V tomto tutoriálu vám ukážeme, jak nainstalovat OpenVPN na Ubuntu 16.04 LTS. Pro ty z vás, kteří nevěděli, OpenVPN je open-source aplikace, která se široce používá k vytváření zabezpečené virtuální privátní sítě přes nezabezpečený veřejný internet. OpenVPN je řešení SSL VPN, které bezpečně odčerpává vaše systémové připojení přes internet. OpenVPN funguje ve struktuře klient-server. Všechna zařízení připojená k virtuální privátní síti fungují, jako by byla propojené s vaší místní sítí. Pakety odesílané tunelem VPN jsou šifrovány 256bitovým šifrováním AES, což znemožňuje krádež dat.
Tento článek předpokládá, že máte alespoň základní znalosti Linuxu, víte, jak používat shell, a co je nejdůležitější, hostujete svůj web na vlastním VPS. Instalace je poměrně jednoduchá a předpokládá, že běží v účtu root, pokud ne, možná budete muset přidat 'sudo ‘ k příkazům pro získání oprávnění root. Ukážu vám krok za krokem instalaci open-source virtuální privátní sítě OpenVPN na server Ubuntu 16.04 (Xenial Xerus).
Nainstalujte OpenVPN na Ubuntu 16.04 LTS
Krok 1. Nejprve se ujistěte, že všechny vaše systémové balíčky jsou aktuální, spuštěním následujícího apt-get příkazy v terminálu.
sudo apt-get update sudo apt-get upgrade
Krok 2. Instalace OpenVPN na Ubuntu 16.04.
Nainstalujte OpenVPN pomocí následujícího příkazu:
apt-get install openvpn easy-rsa
Krok 3. Nastavení certifikační autority.
Server OpenVPN používá certifikáty k šifrování provozu mezi serverem a různými klienty. Proto musíme na VPS nastavit certifikační autoritu (CA), abychom vytvořili spravovat tyto certifikáty:
make-cadir ~/openvpn-ca cd ~/openvpn-ca
Na konci souboru budeme upravovat některé proměnné:
nano vars
Změňte je podle svých potřeb:
# These are the default values for fields # which will be placed in the certificate. # Don't leave any of these fields blank. export KEY_COUNTRY="US" export KEY_PROVINCE="CA" export KEY_CITY="NewYork" export KEY_ORG="Fort-Funston" export KEY_EMAIL="[email protected]" export KEY_OU="MyOrganizationalUnit" # X509 Subject Field export KEY_NAME="chedelics"
Pokud se nevyskytnou žádné chyby, zobrazí se následující výstup:
source vars NOTE: If you run ./clean-all, I will be doing a rm -rf on /home/user/openvpn-ca/keys
Nyní můžeme vyčistit prostředí a poté vybudovat naši CA:
./clean-all ./build-ca
Blahopřejeme... Bude vytvořen nový klíč RSA a budete požádáni o potvrzení údajů, které jste dříve zadali do souboru vars. Stačí stisknout Enter a potvrďte.
Krok 4. Vygenerování klíče serveru a certifikátu.
Spusťte níže uvedený příkaz v aktuálním adresáři:
./build-key-server server
Budeme také muset vytvořit soubor Diffie-Hellman. Vytvoření tohoto souboru bude záviset na délce klíče. Pro toto výchozí nastavení použijeme 2048bitový klíč, ale můžete jej kdykoli změnit úpravou souboru vars ve složce easy-RSA:
./build-dh
Nakonec je potřeba vygenerovat podpis HMAC pro posílení certifikátu:
openvpn --genkey --secret keys/ta.key
Krok 5. Vytvořte klientské veřejné/soukromé klíče.
Tento proces vytvoří jeden klientský klíč a certifikát:
source vars ./build-key client1
Krok 6. Nakonfigurujte server OpenVPN.
Nyní nakonfigurujeme server OpenVPN:
cd ~/openvpn-ca/keys cp ca.crt ca.key vpnserver.crt vpnserver.key ta.key dh2048.pem /etc/openvpn
Dále extrahujte ukázkovou konfiguraci OpenVPN do výchozího umístění:
gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | sudo tee /etc/openvpn/server.conf
Nyní úpravy konfiguračního souboru:
nano /etc/openvpn/server.conf
Vložte níže uvedené konfigurace (můžete změnit hodnoty portu atd.):
local 192.168.77.20 port 443 proto tcp dev tun tun-mtu 1500 tun-mtu-extra 32 mssfix 1450 ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt cert /etc/openvpn/easy-rsa/2.0/keys/server.crt key /etc/openvpn/easy-rsa/2.0/keys/server.key dh /etc/openvpn/easy-rsa/2.0/keys/dh1024.pem server 10.8.0.0 255.255.255.0 #-ifconfig-pool-persist ipp.txt push "redirect-gateway def1" push "dhcp-option DNS 8.8.8.8" push "dhcp-option DNS 4.2.2.1" keepalive 2 30 comp-lzo persist-key persist-tun status 443status.log log-append 443log.log verb 3logverb
Uložte soubor a povolte a spusťte službu OpenVPN:
systemctl enable openvpn@server systemctl start openvpn@server
Krok 7. Nakonfigurujte Iptables pro OpenVPN.
Budeme muset zadat některá pravidla IPtables, abychom povolili internet na klientském počítači:
sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o venet0 -j MASQUERADE sudo apt-get install iptables-persistent
Blahopřejeme! Úspěšně jste nainstalovali OpenVPN. Děkujeme, že jste použili tento návod k instalaci serveru OpenVPN na systém Ubuntu 16.04 LTS (Xenial Xerus). Pro další nápovědu nebo užitečné informace doporučujeme zkontrolovat oficiální webové stránky OpenVPN.