شبکه خصوصی خود را با OpenVPN راه اندازی کنید

• دستگاه 1
• دستگاه 2

Vultr اتصال فوق العاده ای به شبکه خصوصی برای سرورهایی که در همان مکان کار می کنند ارائه می دهد. اما گاهی اوقات شما می خواهید دو سرور در کشورهای مختلف / پایگاه داده ها قادر به برقراری ارتباط خصوصی و مطمئن باشند. این آموزش نحوه دستیابی به این امر را با کمک OpenVPN نشان می دهد. سیستم عامل های مورد استفاده در اینجا Debian و CentOS هستند ، فقط برای نشان دادن دو تنظیم مختلف. این را می توان به راحتی برای Debian -> Debian ، Ubuntu -> FreeBSD و غیره سازگار کرد.

• دستگاه 1: دبیان ، به عنوان سرور عمل می کند (محل سکونت: NL)
• دستگاه 2: CentOS ، به عنوان مشتری عمل خواهد کرد (محل سکونت: FR)

دستگاه 1

با نصب OpenVPN از دستگاه 1 شروع کنید:

apt-get install openvpn

سپس ، پیکربندی مثال و ابزار تولید کلیدها را کپی کنید easy-rsa، به /etc/openvpn:

cp -r /usr/share/doc/openvpn/examples/easy-rsa/ /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn

مقادیر پیش فرض کلیدهای شما دقیقاً ایمن نیستند ، تا این گزینه را /etc/openvpn/easy-rsa/2.0/varsبا ویرایشگر متن مورد علاقه خود رفع کرده و خط زیر را اصلاح کنید:

export KEY_SIZE=4096

بعد ، اطمینان حاصل کنید که مقادیر در جلسه فعلی شما بارگیری شده است ، کلیدهای موجود را در نهایت پاک کنید و مجوز گواهی خود را تولید کنید:

cd /etc/openvpn/easy-rsa/2.0
source ./vars
./clean-all
./build-ca

برای اطلاعات از شما خواسته می شود. زندگی خود را با تهیه اطلاعات در مورد سرور خود آسان تر کنید ، به عنوان مثال ، مکانی که در آن قرار دارد و FQDN چیست / خواهد بود. این برای زمانی که مجبور هستید مشکلات اشکال زدایی مفید باشد:

Country Name (2 letter code) [US]:NL
State or Province Name (full name) [CA]:-
Locality Name (eg, city) [SanFrancisco]:Vultr Datacenter NL
Organization Name (eg, company) [Fort-Funston]:-
Organizational Unit Name (eg, section) [changeme]:-
Common Name (eg, your name or your server's hostname) [changeme]:yourserver1.yourdomain.tld
Name [changeme]:-
Email Address [[email protected]]:[email protected]

ضرورت دیگر پارامترهای لازم برای مبادله کلید Diffie-Hellman است. این موارد نیز باید تولید شوند:

./build-dh

نکته مهم : build-dhدستورالعمل فرایندی نسبتاً پیچیده است که بسته به منابع سرور شما می تواند تا ده دقیقه طول بکشد.

برای بهبود بیشتر امنیت این ارتباط ، ما یک راز استاتیک ایجاد می کنیم که باید بین همه مشتری ها توزیع شود:

mkdir /etc/openvpn/keys
openvpn --genkey --secret /etc/openvpn/keys/ta.key

اکنون می توانید کلید سرور را تولید کنید:

./build-key-server server1

این دستور برای برخی از اطلاعات فوری می کند:

Country Name (2 letter code) [US]:NL
State or Province Name (full name) [CA]:-
Locality Name (eg, city) [SanFrancisco]:Vultr Datacenter NL
Organization Name (eg, company) [Fort-Funston]:-
Organizational Unit Name (eg, section) [changeme]:-
Common Name (eg, your name or your server's hostname) [server1]:yourserver1.yourdomain.tld
Name [changeme]:-
Email Address [[email protected]]:[email protected]

مرحله آخر امضای درخواست گواهی نامه است که به تازگی با کلید CA تولید شده است:

1 out of 1 certificate requests certified, commit? [y/n]y

کلیدها و گواهینامه های لازم را در یک پوشه جداگانه کپی کنید:

cd /etc/openvpn/easy-rsa/2.0/keys
cp dh4096.pem ca.crt server1.crt server1.key /etc/openvpn/keys/
chmod 700 /etc/openvpn/keys
chmod 600 /etc/openvpn/keys/*

اکنون برای پیکربندی ، آن را از حالت فشرده خارج کنید ...

cd /etc/openvpn
gunzip server.conf.gz

... و نتیجه را server.confبا ویرایشگر متن مورد علاقه خود باز کنید. پیکربندی باید شبیه به این باشد:

port 1194
proto udp
dev tun

ca keys/ca.crt
cert keys/server1.crt
key keys/server1.key 
dh keys/dh4096.pem
server 10.8.100.0 255.255.255.0
ifconfig-pool-persist ipp.txt

# Uncomment this if you have multiple clients
# and want them to be able to see each other
;client-to-client

keepalive 10 120
tls-auth keys/ta.key 0 

tls-cipher DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-AES128-SHA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
cipher AES-256-CBC
auth SHA384
comp-lzo

user nobody
group nogroup

persist-key
persist-tun
verb 3
mute 20

بعد از راه اندازی مجدد سرویس ، باید اندکی گزارش خود را تماشا کنید ...

service openvpn restart && tail -f /var/log/syslog

... تا مطمئن شوید که همه چیز کار می کند. اگر خطایی تشخیص داده نشود ، می توانید کلیدهای سرور دوم خود را تولید کنید:

cd /etc/openvpn/easy-rsa/2.0
source ./vars
./build-key server2

باز هم ، از شما سؤال می شود:

Country Name (2 letter code) [US]:FR
State or Province Name (full name) [CA]:-
Locality Name (eg, city) [SanFrancisco]:Vultr Datacenter FR
Organization Name (eg, company) [Fort-Funston]:-
Organizational Unit Name (eg, section) [changeme]:-
Common Name (eg, your name or your server's hostname) 
[server2]:yourserver2.yourdomain.tld
Name [changeme]:-
Email Address [[email protected]]:[email protected]

حال باید فایلهای لازم را به سرور دوم خود ، که ترجیحاً رمزگذاری شده است ، منتقل کنید:

cd /etc/openvpn/easy-rsa/2.0/keys
cp /etc/openvpn/keys/ta.key .
tar -cf vpn.tar ca.crt server2.crt server2.key ta.key
scp vpn.tar yourusername@server2:~/
rm vpn.tar

دستگاه 2

زمان تبدیل به اتصال SSH سرور دوم خود است . اولین قدم نصب OpenVPN ...

yum install openvpn

... و برای غیر فعال کردن firewalld. جایگزین iptables ساده خواهد بود.

systemctl stop firewalld
systemctl disable firewalld

بایگانی را که به تازگی به سرور منتقل کرده اید باز کنید و به درستی مجوزها را روی پرونده ها تنظیم کنید:

cd /etc/openvpn
mkdir keys
chmod 700 keys
cd keys
tar -xf ~/vpn.tar -C .
chmod 600 *

/etc/openvpn/client.confبا ویرایشگر متن مورد علاقه خود ایجاد کنید. می بایست شبیه به این باشه:

client
dev tun
proto udp

remote yourserver yourport
resolv-retry infinite
nobind
user nobody
group openvpn


persist-key
persist-tun

ca keys/ca.crt
cert keys/server2.crt
key keys/.key

ns-cert-type server
tls-auth keys/ta.key 1

tls-cipher DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-AES128-SHA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
cipher AES-256-CBC
auth SHA384

remote-cert-tls server

comp-lzo
verb 3
mute 20

آخرین مرحله برای شروع و فعال کردن سرویس:

systemctl start [email protected]
systemctl enable [email protected]

اگر همه چیز در حال کار است ، پس نباید در پینگ اولین سرور مشکلی داشته باشید:

PING 10.8.100.1 (10.8.100.1) 56(84) bytes of data.
64 bytes from 10.8.100.1: icmp_seq=1 ttl=64 time=17.8 ms
64 bytes from 10.8.100.1: icmp_seq=2 ttl=64 time=17.9 ms
64 bytes from 10.8.100.1: icmp_seq=3 ttl=64 time=17.8 ms

شما اکنون یک ارتباط خصوصی از طریق اینترنت دارید!

اگر نیاز به عیب یابی هرگونه خطایی دارید ، سعی کنید سیاهه ها را با دستور زیر بررسی کنید:

journalctl -xn