Jak nainstalovat a nakonfigurovat OpenVPN Access Server

Úvod

OpenVPN Access Server je nástroj, který poskytuje bezpečný přístup do privátních sítí. Díky podpoře všech oblíbených operačních systémů a mnoha metodám ověřování jde o řešení VPN pro mnoho malých a středních podniků.

Pokud nepoužíváte více než dvě současná připojení, Access Server je zdarma.

Podle tohoto průvodce se dozvíte,jak nastavit OpenVPN Access Server a nakonfigurovat síťová nastavení .

Předpoklady

Vezměte na vědomí následující informace:

• Data název centra – např. CloudTest_DC
• Organizace jméno – např. CloudOrgTest
• Stránky místo – např. atlvpdc.phoenixnap.com

Podrobnosti jsou k dispozici na vstupní stránce VMware Cloud Director.

Přehled organizace

Na vstupní stránce Cloud Director vyberte datové centrum . Níže je uveden přehled informací, které potřebujete pro nastavení OpenVPN Access Server.

• Název externí sítě. V Datových centrech vyberte Sítě -> Hrany a klikněte na Okraj název.

Vyberte Rozhraní brány pro zobrazení názvu externí sítě. Název obsahuje název vaší organizace.

• První dostupná veřejná IP adresa . V Datových centrech vyberte Sítě -> Hrany . Klikněte na Okraj jméno a poté Přidělení IP pro zobrazení přiděleného rozsahu veřejných IP adres.

Poté klikněte na SLUŽBY a podívejte se na NAT a Firewall pravidla k určení, která veřejná IP z rozsahu na portu TCP 443 je nedostupná. V našem případě 131.xxx.xxx.108 je převzato, takže první dostupná veřejná IP je 131.xxx.xxx.106 .

• Zdokumentovat novou síťovou podsíť DMZ pro nový server OpenVPN. Vyberte libovolnou soukromou IP. Vybrali jsme /29 v případě, že je potřeba druhý uzel OpenVPN. Například:
  • Síť DMZ:10.xxx.xxx.1/29
  • Brána DMZ:10.xxx.xxx.1
  • Jedna IP adresa přístupového serveru OpenVPN:10.xxx.xxx.2

• Počet použitých síťových karet pro okraj. Pokud máte 10 síťových karet, bude nová síť DMZ vytvořena jako Isolated i když Směrováno je vybráno. Číslo použitých síťových karet je v seznamu vašich hran

• Síť hosta virtuálního počítače , například 10.xxx.xxx.0/24.

Vytvořte účet OpenVPN Access Server

Pro vytvoření bezplatného účtu OpenVPN Access Server:

1. Přejděte na stránku OpenVPN Access Server.

2. Klikněte na tlačítko Get Your Free Connections tlačítko.

3. Zadejte e-mail a klikněte na Vytvořit účet .

4. Klikněte na tlačítko Potvrdit svůj e-mail odkaz, když obdržíte e-mail z OpenVPN.

5. Zadejte heslo když se stránka načte.

6. Vyberte Obchodní použití (vyžaduje více informací) nebo Osobní použití a klikněte na Pokračovat .

Access Server Portal načte.

7. Klikněte na Vytvořit vytvořit aktivační klíč.

Načte se stránka předplatného a klíčových podrobností.

8. Klikněte na Kopírovat klíč a uložte předplatitelský klíč, jak jej budete později potřebovat pro konfiguraci OpenVPN Access Server.

Vytvořit síť DMZ pro nový přístupový server OpenVPN

Chcete-li vytvořit novou DMZ pro novou síť OpenVPN Access Server ve VMware Cloud Director pro vaši organizaci, přejděte na Datová centra -> Sítě -> Sítě.

Klikněte na NOVÉ ke spuštění průvodce.

1. Vyberte Routed pro krok typu sítě a klikněte na NEXT.

2. Zadejte Název sítě a Brána CIDR zvolili jste dříve, například 10.xxx.xxx.1/29. Ostatní pole jsou volitelná. Klikněte na NEXT.

3. Vyberte Typ rozhraní Interní pro vybranou hranu s veřejnou IP a klepněte na NEXT. Příkladem brány je 10.xxx.xxx.1.

4. Přidat statické fondy IP definovaná bránou CIDR, kterou jste určili dříve. Například 10.xxx.xxx.2 – 10.xxx.xxx.6. Klikněte na NEXT.

5. Pokud má váš edge DNS, můžete povolit Použít Edge DNS . V opačném případě zadejte veřejného poskytovatele DNS, například 8.8.8.8 (primární DNS) a 1.1.1.1 (sekundární DNS). Klikněte na NEXT.

6. Zkontrolujte konfiguraci sítě a klikněte na FINISH až budete připraveni.

Vytvořit pravidla SNAT/DNAT Edge

Chcete-li vytvořit nová pravidla, v Datových centrech karta:

1. Přejděte na Sítě -> Hrany .

2. Vyberte Edge Gateway a klikněte naSlužby. Počkejte, až se načte vyskakovací okno, aby se všechna nová pravidla uplatnila na zaznamenaný název externí sítě.

3. Klikněte na NAT začněte přidávat nová pravidla. Změny můžete uložit po každém pravidle nebo po přidání všech.

Vytvořit pravidlo SNAT

Chcete-li vytvořit pravidlo SNAT pro odchozí přístup k internetu v NAT sekce:

1. Klikněte na + PRAVIDLO SNAT tlačítko.

2. Vyberte externí veřejné síť.

3. Přidejte OpenVPN Access Server IP 10.xxx.xxx.2 do Original Source IP/Range pro jakýkoli port a protokol.

4. Přidejte dříve uvedenou první dostupnou veřejnou IP adresu 131.xxx.xxx.106 do Translated Source IP/Range pro jakýkoli port a protokol.

5. Přidejte relevantní popis a klikněte na POCHOVAT .

Tlačítko Uložit změny se na hlavní stránce objeví zpráva. Uložte průběh hned nebo až přidáte všechna pravidla.

Vytvoření pravidel DNAT

Vytvořte příchozí pravidla DNAT v NAT sekce:

1. Klikněte na + PRAVIDLO DNA tlačítko.

2. Vyberte externí veřejnou síť.

3. Přidejte veřejnou IP 131.xxx.xxx.106 do Původní zdrojová IP/rozsah .

4. Vyberte UDP v protokolu rozevíracího seznamu.

5. Zvolte Jakýkoli v Původním portu rozevíracího seznamu.

6. Přidejte OpenVPN Access Server IP 10.xxx.xxx.2 do Translated Source IP/Range pole pro libovolný zdrojový port a IP.

7. Zadejte 1194 v Přeložený port .

8. Přidejte relevantní popis a klikněte na POCHOVAT .

Opakujte stejné kroky pro druhé a třetí příchozí pravidlo DNAT s těmito změnami:

• Nastavte Protokol na TCP , Přeloženo Port na 443 a přidejte relevantní popis.
• Nastavte Protokol na TCP , Přeloženo Port na 943 a přidejte relevantní popis. (Toto je dočasné pravidlo pro počáteční správu).

Nezapomeňte kliknout Uložit změny po dokončení přidávání všech pravidel nebo po každém pravidle.

Seznam pravidel by měl vypadat takto:

Vytvoření pravidel brány firewall Edge

Pravidla brány firewall v této části musí být vyšší než popírat pravidla.

Chcete-li vytvořit pravidlo brány firewall v Datových centrech karta:

1. Přejděte na Sítě -> Hrany .

2. Vyberte Edge Gateway a klikněte naSlužby. Počkejte, až se načte vyskakovací okno.

3. Klikněte na Firewall a tlačítko + začít přidávat nová pravidla. Potřebujete šest různých pravidel uvedených v kroku 6 níže. Uložte změny po každém pravidle nebo po přidání všech.

Upravte hodnoty ve sloupcích pro každé pravidlo brány firewall. Umístěním ukazatele myši na buňku zobrazíte dostupné akce. Pro názvy pravidel brány firewall použijte popis z pravidel NAT.

4. Pro Zdroj a Cíl, klikněte na IP tlačítko pro přidání IP.

5. Pro Službu klikněte na + a přidejte protokol a cílový port, jak je uvedeno na obrázku v kroku 6. Zdrojový port ponechte na jakýkoli .

6. Po dokončení bude tabulka pravidel brány firewall vypadat takto:

Vytvořte vApp pomocí virtuálního počítače

Chcete-li vytvořit vApp s novým virtuálním počítačem v Datových centrech karta:

1. Přejděte na Počítat -> vApps -> NOVÉ a vyberte Nová aplikace vApp .

2. Zadejte jméno pro vApp a klikněte na ADD VIRTUAL MACHINE tlačítko

3. Zadejte název virtuálního počítače bez mezer.

4. Vyberte Typ -> Nový a zadejte podrobnosti OS:

• Rodina operačních systémů:Linux
• Operační systém:Ubuntu Linux (64bitový)
• Spouštěcí obraz:Server Ubuntu 20.04.3 .

5. V části Vypočítat vyberte Možnosti vlastní velikosti a nastavte všechny čtyři hodnoty na 1 .

6. Zadejte 16 GB pro velikost disku v Úložišti sekce.

5. V Síť sekce, vyberte:

• Dříve vytvořené směrování síť.
• Typ síťového adaptéru: VMXNET3
• Režim IP:Manuální adresa IP
• IP adresa:IP přístupového serveru OpenVPN 10.xxx.xxx.2

6. Klikněte na OK a poté VYTVOŘIT. Průběh se zobrazuje na obrazovce vApps.

Konfigurace virtuálního počítače

Chcete-li dokončit nastavení virtuálního počítače, zapněte vApp a spusťte virtuální počítač OpenVPN Access Server:

1. Na obrazovce vApps klikněte na AKCE a zvolte Zapnout .

2. Klikněte na VM Consoles a poté Konzola VM získat přístup k virtuálnímu počítači.

Počkejte, až se virtuální počítač spustí.

3. Zvýrazněte ens160 a zvolte Upravit IPv4.

4. Zvolte Ručně pro metodu IPv4. Potvrďte výběrem Hotovo .

5. Zadejte dříve použitá síťová nastavení a vyberte Uložit .

6. Vyberte Hotovo pro ostatní možnosti a Pokračovat na obrazovku konfigurace úložiště.

7. Dokončete nastavení profilu a bezpečně uložte informace o účtu. Uživatelské jméno je uloženo v souboru sudoers. Nepoužívejte „openvpn“ jako uživatelské jméno takže OS a účet aplikace OpenVPN Access Server mohou být oddělené.

8. Přeskočte instalaci serveru SSH. Vyberte možnost Hotovo pokračovat.

9. Počkejte na dokončení procesu a vyberte možnost Reboot Now .

Po dokončení se na konzole zobrazí Selhalo odpojení /cdrom zprávu.

10. V aplikaci Cloud Director vyhledejte virtuální počítač OpenVPN Access Server v Compute -> Virtual Machines obrazovka. Klikněte na AKCE a vyberte možnost Vysunout médium k odstranění Ubuntu ISO z VM.

11. Vraťte se do konzoly VM a stiskněte Enter pro restartování stroje. Virtuální počítač se spustí na přihlašovací obrazovce.

12. Zadejte uživatelské jméno a heslo používané při vytváření profilu.

Ověřte síť virtuálního počítače a nainstalujte aktualizace

Ověřte připojení pomocí příkazu ping na okrajovou bránu a server DNS prostřednictvím konzoly virtuálního počítače.

ping 10.xxx.xxx.1
ping 1.1.1.1

Až se ujistíte, že připojení funguje, aktualizujte systém:

sudo su -
apt update -y && apt upgrade -y

Chcete-li provést změny v konfiguraci sítě, upravte netplan config soubor pomocí textového editoru:

nano /etc/netplan/00-installer-config.yaml

Nainstalujte OpenVPN Access Server

Instalace OpenVPN Access Server:

1. Přejděte na stránku s balíčky OpenVPN Access Server a klikněte na ikonu Ubuntu.

2. Zkopírujte a vložte příkazy jeden po druhém do konzoly VM, když jste přihlášeni jako root. Pokud se vyskytnou nějaké chyby, zkontrolujte překlepy . Druhý příkaz má velké O, nikoli nulu.

apt update && apt -y install ca-certificates wget net-tools gnupg

wget -qO - https://as-repository.openvpn.net/as-repo-public.gpg | apt-key add -

echo "deb http://as-repository.openvpn.net/as/debian focal main">/etc/apt/sources.list.d/openvpn-as-repo.list

apt update && apt -y install openvpn-as

Po dokončení aktualizace se zobrazí potvrzovací zpráva.

3. Uložte heslo k OpenVPN Access Server, abyste je mohli použít později. Heslo lze změnit prostřednictvím uživatelského rozhraní OpenVPN Access Server.

Konfigurace přístupového serveru OpenVPN

Konfigurace přístupového serveru OpenVPN:

1. Přejděte na stránku správce OpenVPN Access Server pomocí veřejné IP adresy, například:

https://131.xxx.xxx.106:943/admin

2. Použijte přihlašovací údaje, které jste si poznamenali po instalaci OpenVPN Access Server.

3. Klikněte na Souhlasím pokud souhlasíte s podmínkami.

4. V Konfigurace -> Nastavení sítě , změňte název hostitele ze soukromé IP adresy na veřejnou IP.

5. Přejděte dolů a klikněte na Uložit nastavení a Aktualizovat běžící server.

6. Přejděte na Aktivace , zadejte klíč předplatného z portálu OpenVPN Access Server a klikněte na Aktivovat .

V případě úspěchu se zobrazí zpráva „Předplatné je aktivní a funguje normálně.“

7. Přejděte na Konfigurace -> Nastavení VPN , přejděte na Směrování a přidejte podsíť virtuálního počítače pro hosty, kterou jste používali dříve.

8. Přejděte na Správa uživatelů -> Uživatelská oprávnění a vytvořte nový uživatelský účet pro klientský přístup VPN. Kliknutím na ikonu Další nastavení přidejte heslo .

9. Klikněte na Uložit nastavení a aktualizovat spuštěný server

Na straně klienta , zbývá několik dalších kroků:

1. Přihlaste se na https://your_public_ip/ s uživatelem, kterého jste právě vytvořili.

2. Nainstalujte doporučeného klienta pro OS, který používáte. V závislosti na zvoleném operačním systému buď získáte soubor ke stažení, nebo budete přesměrováni na stránku, kde budete postupovat podle pokynů k instalaci.

Pokud se ve Windows zobrazí upozornění Defenderu, přijměte pro pokračování v instalaci. Profil je součástí instalace.

Pokud již máte nainstalovanou aplikaci OpenVPN Access Server a přidáváte další připojení, stáhněte si profil a importujte jej.

3. Nakonec spusťte klienta OpenVPN Access Server a navázat spojení.

Chcete-li otestovat, zda připojení funguje, použijte RDP nebo SSH do vašeho virtuálního počítače pomocí soukromé IP .

Poslední kroky

Některá pravidla firewallu a DNAT již nejsou nutná. Přihlaste se do Cloud Director a odeberte:

• Pravidlo brány firewall TCP 943.
• Pravidlo TCP 943 DNAT.

Postup:

1. Přejděte na Sítě -> Hrany .
2. Vyberte Edge Gateway a klikněte naSlužby.
3. V Firewall zvýrazněte pravidlo portu 943 a klikněte na X tlačítko pro jeho odstranění.
4. V NAT kartu, odstraňte pravidlo DNAT TCP 943. Zvýrazněte řádek a klikněte na X tlačítko.

Odstraňování problémů

Pokud se můžete připojit k virtuálním počítačům pomocí klienta SSL VPN Plus a nemůžete se připojit pomocí aplikace OpenVPN Connect, přečtěte si pravidla brány firewall kterou jste vytvořili a přidali podsíť na stránku Správce OpenVPN.

Dále zkuste změnit následující nastavení na stránce OpenVPN Access Server Admin:

1. Přejděte na stránku https://your_public_ip/admin stránku.

2. Přejděte na Konfigurace -> Nastavení VPN.

3. V části Směrování sekce, změňte „Měl by být klientský internetový provoz směrován přes VPN?“ na Ne .

Užitečné odkazy

Další informace o OpenVPN Access Server najdete v dokumentaci Open VPN:

• Zdroje komerčních serverů VPN
• Centrum podpory OpenVPN Access Server

Pokud potřebujete provést výpočty podsítě, použijte kalkulačku podsítě.