OpenVPN дар Debian 8 насб ва танзим кунед

OpenVPN маҷмӯи нармафзорест, ки ба шумо имкон медиҳад, ки траффики истифодабарандагонро аз «дахолат» тавассути таъмини интиқоли маълумот аз дастгоҳи мизоҷ ба сервер бо OpenVPN насб кунед. Истифодаи нусхаҳои дастрасии видеои ҷамъиятӣ, ки дар он иттилоот метавонад аз тарафи шахсони сеюм даст кашад. Ё дар ҳолати, вақте ки IP шумо дар сайти муайян маҳкам карда шудаед ва шумо бояд бехатариро аз ин маҳдудият гузаред.

Илова ба насб ва танзимкунии OpenVPN дар сервер, шумо бояд мизоҷро барои дастрасӣ аз компютере, ки Windows ҳамчун системаи оператсионӣ истифода мешавад, танзим кунед.

Истифодаи менеҷери маҷмӯии стандартӣ, кушодани openvpn.

  # кушодани openvpn насб кунед 

Таъсири шаҳодатномаҳо

OpenVPN ҳатман насли сертификатҳоро барои сервер ва мизоҷ талаб мекунад. Ин мантиқан аст, зеро пайвастан аз муштарӣ ба сервер бояд рамз карда шавад.

Ба папкаи openwpn равед:

  # cd / etc / openvpn 

Мо калидҳоро бо ёрии осонтар месанҷем.

Сохтани ҷузвдон бо файлҳои конфигуратсия ва пайвастшавӣ ба варақаҳои таҳрири сертификатсия:

  # make-cadir rsa
 # cd rsa 

Файли танзимоти саф кушода ва параметрҳоро тағйир диҳед:

  содирот KEY_COUNTRY = "ИМА"
 содирот KEY_PROVINCE = "CA"
 содироти KEY_CITY = "SanFrancisco"
 содирот KEY_ORG = "Форт-Фонстон"
 содирот KEY_EMAIL = "me@myhost.mydomain"

KEY_COUNTRY - рамзи кишварро ворид кунед (RU, UA ва ғайра);
KEY_PROVINCE - ин унсури мувофиқат намекунад, агар шумо дар Иёлоти Муттаҳида зиндагӣ накунед. :) Шумо метавонед ивази XX;
KEY_CITY - шаҳри шумо, ки дар он зиндагӣ мекунед;
KEY_EMAIL - суроғаи почтаи электронии шумо.

Ҳамчунин, сатрҳои KEY_CNE содир карда нашудаанд, барои арзиши номии сервер муайян карда мешавад:

  содирот KEY_CN = "example.com" 

Ҳамаи тағйирёбандаҳо дар лотинӣ пур шудаанд.

Файлро захира кунед ва онро иҷро кунед:

  # Аст  Дунёи иқтисод 

Баъд аз оғоз кардани шаҳодатҳои қадим оғоз кунед:

  # ./clean-all 

Сохтани сертификати решавӣ:

  # ./build-ca 

Агар, шаҳодатномаи error:0E065068:configuration file routines:STR_COPY:variable has no value:conf_def.c:618:line 198 , шумо хатогиҳои error:0E065068:configuration file routines:STR_COPY:variable has no value:conf_def.c:618:line 198 ба даст меоред error:0E065068:configuration file routines:STR_COPY:variable has no value:conf_def.c:618:line 198 , сатри сатр ба файли тақсимот илова кунед:

  содирот KEY_ALTNAMES = "чизе" 

Ва он гоҳ аҳамияти пештараро иҷро кунед. Бояд гуфт.

Қадами оянда ин сохтани шаҳодатномаи калидӣ ва сервер мебошад.

  # ./build-key-server сервер 

Сипас сертификат ва калид барои муштарӣ эҷод кунед:

  Муштарии # 

Лутфан қайд кунед: барои ҳар як муштарӣ шумо бояд шаҳодатнома ва калиди худро ба даст оред. Ба шумо лозим аст, ки номҳои гуногунро ба ҷои мушаххас нишон диҳед ва роҳҳоро ба файлҳои конфигуратсия иваз кунед. Дар айни замон, шумо метавонед калидҳои мизоҷонро бо парол муҳофизат кунед; барои ин, ба ҷои сохтани калидҳои бунёдии калидӣ истифода баред.

Дар оянда, шумо бояд калиди Diffie-Hellman эҷод кунед, то тавонад истифодабарии махфиятро истифода барад:

  # ./build-dh 

Ва калид барои тасдиқкунии tls:

  # openvpn --genkey --secret /etc/openvpn/ta.key 

Акнун шумо бояд сертификатҳои сервер ва калидҳоро ба ҷузвдони танзимоти OpenVPN нусхабардорӣ кунед:

  калидҳои cp / калидҳои асосӣ / server.crt / калидҳои серверӣ / dh2048.pem / etc / openvpn / 

Ва инчунин онҳо ҳуқуқҳои ба онҳо додашударо хонда ва тағир медиҳанд, танҳо барои соҳиби онҳо.

  # chmod 0600 /etc/openvpn/ca.crt /etc/openvpn/server.crt /etc/openvpn/server.key/etc/openvpn/dh2048.pem /etc/openvpn/ta.key 

Боварӣ ба компютери шумо, масалан, мизи корӣ, аз ҷузвдони калидӣ , калидҳое, ки барои пайваст кардани муштарӣ заруранд : client.crt , client.key , ca.crt , ta.key .

Ин раванди омодасозии сертификатро анҷом медиҳад.

Танзимоти сервер

Дар usr / usr / share / doc / openvpn / directory файли намунаи барои кушодани сервери Openvpn вуҷуд дорад. Онро ба / etc / openvpn / феҳрист ва нусхабардорӣ кунед:

  cd / etc / openvpn; cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz / etc / openvpn /; сервер сервер .conf.gz 

Акнун мо параметрҳои заруриро барои кушодани кор барои кушодани корҳо баррасӣ хоҳем кард.

Портфе ки Openvpn пайваст мекунад. Бо нобаён, 1194. Ман тавсия медиҳам, ки онро иваз кунад, то ки онро пинҳон кунад. Шумо ҳатто метавонед openvpn-ро дар зери Веб-сервер муайян кунед, нишон медиҳад, ки портал 80.

  портал 20100 

Роҳҳои бақайдгирӣ ба файлҳои сертификатсия ва калиди сервер.

  Биёед
 сервер сервер
 сервери асосӣ 

Роҳ ба Diffie-Hellman калиди асосӣ.

  д dh2048.pем 

Ҳар ду роҳҳо ба феҳристи etc / openwpn (агар файлҳо дар он ҷойгир бошанд) ва мутлақ муайян карда шаванд.

Ҷустуҷӯ ва рутубати хато:

  ба пахш кардани "redirect-gateway def1 bypass-dhcp" 

Барои дастрасӣ ба интернет тавассути сервери OpenVPN лозим аст. Агар ин номувофиқ набошад, танҳо компютерҳо дар шабака дастрасанд.

Шумо ҳамчунин бояд серверҳои DNS-ро барои пайваст кардани мизоҷон нишон диҳед.

  пахш кунед "dhcp-option DNS DNS 213.183.57.55"
 пахш кунед "dhcp-option DNS DNS.98.175.85" 

Вобаста аз макони сервер, шумо метавонед дигар хидматрасони DDS -ро гиред, масалан, дар OpenNIC лоиҳа.

Next, параграфи tls-auth -ро дарёбед ва мувофиқат накунед.

  tls-auth 

Диққат! Дар танзимоти мизоҷ, рақами охирини ин параметр бояд 1 - тлр-муаллиф иваз карда шавад.

Танҳо дар файли конфигуратсия рӯйхати параметрҳои дастрасро дар бар мегирад. Маблағи AES-128-CBC- ро ғайриимкон месозад.

  фарсуда AES-128-CBC # AES 

Агар зарур бошад, он метавонад бо AES-256-CBC иваз карда шавад. Дар файли конфигуратсияи мизоҷ, гузарвожае бояд ба пароли сервер бошад.

Ҳамчунин параграфи муаллиф илова кунед. Бо нобаёнӣ, калидҳои 160-bit sha1 барои тасдиқ кардан истифода мешаванд, аммо алгоритми sha1 ҳамчун осебпазир эътироф карда мешавад. Ҳангоми муайян кардани параметрҳои зерин, калидҳои SHA512 бо дарозии 512 адад истифода мешаванд.

  Муаллиф ША512 

Ҳамчунин parameter tls-версия-min, ки версияи TS истифода мешавад. Дар ин ҳолат охирин версияи 1.2 мебошад. Диққат! Менеҷери шабакавӣ ин параметрро (дар вақти навиштан) дастгирӣ намекунад. Аз ин рӯ, агар шумо планро ба VPN ба воситаи Мудирияти шабака пайваст кунед, ин параметр дар танзимоти сервер муқаррар карда намешавад.

  tls-версияи min. 1.2 

OpenVPN бояд решакан шуда бошад. Аз ин рӯ, хатогиҳои хато нест:

  истифодабаранда
 гурӯҳи гурӯҳӣ 

Ин имкон медиҳад, ки сабтҳо барои OpenVPN имконпазир бошанд. Махсусан, дар аввал истифода бурдани пас аз танаффуси ҷустуҷӯ барои хатогиҳо, ва ғ.

  log / blog/log/openvpn.log 

Ҳамаи параметрҳои файли танзимоти / / filename / filename / filename. Ин танзимоти сервери OpenVPN -ро анҷом медиҳад.

Openvpn бо фармони:

  # systemctl кушодани openvpn 

Ва бозоғоз:

  # кушодани openvpn хидматрасонӣ 

Инчунин, санҷидани сабт барои хатоҳо низ муфид аст.

Интиқоли трафик тавассути OpenVPN

Барои дастрасӣ ба интернет тавассути сафҳаи openvpn, шумо бояд ин корро кунед.

1. Сохтани sysctl

Дар консол, фармонро иҷро кунед:

  # sysctl net.ipv4.ip_forward 

Агар баромади фармони net.ipv4.ip_forward = 1 баробар бошад, пас лозим нест, ки ягон чизро тағйир диҳед. Агар арзиши нишондиҳанда 0 бошад, пас сатри зерин ба ҳуҷҷати /etc/sysctl.conf илова карда шавад:

  net.ipv4.ip_forward = 1 

Ва қоидаҳоро бо фармони:

  # sysctl -p 

2. Ифодиҳии ядроҳо

Баръакс, аҳамияти зерин дар консолро иҷро кунед:

  # iptables-АВВАЛИ -0 et0 -o-tun0 -m -мақом - ПЕШГИРИҲОИ ПЕШГИРӢ
 # iptables-АСОС - 10.8.0.0/24 -o ACCEPT
 # iptables -t nat -A POSTROUTING -S 10.8.0.0/24 -oМОЛКАРДИЯ 

Ҳамин тариқ, мо тавассути роуминги OpenVPN барои зергурӯҳи 10.8.0.0 дар доираи пайвастҳои аллакай таъсис дода мешавад.

Агар муштарии openvpn бояд суроғаи IP-и махсуси берунаро таъин кунад, пас аз ҷои охирин аз рӯйхати қаблҳои пешфарз барои Iptables, шумо бояд инро иҷро кунед:

  -АО ПЕШВАРАНД -8 10.8.0.0/24 -o00J SNAT - ба манбаъи 127.0.0.1 

Дар куҷо пас аз параграф -аз манбаъ, шумо бояд сервери IP-ро берун кунед.

Муштарии OpenVPN дар Windows

Оғози коргузории муштарии Openvpn дар Windows. Ҳама чиз осон аст: ин мизоҷро аз сомонаи расмӣ насб кунед, насб кунед, файли танзимро эҷод кунед ва онро оғоз кунед.

Бояд қайд кард, ки кушодани Windows-ро бо ҳуқуқи администратор оғоз мекунад, агар идоракунии суратҳисоб фаъол бошад.

Агар шумо роҳро насб накунед, пас мисолҳои файлҳои конфигуратсия дар компютери шумо дар C: \ Program Files \ OpenVPN \ sample-config directory ҷойгир аст. Феҳристи client.ovpn- ро аз ин ҷо нусхагирӣ кунед ва онро дар C: \ Program Files \ OpenVPN \ кон directory сабт кунед .

Нусхаҳои сертификат барои муштарӣ дар хотир доред? Онҳо инчунин аз сервер бор карда шуда, ба ин феҳрист кӯчонида мешаванд.

Файли configured client.ovpn кушода ва параграфи ман-сервер-1 1194-ро пайдо кунед. Ба ҷои ба сервери ман, номи IP ё домени сервери худро нишон диҳед. Пас аз он, ки мо қаблан тағйир ёфтем. Дар натиҷа, хати мумкин чунин аст:

  дурдаст 192.168.0.1 20100 

Дар оянда, шумо бояд роҳеро ба сертификатҳо, ки шумо дар сервер кор кардаед, муайян кунед. Барои ҳар як муштарӣ, калиди бо номи якранг, ки бояд дар зер, ба ҷои мушаххас нишон дода шавад .

  Биёед
 Системаи сертификатсия
 мизоҷ 

Шумо ҳамчунин бояд параграферо, ки роҳро ба tls-key муайян мекунад, бедор накунед.

  ТҶ-дор 

Пештар, аллакай гуфт, ки рақами охирини сервер бояд 0 бошад, дар мизоҷ - 1.

Ва параметрҳои охирин фармоишоте мебошанд, ки шумо дар сервер насб кардаед.

  фарсуда AES-128-CBC
 Муаллиф ША512
 tls-версияи min. 1.2 

Ин ҳама бояд барои танзим кардани муштарӣ зарур бошад. Кӯшиш кунед, ки муштарии OpenVPN иҷро кунед ва ба сервератон пайваст шавед. Маълумоти зарурии пайвастшавиро дар равзанаи кушодаи гугл нишон медиҳад.

OpenVPN бо NetworkManager

Интерфейси графикӣ барои Мудирияти шабака насб кунед.

  # насб кардани шабака-менеҷери-openvpn-gnome 

Ва бозоғоз кунед.

  # шабакаи хидматрасони хидматрасонӣ аз нав оғоз меёбад 

Мо шаҳодатномаҳоро барои муштарӣ ба компютери функсионалӣ нусхабардорӣ менамоем. Масалан, дар /home/user/.openvpn/.

Тугмаи рости мушро дар симои менеҷери шабака зер кунед, калимаи "пайвандҳои тағирёбанда" -ро интихоб кунед, пайвастагии навъи "OpenVPN" илова кунед.

Муайян кунед:

• Номи пайвастшавӣ
• Gateway (IP ё домейн ё сервер)
• Нависед: Сертификатҳо

Сертификати корбарӣ шаҳодатест, ки мо дар ибтидо барои муштарӣ (client.crt) истеҳсол карда будем.
Шаҳодатномаи CA - файли ca.crt.
Калиди шахсӣ калиди муштарӣ (client.key) мебошад.

Тугмаи "Advanced" -ро пахш кунед. Дар тирезае, ки дар кушодани "Генералии" шумо кушодаед, шумо бояд якчанд ҷузъҳоро иваз кунед.

• Дафтарчаи дигари почтаи ростро истифода баред (агар шумо муқаррароти серверро муқаррар накунед)
• Истифодаи функсияи lzo

Ба силсилаи "Security" гузаред. Тавре ки дар танзимоти сервер ҳамчун параметр интихоб кунед. Тавре арзиши параграфи сертификати империяи IMAC, шумо бояд алгоритмро, ки дар арзиши муаллифии сервер муайян карда шавад, муайян кунед. Дар мақола мо SHA512 интихоб кардем.

Ҳуҷҷати тасдиқкунандаи TLS кушода ва ҷузъҳои зеринро қайд кунед:

• Назари худро бинависед ...
• Истиноди иловагии TLS -ро истифода баред

Барои параметрҳои охирин, роҳе, ки ба файли ta.key ро нишон диҳед, ва ҳамчун 1 нишонаи калид аз рӯйхати рӯйхат интихоб кунед. Ҳамчунин ба файли конфигуратсия барои Windows.

Пайвастаро захира кунед ва кӯшиш кунед, ки пайваст шавед. :)

Танҳо дар сурати, мо мебинем, ки NM ҳангоми бастани сабти система менависад:

  # tail -f / var / log / syslog