Thiết lập mạng riêng của bạn với OpenVPN

Vultr cung cấp cho bạn kết nối mạng riêng tuyệt vời cho các máy chủ đang chạy ở cùng một vị trí. Nhưng đôi khi bạn muốn hai máy chủ ở các quốc gia / trung tâm dữ liệu khác nhau có thể giao tiếp một cách riêng tư và an toàn. Hướng dẫn này sẽ chỉ cho bạn cách đạt được điều đó với sự trợ giúp của OpenVPN. Các hệ điều hành được sử dụng ở đây là Debian và CentOS, chỉ để hiển thị cho bạn hai cấu hình khác nhau. Điều này có thể dễ dàng điều chỉnh cho Debian -> Debian, Ubuntu -> FreeBSD, v.v.

  • Máy 1: Debian, sẽ hoạt động như một máy chủ (Vị trí: NL)
  • Máy 2: CentOS, sẽ đóng vai trò là khách hàng (Vị trí: FR)

Máy 1

Bắt đầu trên máy 1 bằng cách cài đặt OpenVPN:

apt-get install openvpn

Sau đó, sao chép cấu hình ví dụ và công cụ để tạo khóa easy-rsa,, vào /etc/openvpn:

cp -r /usr/share/doc/openvpn/examples/easy-rsa/ /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn

Các giá trị mặc định cho khóa của bạn không còn an toàn chính xác nữa, để sửa lỗi mở này /etc/openvpn/easy-rsa/2.0/varsbằng trình soạn thảo văn bản yêu thích của bạn và sửa đổi dòng sau:

export KEY_SIZE=4096

Tiếp theo, đảm bảo rằng các giá trị được tải vào phiên hiện tại của bạn, dọn sạch các khóa hiện có và tạo quyền chứng chỉ của bạn:

cd /etc/openvpn/easy-rsa/2.0
source ./vars
./clean-all
./build-ca

Bạn sẽ được nhắc thông tin. Làm cho cuộc sống của bạn dễ dàng hơn bằng cách cung cấp thông tin về máy chủ của bạn, ví dụ, vị trí của nó và FQDN là gì / sẽ là gì. Điều này hữu ích khi bạn phải gỡ lỗi:

Country Name (2 letter code) [US]:NL
State or Province Name (full name) [CA]:-
Locality Name (eg, city) [SanFrancisco]:Vultr Datacenter NL
Organization Name (eg, company) [Fort-Funston]:-
Organizational Unit Name (eg, section) [changeme]:-
Common Name (eg, your name or your server's hostname) [changeme]:yourserver1.yourdomain.tld
Name [changeme]:-
Email Address [[email protected]]:[email protected]

Một điều cần thiết khác là các tham số cho việc trao đổi khóa Diffie-Hellman. Những người cần phải được tạo ra quá:

./build-dh

Quan trọng : build-dhLệnh là một quy trình tương đối phức tạp, có thể mất tới mười phút, tùy thuộc vào tài nguyên của máy chủ của bạn.

Để tiếp tục cải thiện tính bảo mật của kết nối này, chúng tôi sẽ tạo một bí mật tĩnh cần được phân phối giữa tất cả các khách hàng:

mkdir /etc/openvpn/keys
openvpn --genkey --secret /etc/openvpn/keys/ta.key

Bây giờ, bạn có thể tạo khóa cho máy chủ:

./build-key-server server1

Lệnh này sẽ nhắc cho một số thông tin:

Country Name (2 letter code) [US]:NL
State or Province Name (full name) [CA]:-
Locality Name (eg, city) [SanFrancisco]:Vultr Datacenter NL
Organization Name (eg, company) [Fort-Funston]:-
Organizational Unit Name (eg, section) [changeme]:-
Common Name (eg, your name or your server's hostname) [server1]:yourserver1.yourdomain.tld
Name [changeme]:-
Email Address [[email protected]]:[email protected]

Bước cuối cùng là ký yêu cầu chứng chỉ vừa được tạo bằng khóa CA:

1 out of 1 certificate requests certified, commit? [y/n]y

Sao chép các khóa và chứng chỉ cần thiết vào một thư mục riêng:

cd /etc/openvpn/easy-rsa/2.0/keys
cp dh4096.pem ca.crt server1.crt server1.key /etc/openvpn/keys/
chmod 700 /etc/openvpn/keys
chmod 600 /etc/openvpn/keys/*

Bây giờ cho cấu hình, giải nén nó ...

cd /etc/openvpn
gunzip server.conf.gz

... và mở kết quả server.confvới trình soạn thảo văn bản yêu thích của bạn. Cấu hình sẽ trông giống như thế này:

port 1194
proto udp
dev tun

ca keys/ca.crt
cert keys/server1.crt
key keys/server1.key 
dh keys/dh4096.pem
server 10.8.100.0 255.255.255.0
ifconfig-pool-persist ipp.txt

# Uncomment this if you have multiple clients
# and want them to be able to see each other
;client-to-client

keepalive 10 120
tls-auth keys/ta.key 0 

tls-cipher DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-AES128-SHA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
cipher AES-256-CBC
auth SHA384
comp-lzo

user nobody
group nogroup

persist-key
persist-tun
verb 3
mute 20

Sau khi khởi động lại dịch vụ, bạn nên xem nhật ký của mình một chút ...

service openvpn restart && tail -f /var/log/syslog

... Để đảm bảo mọi thứ đều hoạt động. Nếu không phát hiện thấy lỗi, thì bạn có thể tạo khóa cho máy chủ thứ hai của mình:

cd /etc/openvpn/easy-rsa/2.0
source ./vars
./build-key server2

Một lần nữa, bạn sẽ được nhắc thông tin:

Country Name (2 letter code) [US]:FR
State or Province Name (full name) [CA]:-
Locality Name (eg, city) [SanFrancisco]:Vultr Datacenter FR
Organization Name (eg, company) [Fort-Funston]:-
Organizational Unit Name (eg, section) [changeme]:-
Common Name (eg, your name or your server's hostname) 
[server2]:yourserver2.yourdomain.tld
Name [changeme]:-
Email Address [[email protected]]:[email protected]

Bây giờ, bạn cần chuyển các tệp cần thiết sang máy chủ thứ hai của mình, tốt nhất là được mã hóa:

cd /etc/openvpn/easy-rsa/2.0/keys
cp /etc/openvpn/keys/ta.key .
tar -cf vpn.tar ca.crt server2.crt server2.key ta.key
scp vpn.tar yourusername@server2:~/
rm vpn.tar

Máy 2

Đã đến lúc chuyển sang kết nối SSH của máy chủ thứ hai của bạn . Bước đầu tiên là cài đặt OpenVPN ...

yum install openvpn

... và để hủy kích hoạt firewalld. Sự thay thế sẽ là iptables đơn giản.

systemctl stop firewalld
systemctl disable firewalld

Giải nén tệp lưu trữ mà bạn vừa di chuyển đến máy chủ và đặt quyền cho các tệp:

cd /etc/openvpn
mkdir keys
chmod 700 keys
cd keys
tar -xf ~/vpn.tar -C .
chmod 600 *

Tạo /etc/openvpn/client.confvới trình soạn thảo văn bản yêu thích của bạn. Nó sẽ giống như thế này:

client
dev tun
proto udp

remote yourserver yourport
resolv-retry infinite
nobind
user nobody
group openvpn


persist-key
persist-tun

ca keys/ca.crt
cert keys/server2.crt
key keys/.key

ns-cert-type server
tls-auth keys/ta.key 1

tls-cipher DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-AES128-SHA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
cipher AES-256-CBC
auth SHA384

remote-cert-tls server

comp-lzo
verb 3
mute 20

Bước cuối cùng là bắt đầu và kích hoạt dịch vụ:

systemctl start [email protected]
systemctl enable [email protected]

Nếu mọi thứ đều hoạt động, thì bạn sẽ không gặp vấn đề gì với máy chủ đầu tiên:

PING 10.8.100.1 (10.8.100.1) 56(84) bytes of data.
64 bytes from 10.8.100.1: icmp_seq=1 ttl=64 time=17.8 ms
64 bytes from 10.8.100.1: icmp_seq=2 ttl=64 time=17.9 ms
64 bytes from 10.8.100.1: icmp_seq=3 ttl=64 time=17.8 ms

Bây giờ bạn có một kết nối riêng tư qua Internet!

Nếu bạn cần khắc phục bất kỳ lỗi nào, hãy thử kiểm tra nhật ký bằng lệnh sau:

journalctl -xn


Leave a Comment

Cách cài đặt SuiteCRM trên Ubuntu 16.04

Cách cài đặt SuiteCRM trên Ubuntu 16.04

Hướng dẫn cài đặt SuiteCRM, một giải pháp CRM mã nguồn mở, trên Ubuntu 16.04 với các bước chi tiết và dễ hiểu.

ReactOS: Đây có phải là tương lai của Windows?

ReactOS: Đây có phải là tương lai của Windows?

ReactOS, một hệ điều hành mã nguồn mở và miễn phí đã có phiên bản mới nhất. Liệu nó có thể đáp ứng đủ nhu cầu của người dùng Windows hiện đại và hạ gục Microsoft? Hãy cùng tìm hiểu thêm về trải nghiệm hệ điều hành kiểu cũ nhưng mới hơn này.

Liệu AI có thể chiến đấu với số lượng các cuộc tấn công bằng Ransomware ngày càng tăng

Liệu AI có thể chiến đấu với số lượng các cuộc tấn công bằng Ransomware ngày càng tăng

Các cuộc tấn công ransomware đang gia tăng, nhưng liệu AI có thể giúp đối phó với loại virus máy tính mới nhất? AI có phải là câu trả lời? Đọc ở đây biết là AI boone hay cấm

Luôn kết nối thông qua Ứng dụng WhatsApp Desktop 24 * 7

Luôn kết nối thông qua Ứng dụng WhatsApp Desktop 24 * 7

Whatsapp cuối cùng đã ra mắt ứng dụng Máy tính để bàn cho người dùng Mac và Windows. Giờ đây, bạn có thể truy cập Whatsapp từ Windows hoặc Mac một cách dễ dàng. Có sẵn cho Windows 8+ và Mac OS 10.9+

Làm thế nào AI có thể đưa quá trình tự động hóa lên cấp độ tiếp theo?

Làm thế nào AI có thể đưa quá trình tự động hóa lên cấp độ tiếp theo?

Hãy đọc phần này để biết Trí tuệ nhân tạo đang trở nên phổ biến như thế nào đối với các công ty quy mô nhỏ và làm thế nào nó đang tăng khả năng khiến họ phát triển và giúp đối thủ cạnh tranh của họ có thể cạnh tranh.

Bản cập nhật bổ sung macOS Catalina 10.15.4 đang gây ra nhiều vấn đề hơn là giải quyết

Bản cập nhật bổ sung macOS Catalina 10.15.4 đang gây ra nhiều vấn đề hơn là giải quyết

Gần đây Apple đã phát hành macOS Catalina 10.15.4 một bản cập nhật bổ sung để khắc phục các sự cố nhưng có vẻ như bản cập nhật đang gây ra nhiều vấn đề hơn dẫn đến việc máy mac bị chai. Đọc bài viết này để tìm hiểu thêm

13 Công cụ trích xuất dữ liệu thương mại của Dữ liệu lớn

13 Công cụ trích xuất dữ liệu thương mại của Dữ liệu lớn

13 Công cụ trích xuất dữ liệu thương mại của Dữ liệu lớn

Hệ thống tệp nhật ký là gì và nó hoạt động như thế nào?

Hệ thống tệp nhật ký là gì và nó hoạt động như thế nào?

Máy tính của chúng tôi lưu trữ tất cả dữ liệu một cách có tổ chức được gọi là hệ thống tệp Ghi nhật ký. Đây là một phương pháp hiệu quả cho phép máy tính tìm kiếm và hiển thị các tệp ngay khi bạn nhấn tìm kiếm. Https://wethegeek.com/? P = 94116 & preview = true

Điểm kỳ dị về công nghệ: Tương lai xa của nền văn minh nhân loại?

Điểm kỳ dị về công nghệ: Tương lai xa của nền văn minh nhân loại?

Khi Khoa học phát triển với tốc độ nhanh chóng, chiếm rất nhiều nỗ lực của chúng ta, những rủi ro của việc phục tùng bản thân trước một Điểm kỳ dị không thể giải thích cũng tăng lên. Hãy đọc, điểm kỳ dị có thể có ý nghĩa gì đối với chúng ta.

Hiểu rõ hơn về 26 kỹ thuật phân tích dữ liệu lớn: Phần 1

Hiểu rõ hơn về 26 kỹ thuật phân tích dữ liệu lớn: Phần 1

Hiểu rõ hơn về 26 kỹ thuật phân tích dữ liệu lớn: Phần 1