denne kommandoen.
yum install openvpn -y
Trinn 2 - Installer Easy RSA
For å generere våre SSL nøkkelpar, noe som vil sikre vår VPN-tilkoblinger. Kjør følgende kommando:
yum install lett-rsa -y
Trinn 3 - Konfigurering OpenVPN
Vi finner et eksempel konfigurasjonsfilen i en håndbok katalogen. Vi trenger å kopiere sampleserver.conf av følgende kommando.
cp /usr/share/doc/openvpn-*/sample/sample-config-files/server.conf /etc /openvpnÅpne filen i din favoritt editor, jeg bruker editoren, etter
vi /etc/openvpn/server.confMost av linjene bare trenger å være uncommented (fjern;) og noen av det er som skal endres.
Gjør følgende endringer.
Vi må endre dh filnavnet til dh2048.pem. Fordi standard Diffie-Hellman kryptering lengde for Easy RSA vil være 2048 bytes. Vi vil gjøre nøkkelen generasjon i neste trinn.
dh dh2048.pemDeretter uncomment push "omdirigere-gateway dEF1 bypass-dhcp" linje, som forteller klienten slik at all trafikk gjennom vår OpenVPN .
push "omdirigere-gateway dEF1 bypass-dhcp"Neste vi trenger for å gi DNS-servere til klienten, da det ikke vil være i stand til å bruke standard DNS-servere som tilbys av Internett-leverandøren. Vi kommer til å bruke Googles offentlige DNS-servere, 8.8.8.8 and8.8.4.4.
For dette uncomment push "dhcp-alternativet DNS linjer og oppdatering av IP-adresser.
push "dhcp-alternativ DNS 8.8.8.8" push "dhcp-alternativ DNS 8.8.4.4"Endre bruker og gruppe til ingen
bruker nobodygroup ingenLagre og avslutte OpenVPN server konfigurasjonsfilen.
Trinn 4 - Generering nøkler og sertifikater
nå må vi lage våre nøkler og sertifikater. Enkel RSA installerer noen skript for å generere disse nøkler og sertifikater.
Lag en katalog for nøklene ved følgende kommando
mkdir -p /etc /OpenVPN /lett RSA /nøklerVi trenger også å kopiere nøkkelen og sertifikatet generasjon scripts inn i katalogen.
cp-rf /usr/share/easy-rsa/2.0/* /etc /openvpn /lett-rsanå kan vi 'kommer til å redigere standardverdiene i manuset. Så vi ikke trenger å skrive vår informasjon i hver gang. Åpne filen i editoren.
vi /etc /openvpn /lett-rsa /varsEndre verdier som starter med KEY_. Oppdater følgende verdier for å være nøyaktig for din organisasjon
Noen av de viktigste verdien som bør endre nøye er,
KEY_NAME. Du bør angi server her; du kan skrive noe annet, men da ville du også må oppdatere konfigurasjonsfiler som referanse og
KEY_CN: Skriv inn domene eller underdomene som tolkes til serveren din
Se utvalget fil nedenfor, etter
. . . # Dette er standardverdier for felt # som vil bli plassert i sertifikatet. # Ikke la noen av disse feltene blank.export KEY_COUNTRY = "USA" eksport KEY_PROVINCE = "NY" eksport KEY_CITY = "New York" eksport KEY_ORG = "unixmen" eksport KEY_EMAIL = "[email protected]" eksport KEY_OU = "Samfunn" # X509 Subject Fieldexport KEY_NAME = "server". . .export KEY_CN = openvpn.unixmen.com. . .OpenSSL-konfigurasjon kan ikke laste grunn til versjonen være umulig å oppdage. For å unngå dette fjerne versjonsnummeret fra OpenSSL filnavnet.
cp /etc/openvpn/easy-rsa/openssl-1.0.0.cnf /etc/openvpn/easy-rsa/openssl.cnfDeretter Vi kommer til å generere nøkler og sertifikater. Flytt til lett-rsa katalogen og kilde
i våre nye variabler.
cd /etc /openvpn /lett-rsakilde ./varsThen, vi vil rydde opp noen nøkler og sertifikater som allerede kan være i denne mappen og generere våre sertifiseringsinstans.
./rydde alleNår du bygger sertifiseringsinstansen, vil du bli bedt om å skrive inn all informasjonen vi legger inn de vars fil, men du vil se at alternativene er allerede satt som standard. Så kan du bare trykke ENTER for hver enkelt.
./bygge-caDeretter vil vi generere nøkkelen og sertifikatet for serveren. Vennligst trykk ENTER for hvert spørsmål som for trinnet ovenfor
./bygge-key-tjeneren tjenerNå vil vi generere Diffie-Hellman nøkkelutveksling fil. Denne kommandoen vil ta noen å fullføre:
./bygge-dhSå vi avsluttet server nøkler og sertifikater generasjon prosessen. Kopier dem alle i vår OpenVPN katalogen.
cd /etc /openvpn /lett-RSA /nøklercp dh2048.pem ca.crt server.crt server.nøkkel /etc /openvpnFor authenticate våre kunder vil også trenge sertifikater. Disse tastene og sertifikater vil bli delt med dine kunder, og det er best å generere egne nøkler og sertifikater for hver kunde du har tenkt på å koble.
Pass på at hvis du gjør dette gi deg dem beskrivende navn, men for nå vi kommer til å ha en klient så vi får bare kalle det klienten.
cd /etc/openvpn/easy-rsa./build-key klientdet var det for nøkler og sertifikater .
Trinn 5 - Routing
Installer iptables og disablefirewalld ved å utføre følgende kommandoer
yum install iptables-tjenester -ysystemctl maske firewalldsystemctl aktiver iptables < pre> systemctl slutter firewalldsystemctl starte iptablesiptables --flushDeretter må vi legge til en regel å iptables til å videresende vår ruting til vår OpenVPN subnett, og lagre denne regelen.
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j Masqueradeiptables-save > /Etc /sysconfig /iptablesDeretter aktiver IP videresending i sysctl. Åpne sysctl.conf i editoren vi
vi /etc/sysctl.confAdd følgende linje på toppen av filen:.
net.ipv4.ip_forward = 1For IP videresending vil tre i kraft. Vi må starte nettverkstjeneste. Utstede følgende kommando
systemctl restart network.service
Trinn 6 - Starter OpenVPN
Nå har vi fullført installasjonen og klar starte OpenVPN tjenesten. legge det til systemctl ved hjelp av kommandoen
systemctl -f aktiver [email protected]Komme OpenVPN:
systemctl starte [email protected]Så vi har fullført alle server-side konfigurasjon gjort for OpenVPN
Neste La oss se hvordan å koble en klient til server
Trinn 6 -.. Konfigurere en klient
Slik kobler du vil definitivt trenger en kopi av CA-sertifikatet fra serveren, sammen med klienten nøkkelen og sertifikatet.
Finn følgende filer på serveren. I denne artikkelen har vi brukt 'klient' som beskrivende navn for klienten keys.
/etc/openvpn/easy-rsa/keys/ca.crt/etc/openvpn/easy-rsa/keys/client.crt/etc/openvpn/easy-rsa/keys/client.keyCopy disse tre filene til klientmaskinen. For dette, Åpne filen i serveren og kopiere innholdet i filen til en ny fil i klientsystemet en lagre eller bruke SFTP.
Vi kommer til å opprette en fil som heter client.ovpn. Dette er en konfigurasjonsfil for en OpenVPN klient, forteller det hvordan du kobler til serveren.
Du må endre den første linjen for å gjenspeile navnet du ga kunden i din nøkkel og sertifikat; i vårt tilfelle, er dette bare klient
Du må også oppdatere IP-adressen fra your_server_ip til IP-adressen til serveren din, port1194 kan forbli den samme
Kontroller at banene til dine viktige og sertifikat filene er riktige
clientdev tunproto udpremote your_server_ip 1194resolv-retry infinitenobindpersist-keypersist-tuncomp-lzoverb 3ca /sti /til /ca.crtcert /path/to/client.crtkey /path/to/client.keyThis filen kan nå brukes av alle OpenVPN klient for å koble til serveren.
Anta klientmaskinen har Windows OS.
Du vil trenge de offisielle OpenVPN Community Edition binærfiler som kommer med et GUI. Deretter plasserer .ovpn konfigurasjonsfilen i riktig katalog, ex. C: \\ Program Files \\ OpenVPN \\ config, og klikk på Koble til i GUI. OpenVPN GUI i Windows må utføres med administratorrettigheter.
Det er det! Ha det ..!