OpenVPN vytváří šifrovaný tunel mezi dvěma body, který brání třetí straně v přístupu k vašemu síťovému provozu. Nastavením serveru virtuální privátní sítě (VPN) se stanete svým vlastním poskytovatelem VPN. Mnoho populárních služeb VPN již OpenVPN používá, tak proč spojovat své připojení s konkrétním poskytovatelem, když můžete mít úplnou kontrolu sami?
Další skvělý obsah
- Bezplatný online kurz:technický přehled RHEL
- Naučte se pokročilé příkazy Linuxu
- Stáhněte si Cheat Sheets
- Najděte alternativu s otevřeným zdrojovým kódem
- Přečtěte si hlavní obsah Linux
- Podívejte se na zdroje s otevřeným zdrojovým kódem
První článek v této sérii nastavil server pro vaši VPN, druhý článek ukázal, jak nainstalovat a nakonfigurovat software serveru OpenVPN, zatímco třetí článek vysvětlil, jak nakonfigurovat bránu firewall a spustit software serveru OpenVPN. Tento čtvrtý a poslední článek ukazuje, jak používat váš server OpenVPN z klientských počítačů. To je důvod, proč jste udělali všechnu práci v předchozích třech článcích!
Vytvořte klientské certifikáty
Pamatujte, že metoda ověřování pro OpenVPN vyžaduje, aby ji měl server i klient něco (certifikáty) a vědět něco (heslo). Je čas to nastavit.
Nejprve vytvořte klientský certifikát a soukromý klíč pro váš klientský počítač. Na svém OpenVPN serveru vygenerujte žádost o certifikát. Vyžaduje přístupovou frázi; nezapomeňte si to zapamatovat:
$ cd /etc/openvpn/ca
$ sudo /etc/openvpn/easy-rsa/easyrsa \
gen-req greglaptop
V tomto příkladu greglaptop je klientský počítač, pro který se tento certifikát vytváří.
Požadavek není potřeba importovat do certifikační autority (CA), protože tam již je. Zkontrolujte jej a ujistěte se:
$ cd /etc/openvpn/ca
$ /etc/openvpn/easy-rsa/easyrsa \
show-req greglaptop
Můžete se také podepsat jako klient:
$ /etc/openvpn/easy-rsa/easyrsa \
sign-req client greglaptop
Instalace klientského softwaru OpenVPN
V systému Linux může Network Manager již obsahovat klienta OpenVPN. Pokud ne, můžete si plugin nainstalovat:
$ sudo dnf install NetworkManager-openvpnV systému Windows si musíte stáhnout a nainstalovat klienta OpenVPN z webu pro stahování OpenVPN. Spusťte instalační program a postupujte podle pokynů.
Kopírování certifikátů a soukromých klíčů do klienta
Nyní váš klient potřebuje ověřovací údaje, které jste pro něj vygenerovali. Vygenerovali jste je na serveru, takže je musíte přenést ke svému klientovi. Používám k tomu SSH. V Linuxu je to scp příkaz. V systému Windows můžete použít WinSCP jako správce k získání certifikátů a klíčů.
Za předpokladu, že se klient jmenuje greglaptop , zde jsou názvy souborů a umístění serveru:
/etc/openvpn/ca/pki/issued/greglaptop.crt
/etc/openvpn/ca/pki/private/greglaptop.key
/etc/openvpn/ca/pki/issued/ca.crt
V Linuxu je zkopírujte do /etc/pki/tls/certs/ adresář. V systému Windows je zkopírujte do C:\Program Files\OpenVPN\config adresář.
Kopírování a přizpůsobení konfiguračního souboru klienta
V systému Linux můžete buď zkopírovat /etc/openvpn/client/OVPNclient2020.ovpn soubor na serveru do /etc/NetworkManager/system-connections/ nebo můžete přejít do Správce sítě v Nastavení systému a přidat připojení VPN.
Jako typ připojení vyberte Certifikáty . Nasměrujte Network Manager na certifikáty a klíče, které jste zkopírovali ze serveru.
V systému Windows spusťte WinSCP jako správce a zkopírujte šablonu konfigurace klienta /etc/openvpn/client/OVPNclient2020.ovpn na serveru do C:\Program Files\OpenVPN\config na klientovi. Potom:
- Přejmenujte jej tak, aby odpovídal výše uvedenému certifikátu.
- Změňte názvy certifikátu CA, klientského certifikátu a klíče tak, aby odpovídaly názvům zkopírovaným výše ze serveru.
- Upravte informace IP tak, aby odpovídaly vaší síti.
K úpravě konfiguračních souborů klienta potřebujete oprávnění super správce. Nejjednodušší způsob, jak toho dosáhnout, může být spuštění okna CMD jako správce a poté spuštění programu Poznámkový blok z okna správce CMD pro úpravu souborů.
Připojte klienta k serveru
V systému Linux zobrazuje Správce sítě vaši VPN. Vyberte jej pro připojení.
V systému Windows spusťte grafické uživatelské rozhraní (GUI) OpenVPN. Vytváří grafiku na hlavním panelu Windows na pravé straně hlavního panelu, obvykle v pravém dolním rohu plochy Windows. Kliknutím pravým tlačítkem na grafiku se připojíte, odpojíte nebo zobrazíte stav.
Pro první připojení upravte "vzdálený" řádek konfiguračního souboru klienta tak, aby používal vnitřní IP adresu vašeho OpenVPN serveru. Připojte se k serveru z vaší kancelářské sítě kliknutím pravým tlačítkem myši na GUI OpenVPN na hlavním panelu systému Windows a kliknutím na Připojit . Odlaďte toto připojení. To by mělo najít a opravit problémy, aniž by překážely nějaké problémy s firewallem, protože klient i server jsou na stejné straně firewallu.
Dále upravte "vzdálený" řádek konfiguračního souboru klienta tak, aby používal veřejnou IP adresu pro váš server OpenVPN. Přeneste klienta Windows do vnější sítě a připojte se. Odlaďte všechny problémy.
Připojte se bezpečně
Gratulujeme! Máte připravenou síť OpenVPN pro vaše další klientské systémy. Opakujte kroky nastavení pro ostatní klienty. Můžete dokonce použít Ansible k distribuci certifikátů a klíčů a jejich aktualizaci.
Tento článek je založen na blogu D. Grega Scotta a je znovu použit se svolením.