Hoe maak je een OpenVPN-server op Ubuntu 16.04

• Invoering
• Installeren
• Certificaatautoriteit
• Configureer de server
• Bewerk de Config
• Doorsturen toestaan
• NAT
• Begin
• Gevolgtrekking

Invoering

OpenVPN is een veilige VPN die SSL (Secure Socket Layer) gebruikt en een breed scala aan functies biedt. In deze handleiding behandelen we het installatieproces van OpenVPN op Ubuntu 16 met behulp van de easy-rsa gehoste certificeringsinstantie.

Installeren

Om aan de slag te gaan, hebben we enkele pakketten nodig:

sudo su
apt-get update
apt-get install openvpn easy-rsa

Certificaatautoriteit

OpenVPN is een SSL VPN, wat betekent dat het fungeert als certificeringsinstantie om het verkeer tussen beide partijen te versleutelen.

Opstelling

We kunnen beginnen met het instellen van de certificeringsinstantie van onze OpenVPN-server door de volgende opdracht uit te voeren:

make-cadir ~/ovpn-ca

We kunnen nu overschakelen naar onze nieuwe map:

cd ~/ovpn-ca

Configureer

Open het bestand met de naam varsen bekijk de volgende parameters:

export KEY_COUNTRY="US"
export KEY_PROVINCE="NJ"
export KEY_CITY="Matawan"
export KEY_ORG="Your Awesome Organization"
export KEY_EMAIL="me@your_awesome_org.com"
export KEY_OU="YourOrganizationUnit"

En bewerk ze met uw eigen waarden. We moeten ook de volgende regel zoeken en bewerken:

export KEY_NAME="server"

Bouwen

We kunnen nu beginnen met het bouwen van onze certificeringsinstantie door de volgende opdracht uit te voeren:

./clean-all
./build-ca

Deze opdrachten kunnen enkele minuten in beslag nemen.

Server-sleutel

Nu kunnen we beginnen met het bouwen van de sleutel van onze server door het volgende commando uit te voeren:

./build-key-server server

Hoewel het serverveld moet worden vervangen door, KEY_NAMEhebben we het varseerder ingesteld. In ons geval kunnen we houden server.

Het bouwproces van de sleutel van onze server kan een paar vragen stellen, zoals het verlopen van zichzelf. We beantwoorden al deze vragen met y.

Sterke sleutel

In de volgende stap creëren we een sterke Diffie-Hellmansleutel die zal worden gebruikt tijdens het uitwisselen van onze sleutels. Typ de volgende opdracht om er een te maken:

./build-dh

HMAC

We kunnen nu een HMAC-handtekening maken om de verificatie van de TLS-integriteit van de server te versterken:

openvpn --genkey --secret keys/ta.key

Genereer een clientsleutel

./build-key client

Configureer de server

Zodra we met succes onze eigen certificeringsinstantie hebben gemaakt, kunnen we beginnen met het kopiëren van alle benodigde bestanden en het configureren van OpenVPN zelf. Nu gaan we de gegenereerde sleutels en certificaten kopiëren naar onze OpenVPN-directory:

cd keys
cp ca.crt ca.key server.crt server.key ta.key dh2048.pem /etc/openvpn
cd ..

Daarna kunnen we een voorbeeld van een OpenVPN-configuratiebestand naar onze OpenVPN-directory kopiëren door de volgende opdracht uit te voeren:

gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | tee /etc/openvpn/server.conf

Bewerk de Config

We kunnen nu beginnen met het bewerken van onze configuratie om aan onze behoeften te voldoen. Open het bestand /etc/openvpn/server.confen verwijder de opmerkingen over de volgende regels:

push "redirect-gateway def1 bypass-dhcp"
user nobody
group nogroup
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
tls-auth ta.key 0

We moeten ook een nieuwe regel toevoegen aan onze configuratie. Plaats de volgende lijn onder de tls-authlijn:

key-direction 0

Doorsturen toestaan

Omdat we onze klanten via onze server toegang tot internet willen geven, openen we het volgende bestand /etc/sysctl.confen verwijderen we commentaar op deze regel:

net.ipv4.ip_forward=1

Nu moeten we de wijzigingen toepassen:

sysctl -p

NAT

Om onze VPN-clients internettoegang te kunnen bieden, moeten we ook een NAT-regel maken. Deze regel is een korte oneliner die er als volgt uitziet:

iptables -t nat -A POSTROUTING -s 10.8.0.0/16 -o eth0 -j MASQUERADE

Begin

We kunnen nu onze OpenVPN-server starten en klanten verbinding laten maken door de volgende sleutel in te typen:

service openvpn start

Gevolgtrekking

Hiermee is onze tutorial afgesloten. Geniet van je nieuwe OpenVPN-server!