Nainstalujte a nastavte OpenVPN Server na Fedora 29/CentOS 7

V této příručce se naučíme, jak nainstalovat a nastavit OpenVPN Server na Fedora 29/CentOS 7.
OpenVPN je open-source VPN software, který nám umožňuje vytvořit VPN tunel založený na SSL. Představte si, že byste se chtěli připojit k vašemu kooperativnímu intranetu ze vzdáleného místa. Nebojte se, protože pokud máte nastaven server VPN, může to být možné. Virtuální privátní síť (VPN) poskytuje bezpečný tunel, který rozšiřuje privátní síť přes veřejnou síť, tj. pomáhá vytvářet Wide Area Network (WAN) ze stávajících lokálních sítí (LAN). Výsledkem je, že uživatelé mohou bezpečně odesílat data přes veřejné sítě, jako by byli přímo připojeni k jejich LAN.

Více o OpenVPN se můžete dozvědět zde.

Instalace a nastavení serveru OpenVPN na Fedora 29/28/CentOS 7

Bez velké teorie se pojďme podívat na postup krok za krokem, jak nainstalovat a nastavit OpenVPN Server na Fedora 29/28/CentOS 7.

Aktualizujte svůj server.

Aktualizace dnf < 
Nainstalujte OpenVPN a Easy-RSA na Fedoru 29/28
 

 OpenVPN poskytuje robustního a vysoce flexibilního VPN démona, zatímco balíček Easy-RSA se používá ke generování párů klíčů SSL, které se používají k zabezpečení připojení VPN. Oba balíčky OpenVPN i Easy-RSA jsou dostupné ve výchozích úložištích Fedory. Spusťte níže uvedený příkaz a nainstalujte je.
dnf install openvpn easy-rsa
 
Nainstalujte OpenVPN a Easy-RSA na CentOS 7
 

 OpenVPN není k dispozici ve výchozích úložištích CentOS, ale je k dispozici v EPEL, takže před instalací OpenVPN musíte nainstalovat úložiště EPEL. 

 Chcete-li přidat další balíčky pro Enterprise Linux (EPEL), spusťte některý z následujících příkazů;
yum install epel-release
 

 nebo
wget http://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpmrpm -ivh epel-release-latest-7.noarch.rpm
 

 Nainstalujte OpenVPN a Easy-RSA
yum install openvpn easy-rsa
 
Sestavte místního CA a vygenerujte serverové klíče a soubor certifikátu
 

 Vytvořte adresář pro ukládání klíčů serveru a souborů certifikátů.
mkdir /etc/openvpn/easy-rsa
 

 Zkopírujte skripty pro generování klíčů/certifikátů nainstalované Easy-RSA z výchozího adresáře do adresáře vytvořeného výše.
cp -air /usr/share/easy-rsa/3/* /etc/openvpn/easy-rsa 

 Přejděte do /etc/openvpn/easy-rsa adresář a spusťte nové PKI.
cd /etc/openvpn/easy-rsa./easyrsa init-pki
 

 Sestavte certifikát CA. To vás vyzve k zadání hesla pro šifrování a běžného názvu serveru.
./easyrsa build-ca
 
...zápis nového soukromého klíče do '/etc/openvpn/easy-rsa/pki/private/ca.key.EajtR0SkLM'Zadejte heslo PEM:PASSWORD Ověřování – zadejte heslo PEM:PASSWORD -----...-----Common Name (např.:váš uživatel, název hostitele nebo serveru) [Easy-RSA CA]:server Vytvoření CA je dokončeno a nyní můžete importovat a podepisovat žádosti o certifikát. Váš nový soubor certifikátu CA pro publikování je na adrese:/etc/openvpn/easy-rsa/pki/ca.crt
 

 Jak bylo uvedeno, certifikát CA je uložen na adrese /etc/openvpn/easy-rsa/pki/ca.crt . 

 Vygenerujte soubor klíče Diffie-Hellman, který lze použít během TLS handshake s připojováním klientů.
./easyrsa gen-dh
 

 Tím se vygeneruje klíč DH a uloží se jako /etc/openvpn/easy-rsa/pki/dh.pem . 

 Vygenerujte soubor klíče a certifikátu pro server.
./easyrsa build-server-full server nopass
 

 Vygenerujte pro klienta soubor klíče a certifikátu.
./easyrsa build-client-full client nopass
 

 V případě, že potřebujete zrušit platnost dříve podepsaného certifikátu, vygenerujte certifikát o zrušení.
./easyrsa gen-crl
 

 Toto uloží certifikát o zrušení pod /etc/openvpn/easy-rsa/pki/crl.pem . 

 Vygenerovat předsdílený ověřovací klíč TLS/SSL
openvpn --genkey --secret /etc/openvpn/easy-rsa/pki/ta.key
 

 Zkopírujte vygenerované certifikáty/klíče do konfiguračního adresáře serveru.
cp -rp /etc/openvpn/easy-rsa/pki/{ca.crt,dh.pem,ta.key,issued,private} /etc/openvpn/server /
 
Konfigurace serveru OpenVPN
 

 OpenVPN má ve svém adresáři dokumentace vzorový konfigurační soubor, a proto, abychom si usnadnili život, zkopírujeme vzorový /usr/share/doc/openvpn{-2.4.6,}/sample/sample-config-files/server.conf soubor do /etc/openvpn pro úpravu. 

 Na Fedoře
cp /usr/share/doc/openvpn/sample/sample-config-files/server.conf /etc/openvpn/server/
 

 Na CentOS 7
cp /usr/share/doc/openvpn-2.4.6/sample/sample-config-files/server.conf /etc/openvpn/server/
 

 Upravte soubor server.conf soubor následovně;
vim /etc/openvpn/server/server.conf
 

 Upravte soubor tak, aby vypadal jako níže;
# Na kterém portu TCP/UDP má OpenVPN naslouchat?# Změňte jej tak, aby odpovídal vašemu portu a otevřete jej na firewallportu 1194# TCP nebo UDP server?proto udp# "dev tun " vytvoří směrovanou IP tuneldev tun# Změnit cestu pro certificatesca ca.crtcert vydané/server.crtkey private/server.key# Rozdílný klíč výměny hellman pathdh dh.pem# Topologie sítě podsíť# OpenVPN Network IP. Níže, Server si vezme 10.8.0.1 pro sebe,# zbytek bude zpřístupněn klientům.server 172.16.0.0 255.255.255.0# tato direktiva nakonfiguruje všechny klienty tak, aby přesměrovali svou výchozí# síťovou bránu přes VPNpush "redirect- gateway def1 bypass-dhcp"# DNS serverspush "dhcp-option DNS 208.67.222.222"push "dhcp-option DNS 208.67.220.220"# Pro kompresi kompatibilní se staršími klienty použijte comp-lzo.comp-lzo# Spustit VPN nikdo s omezenými oprávněními nikdo# Stavový protokol filestatus /var/log/openvpn/openvpn-status.log# Předsdílená autentizace TLS/SSL keytls-auth ta.key 0# Vytvořte adresář protokolu VPN a protokol filelog-append /var/log/openvpn/openvpn .log#Připojte tento řádek pro změnu ověřovacího algoritmu (HMAC) z SHA1 na SHA512auth SHA512
 

 Vytvořte adresář protokolu;
mkdir /var/log/openvpn/
 

 Uložte konfigurační soubor 
Konfigurovat směrování
 
Povolit přesměrování IP
 

 Povolení předávání IP zajistí, že provoz z klienta bude směrován přes IP adresu serveru, takže IP adresa klienta bude maskována.
echo "net.ipv4.ip_forward =1">> /etc/sysctl.conf
 

 Pro provedení změn spusťte níže uvedený příkaz;
sysctl --system
 

 Povolit port služby OpenVPN přes firewall
firewall-cmd --add-port=1194/udp --permanent
 

 Aktivovat IP Masquerading
firewall-cmd --add-masquerade --permanent
 

 Předat provoz přijatý na zadané podsíti OpenVPN na rozhraní, přes které budou odesílány pakety. 

 Najděte rozhraní, přes které se odesílají pakety, spuštěním příkazu níže;
ip route get 8.8.8.88.8.8.8 via 192.168.43.1 dev enp0s8 src 192.168.43.23
 

 Název rozhraní se může pro váš případ lišit. Nahraďte odpovídajícím způsobem.
firewall-cmd --permanent --direct --passthrough ipv4 -t nat -A POSTROUTING -s 172.16.0.0/24 -o enp0s8 -j MASKÁRA
 

 Znovu načtěte firewall, aby se změny projevily.
firewall-cmd --reload
 

 Spusťte a nastavte OpenVPN start při spouštění.
systemctl start [email protected] enable [email protected]
 

 Když služba OpenVPN běží, vytvoří tunelovací rozhraní, tun0;
ip add show tun04:tun0: mtu 1500 qdisc fq_codel stav NEZNÁMÝ výchozí skupina qlen 100 link/none inet 172.16 .0.1/24 brd 172.16.0.255 rozsah globální tun0 valid_lft navždy preferovaný_lft navždy inet6 fe80::1155:c60c:c009:48c9/64 odkaz na rozsah stable-privacy valid_lft navždy preferovaný_lft navždy
 

 VPN serveru je přidělena IP adresa 172.16.0.1, zatímco prvnímu klientovi bude přidělena 172.16.0.2. 
Konfigurace klienta VPN
 

 Aby se klient VPN mohl připojit k serveru VPN, je vyžadována kopie certifikátu CA, klientského klíče, klientského certifikátu a ověřovacího klíče TLS/SSL vygenerovaného výše. Zkopírujte tedy tyto soubory do cílového klienta a umístěte je do vhodného adresáře.
cd /etc/openvpn/easy-rsa/pki/scp {ca.crt,issued/client.crt,private/client.key, ta.key} [email protected]:~/
 
Nainstalujte klienta OpenVPN
 
 
Pokud jako klienta používáte server Linux/Unix, nainstalujte klienta OpenVPN například pomocí příslušného správce balíčků;
apt install openvpnyum install openvpn
 
Pokud se připojujete z počítače se systémem Windows, můžete si jednoduše stáhnout instalační program klienta OpenVPN ze stránky pro stahování OpenVPN a nainstalovat jej.
 

 Vytvořte konfigurační soubor OpenVPN pro klienta, jak je znázorněno níže. Jako příklad jsem zkopíroval soubory certifikátu a klíče do svého domovského adresáře na klientovi.
[email protected]:/home/amos# lsca.crt client.crt client.key ta.key
 
vim client.ovpn
 
clienttls-clientpulldev tunproto udpremote 192.168.43.69 1194resolv-retry infinitenobinddhcp-option DNS 8.8.8.8uživatel nikdoskupina nogrouppersist-keypersist-tunkey-direction 1tls-auth-keyt.z.klíč klienta. 
 

 Chcete-li se připojit k serveru OpenVPN z klienta, spusťte některý z níže uvedených příkazů;
sudo openvpn client.ovpn
 

 nebo 
sudo openvpn --config client.ovpn
 

 Pokud je připojení úspěšné, měli byste vidět Initialization Sequence Completed .
Po 31. prosinec 03:54:39 ​​2018 TUN/TAP zařízení tun0 otevřeno Po pros. 31. 03:54:39 ​​2018 Délka fronty TUN/TAP TX nastavena na 100 Po 31. prosinec 03:54:39 ​​2018 configdidv_config_config_018 do_ =0Po pro :54:39 ​​2018 /sbin/ip route add 192.168.43.69/32 dev enp0s8Po Dec 31 03:54:39 ​​2018 /sbin/ip route add 0.0.0.0/1 via 172.16.0.11 Mon Dec:9 /sbin/ip route add 128.0.0.0/1 via 172.16.0.1Po Dec 31 03:54:39 ​​2018 GID set to nogroupPon Dec 31 03:54:39 ​​2018 UID set to NobodyPon Dec 31:38Initialization 03:54ce Dokončeno
 

 Pokud můžete zkontrolovat rozhraní, měli byste vidět vytvořené tunelové rozhraní.
ip add sh tun020:tun0: mtu 1500 qdisc pfifo_fast state UNKNOWN výchozí skupina qlen 100 link/none inet 172.16.0.2 /24 brd 172.16.0.255 rozsah globální tun0 valid_lft navždy preferovaný_lft navždy inet6 fe80::dc37:c115:60f:6b86/64 příznaky odkazu rozsahu 800 valid_lft navždy preferovaný_lft navždy
 

 Úspěšně jste se připojili k serveru VPN. 

 To je vše o tom, jak nainstalovat a nastavit OpenVPN server na Fedora 29/CentOS 7. Váš OpenVPN server je plně funkční. Užívat si. 
Související výukové programy
 

 Nakonfigurujte IPSEC VPN pomocí StrongSwan na Ubuntu 18.04 

 Nakonfigurujte klienta strongSwan VPN na Ubuntu 18.04/CentOS 8 

 Nastavte IPSEC VPN pomocí StrongSwan na Debianu 10