OpenVPN vytváří šifrovaný tunel mezi dvěma body, který brání třetí straně v přístupu k vašemu síťovému provozu. Nastavením serveru virtuální privátní sítě (VPN) se stanete svým vlastním poskytovatelem VPN. Mnoho oblíbených služeb VPN již OpenVPN používá, tak proč spojovat své připojení s konkrétním poskytovatelem, když můžete mít úplnou kontrolu?
První článek v této sérii nastavil server pro vaši VPN a druhý článek ukázal, jak nainstalovat a nakonfigurovat serverový software OpenVPN. Tento třetí článek ukazuje, jak spustit OpenVPN se zavedenou autentizací.
Více o zabezpečení
- Průvodce obranným kódováním
- Webinář:Automatizace zabezpečení systému a soulad se standardním operačním systémem
- 10 vrstev zabezpečení kontejneru Linux
- Omalovánky SELinux
- Další články o zabezpečení
Chcete-li nastavit server OpenVPN, musíte:
- Vytvořte konfigurační soubor.
- Nastavte
sysctlhodnotanet.ipv4.ip_forward = 1pro povolení směrování. - Nastavte příslušné vlastnictví pro všechny konfigurační a ověřovací soubory, aby bylo možné spustit démona serveru OpenVPN pod účtem jiného uživatele než root.
- Nastavte OpenVPN tak, aby začínalo s příslušným konfiguračním souborem.
- Nakonfigurujte bránu firewall.
Konfigurační soubor
Musíte vytvořit konfigurační soubor serveru v /etc/openvpn/server/ . Pokud chcete, můžete začít od nuly a OpenVPN obsahuje několik ukázkových konfiguračních souborů, které lze použít jako výchozí bod. Podívejte se do /usr/share/doc/openvpn/sample/sample-config-files/ vidět je všechny.
Pokud chcete vytvořit konfigurační soubor ručně, začněte buď server.conf nebo roadwarrior-server.conf (podle potřeby) a umístěte svůj konfigurační soubor do /etc/openvpn/server . Oba soubory jsou rozsáhle komentovány, takže si přečtěte komentáře a rozhodněte se, který z nich má pro vaši situaci největší smysl.
Můžete ušetřit čas a potíže pomocí mých předpřipravených šablon konfiguračních souborů serveru a klienta a sysctl soubor pro zapnutí síťového směrování. Tato konfigurace také zahrnuje přizpůsobení pro protokolování připojení a odpojení. Uchovává protokoly na serveru OpenVPN v /etc/openvpn/server/logs .
Pokud používáte mé šablony, budete je muset upravit, aby používali vaše IP adresy a názvy hostitelů.
Chcete-li použít mé předpřipravené konfigurační šablony, skripty a sysctl pro zapnutí přesměrování IP si stáhněte můj skript:
$ curl \
https://www.dgregscott.com/ovpn/OVPNdownloads.sh > \
OVPNdownloads.sh
Přečtěte si skript, abyste získali představu o tom, co dělá. Zde je rychlý přehled jeho akcí:
- Vytvoří příslušné adresáře na vašem serveru OpenVPN
- Stáhne šablony konfiguračních souborů serveru a klienta z mého webu
- Stáhne mé vlastní skripty a umístí je do správného adresáře se správnými oprávněními
- Stáhne
99-ipforward.confa umístí jej do/etc/sysctl.dpro zapnutí přesměrování IP při příštím spuštění - Nastaví vlastnictví pro vše v
/etc/openvpn
Jakmile budete spokojeni, že rozumíte tomu, co skript dělá, udělejte jej spustitelný a spusťte jej:
$ chmod +x OVPNdownloads.sh
$ sudo ./OVPNdownloads.sh
Zde jsou soubory, které kopíruje (všimněte si vlastnictví souboru):
$ ls -al -R /etc/openvpn
/etc/openvpn:
total 12
drwxr-xr-x. 4 openvpn openvpn 34 Apr 6 20:35 .
drwxr-xr-x. 139 root root 8192 Apr 6 20:35 ..
drwxr-xr-x. 2 openvpn openvpn 33 Apr 6 20:35 client
drwxr-xr-x. 4 openvpn openvpn 56 Apr 6 20:35 server
/etc/openvpn/client:
total 4
drwxr-xr-x. 2 openvpn openvpn 33 Apr 6 20:35 .
drwxr-xr-x. 4 openvpn openvpn 34 Apr 6 20:35 ..
-rw-r--r--. 1 openvpn openvpn 1764 Apr 6 20:35 OVPNclient2020.ovpn
/etc/openvpn/server:
total 4
drwxr-xr-x. 4 openvpn openvpn 56 Apr 6 20:35 .
drwxr-xr-x. 4 openvpn openvpn 34 Apr 6 20:35 ..
drwxr-xr-x. 2 openvpn openvpn 59 Apr 6 20:35 ccd
drwxr-xr-x. 2 openvpn openvpn 6 Apr 6 20:35 logs
-rw-r--r--. 1 openvpn openvpn 2588 Apr 6 20:35 OVPNserver2020.conf
/etc/openvpn/server/ccd:
total 8
drwxr-xr-x. 2 openvpn openvpn 59 Apr 6 20:35 .
drwxr-xr-x. 4 openvpn openvpn 56 Apr 6 20:35 ..
-rwxr-xr-x. 1 openvpn openvpn 917 Apr 6 20:35 client-connect.sh
-rwxr-xr-x. 1 openvpn openvpn 990 Apr 6 20:35 client-disconnect.sh
/etc/openvpn/server/logs:
total 0
drwxr-xr-x. 2 openvpn openvpn 6 Apr 6 20:35 .
drwxr-xr-x. 4 openvpn openvpn 56 Apr 6 20:35 ..
Zde je 99-ipforward.conf soubor:
# Turn on IP forwarding. OpenVPN servers need to do routing
net.ipv4.ip_forward = 1
Upravte OVPNserver2020.conf a OVPNclient2020.ovpn zahrnout vaše IP adresy. Upravte také OVPNserver2020.conf zahrnout názvy certifikátů serveru z dřívějších verzí. Později přejmenujete a upravíte kopii OVPNclient2020.ovpn pro použití s vašimi klientskými počítači. Bloky, které začínají ***? ukázat, kde upravit.
Vlastnictví souboru
Pokud jste použili automatický skript z mého webu, vlastnictví souboru již existuje. Pokud ne, musíte zajistit, aby váš systém měl uživatele s názvem openvpn který je členem skupiny s názvem openvpn . V /etc/openvpn musíte nastavit vlastnictví všeho tomuto uživateli a skupině. Je bezpečné to udělat, pokud si nejste jisti, zda uživatel a skupina již existují, protože useradd odmítne vytvořit uživatele se stejným jménem, jaké již existuje:
$ sudo useradd openvpn
$ sudo chown -R openvpn.openvpn /etc/openvpn
Firewall
Pokud jste se v kroku 1 rozhodli službu firewall nezakázat, je možné, že služba brány firewall vašeho serveru ve výchozím nastavení nepovoluje provoz VPN. Pomocí firewall-cmd můžete povolit službu OpenVPN, která otevře potřebné porty a podle potřeby směruje provoz:
$ sudo firewall-cmd --add-service openvpn --permanent
$ sudo firewall-cmd --reload
Není třeba se ztratit v bludišti iptables!
Spusťte server
Nyní můžete spustit svůj OpenVPN server. Aby se po restartu automaticky spustil, použijte enable dílčí příkaz systemctl :
systemctl enable --now [email protected]Poslední kroky
Čtvrtý a poslední článek v tomto článku demonstruje, jak nastavit klienty pro připojení k vaší OpenVPN na dálku.
Tento článek je založen na blogu D. Grega Scotta a je znovu použit se svolením.