Cum se creează un server OpenVPN pe Ubuntu 16.04

• Introducere
• Instalare
• Autoritate certificată
• Configurați serverul
• Editează Config
• Permiteți redirecționarea
• NAT
• start
• Concluzie

Introducere

OpenVPN este un VPN securizat care folosește SSL (Secure Socket Layer) și oferă o gamă largă de funcții. În acest ghid, vom acoperi procesul de instalare a OpenVPN pe Ubuntu 16, utilizând autoritatea de certificare gazdată ușor.

Instalare

Pentru a începe, avem nevoie de câteva pachete instalate:

sudo su
apt-get update
apt-get install openvpn easy-rsa

Autoritate certificată

OpenVPN este un VPN SSL, ceea ce înseamnă că acționează ca autoritate de certificare pentru a cripta traficul între ambele părți.

Înființat

Putem începe cu configurarea autorității de certificare a serverului nostru OpenVPN rulând următoarea comandă:

make-cadir ~/ovpn-ca

Acum putem trece în noul nostru director creat:

cd ~/ovpn-ca

Configurare

Deschideți fișierul cu numele varsși aruncați o privire la următorii parametri:

export KEY_COUNTRY="US"
export KEY_PROVINCE="NJ"
export KEY_CITY="Matawan"
export KEY_ORG="Your Awesome Organization"
export KEY_EMAIL="me@your_awesome_org.com"
export KEY_OU="YourOrganizationUnit"

Și editați-le cu valorile proprii. De asemenea, trebuie să căutăm și să modificăm următoarea linie:

export KEY_NAME="server"

Construi

Acum putem începe construirea autorității noastre de certificare executând următoarea comandă:

./clean-all
./build-ca

Aceste comenzi pot dura câteva minute pentru a fi finalizate.

Server-cheie

Acum, putem începe construirea cheii serverului nostru executând următoarea comandă:

./build-key-server server

În timp ce servercâmpul ar trebui înlocuit cu KEY_NAMEam setat în varsfișier mai devreme. În cazul nostru, putem păstra server.

Procesul de construire a cheii serverului nostru poate pune câteva întrebări, cum ar fi expirarea lui însuși. Răspundem la toate aceste întrebări cu y.

Cheie puternică

În pasul următor, vom crea o Diffie-Hellmancheie puternică care va fi folosită în timpul schimbului de chei. Introduceți următoarea comandă pentru a crea una:

./build-dh

HMAC

Acum putem crea o semnătură HMAC pentru a consolida verificarea integrității TLS a serverului:

openvpn --genkey --secret keys/ta.key

Generați o cheie de client

./build-key client

Configurați serverul

După ce am creat cu succes propria autoritate de certificare, putem începe cu copierea tuturor fișierelor necesare și configurarea în sine a OpenVPN. Acum, vom copia copiile și cheile generate în directorul nostru OpenVPN:

cd keys
cp ca.crt ca.key server.crt server.key ta.key dh2048.pem /etc/openvpn
cd ..

După aceea, putem copia un exemplu de fișier de configurare OpenVPN în directorul nostru OpenVPN rulând următoarea comandă:

gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | tee /etc/openvpn/server.conf

Editează Config

Acum putem începe editarea configurației noastre pentru a se potrivi nevoilor noastre. Deschideți fișierul /etc/openvpn/server.confși decomandați următoarele rânduri:

push "redirect-gateway def1 bypass-dhcp"
user nobody
group nogroup
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
tls-auth ta.key 0

De asemenea, trebuie să adăugăm o nouă linie la configurația noastră. Plasați următoarea linie sub tls-authlinie:

key-direction 0

Permiteți redirecționarea

Deoarece dorim să permitem clienților noștri să acceseze internetul prin intermediul serverului nostru, deschidem următorul fișier /etc/sysctl.confși dezacordăm această linie:

net.ipv4.ip_forward=1

Acum trebuie să aplicăm modificările:

sysctl -p

NAT

Pentru a oferi acces la Internet clienților noștri VPN, trebuie să creăm și o regulă NAT. Această regulă este un liner scurt, care arată astfel:

iptables -t nat -A POSTROUTING -s 10.8.0.0/16 -o eth0 -j MASQUERADE

start

Acum putem porni serverul nostru OpenVPN și lăsăm clienții să se conecteze tastând următoarea cheie:

service openvpn start

Concluzie

Acest lucru încheie tutorialul nostru. Bucurați-vă de noul dvs. serviciu OpenVPN!