Nainstalujte a nakonfigurujte OpenVPN Server FreeBSD 12

Vítejte v našem dalším průvodci, jak nainstalovat a nakonfigurovat OpenVPN server FreeBSD 12. Naučili jsme se, jak nainstalovat a nastavit OpenVPN Server na Fedoře 29/CentOS 7 v našem předchozím průvodci.

Nainstalujte a nakonfigurujte OpenVPN Server FreeBSD 12

Chcete-li začít, musíte aktualizovat své úložiště balíčků FreeBSD 12.

aktualizace pkg

Nainstalujte balíčky OpenVPN a Easy-RSA

pkg install openvpn easy-rsa

Vytvořte adresář pro uložení konfiguračních souborů serveru, CA, klíčů serveru a souborů certifikátů.

mkdir -p /usr/local/etc/openvpn/easy-rsa

mkdir /usr/local/etc/openvpn/server

Zkopírujte vzorové konfigurační soubory OpenVPN a Easy-RSA do příslušných konfiguračních adresářů vytvořených výše.

cp /usr/local/share/examples/openvpn/sample-config-files/server.conf /usr/local/etc/openvpn/server/

cp -r /usr/local/share/easy-rsa/* /usr/local/etc/openvpn/easy-rsa/

Vygenerujte soubory místní CA, klíčů a certifikátů pomocí EasyRSA

Proměnné certifikátu se nastavují v /usr/local/etc/openvpn/easy-rsa/vars soubor. Pro usnadnění generování certifikátu upravte tento soubor, odkomentujte a upravte hodnoty certifikátu následovně;

vim /usr/local/etc/openvpn/easy-rsa/vars

set_var EASYRSA_REQ_COUNTRY "KE"set_var EASYRSA_REQ_PROVINCE "Nairobi"set_var EASYRSA_REQ_CITY "Nairobi"set_var EASYRSA_REQ_ORG "Kifarunix"set_var EASYRSA_REQ_EMAIL "[email protected]"set_var EASYRSA_REQ_OU "Infrastructure"set_var EASYRSA_KEY_SIZE 2048set_var EASYRSA_CA_EXPIRE 3650set_var EASYRSA_CERT_EXPIRE 3650

Easy-RSA se dodává se skriptem pro generování certifikátu s názvem easyrsa.real . Chcete-li vygenerovat soubory certifikátu, přejděte na /usr/local/etc/openvpn/easy-rsa/ adresář a postupujte následovně;

Inicializujte PKI

cd /usr/local/etc/openvpn/easy-rsa

sh ./easyrsa.real init-pkiPoznámka:pomocí konfigurace Easy-RSA z:./varsinit-pki dokončeno; nyní můžete vytvořit CA nebo požadavky. Váš nově vytvořený adresář PKI je:/usr/local/etc/openvpn/easy-rsa/pki

Vytvořte certifikát CA spuštěním příkazu níže. Po zobrazení výzvy nastavte CN a heslo pro šifrování.

sh ./easyrsa.real build-ca

Vygenerujte soubor klíče a certifikátu pro server a klienta.

sh ./easyrsa.real build-server-full server nopass

sh ./easyrsa.real build-client-full klient nopass

Vygenerujte soubor klíče Diffie-Hellman, který lze použít během handshake TLS s připojováním klientů.

sh ./easyrsa.real gen-dh 

V případě, že potřebujete zrušit platnost dříve podepsaného certifikátu, vygenerujte certifikát o zrušení.

sh ./easyrsa.real gen-crl

Vygenerujte předsdílený ověřovací klíč TLS/SSL

openvpn --genkey --secret /usr/local/etc/openvpn/easy-rsa/pki/ta.key

Zkopírujte všechny klíče a certifikáty serveru z /usr/local/etc/openvpn/easy-rsa/pki/ do konfiguračního adresáře vytvořeného výše.

cp -r /usr/local/etc/openvpn/easy-rsa/pki/{ca.crt,dh.pem,ta.key,issued,private} /usr/local/etc /openvpn/server/

Konfigurace serveru OpenVPN

Upravte konfigurační soubor serveru tak, aby vypadal níže bez komentářů;

vim /usr/local/etc/openvpn/server/server.conf

port 1194proto udpdev tunca /usr/local/etc/openvpn/server/ca.crtcert /usr/local/etc/openvpn/server/issued/server.crtkey /usr/local/etc/openvpn/server/private/ server.keydh /usr/local/etc/openvpn/server/dh.pemtopology subnetserver 10.8.0.0 255.255.255.0ifconfig-pool-persist ipp.txtpush "redirect-gateway def1 bypass-dhcp"push "dhcp-option. DNS2720. "push "dhcp-option DNS 208.67.220.220"keepalive 10 120tls-auth ta.key 0 # Tento soubor je tajná šifra AES-256-CBCcomp-lzouser Nobodygroup Nobodypersist-keypersist-tunstatus /var/log/openlognstatvpn/open/log/openlognstatvpn/ -append /var/log/openvpn/openvpn.logverb 3explicit-exit-notify 1auth sha512remote-cert-tls klient

Vytvořte adresář protokolu;

mkdir /var/log/openvpn/

Konfigurovat směrování

Spuštěním níže uvedeného příkazu nakonfigurujte směrování IPv4 NAT. To povolí ipfw firewall, který je potřebný pro natd

cat <> /etc/rc.conffirewall_enable="YES"firewall_type="open"gateway_enable="YES"natd_enable="YES"natd_interface="em1"natd_flags="-dynamic -m"EOF 

 Restartujte server, aby se projevily výše provedené změny.
reboot
 

 Spusťte a nastavte spuštění OpenVPN při spouštění.
sysrc openvpn_enable=YESsysrc openvpn_configfile="/usr/local/etc/openvpn/server/server.conf"
 
spuštění služby openvpn
 

 Ověřte, že OpenVPN běží a naslouchá na portu UDP 1194.
sockstat -4 -l | grep 1194nobody openvpn 2824 6 udp46 *:1194 *:*
 

 Ověřte, že bylo rozhraní vytvořeno.
ifconfig...tun0:flags=8051 metrika 0 mtu 1500 options=80000 inet6 fe80::a00:27ff:fe06:ec18 %tun0 prefixlen 64 předběžný rozsah id 0x4 inet 10.8.0.1 --> 10.8.0.2 maska ​​sítě 0xffffff00 skupiny:tun nd6 options=29 Otevřeno PID 2824
 
Nakonfigurujte klienta
 

 Zkopírujte soubor CA , TLS/SSL autentizačního klíče a klientského klíče a souboru certifikátu do klienta.
/usr/local/etc/openvpn/server/ca.crt/usr/local/etc/openvpn/server/issued /client.crt/usr/local/etc/openvpn/server/private/client.key/usr/local/etc/openvpn/server/ta.key
 

 Vytvořte konfigurační soubor klienta
cat < client.ovpnclienttls-clientpulldev tunproto udpremote 192.168.43.12 1194resolv-retry infinitenobinddhcp-option DNS 208.67.222.222userkeykeys skupina nonekeyist-comuppersist-direct. lzoverb 3ca ca.crtcert client.crtkey client.keyauth SHA512remote-cert-tls serverEOF
 

 Chcete-li se připojit k serveru VPN ze systému Linux, spusťte níže uvedený příkaz;
sudo openvpn client.ovpn
 

 Velkolepý!! To je vše, co potřebujete k instalaci a konfiguraci OpenVPN serveru FreeBSD 12. Děkujeme za přečtení.