Stel uw eigen privé-netwerk in met OpenVPN

• Machine 1
• Machine 2

Vultr biedt u geweldige privé-netwerkconnectiviteit voor servers die op dezelfde locatie draaien. Maar soms wilt u dat twee servers in verschillende landen / datacenters privé en veilig kunnen communiceren. Deze tutorial laat je zien hoe je dat kunt bereiken met behulp van OpenVPN. De besturingssystemen die hier worden gebruikt, zijn Debian en CentOS, om u twee verschillende configuraties te laten zien. Dit kan eenvoudig worden aangepast voor Debian -> Debian, Ubuntu -> FreeBSD enzovoort.

• Machine 1: Debian, fungeert als server (Locatie: NL)
• Machine 2: CentOS, zal optreden als klant (Locatie: FR)

Machine 1

Start op machine 1 door OpenVPN te installeren:

apt-get install openvpn

Kopieer vervolgens de voorbeeldconfiguratie en de tool voor het genereren van sleutels easy-rsa, naar /etc/openvpn:

cp -r /usr/share/doc/openvpn/examples/easy-rsa/ /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn

De standaardwaarden voor uw sleutels zijn niet bepaald veilig meer, om dit open te stellen /etc/openvpn/easy-rsa/2.0/varsmet uw favoriete teksteditor en de volgende regel te wijzigen:

export KEY_SIZE=4096

Zorg er vervolgens voor dat de waarden in uw huidige sessie worden geladen, ruim eventueel bestaande sleutels op en genereer uw certificeringsinstantie:

cd /etc/openvpn/easy-rsa/2.0
source ./vars
./clean-all
./build-ca

U wordt om informatie gevraagd. Maak uw leven gemakkelijker door bijvoorbeeld informatie te verstrekken over uw server, waar deze zich bevindt en wat de FQDN is / zal zijn. Dit is handig wanneer u problemen moet oplossen:

Country Name (2 letter code) [US]:NL
State or Province Name (full name) [CA]:-
Locality Name (eg, city) [SanFrancisco]:Vultr Datacenter NL
Organization Name (eg, company) [Fort-Funston]:-
Organizational Unit Name (eg, section) [changeme]:-
Common Name (eg, your name or your server's hostname) [changeme]:yourserver1.yourdomain.tld
Name [changeme]:-
Email Address [[email protected]]:[email protected]

Een andere noodzaak zijn parameters voor de Diffie-Hellman-sleuteluitwisseling. Die moeten ook worden gegenereerd:

./build-dh

Belangrijk : de build-dhopdracht is een relatief complex proces dat tot tien minuten kan duren, afhankelijk van de bronnen van je server.

Om de beveiliging van deze verbinding verder te verbeteren, zullen we een statisch geheim genereren dat onder alle klanten moet worden verspreid:

mkdir /etc/openvpn/keys
openvpn --genkey --secret /etc/openvpn/keys/ta.key

Nu kunt u de sleutel voor de server genereren:

./build-key-server server1

Deze opdracht vraagt ​​om wat informatie:

Country Name (2 letter code) [US]:NL
State or Province Name (full name) [CA]:-
Locality Name (eg, city) [SanFrancisco]:Vultr Datacenter NL
Organization Name (eg, company) [Fort-Funston]:-
Organizational Unit Name (eg, section) [changeme]:-
Common Name (eg, your name or your server's hostname) [server1]:yourserver1.yourdomain.tld
Name [changeme]:-
Email Address [[email protected]]:[email protected]

De laatste stap is het ondertekenen van het certificaatverzoek dat zojuist is gegenereerd met de sleutel van de certificeringsinstantie:

1 out of 1 certificate requests certified, commit? [y/n]y

Kopieer de benodigde sleutels en certificaten naar een aparte map:

cd /etc/openvpn/easy-rsa/2.0/keys
cp dh4096.pem ca.crt server1.crt server1.key /etc/openvpn/keys/
chmod 700 /etc/openvpn/keys
chmod 600 /etc/openvpn/keys/*

Nu voor de configuratie, pak het uit ...

cd /etc/openvpn
gunzip server.conf.gz

... en open het resultaat server.confmet uw favoriete teksteditor. De configuratie zou er ongeveer zo uit moeten zien:

port 1194
proto udp
dev tun

ca keys/ca.crt
cert keys/server1.crt
key keys/server1.key 
dh keys/dh4096.pem
server 10.8.100.0 255.255.255.0
ifconfig-pool-persist ipp.txt

# Uncomment this if you have multiple clients
# and want them to be able to see each other
;client-to-client

keepalive 10 120
tls-auth keys/ta.key 0 

tls-cipher DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-AES128-SHA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
cipher AES-256-CBC
auth SHA384
comp-lzo

user nobody
group nogroup

persist-key
persist-tun
verb 3
mute 20

Na het herstarten van de service moet je je log een beetje bekijken ...

service openvpn restart && tail -f /var/log/syslog

... om ervoor te zorgen dat alles werkt. Als er geen fouten worden gedetecteerd, kunt u de sleutels voor uw tweede server genereren:

cd /etc/openvpn/easy-rsa/2.0
source ./vars
./build-key server2

Nogmaals, u wordt om informatie gevraagd:

Country Name (2 letter code) [US]:FR
State or Province Name (full name) [CA]:-
Locality Name (eg, city) [SanFrancisco]:Vultr Datacenter FR
Organization Name (eg, company) [Fort-Funston]:-
Organizational Unit Name (eg, section) [changeme]:-
Common Name (eg, your name or your server's hostname) 
[server2]:yourserver2.yourdomain.tld
Name [changeme]:-
Email Address [[email protected]]:[email protected]

Nu moet u de benodigde bestanden overzetten naar uw tweede server, bij voorkeur versleuteld:

cd /etc/openvpn/easy-rsa/2.0/keys
cp /etc/openvpn/keys/ta.key .
tar -cf vpn.tar ca.crt server2.crt server2.key ta.key
scp vpn.tar yourusername@server2:~/
rm vpn.tar

Machine 2

Tijd om over te schakelen naar de SSH-verbinding van je tweede server . De eerste stap is het installeren van OpenVPN ...

yum install openvpn

... en deactiveren firewalld. De vervanging zal gewone iptables zijn.

systemctl stop firewalld
systemctl disable firewalld

Pak het archief uit dat u zojuist naar de server hebt verplaatst en stel de rechten voor de bestanden correct in:

cd /etc/openvpn
mkdir keys
chmod 700 keys
cd keys
tar -xf ~/vpn.tar -C .
chmod 600 *

Maak /etc/openvpn/client.confmet uw favoriete teksteditor. Het zou er zo uit moeten zien:

client
dev tun
proto udp

remote yourserver yourport
resolv-retry infinite
nobind
user nobody
group openvpn


persist-key
persist-tun

ca keys/ca.crt
cert keys/server2.crt
key keys/.key

ns-cert-type server
tls-auth keys/ta.key 1

tls-cipher DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-AES128-SHA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
cipher AES-256-CBC
auth SHA384

remote-cert-tls server

comp-lzo
verb 3
mute 20

De laatste stap is om de service te starten en in te schakelen:

systemctl start [email protected]
systemctl enable [email protected]

Als alles werkt, zou het geen probleem moeten zijn om de eerste server te pingen:

PING 10.8.100.1 (10.8.100.1) 56(84) bytes of data.
64 bytes from 10.8.100.1: icmp_seq=1 ttl=64 time=17.8 ms
64 bytes from 10.8.100.1: icmp_seq=2 ttl=64 time=17.9 ms
64 bytes from 10.8.100.1: icmp_seq=3 ttl=64 time=17.8 ms

U heeft nu een privéverbinding via internet!

Als u eventuele fouten moet oplossen, controleer dan de logboeken met de volgende opdracht:

journalctl -xn