GNU/Linux >> Znalost Linux >  >> Rocky Linux

Jak nastavit Pritunl VPN Server na Rocky Linux 8

Pritunl je open-source server VPN a IPsec se správou uživatelů a horizontálním škálováním pro malé i velké organizace. Dává uživateli možnost používat protokoly OpenVPN a Wireguard. Dodává se se snadno použitelným rozhraním GUI a podporuje klienty na většině zařízení a platforem. Veškerý provoz mezi klienty a serverem je šifrován. Pritunl je postaven na MongoDB, spolehlivé a škálovatelné databázi, kterou lze rychle nasadit a má vestavěnou podporu replikace, takže nasazení clusteru Pritunl je snadné.

Tento tutoriál vás naučí, jak nainstalovat server Pritunl VPN na Rocky Linux 8. Prozkoumáme také, jak se připojit k VPN pomocí klienta Linux.

Předpoklady

  1. Systém se systémem Rocky Linux 8 pro hostování serveru Pritunl.

  2. Uživatel bez oprávnění root s právy sudo.

  3. Název domény směřující na server.

  4. Systém se systémem Rocky Linux 8 jako klient.

  5. Ujistěte se, že je vše aktualizováno.

    Aktualizace $ sudo dnf

  6. Nainstalujte všechny předpoklady.

    $ sudo dnf install nano

Krok 1 – Konfigurace brány firewall

Rocky Linux používá Firewalld Firewall. Zkontrolujte stav brány firewall.

$ sudo firewall-cmd --staterunning

To znamená, že je úspěšně spuštěn.

Firewall pracuje s různými zónami a veřejná zóna je výchozí, kterou použijeme. Seznam všech služeb a portů aktivních na bráně firewall.

$ sudo firewall-cmd --permanent --list-services

Měl by ukazovat následující výstup.

dhcpv6-client mdns ssh

Povolit porty HTTP a HTTPS.

$ sudo firewall-cmd --permanent --add-service=http$ sudo firewall-cmd --permanent --add-service=https

Znovu zkontrolujte stav brány firewall.

$ sudo firewall-cmd --permanent --list-all

Měli byste vidět podobný výstup.

veřejný cíl:výchozí icmp-block-inversion:žádná rozhraní:zdroje:služby:kokpit dhcpv6-client http https ssh porty:protokoly:maškaráda:žádné dopředné porty:zdrojové porty:icmp-bloky:bohatá pravidla: 

 Chcete-li změny povolit, znovu načtěte bránu firewall.
 
$ sudo firewall-cmd --reload
 
Krok 2 – Instalace MongoDB
 

 Pritunl je postaven na databázi MongoDB, takže ji nejprve musíme nainstalovat. Rocky Linux se nedodává s MongoDB, takže musíme použít oficiální úložiště MongoDB.
 

 Poznámka: MongoDB 5.0 funguje pouze na novějších procesorech. Pokud váš server běží na starším hardwaru, měli byste se rozhodnout pro starší verzi MongoDB nebo přejít na novější server.
 

 Vytvořte a otevřete soubor /etc/yum.repos.d/mongodb-org-5.0.repo pro úpravy.
 
$ sudo nano /etc/yum.repos.d/mongodb-org-5.0.repo
 

 Vložte do něj následující kód.
 
[mongodb-org-5.0]name=MongoDB Repositorybaseurl=https://repo.mongodb.org/yum/redhat/$releasever/mongodb-org/5.0/x86_64/gpgcheck=1enabled=1gpgkey=https:// www.mongodb.org/static/pgp/server-5.0.asc
 

 Uložte soubor stisknutím Ctrl + X a zadáním Y až budete vyzváni po dokončení.
 

 Nainstalujte MongoDB.
 
$ sudo dnf nainstalovat mongodb-org
 

 Povolte a spusťte službu MongoDB.
 
$ sudo systemctl povolit mongod --now
 
Krok 3 – Instalace serveru Pritunl
 

 Prvním krokem je vytvoření oficiálního úložiště pro Pritunl. Vytvořte a otevřete soubor /etc/yum.repos.d/pritunl.repo pro úpravy.
 
$ sudo nano /etc/yum.repos.d/pritunl.repo
 

 Vložte do něj následující kód.
 
[pritunl]name=Pritunl Repositorybaseurl=https://repo.pritunl.com/stable/yum/centos/8/gpgcheck=1enabled=1
 

 Uložte soubor stisknutím Ctrl + X a zadáním Y až budete vyzváni po dokončení.
 

 Nejprve nainstalujte úložiště Epel, které vyžaduje Pritunl.
 
$ sudo dnf nainstalovat epel-release
 

 Přidejte a importujte klíče GPG potřebné pro Pritunl.
 
$ gpg --keyserver hkp://keyserver.ubuntu.com --recv-keys 7568D9BB55FF9E5287D586017AE645C0CF8E292A$ gpg --armor --export 7568D9BB55FF9E52917D508.ABEC; sudo rpm --import key.tmp; rm -f key.tmp
 

 Nainstalujte Pritunl.
 
$ sudo dnf nainstalovat pritunl
 

 Zkontrolujte verzi Pritunl.
 
$ pritunl versionpritunl v1.30.2960.4
 

 Povolte a spusťte službu Pritunl.
 
$ sudo systemctl povolit pritunl --now
 
Zvýšení limitu otevřených souborů
 

 Spuštěním následujících příkazů zvýšíte limit otevřených souborů na serveru. Předejdete tak případným problémům s připojením v případě vysoké zátěže. Pokud jste MongoDB nainstalovali na samostatný server, musíte tyto příkazy spustit na tomto serveru.
 
$ sudo sh -c 'echo "* hard nofile 64000">> /etc/security/limits.conf'$ sudo sh -c 'echo "* soft nofile 64000">> /etc/security/limits.conf '$ sudo sh -c 'echo "root hard nofile 64000">> /etc/security/limits.conf'$ sudo sh -c 'echo "root soft nofile 64000">> /etc/security/limits.conf' 
Krok 4 – Přístup a konfigurace Pritunl
 

 Pritunl můžete spustit zadáním http://<serverIP>/ ve vašem prohlížeči. Moderní prohlížeče se snaží přistupovat k HTTPS verzi každého webu, takže budete muset obejít chybu ochrany soukromí vyvolanou prohlížečem.
 

 Při prvním spuštění adresy URL se zobrazí následující obrazovka.
 

 
 

 Automaticky získá MongoDB URI. Pro klíč nastavení spusťte následující příkaz.
 
$ sudo pritunl setup-keyeacbd641982048fd9a60cdf09f7ebaa3
 

 Zadejte vygenerovaný klíč na webu a klikněte na tlačítko Uložit knoflík. Aktualizuje databázi a otevře přihlašovací obrazovku.
 

 
 

 Spuštěním následujícího příkazu vygenerujte výchozí přihlašovací údaje.
 
$ sudo pritunl default-password[undefined][2021-11-08 22:34:55,255][INFO] Získání výchozího hesla správce Výchozí heslo správce:uživatelské jméno:"pritunl" heslo:"krZQLlH9U7P1"
 

 Zadejte přihlašovací údaje a přihlaste se. Zobrazí se následující obrazovka nastavení.
 

 
 

 Zadejte silné heslo, které nahradí výchozí heslo. Do pole Lets Encrypt Domain zadejte doménu pole. Pritunl automaticky vygeneruje a nastaví certifikát SSL pro doménu.
 

 Nyní můžete server spustit pomocí názvu domény zadáním https://pritunl.example.com ve vašem prohlížeči.
 
Krok 5 – Přidání organizace, serveru a uživatelů
 

 Dalším krokem je přidání organizace pro vaši VPN. Klikněte na Uživatelé a klikněte na Přidat organizaci tlačítko.
 

 
 
 
 

 Klikněte na tlačítko Přidat pokračujte.
 

 Dalším krokem je přidání uživatele. Jsou dvě možnosti. Uživatele můžete přidávat po jednom nebo je přidávat hromadně. Prozatím přidáme jednoho uživatele. Klikněte na Přidat uživatele tlačítko.
 

 
 

 Pole PIN je volitelné a používá se, pokud se chystáte použít dvoufaktorové ověřování. PIN se skládá pouze z čísel.
 

 Po nastavení organizace a uživatelů přejděte na Servery a klikněte na Přidat server tlačítko.
 

 
 

 Port :Můžete přidat libovolný port, který bude server používat. Ujistěte se, že port, který jste zadali, je otevřený pro veškerý příchozí provoz ve skupině zabezpečení.
 

 DNS: Můžete přidat Google DNS nebo OpenDNS.
 

 Virtuální síť: Do tohoto pole můžete přidat soukromou IP, ale ujistěte se, že ji nepoužívá žádný jiný zdroj. Klientům budou přiděleny IP adresy z tohoto rozsahu.
 

 Virtuální síť WG: Síťové adresy WireGuard pro privátní síť, která bude přiřazena klientům WireGuard. Měl by mít stejný blok CIDR jako virtuální síť.
 

 Povolit WireGuard: Pokud je zaškrtnuto, použije WireGuard místo OpenVPN. V našem tutoriálu však budeme používat OpenVPN, takže jej ponechte nezaškrtnuté.
 

 Port WG: Tento port bude použit pro připojení WireGuard. Lze jej použít pouze v případě, že jsme povolili možnost WireGuard.
 

 Povolit Google Authenticator: Chcete-li použít dvoufázové ověření, povolte tuto možnost. Pokud je tato možnost na serveru povolena, všichni klienti pod tímto serverem je třeba před každým připojením k VPN ověřit OTP.
 

 Povolit IPv6 :Aktivuje servery DNS IPv6. Klientům jsou přiděleny soukromé adresy IPv6.
 

 Klikněte na tlačítko Přidat dokončete.
 

 Klikněte na Přidat organizaci tlačítko pro propojení organizace s nově vytvořeným serverem.
 

 
 

 Klikněte na Spustit server tlačítko pro spuštění VPN.
 

 
 
Povolit port v bráně firewall
 

 Abychom mohli přijímat připojení od klienta přes port VPN, musíme to povolit přes náš firewall.
 
$ sudo firewall-cmd --permanent --add-port=18412/udp$ sudo firewall-cmd --reload
 
Krok 6 – Instalace klienta Pritunl
 

 Nyní, když je náš server v provozu, je čas nainstalovat klienta a připojit se k VPN. Pritunl nabízí dva typy klientů – příkazový řádek a klienta GUI.
 

 Pro náš tutoriál použijeme klienta příkazového řádku. Do systému můžete nainstalovat pouze jeden typ klienta.
 

 Nainstalujte úložiště EPEL potřebné pro klienta Pritunl.
 
$ sudo dnf nainstalovat epel-release
 

 Přidejte do svého systému Rocky Linux oficiální úložiště Pritunl.
 
$ sudo tee -a /etc/yum.repos.d/pritunl.repo < 

 Přidejte a importujte klíče GPG.
 
$ gpg --keyserver hkp://keyserver.ubuntu.com --recv-keys 7568D9BB55FF9E5287D586017AE645C0CF8E292A$ gpg --armor --export 7568D9BB55FF9E52917D508.ABEC; sudo rpm --import key.tmp; rm -f key.tmp
 

 Nainstalujte klienta příkazového řádku.
 
$ sudo dnf nainstalovat pritunl-client
 
Krok 7 – Připojení z klienta k serveru
 

 Z uživatelské záložky na serveru Pritunl získejte odkaz na dočasný profil pro připojení ke klientovi.
 

 
 

 Zkopírujte dočasný odkaz URI z poslední položky.
 

 
 

 Pro přidání profilu zadejte na klientském terminálu následující příkaz.
 
$ pritunl-client add pritunl://example.com/ku/2hd6S6Ug
 

 Ujistěte se, že jste přidali odkaz na profil zkopírovaný dříve po add v příkazu.
 

 Zkontrolujte seznam přidaných profilů.
 
$ seznam klientů pritunl+----------------------------------+------- ------------------+--------------+---------------- +-----------------+| ID | JMÉNO | ONLINE PRO | ADRESA SERVERU | ADRESA KLIENTA |+----------------------------------+----------- --------------+--------------+-----------------+--- -------------+| wkinhnnjyz3ybektjbavy8qpecafqp1e | hforgeuser (howtoforge) | Odpojeno | - | - |+----------------------------------+------------- -------------+--------------+-----------------+---- ------------+
 

 Spusťte následující příkaz pro připojení k profilu. V příkazu nemusíte používat úplné ID profilu. K odkazování na profil použijte pouze první 3 písmena ID profilu.
 
$ pritunl-client start wki --mode=ovpn --password=PINOTP
 
     
  • Chcete-li určit režim OPVN, přidejte příznak --mode=ovpn v příkazu.
    • 
 
  • Pokud jste povolili možnost Google Authenticator, musíte ji nakonfigurovat pomocí klienta Google Authenticator nebo Authy.
    • 
 
  • Chcete-li zadat kód PIN a dvoufaktorový ověřovací kód, použijte příznak --password=PINOTP v příkazu. Pokud je například PIN 54321 a kód OTP je 456789, použijte příznak --password=54321456789 v příkazu výše. Pokud používáte pouze PIN, použijte příznak --password=PIN .
    • 
 

 

 Spusťte list znovu zkontrolujte, zda připojení funguje.
 
$ pritunl-client list
+----------------------------------+-------------------------+------------+----------------+----------------+
|                ID                |          NAME           | ONLINE FOR | SERVER ADDRESS | CLIENT ADDRESS |
+----------------------------------+-------------------------+------------+----------------+----------------+
| wkinhnnjyz3ybektjbavy8qpecafqp1e | hforgeuser (howtoforge) | 6 secs     | 178.62.233.196 | 192.168.238.2  |
+----------------------------------+-------------------------+------------+----------------+----------------+
 
 

 Úspěšně jste se připojili k Pritunl VPN.
 
Příkazový řádek Pritunl
 

 Server Pritunl je dodáván s nástrojem příkazového řádku, který můžete použít k provádění některých základních operací.
 
Opravit databázi
 

 K opravě databáze a umožnění obnovy poškozené nebo nekonzistentní databáze můžete použít Pritunl.
 

 Nejprve zastavte server Pritunl.
 
$ sudo systemctl stop pritunl
 

 Opravte databázi.
 
$ sudo pritunl repair-database
 

 Restartujte službu Pritunl.
 
$ sudo systemctl spustit pritunl
 

 repair-database příkaz vymaže všechny protokoly, resetuje všechny uživatelské statické virtuální IP adresy a uvede všechny servery do stavu zastavení.
 
Resetovat přihlašovací údaje
 

 Následující příkaz resetuje uživatelské jméno a heslo správce zpět na pritunl . Odebere také všechna nastavení jednotného přihlášení a dvoufázového ověření pro uživatele správce, pokud je povoleno.
 
$ sudo pritunl reset-password
 
Změnit port webové konzoly
 

 Ve výchozím nastavení běží Pritunl na portu 443. Pokud jej chcete změnit, použijte následující příkaz.
 
$ sudo pritunl nastavit app.server_port 8443
 

 Pritunl provozuje webový server na portu 80 pro ověření Let's Encrypt a přesměrovává požadavky HTTP na HTTPS. Přesměrování můžete vypnout pomocí následujícího příkazu. To také zabrání použití certifikátů Let's Encrypt.
 
$ sudo pritunl nastavit app.redirect_server na hodnotu false
 
Závěr
 

 Tímto končí náš tutoriál o nastavení a používání serveru Pritunl VPN na serveru Rocky Linux 8. Pokud se chcete o Pritunlu dozvědět více, můžete sledovat jeho oficiální dokumentaci. Pokud máte nějaké dotazy, napište je do komentářů níže.
Rocky Linux

  1. Jak nastavit připojení NFS na Rocky Linux 8

  2. Jak nastavit SFTP server na Rocky Linux/CentOS 8 Server

  3. Jak nastavit SFTP server na Arch Linuxu

  1. Nastavte VPN server na vašem počítači se systémem Linux

  2. Jak nastavit server OpenVPN na Debianu 9

  3. Jak nastavit NFS server a klienta na Rocky/Alma Linux 8

  1. Jak nainstalovat Redis Server na Rocky Linux

  2. Jak nainstalovat Mattermost Server na Rocky Linux 8

  3. Jak nastavit statickou IP adresu v Rocky Linuxu