OpenVPN के साथ अपना निजी नेटवर्क सेटअप करें

• मशीन 1
• मशीन २

Vultr आपको उसी स्थान पर चल रहे सर्वर के लिए भयानक निजी नेटवर्क कनेक्टिविटी प्रदान करता है। लेकिन कभी-कभी आप चाहते हैं कि विभिन्न देशों के दो सर्वर / डाटासेन्टर्स एक निजी और सुरक्षित तरीके से संवाद करने में सक्षम हों। यह ट्यूटोरियल आपको दिखाएगा कि ओपनवीपीएन की मदद से इसे कैसे प्राप्त किया जाए। यहां उपयोग किए जाने वाले ऑपरेटिंग सिस्टम डेबियन और सेंटोस हैं, बस आपको दो अलग-अलग कॉन्फ़िगरेशन दिखाने के लिए। इसे डेबियन -> डेबियन, उबंटू -> फ्रीबीएसडी और इतने पर आसानी से अनुकूलित किया जा सकता है।

• मशीन 1: डेबियन, सर्वर के रूप में कार्य करेगा (स्थान: एनएल)
• मशीन 2: CentOS, ग्राहक के रूप में कार्य करेगा (स्थान: FR)

मशीन 1

OpenVPN स्थापित करके मशीन 1 पर शुरू करें:

apt-get install openvpn

फिर, उदाहरण के विन्यास और पैदा चाबी के लिए उपकरण की प्रतिलिपि, easy-rsa, के लिए /etc/openvpn:

cp -r /usr/share/doc/openvpn/examples/easy-rsa/ /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn

आपकी कुंजी के लिए डिफ़ॉल्ट मान बिल्कुल सुरक्षित नहीं हैं, /etc/openvpn/easy-rsa/2.0/varsअपने पसंदीदा पाठ संपादक के साथ इस खुले को ठीक करने और निम्नलिखित पंक्ति को संशोधित करने के लिए:

export KEY_SIZE=4096

इसके बाद, सुनिश्चित करें कि मान आपके वर्तमान सत्र में लोड किए गए हैं, अंततः मौजूदा कुंजियों को साफ़ करें और अपना प्रमाणपत्र प्राधिकारी बनाएं:

cd /etc/openvpn/easy-rsa/2.0
source ./vars
./clean-all
./build-ca

आपको जानकारी के लिए संकेत दिया जाएगा। अपने सर्वर के बारे में जानकारी देकर अपने जीवन को आसान बनाएं, उदाहरण के लिए, यह कहाँ स्थित है और FQDN क्या है / होगा। जब आपको समस्याओं को डीबग करना हो तो यह उपयोगी है:

Country Name (2 letter code) [US]:NL
State or Province Name (full name) [CA]:-
Locality Name (eg, city) [SanFrancisco]:Vultr Datacenter NL
Organization Name (eg, company) [Fort-Funston]:-
Organizational Unit Name (eg, section) [changeme]:-
Common Name (eg, your name or your server's hostname) [changeme]:yourserver1.yourdomain.tld
Name [changeme]:-
Email Address [[email protected]]:[email protected]

एक और आवश्यकता डिफी-हेलमैन कुंजी विनिमय के लिए पैरामीटर है। उन्हें भी उत्पन्न करने की आवश्यकता है:

./build-dh

महत्वपूर्ण : build-dhकमांड एक अपेक्षाकृत जटिल प्रक्रिया है जो आपके सर्वर के संसाधनों के आधार पर दस मिनट तक का समय ले सकती है।

इस कनेक्शन की सुरक्षा को और बेहतर बनाने के लिए, हम एक स्थैतिक रहस्य उत्पन्न करेंगे, जिसे सभी ग्राहकों के बीच वितरित करने की आवश्यकता है:

mkdir /etc/openvpn/keys
openvpn --genkey --secret /etc/openvpn/keys/ta.key

अब, आप सर्वर के लिए कुंजी उत्पन्न कर सकते हैं:

./build-key-server server1

यह आदेश कुछ जानकारी के लिए संकेत देगा:

Country Name (2 letter code) [US]:NL
State or Province Name (full name) [CA]:-
Locality Name (eg, city) [SanFrancisco]:Vultr Datacenter NL
Organization Name (eg, company) [Fort-Funston]:-
Organizational Unit Name (eg, section) [changeme]:-
Common Name (eg, your name or your server's hostname) [server1]:yourserver1.yourdomain.tld
Name [changeme]:-
Email Address [[email protected]]:[email protected]

अंतिम चरण उस प्रमाणपत्र अनुरोध पर हस्ताक्षर करना है जो अभी CA की कुंजी के साथ उत्पन्न हुआ था:

1 out of 1 certificate requests certified, commit? [y/n]y

आवश्यक कुंजी और प्रमाणपत्र को एक अलग फ़ोल्डर में कॉपी करें:

cd /etc/openvpn/easy-rsa/2.0/keys
cp dh4096.pem ca.crt server1.crt server1.key /etc/openvpn/keys/
chmod 700 /etc/openvpn/keys
chmod 600 /etc/openvpn/keys/*

अब कॉन्फ़िगरेशन के लिए, इसे अनज़िप करें ...

cd /etc/openvpn
gunzip server.conf.gz

... और server.confअपने पसंदीदा पाठ संपादक के साथ परिणाम खोलें । कॉन्फ़िगरेशन इस तरह दिखना चाहिए:

port 1194
proto udp
dev tun

ca keys/ca.crt
cert keys/server1.crt
key keys/server1.key 
dh keys/dh4096.pem
server 10.8.100.0 255.255.255.0
ifconfig-pool-persist ipp.txt

# Uncomment this if you have multiple clients
# and want them to be able to see each other
;client-to-client

keepalive 10 120
tls-auth keys/ta.key 0 

tls-cipher DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-AES128-SHA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
cipher AES-256-CBC
auth SHA384
comp-lzo

user nobody
group nogroup

persist-key
persist-tun
verb 3
mute 20

सेवा को पुनरारंभ करने के बाद आपको अपने लॉग को थोड़ा देखना चाहिए ...

service openvpn restart && tail -f /var/log/syslog

... यह सुनिश्चित करने के लिए कि सब कुछ काम कर रहा है। यदि कोई त्रुटि नहीं पाई जाती है, तो आप अपने दूसरे सर्वर के लिए कुंजी उत्पन्न कर सकते हैं:

cd /etc/openvpn/easy-rsa/2.0
source ./vars
./build-key server2

फिर, आपको जानकारी के लिए संकेत दिया जाएगा:

Country Name (2 letter code) [US]:FR
State or Province Name (full name) [CA]:-
Locality Name (eg, city) [SanFrancisco]:Vultr Datacenter FR
Organization Name (eg, company) [Fort-Funston]:-
Organizational Unit Name (eg, section) [changeme]:-
Common Name (eg, your name or your server's hostname) 
[server2]:yourserver2.yourdomain.tld
Name [changeme]:-
Email Address [[email protected]]:[email protected]

अब, आपको आवश्यक फ़ाइलों को अपने दूसरे सर्वर पर स्थानांतरित करना होगा, अधिमानतः एन्क्रिप्ट किया गया:

cd /etc/openvpn/easy-rsa/2.0/keys
cp /etc/openvpn/keys/ta.key .
tar -cf vpn.tar ca.crt server2.crt server2.key ta.key
scp vpn.tar yourusername@server2:~/
rm vpn.tar

मशीन २

अपने दूसरे सर्वर के SSH-कनेक्शन पर स्विच करने का समय । पहला कदम OpenVPN स्थापित करने के लिए है ...

yum install openvpn

... और निष्क्रिय करने के लिए firewalld। प्रतिस्थापन सादे iptables होगा।

systemctl stop firewalld
systemctl disable firewalld

उस संग्रह को अनपैक करें जिसे आप केवल सर्वर पर ले गए और फ़ाइलों पर अनुमतियाँ ठीक से सेट करें:

cd /etc/openvpn
mkdir keys
chmod 700 keys
cd keys
tar -xf ~/vpn.tar -C .
chmod 600 *

/etc/openvpn/client.confअपने पसंदीदा टेक्स्ट एडिटर से बनाएं । इसे ऐसा दिखना चाहिए:

client
dev tun
proto udp

remote yourserver yourport
resolv-retry infinite
nobind
user nobody
group openvpn


persist-key
persist-tun

ca keys/ca.crt
cert keys/server2.crt
key keys/.key

ns-cert-type server
tls-auth keys/ta.key 1

tls-cipher DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-AES128-SHA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
cipher AES-256-CBC
auth SHA384

remote-cert-tls server

comp-lzo
verb 3
mute 20

सेवा शुरू करने और सक्षम करने के लिए अंतिम चरण है:

systemctl start [email protected]
systemctl enable [email protected]

यदि सब कुछ काम कर रहा है, तो आपको पहले सर्वर को पिंग करने में कोई समस्या नहीं होनी चाहिए:

PING 10.8.100.1 (10.8.100.1) 56(84) bytes of data.
64 bytes from 10.8.100.1: icmp_seq=1 ttl=64 time=17.8 ms
64 bytes from 10.8.100.1: icmp_seq=2 ttl=64 time=17.9 ms
64 bytes from 10.8.100.1: icmp_seq=3 ttl=64 time=17.8 ms

अब आपके पास इंटरनेट पर एक निजी कनेक्शन है!

यदि आपको किसी त्रुटि का निवारण करने की आवश्यकता है, तो निम्न कमांड के साथ लॉग की जांच करने का प्रयास करें:

journalctl -xn