Cara Membuat Pelayan OpenVPN di Ubuntu 16.04

• Pengenalan
• Pasang
• Lembaga Perakuan
• Konfigurasikan Pelayan
• Edit Konfigurasi
• Benarkan Penghantaran
• NAT
• Mulakan
• Kesimpulannya

Pengenalan

OpenVPN adalah VPN selamat yang menggunakan SSL (Secure Socket Layer) dan menawarkan pelbagai ciri. Dalam panduan ini, kami akan merangkumi proses pemasangan OpenVPN di Ubuntu 16 menggunakan pihak berkuasa sijil yang dihoskan dengan mudah.

Pasang

Untuk memulakan, kami memerlukan beberapa pakej yang dipasang:

sudo su
apt-get update
apt-get install openvpn easy-rsa

Lembaga Perakuan

OpenVPN adalah SSL VPN, yang bermaksud bahawa ia bertindak sebagai Pihak Berkuasa Sijil untuk menyulitkan lalu lintas antara kedua-dua pihak.

Persediaan

Kita boleh memulakan dengan menyiapkan Otoriti Sijil pelayan OpenVPN kami dengan menjalankan perintah berikut:

make-cadir ~/ovpn-ca

Kita sekarang boleh beralih ke direktori baru yang kita buat:

cd ~/ovpn-ca

Konfigurasikan

Buka fail dengan nama varsdan perhatikan parameter berikut:

export KEY_COUNTRY="US"
export KEY_PROVINCE="NJ"
export KEY_CITY="Matawan"
export KEY_ORG="Your Awesome Organization"
export KEY_EMAIL="me@your_awesome_org.com"
export KEY_OU="YourOrganizationUnit"

Dan edit dengan nilai anda sendiri. Kita juga perlu mencari dan menyunting baris berikut:

export KEY_NAME="server"

Membina

Kita sekarang boleh mula membina Lembaga Sijil kita dengan menjalankan perintah berikut:

./clean-all
./build-ca

Perintah ini mungkin memerlukan beberapa minit untuk diselesaikan.

Kekunci Pelayan

Sekarang, kita boleh mula membina kunci pelayan kita dengan menjalankan perintah berikut:

./build-key-server server

Sementara serverbidang harus diganti dengan KEY_NAMEkita tetapkan dalam varsfile lebih awal. Dalam kes kita, kita boleh menyimpan server.

Proses membina kunci pelayan kami mungkin mengajukan beberapa soalan, seperti berakhirnya dirinya sendiri. Kami menjawab semua soalan ini dengan y.

Kunci Kuat

Pada langkah seterusnya, kami membuat Diffie-Hellmankunci yang kuat yang akan digunakan semasa pertukaran kunci kami. Taipkan arahan berikut untuk membuatnya:

./build-dh

HMAC

Kita sekarang boleh membuat tandatangan HMAC untuk memperkuat pengesahan integriti TLS pelayan:

openvpn --genkey --secret keys/ta.key

Hasilkan Kunci Pelanggan

./build-key client

Konfigurasikan Pelayan

Setelah berjaya membuat Lembaga Sijil kita sendiri, kita dapat mulai dengan menyalin semua fail yang diperlukan dan mengkonfigurasi OpenVPN itu sendiri. Sekarang, kami akan menyalin kunci dan sijil yang dihasilkan ke direktori OpenVPN kami:

cd keys
cp ca.crt ca.key server.crt server.key ta.key dh2048.pem /etc/openvpn
cd ..

Selepas itu, kita dapat menyalin contoh file konfigurasi OpenVPN ke direktori OpenVPN kami dengan menjalankan perintah berikut:

gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | tee /etc/openvpn/server.conf

Edit Konfigurasi

Kita sekarang boleh mula mengedit konfigurasi kita agar sesuai dengan keperluan kita. Buka fail /etc/openvpn/server.confdan tanggalkan baris berikut:

push "redirect-gateway def1 bypass-dhcp"
user nobody
group nogroup
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
tls-auth ta.key 0

Kita juga perlu menambahkan baris baru ke konfigurasi kita. Letakkan baris berikut di bawah tls-authgaris:

key-direction 0

Benarkan Penghantaran

Oleh kerana kami ingin membenarkan pelanggan kami mengakses Internet melalui pelayan kami, kami membuka fail berikut /etc/sysctl.confdan melepaskan baris ini:

net.ipv4.ip_forward=1

Sekarang kita harus menerapkan perubahan:

sysctl -p

NAT

Untuk menyediakan Akses Internet kepada klien VPN kami, kami juga harus membuat aturan NAT. Peraturan ini adalah satu pelapik pendek yang kelihatan seperti ini:

iptables -t nat -A POSTROUTING -s 10.8.0.0/16 -o eth0 -j MASQUERADE

Mulakan

Kita sekarang boleh memulakan pelayan OpenVPN dan membiarkan pelanggan berhubung dengan menaip kekunci berikut:

service openvpn start

Kesimpulannya

Ini menyimpulkan tutorial kami. Nikmati Pelayan OpenVPN baru anda!