Ubuntu 16.04 Üzerinde OpenVPN Sunucusu Nasıl Oluşturulur

• Giriş
• Yüklemek
• Sertifika yetkilisi
• Sunucuyu Yapılandırma
• Yapılandırmayı Düzenle
• Yönlendirmeye İzin Ver
• NAT
• Başlat
• Sonuç

Giriş

OpenVPN, SSL (Güvenli Yuva Katmanı) kullanan ve çok çeşitli özellikler sunan güvenli bir VPN'dir. Bu kılavuzda, easy-rsa tarafından barındırılan sertifika yetkilisini kullanarak Ubuntu 16'ya OpenVPN kurma işlemini ele alacağız.

Yüklemek

Başlamak için bazı paketlere ihtiyacımız var:

sudo su
apt-get update
apt-get install openvpn easy-rsa

Sertifika yetkilisi

OpenVPN bir SSL VPN'dir, yani her iki taraf arasındaki trafiği şifrelemek için Sertifika Yetkilisi olarak görev yapar.

Kurmak

Aşağıdaki komutu çalıştırarak OpenVPN sunucumuzun Sertifika Yetkilisini ayarlayarak başlayabiliriz:

make-cadir ~/ovpn-ca

Şimdi yeni oluşturulan dizine geçebiliriz:

cd ~/ovpn-ca

Yapılandır

Dosyayı adıyla açın ve varsaşağıdaki parametrelere bakın:

export KEY_COUNTRY="US"
export KEY_PROVINCE="NJ"
export KEY_CITY="Matawan"
export KEY_ORG="Your Awesome Organization"
export KEY_EMAIL="me@your_awesome_org.com"
export KEY_OU="YourOrganizationUnit"

Ve bunları kendi değerlerinizle düzenleyin. Ayrıca aşağıdaki satırı aramalı ve düzenlemeliyiz:

export KEY_NAME="server"

İnşa etmek

Şimdi aşağıdaki komutu çalıştırarak Sertifika Yetkilimizi oluşturmaya başlayabiliriz:

./clean-all
./build-ca

Bu komutların tamamlanması birkaç dakika sürebilir.

Sunucu Anahtarı

Şimdi, aşağıdaki komutu çalıştırarak sunucumuzun anahtarını oluşturmaya başlayabiliriz:

./build-key-server server

İken servertarla ile değiştirilmesi gerekir KEY_NAMEbiz ayarlanan varsdosya daha erken. Bizim durumumuzda tutabiliriz server.

Sunucumuzun anahtarının derleme işlemi, kendisinin süresinin dolması gibi birkaç soru sorabilir. Tüm bu soruları cevaplıyoruz y.

Güçlü Anahtar

Bir sonraki adımda, Diffie-Hellmananahtarlarımızın değişimi sırasında kullanılacak güçlü bir anahtar yaratıyoruz . Bir tane oluşturmak için aşağıdaki komutu yazın:

./build-dh

HMAC

Artık sunucunun TLS bütünlük doğrulamasını güçlendirmek için bir HMAC imzası oluşturabiliriz:

openvpn --genkey --secret keys/ta.key

İstemci Anahtarı Oluşturma

./build-key client

Sunucuyu Yapılandırma

Kendi Sertifika Yetkilimizi başarıyla oluşturduktan sonra, gerekli tüm dosyaları kopyalayıp OpenVPN'in kendisini yapılandırmaya başlayabiliriz. Şimdi, oluşturulan anahtarları ve sertifikaları OpenVPN dizinimize kopyalayacağız:

cd keys
cp ca.crt ca.key server.crt server.key ta.key dh2048.pem /etc/openvpn
cd ..

Daha sonra, aşağıdaki komutu çalıştırarak bir OpenVPN yapılandırma dosyasını OpenVPN dizinimize kopyalayabiliriz:

gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | tee /etc/openvpn/server.conf

Yapılandırmayı Düzenle

Artık yapılandırmalarımızı ihtiyaçlarımıza uyacak şekilde düzenlemeye başlayabiliriz. Dosyayı açın /etc/openvpn/server.confve aşağıdaki satırları kaldırın:

push "redirect-gateway def1 bypass-dhcp"
user nobody
group nogroup
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
tls-auth ta.key 0

Ayrıca yapılandırmamıza yeni bir satır eklememiz gerekiyor. Aşağıdaki satırı satırın altına yerleştirin tls-auth:

key-direction 0

Yönlendirmeye İzin Ver

Müşterilerimizin sunucumuz aracılığıyla İnternet'e erişmesine izin vermek istediğimiz için aşağıdaki dosyayı açıyoruz /etc/sysctl.confve bu satırı açıyoruz :

net.ipv4.ip_forward=1

Şimdi değişiklikleri uygulamak zorundayız:

sysctl -p

NAT

VPN istemcilerimize Internet Erişimi sağlamak için bir NAT kuralı da oluşturmalıyız. Bu kural şuna benzeyen kısa bir astardır:

iptables -t nat -A POSTROUTING -s 10.8.0.0/16 -o eth0 -j MASQUERADE

Başlat

Artık OpenVPN sunucumuzu başlatabilir ve aşağıdaki anahtarı yazarak istemcilerin bağlanmasına izin verebiliriz:

service openvpn start

Sonuç

Bu öğreticimizi sonlandırıyor. Yeni OpenVPN Sunucunuzun tadını çıkarın!