วิธีการสร้างเซิร์ฟเวอร์ OpenVPN บน Ubuntu 16.04

• บทนำ
• ติดตั้ง
• ผู้ออกใบรับรอง
• กำหนดค่าเซิร์ฟเวอร์
• แก้ไขการกำหนดค่า
• อนุญาตให้ส่งต่อ
• NAT
• เริ่มต้น
• ข้อสรุป

บทนำ

OpenVPN เป็น VPN ที่ปลอดภัยซึ่งใช้ SSL (Secure Socket Layer) และมีคุณสมบัติที่หลากหลาย ในคู่มือนี้เราจะพูดถึงกระบวนการติดตั้ง OpenVPN บน Ubuntu 16 โดยใช้ผู้ให้บริการออกใบรับรองที่โฮสต์ง่าย

ติดตั้ง

ในการเริ่มต้นเราต้องติดตั้งแพคเกจบางอย่าง:

sudo su
apt-get update
apt-get install openvpn easy-rsa

ผู้ออกใบรับรอง

OpenVPN เป็น SSL VPN ซึ่งหมายความว่ามันทำหน้าที่เป็นผู้ออกใบรับรองเพื่อเข้ารหัสการรับส่งข้อมูลระหว่างทั้งสองฝ่าย

ติดตั้ง

เราสามารถเริ่มต้นด้วยการตั้งค่าหน่วยงานออกใบรับรองของเซิร์ฟเวอร์ OpenVPN ของเราโดยใช้คำสั่งต่อไปนี้:

make-cadir ~/ovpn-ca

ตอนนี้เราสามารถเปลี่ยนเป็นไดเรกทอรีที่สร้างขึ้นใหม่ของเรา:

cd ~/ovpn-ca

กำหนดค่า

เปิดไฟล์ที่มีชื่อvarsและดูพารามิเตอร์ต่อไปนี้:

export KEY_COUNTRY="US"
export KEY_PROVINCE="NJ"
export KEY_CITY="Matawan"
export KEY_ORG="Your Awesome Organization"
export KEY_EMAIL="me@your_awesome_org.com"
export KEY_OU="YourOrganizationUnit"

และแก้ไขด้วยค่าของคุณเอง เราจำเป็นต้องค้นหาและแก้ไขบรรทัดต่อไปนี้:

export KEY_NAME="server"

สร้าง

ตอนนี้เราสามารถเริ่มสร้างผู้ให้บริการออกใบรับรองของเราโดยการเรียกใช้คำสั่งต่อไปนี้:

./clean-all
./build-ca

คำสั่งเหล่านี้อาจใช้เวลาสักครู่ในการทำให้สมบูรณ์

เซิร์ฟเวอร์-Key

ตอนนี้เราสามารถเริ่มสร้างคีย์เซิร์ฟเวอร์ของเราได้โดยการเรียกใช้คำสั่งต่อไปนี้:

./build-key-server server

ในขณะที่serverฟิลด์ควรจะถูกแทนที่ด้วยKEY_NAMEเราตั้งไว้ในvarsไฟล์ก่อนหน้านี้ serverในกรณีของเราเราสามารถเก็บ

กระบวนการสร้างรหัสเซิร์ฟเวอร์ของเราอาจถามคำถามสองสามข้อเช่นการหมดอายุของตัวเอง yเราตอบทุกคำถามเหล่านี้ด้วย

คีย์ที่แข็งแกร่ง

ในขั้นตอนต่อไปเราจะสร้างDiffie-Hellmanคีย์ที่แข็งแกร่งซึ่งจะใช้ในระหว่างการแลกเปลี่ยนคีย์ของเรา พิมพ์คำสั่งต่อไปนี้เพื่อสร้าง:

./build-dh

HMAC

ตอนนี้เราสามารถสร้างลายเซ็น HMAC เพื่อเสริมการตรวจสอบความสมบูรณ์ของเซิร์ฟเวอร์ TLS:

openvpn --genkey --secret keys/ta.key

สร้างรหัสลูกค้า

./build-key client

กำหนดค่าเซิร์ฟเวอร์

เมื่อเราสร้างผู้ให้บริการออกใบรับรองของเราสำเร็จแล้วเราสามารถเริ่มต้นด้วยการคัดลอกไฟล์ที่จำเป็นทั้งหมดและกำหนดค่า OpenVPN เอง ตอนนี้เรากำลังจะคัดลอกคีย์และใบรับรองที่สร้างขึ้นไปยังไดเรกทอรี OpenVPN ของเรา:

cd keys
cp ca.crt ca.key server.crt server.key ta.key dh2048.pem /etc/openvpn
cd ..

หลังจากนั้นเราสามารถคัดลอกตัวอย่างไฟล์กำหนดค่า OpenVPN ไปยังไดเรกทอรี OpenVPN ของเราโดยเรียกใช้คำสั่งต่อไปนี้:

gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | tee /etc/openvpn/server.conf

แก้ไขการกำหนดค่า

ตอนนี้เราสามารถเริ่มแก้ไขการกำหนดค่าเพื่อให้เหมาะกับความต้องการของเรา เปิดไฟล์/etc/openvpn/server.confและยกเลิกหมายเหตุบรรทัดต่อไปนี้:

push "redirect-gateway def1 bypass-dhcp"
user nobody
group nogroup
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
tls-auth ta.key 0

เราจำเป็นต้องเพิ่มบรรทัดใหม่ในการกำหนดค่าของเรา วางบรรทัดต่อไปนี้ไว้ใต้tls-authบรรทัด:

key-direction 0

อนุญาตให้ส่งต่อ

เนื่องจากเราต้องการอนุญาตให้ลูกค้าของเราเข้าถึงอินเทอร์เน็ตผ่านเซิร์ฟเวอร์ของเราเราจึงเปิดไฟล์ต่อไปนี้/etc/sysctl.confและไม่แสดงข้อคิดเห็นบรรทัดนี้:

net.ipv4.ip_forward=1

ตอนนี้เราต้องใช้การเปลี่ยนแปลง:

sysctl -p

NAT

เพื่อให้สามารถเข้าถึงอินเทอร์เน็ตให้กับไคลเอนต์ VPN ของเราเรายังต้องสร้างกฎ NAT กฎนี้เป็นหนึ่งซับสั้นที่มีลักษณะดังนี้:

iptables -t nat -A POSTROUTING -s 10.8.0.0/16 -o eth0 -j MASQUERADE

เริ่มต้น

ตอนนี้เราสามารถเริ่มต้นเซิร์ฟเวอร์ OpenVPN ของเราและให้ลูกค้าเชื่อมต่อโดยพิมพ์รหัสต่อไปนี้:

service openvpn start

ข้อสรุป

นี่เป็นการสรุปบทเรียนของเรา เพลิดเพลินกับเซิร์ฟเวอร์ OpenVPN ใหม่ของคุณ!