Настройте свою собственную частную сеть с OpenVPN

• Машина 1
• Машина 2

Vultr предлагает вам отличное подключение к частной сети для серверов, работающих в одном месте. Но иногда требуется, чтобы два сервера в разных странах / центрах обработки данных могли общаться конфиденциально и безопасно. Из этого туториала вы узнаете, как этого добиться с помощью OpenVPN. Здесь используются операционные системы Debian и CentOS, просто чтобы показать вам две разные конфигурации. Это может быть легко адаптировано для Debian -> Debian, Ubuntu -> FreeBSD и так далее.

• Машина 1: Debian, будет действовать как сервер (Местоположение: NL)
• Машина 2: CentOS, будет действовать как клиент (Местоположение: FR)

Машина 1

Запустите на компьютере 1, установив OpenVPN:

apt-get install openvpn

Затем скопируйте пример конфигурации и инструмент для генерации ключей easy-rsa, чтобы /etc/openvpn:

cp -r /usr/share/doc/openvpn/examples/easy-rsa/ /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn

Значения по умолчанию для ваших ключей больше не являются безопасными, чтобы исправить это, откройте /etc/openvpn/easy-rsa/2.0/varsваш любимый текстовый редактор и измените следующую строку:

export KEY_SIZE=4096

Затем убедитесь, что значения загружены в текущий сеанс, очистите в конечном итоге существующие ключи и сгенерируйте свой центр сертификации:

cd /etc/openvpn/easy-rsa/2.0
source ./vars
./clean-all
./build-ca

Вам будет предложено для информации. Сделайте вашу жизнь проще, предоставив информацию о вашем сервере, например, где он находится и какое полное / полное доменное имя будет / будет. Это полезно, когда вам нужно отладить проблемы:

Country Name (2 letter code) [US]:NL
State or Province Name (full name) [CA]:-
Locality Name (eg, city) [SanFrancisco]:Vultr Datacenter NL
Organization Name (eg, company) [Fort-Funston]:-
Organizational Unit Name (eg, section) [changeme]:-
Common Name (eg, your name or your server's hostname) [changeme]:yourserver1.yourdomain.tld
Name [changeme]:-
Email Address [[email protected]]:[email protected]

Другая необходимость - параметры для обмена ключами Диффи-Хеллмана. Их тоже нужно сгенерировать:

./build-dh

Важное замечание : Команда build-dhявляется относительно сложным процессом, который может занять до десяти минут, в зависимости от ресурсов вашего сервера.

Чтобы еще больше повысить безопасность этого соединения, мы сгенерируем статический секрет, который должен быть распределен среди всех клиентов:

mkdir /etc/openvpn/keys
openvpn --genkey --secret /etc/openvpn/keys/ta.key

Теперь вы можете сгенерировать ключ для сервера:

./build-key-server server1

Эта команда запросит некоторую информацию:

Country Name (2 letter code) [US]:NL
State or Province Name (full name) [CA]:-
Locality Name (eg, city) [SanFrancisco]:Vultr Datacenter NL
Organization Name (eg, company) [Fort-Funston]:-
Organizational Unit Name (eg, section) [changeme]:-
Common Name (eg, your name or your server's hostname) [server1]:yourserver1.yourdomain.tld
Name [changeme]:-
Email Address [[email protected]]:[email protected]

Последний шаг - подписать запрос сертификата, который был только что создан с ключом CA:

1 out of 1 certificate requests certified, commit? [y/n]y

Скопируйте необходимые ключи и сертификаты в отдельную папку:

cd /etc/openvpn/easy-rsa/2.0/keys
cp dh4096.pem ca.crt server1.crt server1.key /etc/openvpn/keys/
chmod 700 /etc/openvpn/keys
chmod 600 /etc/openvpn/keys/*

Теперь для конфигурации, распакуйте его ...

cd /etc/openvpn
gunzip server.conf.gz

... и откройте результат в server.confвашем любимом текстовом редакторе. Конфигурация должна выглядеть примерно так:

port 1194
proto udp
dev tun

ca keys/ca.crt
cert keys/server1.crt
key keys/server1.key 
dh keys/dh4096.pem
server 10.8.100.0 255.255.255.0
ifconfig-pool-persist ipp.txt

# Uncomment this if you have multiple clients
# and want them to be able to see each other
;client-to-client

keepalive 10 120
tls-auth keys/ta.key 0 

tls-cipher DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-AES128-SHA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
cipher AES-256-CBC
auth SHA384
comp-lzo

user nobody
group nogroup

persist-key
persist-tun
verb 3
mute 20

После перезапуска службы вы должны немного посмотреть свой журнал ...

service openvpn restart && tail -f /var/log/syslog

... чтобы убедиться, что все работает. Если ошибок не обнаружено, вы можете сгенерировать ключи для вашего второго сервера:

cd /etc/openvpn/easy-rsa/2.0
source ./vars
./build-key server2

Опять вам будет предложено ввести информацию:

Country Name (2 letter code) [US]:FR
State or Province Name (full name) [CA]:-
Locality Name (eg, city) [SanFrancisco]:Vultr Datacenter FR
Organization Name (eg, company) [Fort-Funston]:-
Organizational Unit Name (eg, section) [changeme]:-
Common Name (eg, your name or your server's hostname) 
[server2]:yourserver2.yourdomain.tld
Name [changeme]:-
Email Address [[email protected]]:[email protected]

Теперь вам нужно перенести необходимые файлы на ваш второй сервер, желательно в зашифрованном виде:

cd /etc/openvpn/easy-rsa/2.0/keys
cp /etc/openvpn/keys/ta.key .
tar -cf vpn.tar ca.crt server2.crt server2.key ta.key
scp vpn.tar yourusername@server2:~/
rm vpn.tar

Машина 2

Время переключаться на SSH-соединение вашего второго сервера . Первый шаг - установить OpenVPN ...

yum install openvpn

... и деактивировать firewalld. Замена будет простой iptables.

systemctl stop firewalld
systemctl disable firewalld

Распакуйте архив, который вы только что перенесли на сервер, и правильно установите разрешения для файлов:

cd /etc/openvpn
mkdir keys
chmod 700 keys
cd keys
tar -xf ~/vpn.tar -C .
chmod 600 *

Создавайте /etc/openvpn/client.confс вашим любимым текстовым редактором. Это должно выглядеть так:

client
dev tun
proto udp

remote yourserver yourport
resolv-retry infinite
nobind
user nobody
group openvpn


persist-key
persist-tun

ca keys/ca.crt
cert keys/server2.crt
key keys/.key

ns-cert-type server
tls-auth keys/ta.key 1

tls-cipher DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-AES128-SHA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
cipher AES-256-CBC
auth SHA384

remote-cert-tls server

comp-lzo
verb 3
mute 20

Последний шаг - запустить и включить сервис:

systemctl start [email protected]
systemctl enable [email protected]

Если все работает, у вас не должно возникнуть проблем с пингом первого сервера:

PING 10.8.100.1 (10.8.100.1) 56(84) bytes of data.
64 bytes from 10.8.100.1: icmp_seq=1 ttl=64 time=17.8 ms
64 bytes from 10.8.100.1: icmp_seq=2 ttl=64 time=17.9 ms
64 bytes from 10.8.100.1: icmp_seq=3 ttl=64 time=17.8 ms

Теперь у вас есть частная связь через Интернет!

Если вам необходимо устранить любые ошибки, попробуйте проверить журналы с помощью следующей команды:

journalctl -xn