Jak stworzyć serwer OpenVPN na Ubuntu 16.04

• Wprowadzenie
• zainstalować
• Urząd certyfikacji
• Skonfiguruj serwer
• Edytuj konfigurację
• Zezwalaj na przekazywanie
• NAT
• Początek
• Wniosek

Wprowadzenie

OpenVPN to bezpieczna sieć VPN, która wykorzystuje protokół SSL (Secure Socket Layer) i oferuje szeroki zakres funkcji. W tym przewodniku omówimy proces instalowania OpenVPN na Ubuntu 16 przy użyciu hostowanego certyfikatu easy-rsa.

zainstalować

Aby rozpocząć, musimy zainstalować kilka pakietów:

sudo su
apt-get update
apt-get install openvpn easy-rsa

Urząd certyfikacji

OpenVPN to SSL VPN, co oznacza, że ​​działa jako urząd certyfikacji w celu szyfrowania ruchu między obiema stronami.

Ustawiać

Możemy zacząć od skonfigurowania urzędu certyfikacji naszego serwera OpenVPN, uruchamiając następujące polecenie:

make-cadir ~/ovpn-ca

Możemy teraz przejść do naszego świeżo utworzonego katalogu:

cd ~/ovpn-ca

Konfiguruj

Otwórz plik o nazwie varsi spójrz na następujące parametry:

export KEY_COUNTRY="US"
export KEY_PROVINCE="NJ"
export KEY_CITY="Matawan"
export KEY_ORG="Your Awesome Organization"
export KEY_EMAIL="me@your_awesome_org.com"
export KEY_OU="YourOrganizationUnit"

I edytuj je według własnych wartości. Musimy także poszukać i edytować następujący wiersz:

export KEY_NAME="server"

Budować

Możemy teraz rozpocząć budowanie naszego urzędu certyfikacji, uruchamiając następujące polecenie:

./clean-all
./build-ca

Wykonanie tych poleceń może potrwać kilka minut.

Klucz serwera

Teraz możemy zacząć budować klucz naszego serwera, uruchamiając następującą komendę:

./build-key-server server

Podczas gdy serverpole powinno zostać zastąpione KEY_NAME, ustawiliśmy varswcześniej w pliku. W naszym przypadku możemy zachować server.

Proces kompilacji klucza naszego serwera może zadać kilka pytań, takich jak wygaśnięcie samego siebie. Odpowiadamy na wszystkie te pytania za pomocą y.

Silny klucz

W następnym kroku tworzymy silny Diffie-Hellmanklucz, który będzie używany podczas wymiany naszych kluczy. Wpisz następujące polecenie, aby je utworzyć:

./build-dh

HMAC

Możemy teraz utworzyć podpis HMAC, aby wzmocnić weryfikację integralności TLS serwera:

openvpn --genkey --secret keys/ta.key

Wygeneruj klucz klienta

./build-key client

Skonfiguruj serwer

Po pomyślnym utworzeniu własnego urzędu certyfikacji możemy zacząć od skopiowania wszystkich potrzebnych plików i skonfigurowania samego OpenVPN. Teraz skopiujemy wygenerowane klucze i certyfikaty do naszego katalogu OpenVPN:

cd keys
cp ca.crt ca.key server.crt server.key ta.key dh2048.pem /etc/openvpn
cd ..

Następnie możemy skopiować przykładowy plik konfiguracyjny OpenVPN do naszego katalogu OpenVPN, uruchamiając następującą komendę:

gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | tee /etc/openvpn/server.conf

Edytuj konfigurację

Możemy teraz rozpocząć edycję konfiguracji, aby dopasować ją do naszych potrzeb. Otwórz plik /etc/openvpn/server.confi usuń komentarz z następujących wierszy:

push "redirect-gateway def1 bypass-dhcp"
user nobody
group nogroup
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
tls-auth ta.key 0

Musimy również dodać nową linię do naszej konfiguracji. Umieść następujący wiersz pod tls-authlinią:

key-direction 0

Zezwalaj na przekazywanie

Ponieważ chcemy umożliwić naszym klientom dostęp do Internetu za pośrednictwem naszego serwera, otwieramy następujący plik /etc/sysctl.confi odkomentujemy ten wiersz:

net.ipv4.ip_forward=1

Teraz musimy zastosować zmiany:

sysctl -p

NAT

Aby zapewnić dostęp do Internetu naszym klientom VPN, musimy również utworzyć regułę NAT. Ta zasada jest krótką linią, która wygląda następująco:

iptables -t nat -A POSTROUTING -s 10.8.0.0/16 -o eth0 -j MASQUERADE

Początek

Możemy teraz uruchomić nasz serwer OpenVPN i pozwolić klientom łączyć się, wpisując następujący klucz:

service openvpn start

Wniosek

To kończy nasz samouczek. Ciesz się nowym serwerem OpenVPN!