у дома # 149; статии # 149; Инсталиране и конфигуриране на OpenVPN сървър в Debian
списък на разделите
VPN (Virtual Private Network) - виртуална частна мрежа. VPN - една система, която ви позволява да организирате един вид виртуална мрежа включва няколко отдалечени мрежи в един единствен елемент от трета страна мрежа, която в този случай не може да предостави всякаква сигурност. Например, съчетаваща една клонова мрежа чрез интернет. Безопасност и надеждност се осигурява с помощта на криптографията.
Какво VPN-сървър може да се наложи? В професионалната версия - да се осигури достъп до сървъра или мрежата с множество сървъри или работни компютри. Можете да организирате потребителите от всяка точка на света чрез интернет и лаптоп с техните машини в офиса или достъп до системните администратори да сървъри, намиращи се в локалната мрежа от отдалечени работни места.
В много по-малко професионален версия - за достъп до частни сайтове на офиса. Ако злото администратор затворен достъп до сайта, който искате и в същото време чисто случайно имате домашен сървър работи на Debian 6, можете да конфигурирате VPN тунела с моята работа машина за VPN сървър в дома си и да се насладите на интернет без ограничения.
В това ръководство, ние ще се създаде VPN на базата на OpenVPN за Linux Debian 6. управление Също така в текста се дават дълги откъси от дневника, така че когато се коригира за първи път не знам как би трябвало да изглежда нормалните съдържанието на дневника. ние очакваме също, че вече сте се създаде мрежа.
Вторият отбор не даде никакъв резултат на моя сървър, но VPN не е възпрепятстван.
Инсталиране на OpenVPN-сървър
Ние приемаме, че сървърните всички действия, които се извършват под корена.
В резултат на това, сървърът са използвани следните софтуерни версии: Debian 6.0.7, OpenVPN 2.1.3-2, OpenSSL 0.9.8o
генериране на ключове
Създайте директория под клавишите:
В копиране й комунални услуги и конфигурации за работа с клавишите:
UPD. Ако имате по-нова версия на OpenVPN и лесен RSA в доставката не е налице, може да видите следното съобщение за грешка:
ПС: не може да атрибути "/usr/share/doc/openvpn/examples/easy-rsa/2.0/*": Няма такъв файл или директория
Не се страхувайте. Това е достатъчно, за да го инсталирате от хранилището:
и копирате файлове от друга директория:
Това се прави, за да се гарантира, че след надстройката промени OpenVPN сървър не се заменят, направено от нас.
Промяна в тази директория:
Файлът Варс, изберете ключ настройките:
Ние се интересуваме само от следния блок:
Промяна в нещо подобно на:
Ние изчистите старите сертификати и ключове ключове на сървъра папка /:
Генериране на 1024-битов RSA частен ключ
. ++++++
. ++++++
писането нов частен ключ, за да "ca.key"
-----
На път сте да бъдете помолени да въведете информация, която ще бъде включена
в заявката си за сертификат.
Какво сте на път да влезе е това, което се нарича Distinguished Name или DN.
Има доста няколко области, но можете да оставите някои празен
За някои области ще има стойност по подразбиране,
Ако въведете '.', Полето ще бъде оставено празно.
-----
Име на държавата (2-буквен код) [RU]:
Членка или име на провинция (пълно име) [Leningradskaya]:
Име на местността (например град) [SaintPetersburg]:
Наименование на организацията (например, фирма) [фирма]:
Организационна единица Наименование (например, раздел) []:
Общо име (например вашето име или име на хост сървъра ви) [фирма CA]: debgate
Име []: Вася
E-mail адрес [[имейл защитена]]:
Квадратните скоби показват стойностите по подразбиране, тези, които са били посочен във файла Варс. "Enter", ключ, можете просто да кликнете на тези линии.
Генериране на ключ на сървъра:
Генериране на 1024-битов RSA частен ключ
. ++++++
. ++++++
писането нов частен ключ, за да "server.key"
-----
На път сте да бъдете помолени да въведете информация, която ще бъде включена
в заявката си за сертификат.
Какво сте на път да влезе е това, което се нарича Distinguished Name или DN.
Има доста няколко области, но можете да оставите някои празен
За някои области ще има стойност по подразбиране,
Ако въведете '.', Полето ще бъде оставено празно.
-----
Име на държавата (2-буквен код) [RU]:
Членка или име на провинция (пълно име) [Leningradskaya]:
Име на местността (например град) [SaintPetersburg]:
Наименование на организацията (например, фирма) [фирма]:
Организационна единица Наименование (например, раздел) []:
Общо име (например вашето име или име на хост сървъра ви) [сървъра]:
Име []:
E-mail адрес [[имейл защитена]]:
Моля, въведете следните екстра атрибути
да бъдат изпратени с искането си сертификат
Предизвикателство парола []:
избор име на фирма []:
Използване на конфигурация от /etc/openvpn/easy-rsa/openssl.cnf
Уверете се, че искането отговаря на подписа
Подпис ОК
Distinguished Name на обекта е както следва
COUNTRYNAME: ПЕЧАТ: "RU"
stateOrProvinceName: ПЕЧАТ: "Ленинградска"
localityName: ПЕЧАТ: "SaintPetersburg"
ORGANIZATIONNAME: ПЕЧАТ: "Фирма"
COMMONNAME: ПЕЧАТ: "сървър"
EmailAddress: IA5STRING: "[имейл защитена]
Сертификат е да бъдат сертифицирани до 24ти март 14:50:43 2023 GMT (3650 дни)
Подписване на сертификата? [Y / N]: Y
1 от 1 молбите за сертификати сертифицирани, се ангажират? [Y / N] Y
Изписва се база данни с 1 нови записи
База данни Обновено
По пътя, можете да зададете парола за удостоверението за по-добра сигурност.
Генериране на сертификата за клиентската програма:
Генериране на 1024-битов RSA частен ключ
. ++++++
. ++++++
писането нов частен ключ, за да "user.key"
-----
На път сте да бъдете помолени да въведете информация, която ще бъде включена
в заявката си за сертификат.
Какво сте на път да влезе е това, което се нарича Distinguished Name или DN.
Има доста няколко области, но можете да оставите някои празен
За някои области ще има стойност по подразбиране,
Ако въведете '.', Полето ще бъде оставено празно.
-----
Име на държавата (2-буквен код) [RU]:
Членка или име на провинция (пълно име) [LO]:
Име на местността (например град) [SaintPetersburg]:
Наименование на организацията (например, фирма) [фирма]:
Организационна единица Наименование (например, раздел) []:
Общо име (например вашето име или име на хост сървъра ви) [потребител]:
Име []:
E-mail адрес [[имейл защитена]]:
Моля, въведете следните екстра атрибути
да бъдат изпратени с искането си сертификат
Предизвикателство парола []:
избор име на фирма []:
Използване на конфигурация от /etc/openvpn/easy-rsa/openssl.cnf
Уверете се, че искането отговаря на подписа
Подпис ОК
Distinguished Name на обекта е както следва
COUNTRYNAME: ПЕЧАТ: "RU"
stateOrProvinceName: ПЕЧАТ: "LO"
localityName: ПЕЧАТ: "SaintPetersburg"
ORGANIZATIONNAME: ПЕЧАТ: "Фирма"
COMMONNAME: ПЕЧАТ: "потребител"
EmailAddress: IA5STRING: "[имейл защитена]
Сертификат е да бъдат сертифицирани до 28 март 13:30:46 2023 GMT (3650 дни)
Подписване на сертификата? [Y / N]: Y
1 от 1 молбите за сертификати сертифицирани, се ангажират? [Y / N] Y
Изписва се база данни с 1 нови записи
База данни Обновено
Ако създадете VPN не пренебрегвайте паролите за корпоративната мрежа. Също така, за специфичните нужди на всеки клиент да генерира отделни клавиши. Въпреки това, можете да използвате един ключ за различни клиенти, но в този вариант, има и недостатъци.
Моля, имайте предвид, че общото име полето за сървъра и клиента трябва да е по-различно.
Генериране на Дифи - Хелман:
Генериране DH параметри, 1024-дълго време и безопасно-председател, генератор 2
Това ще отнеме много време
Накрая, последният ключов TLS-autifikatsii:
След това, в директорията / и т.н. / OpenVPN / лесно-RSA / ключове / формира доста голям брой на файла, от който желаете сървъра, и част - на клиента.
Копирайте клавишите със сървър в директорията / и т.н. / OpenVPN:
Клиентът ще трябва от следните опции:
user.crt
user.key
ca.crt
ta.key
Ключови ta.key нужда да TLS удостоверяване, ще създаде втория етап.
Конфигуриране на OpenVPN-сървър
можете да получите основен конфигурационен файл е както следва:
Член конфигурация VPN-файлов сървър в Debian:
Определете следното:
Благодарение на тези параметри, ние избираме порт, протокол, тип връзка, уточни сертификати Asking VPN-мрежови настройки, посочете файла, в който да се съхраняват настройките на връзката (за да можете да ги възстановите след клиент повторното свързване на), задаване на параметрите на поддържане на връзката, моля използвайте компресиране на данни, предавани , уточнява сървъра при рестартиране не се свърже с ресурси, които могат да бъдат на разположение се дължи на намаляване на привилегиите, Asking състоянието на файла (който съдържа информация за свързаните клиенти), лог файл, както и нивото на подразбиращи bnosti информация за отстраняването й.
Ако имате нужда от повече информация за отстраняване на грешки, тогава параметъра глагол може да бъде създадена, за да 9. В повечето случаи, трябва да бъде достатъчно, за стойност от 5 или максимум 6.
След този тест за сървъра от командния ред:
Въпреки, че най-вероятно след инсталиране на OpenVPN Debian, това е демонът вече се изпълнява, както и че не ни пречи, че е необходимо да се спре:
Ако всичко е наред, а след това да стартирате сървъра в дневника трябва да бъде нещо като това:
Конфигуриране на OpenVPN клиент
Използвах Линукс дистрибуция Mint 14 на базата на Ubuntu, която от своя страна се основава на Debian. На клиента се извършват действия като крайно беден на потребителя с помощта на командата Sudo.
Нека ви напомня, клиентът трябва да премине следните клавиши:
След това, на клиента, за да ги постави в директорията / и т.н. / OpenVPN /.
Копирайте файла с примерен конфигурацията на клиента в правилната директория:
По-долу е даден списък на основните насоки дава възможност да се свържете към сървъра конфигурирали по-рано:
След това, ако всичко върви добре в конзолата, не се появява нищо и не трябва да се показва командния ред. Дневникът на клиент /var/log/openvpn.log Долно появи подобно на следното:
В дневника на сървъра, добави следното:
В момента има създаден на OpenVPN сървър на Debian-най-малкото да се провери дали работи. Остава да добавим криптиране и TLS обвиване на VPN сървър всички клиентски трафик.
Добавянето TLS шифроване
На сървъра, пишете на /etc/openvpn/server.conf:
На клиента, в /etc/openvpn/client.conf:
Всъщност, единствената разлика е в първия ред. В края на сървъра на линията определя нула на клиент - единица.
Отново обединени, пратите 10.8.0.1. Ако пинг, а след това всичко е наред.
Ако рестарта на VPN сървър, след като връзката с клиента в дневника ще бъде подобно на следното:
Както може да се види, имаше линии за ключов ta.key. също се промени линия за шифър.
Ние увийте целия трафик на VPN сървър
Какво е необходимо, е да се замени конфигурационния файл само на сървъра. Добавете реда
Първият ред се променя шлюза по подразбиране на посочения в VPN-сървър. След деактивиране, че ще бъдат върнати на шлюза, която е била зададена на клиента по-рано.
Вторият ред задава DNS-сървър, за да се използва, когато се свързвате към VPN-сървър.
Ние също трябва да посочите сървъра правило за маршрут на трафика от мрежата на VPN сървър в LAN или мрежата на доставчика на интернет услуги. В Debian можете да го направите на правилото за IPTABLES:
Сега е възможно за един нормален старт OpenVPN сървър и клиент:
Единственото неудобство, когато демонът ще работи на клиента VPN-постоянно поддържа връзка. За информация как да деактивирате стартиране на демон може да бъде намерен в статията за Управителя Startup в Debian.
Ако използвате Linux на вашия настолен компютър, за лесна връзка с виртуална частна мрежа, можете да използвате модула за свързване в мрежа Управителя.
Още опции за търсене
клиент-клиент - позволява на клиентите VPN сървър комуникират един с друг.
дублира-CN - трябва да се добави параметър ако сте създали за всички клиенти на същите ключове, но клиентите, като в същото време представени различни общо име.
MAX-клиенти 100 - ограничаващи максималния брой едновременно свързани клиенти
За да се повиши сигурността на Linux-системи могат да бъдат намалени лиценз VPN-сървър:
UPD. Ако в края на краищата, че имате проблеми с NAT и TUN устройство, можете да активирате поддръжката спедиция. За да направите това, поставете следния параметър в /etc/sysctl.conf файла:
и след това да го прилага по бягане:
Свързани статии