1. Location:
  2. / Computer learning >> Datamaskin læring >> system >> linux >>

Installere og konfigurere OpenVPN server på Linux

VPN er svært ofte avgjørende for å jobbe i en bedrift. Med å jobbe hjemmefra er slik et populært uavgjort for mange bransjer, er det likevel nødvendig å ha tilgang til bedriftens mapper og maskinvare som eksisterer innenfor LAN. Når utenom at LAN, er en av de beste måtene å få at tilgang ved hjelp av en VPN. Mange VPN-løsninger er kostbare, og /eller utfordrende å sette opp og administrere. Heldigvis for åpen kildekode /Linux-fellesskapet, det er en løsning som er faktisk ganske enkel å sette opp, konfigurere og administrere. OpenVPN er at løsningen og her vil du lære hvordan du setter opp serveren slutten av dette systemet.

Hva er nødvendig

Jeg skal sette OpenVPN opp på en Ubuntu 11.04, ved hjelp av Public Key Infrastructure med en bro Ethernet-grensesnitt. Dette oppsettet gir den raskeste veien til å få OpenVPN oppe og går, og samtidig opprettholde et minstemål av sikkerhet.

Det første trinnet (utenom å ha operativsystemet) er å installere de nødvendige pakkene. Siden jeg vil installere på Ubunutu, er installasjonen ganske grei:..


    Åpne opp et terminalvindu

    Kjør sudo apt-get install openvpn å installere OpenVPN pakken

    Skriv inn sudo passord og trykk Enter

    Godta eventuelle avhengig

    Det er bare én pakke igjen å installere &ndash..; pakken som gjør at aktivering av bro nettverk. Sette opp broen er enkel, når du vet hvordan. Men før grensesnittet kan konfigureres til å håndtere brokoblet nettverk, må en enkelt pakke skal installeres. Gjør følgende:.


      Installer den nødvendige pakken med kommandoen sudo apt-get install bro-utils

      Rediger /etc /network /interfaces filen for å gjenspeile de nødvendige endringene ( se nedenfor).

      Start på nytt nettverk med kommandoen sudo /etc/init.d/networking restart.

      Åpne opp /etc /network /inter fil og gjøre nødvendig at gjelder for din nettverksgrensesnitt, basert på prøven under: 


       auto loiface lo inet loopbackauto br0iface Br0 inet statisk adresse 192.168.100.10 nettverk 192.168.100.0 netmask 255.255.255.0 kringkasting 192.168.100.255 gateway 192.168.100.1 bridge_ports eth0 bridge_fd 9 bridge_hello to bridge_maxage 12 bridge_stp off 
       
       
       Sørg for å konfigurere broen delen (vist over) for å matche riktig informasjon for nettverket. Lagre filen og restart nettverk. Nå er det på tide å begynne å konfigurere VPN-serveren. 
       
       Opprette Sertifikater 
       
       OpenVPN serveren vil stole på sertifiseringsmyndighet for sikkerhet. Disse sertifikatene må først lages og deretter plassert i de riktige katalogene. For å gjøre dette, gjør du følgende: 
       
         
         Opprett en ny katalog med kommandoen sudo mkdir /etc /openvpn /lett-RSA /
         
         Kopier de nødvendige filene med kommandoen sudo. cp -r /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc /openvpn /lett-RSA /. 
         
         Endre eierskap til den nylig kopierte katalogen med kommandoen sudo chown -R $ USER /etc /openvpn /lett-RSA /. 
         
         Rediger filen /etc /openvpn /lett-RSA /vars og endre variablene listet opp nedenfor. 
         
         variabler å redigere er: 
         
         
         
         eksport KEY_COUNTRY = " US " eksport KEY_PROVINCE = " KY " eksport KEY_CITY = " Louis " eksport KEY_ORG = " Monkeypantz " eksport KEY_EMAIL = " Denne e-postadressen er beskyttet mot programmer som samler. Du må aktivere Javascript for å kunne se " 
         Når filen er redigert og lagret, vil vi kjøre flere kommandoer skal føres for å skape sertifikatene: 
         
         cd /etc /OpenVPN /lett-RSA /
         
         kilde vars 
         
         ./clean-all 
         
         ./build-dh 
         
         ./pkitool --initca 
         
         ./pkitool --server server 
         
         cd keys 
         
         sudo openvpn --genkey --secret ta.key 
         
         sudo cp server.crt server.nøkkel ca.crt dh1024.pem ta.key /etc /openvpn /
         
         klientsertifikater 
         
         Kundene må ha sertifikat for å autentisere til serveren. For å opprette disse sertifikatene, gjør du følgende: 
         
           
           cd /etc /openvpn /lett-RSA /
           
           kilde vars 
           
           ./pkitool  hostname 
           
           
           Her vertsnavnet er selve vertsnavnet til maskinen som skal koble til VPN. 
           
           Nå vil sertifikater må opprettes for hver vert ønsker å koble til VPN. Når sertifikatene er opprettet, vil de trenger for å bli kopiert til de respektive klienter. Filene som skal kopieres er: 
           
           /etc/openvpn/ca.crt 
           
           /etc/openvpn/ta.key 
           
           /etc /openvpn /lett RSA /nøkler /hostname.crt (der vertsnavn er vertsnavnet klienten). 
           
           /etc/openvpn/easy-rsa/keys/hostname.key (der vertsnavn er vertsnavnet klienten) . 
           
           Kopier ovenfor ved hjelp av en sikker metode, noe som gjør at de blir kopiert til /etc /openvpn katalogen. 
           
           Konfigurering av VPN Server 
           
           Det er på tide å konfigurere selve VPN-serveren. Det første trinnet er å kopiere en prøve konfigurasjonsfil å jobbe med. Dette gjøres med kommandoen sudo cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc /OpenVPN /. Nå dekomprimere server.conf.gz fil med kommandoen sudo gzip -d /etc/openvpn/server.conf.gz. Konfigurasjonsalternativene for å redigere er i denne filen. Åpne server.conf opp i en teksteditor (med administrative rettigheter) og redigere følgende alternativer: 
           
           lokal 192.168.100.10dev tap0up " /etc/openvpn/up.sh Br0 " ned " /etc /OpenVPN /down.sh Br0 " server-broen 192.168.100.101 255.255.255.0 192.168.100.105 192.168.100.200push " rute 192.168.100.1 255.255.255.0 " trykk " dhcp-alternativ DNS 192.168.100.201 " trykk " dhcp -Mulighet DOMENE example.com " TLS-auth ta.key 0 # Denne filen er secretuser nobodygroup NOGROUP 
           Hvis du er usikker på noen av alternativene, her: 
           
           Den lokale adresse er IP-adressen til bro-grensesnittet. 
           
           Serveren-brua er nødvendig i tilfelle av en bro grensesnitt. 
           
           Serveren vil presse ut IP-adressen rekke 192.168.100.105-200 til klienter. 
           
           De push-direktivene alternativer sendt til kunder. 
           
           Bringing VPN opp og ned 
           
           Før VPN startes (eller startes på nytt) et par skript vil være nødvendig å legge springen grensesnitt til broen (Hvis bro nettverk ikke er i bruk, disse skriptene er ikke nødvendig.) Disse skriptene vil da bli brukt av den kjørbare for OpenVPN. Skriptene er /etc/openvpn/up.sh og /etc/openvpn/down.sh. 
           
           #! /Bin /sh # Dette er /etc/openvpn/up.shBR=$1DEV=$2MTU = $ 3 /sbin /ifconfig $ DEV MTU $ MTU promisc opp /usr /sbin /brctl addif $ BR $ DEV 
           #! /bin /sh # Dette er /etc /openvpn /down.shBR = $ 1DEV = $ 2 /usr /sbin /brctl delif $ BR $ DEV /sbin /ifconfig $ DEV ned 
           
           
           Både av skript må være kjørbar, som er gjort med chmod kommandoen: 
           
           sudo chmod 755 /etc/openvpn/down.sh 
           
           sudo chmod 755 /etc/openvpn/up.sh 
           
           Til slutt, starter OpenVPN med kommandoen sudo /etc /init.d/openvpn omstart. VPN-serveren er nå klar til å godta tilkoblinger fra klienter (tema for min neste tutorial.) 
           
           Detaljer, detaljer 
           
           En ting som er et must for en VPN er at maskinen som er vert for VPN må være tilgjengelig for omverdenen — forutsatt at brukerne kommer inn fra omverdenen. Dette kan gjøres ved enten å gi serveren en ekstern IP-adresse, eller ved å rute trafikk fra utsiden inn med NAT regler (som kan bli oppnådd på forskjellige måter). Det vil også være avgjørende for å ansette beste sikkerheten praksis (spesielt hvis serveren har en ekstern IP-adresse) for å hindre uønsket trafikk eller brukere fra å komme inn på serveren.