GNU/Linux >> Znalost Linux >  >> Panels >> OpenVPN

Nastavení serveru OpenVPN s OPNsense a viskozitou

Virtuální privátní sítě (VPN) lze využít pro řadu velmi užitečných aplikací. Můžete se bezpečně připojit k jakémukoli veřejnému WiFi hotspotu. Můžete překonat omezení geografického blokování na svých oblíbených webových stránkách. A dokonce se můžete připojit ke své domácí nebo kancelářské síti odkudkoli na světě, jako byste seděli přímo u svého stolu. Tato příručka vás provede procesem nastavení vašeho vlastního serveru OpenVPN a připojení k němu pomocí vaší kopie Viscosity.

Provozování vlastního serveru OpenVPN vám umožní zašifrovat vše, co děláte na internetu, takže můžete bezpečně provádět online bankovnictví na bezplatné WiFi ve vaší oblíbené kavárně. Vše, co odešlete přes připojení VPN, bude z vašeho zařízení šifrováno, dokud se nedostane na váš server OpenVPN doma. Nastavením vašeho OpenVPN serveru pro přístup k vaší domácí nebo kancelářské síti získáte plný přístup ke všem vašim souborům ve vaší síti.

Tato příručka vás provede kroky souvisejícími s nastavením serveru OpenVPN na instanci OPNsense, která vám umožní bezpečný přístup k vaší domácí/kancelářské síti ze vzdáleného místa a volitelně přes ni posílá veškerý síťový provoz, abyste měli přístup k internetu. také bezpečně.

Tato příručka se nebude zabývat žádnými problémy souvisejícími s nastavením routeru. Server, na kterém běží OPNsense, pravděpodobně sám funguje jako směrovač, takže budeme předpokládat, že server OPNsense je přímo připojen k internetu se svou vlastní IP adresou.

Příprava

Pro tuto příručku předpokládáme:

  • Již jste nainstalovali nejnovější verzi OPNsense (21.1 v době psaní tohoto článku)
  • OPNsense byl nastaven alespoň s rozhraním WAN a LAN
  • Během této příručky jste připojeni svým klientským zařízením k serveru OPNsense prostřednictvím jeho rozhraní LAN
  • Tato instalace OPNsense je nová instalace
  • Na klientském zařízení již máte nainstalovanou kopii aplikace Viscosity

Pokud si potřebujete stáhnout a nainstalovat kopii OPNsense, informace naleznete na https://opnsense.org/download/. Nebudeme se zabývat podrobnostmi nastavení instance OPNsense, mnoho průvodců lze nalézt online. Pokud používáte jinou verzi OPNsense, je velmi pravděpodobné, že mnoho nebo dokonce všechny kroky popsané v této příručce budou stále platit. Pokud chcete nastavit server OpenVPN na jiném operačním systému, podívejte se prosím na naše další průvodce.

Vaše klientské zařízení musí být připojeno k serveru OPNsense přes rozhraní LAN. To je nezbytné, abyste měli přístup k webovému GUI OPNsense. Specifika toho, jak toho můžete dosáhnout, závisí na konkrétní konfiguraci sítě.

Pokud ještě nemáte na svém klientovi nainstalovanou kopii Viscosity, podívejte se prosím na tuto instalační příručku pro instalaci Viscosity (Mac | Windows).

Podpora

Bohužel nemůžeme poskytnout žádnou přímou podporu pro nastavení vašeho vlastního OpenVPN serveru. Tuto příručku poskytujeme jako laskavost, která vám pomůže začít s vaší kopií Viscosity a co nejlépe ji využít. Důkladně jsme otestovali kroky v této příručce, abychom zajistili, že pokud budete postupovat podle pokynů uvedených níže, měli byste být na dobré cestě využívat výhod provozování vlastního serveru OpenVPN.

OPNsense má pro svůj produkt komunitní i komerční podporu, pokud potřebujete další informace nebo pomoc, podívejte se na jejich možnosti na https://wiki.opnsense.org/support.html

Začínáme

Nejprve se musíte přihlásit do GUI OPNsense ze svého klientského zařízení připojeného k rozhraní LAN serveru OPNsense. Otevřete prohlížeč na svém klientovi a přejděte na IP adresu rozhraní LAN vašeho serveru OPNsense (https://192.168.1.1 ve výchozím stavu). Budete se muset přihlásit. Výchozí přihlašovací údaje jsou uvedeny níže, ale při instalaci OPNsense byste měli být vyzváni, abyste je změnili na osobní:

User: root
Password: opnsense

Toto nastavení lze provést z libovolného uživatelského účtu, pokud jste vytvořili různé uživatele nebo role, pokud mají oprávnění správce systému.

Server DNS

Pokud jako směrovač používáte OPNsense, pravděpodobně jste již nastavili DNS. Pokud se však jedná o novou instalaci, OPNsense musí alespoň vědět, kde hledat, aby mohl předat požadavky DNS. Můžeme to nastavit takto:

  1. Klikněte na System> Settings> General vlevo
  2. V části Servery DNS v sekci nastavte první dva servery DNS na 8.8.8.8 a 8.8.4.4 (Google DNS). Pokud chcete používat různé servery DNS, můžete je místo toho použít zde.
  3. Nastavte Použít bránu rozbalte na rozhraní WAN pro každý záznam.
  4. Klikněte na Save na dně.

Váš server OPNsense by nyní měl být schopen přeložit DNS. Můžete to vyzkoušet otevřením příkazového řádku ve Windows nebo Terminálu na Macu a zadáním nslookup sparklabs.com. 192.168.1.1 kde 192.168.1.1 je IP adresa vašeho serveru OPNsense.

Průvodce OpenVPN

Server OpenVPN lze nastavit pro většinu případů použití pomocí vestavěného průvodce.

  1. Klikněte na VPN> OpenVPN> Servers na levé straně.
  2. V dolní části nové stránky klikněte na ikonu hůlky vlevo od Použít průvodce k nastavení nového serveru .
  3. Na stránce Výběr typu ověření zkontrolujte Typ serveru je nastaveno na Přístup místního uživatele a klikněte na Další.
  4. Nyní potřebujeme vytvořit certifikační autoritu (CA).
    1. Nastavte Název popisu pole na „OPNsense-CA“.
    2. Ponechte Délku klíče na 2048 bitů a nastavte Životnost na 3650
    3. Zbývající pole slouží k identifikaci serveru, nastavte je podle sebe.


  5. Klikněte na Přidat novou CA pokračovat.
  6. Klikněte na Přidat nový certifikát na další stránce.
  7. Na stránce Přidat certifikát serveru nastavte Popisný název na server , ponechte Délku klíče na 2048 bitů a nastavte Životnost na 3650. Zbytek informací by již měl být předvyplněn.
  8. Klikněte na možnost Vytvořit nový certifikát pokračovat.
  9. Další stránka by měla být Nastavení serveru , nastavte následující:
    1. Nastavte Rozhraní do WAN.
    2. Zajistěte Protokol je UDP a Port je 1194.
    3. Nastavte popis, například „Můj server“.
    4. Změňte Délku parametrů DH minimálně do roku 2048. Pokud používáte moderní hardware, nastavte toto na 4096 (pokud ne, budete čekat dlouho).
    5. Změňte Šifrovací algoritmus na „AES-256-CBC (256bitový klíč, 128bitový blok)“
    6. Změňte Auth Digest Algorithm minimálně na „SHA256 (256-bit)“. Pokud používáte moderní hardware, změňte toto na „SHA512“ (můžete mít problémy s připojením na starším hardwaru).
    7. V síti tunelu IPv4 zadejte '10.0.8.0/24'
    8. Chcete-li povolit přístup k počítačům v místní síti, zadejte do pole Místní síť svůj místní rozsah IP adres. nastavení. Pravděpodobně to bude něco jako 192.168.1.0/24.
    9. Nastavte Kompresi na „Zakázáno“.
    10. Nastavte Server DNS 1 do 10.0.8.1.
  10. Všechna ostatní nastavení lze ponechat jako výchozí. Klikněte na Další .
  11. Na stránce Konfigurace pravidla brány firewall , zaškrtněte obě Pravidlo brány firewall a pravidlo OpenVPN zaškrtávací políčka a klikněte na Další . Pokud máte jiné než výchozí nastavení, budete muset znovu zkontrolovat, co je přidáno na konci průvodce.
  12. Nyní byste měli vidět Vaše konfigurace je nyní dokončena. . Gratulujeme, už jsme skoro tam! Klikněte na Dokončit .

Nastavení uživatele

Ve výchozím nastavení vyžaduje připojení k serveru OPNsense OpenVPN uživatelský certifikát i uživatelské jméno a heslo. Toto je dobrý postup a toto výchozí nastavení použijeme pro každého uživatele, který se chce připojit. Potřebujeme vytvořit uživatelský účet pro každou osobu, které chcete povolit přístup na váš server. Pokud chcete, můžete použít i stávající uživatele, ale budete muset zajistit, aby byl pro ně vygenerován certifikát pomocí CA, kterou jsme vytvořili během průvodce.

Vytvoření nového uživatele

Chcete-li vytvořit nového uživatele:

  1. Klikněte na System> Access> Users na levé straně.
  2. Klikněte na tlačítko Přidat v pravém horním rohu stránky Uživatelé.
  3. Zadejte Uživatelské jméno , Heslo a zaškrtněte políčko Kliknutím vytvoříte uživatelský certifikát dále dolů.
  4. Vyplňte všechna další pole, která chcete, ale nejsou povinná.
  5. Klikněte na Uložit.
  6. Budete přesměrováni na stránku Certifikáty. V Metodě vyberte možnost „Vytvořit interní certifikát“. rozbalovací pole. Stránka se sama znovu uspořádá.
  7. Zajistěte Certifikační autoritu je název, který jsme vytvořili během průvodce, který by měl být „OPNsense-CA“ a Typ je 'Klientský certifikát'.
  8. Změnit Životnost (dny) na 3650.


  9. Klikněte na Uložit.
  10. Budete přesměrováni zpět na stránku Vytvořit uživatele, Uživatelské certifikáty by nyní měly obsahovat položku, klikněte znovu na Uložit dole.
  11. V poli s textem „Změny byly úspěšně použity“ by se mělo objevit modré pole. Přidali jsme nového uživatele, kterého nyní můžeme používat.



Vytvoření certifikátu pro stávajícího uživatele

Chcete-li vytvořit certifikát pro stávajícího uživatele:

  1. Klikněte na System> Access> Users na levé straně.
  2. Klikněte na tlačítko Upravit (tužka) vedle uživatele.
  3. Klikněte na + (plus) pod názvem v části Uživatelské certifikáty pole.
  4. Budete přesměrováni na stránku Certifikáty. V Metodě vyberte možnost „Vytvořit interní certifikát“. rozbalovací pole. Stránka se sama znovu uspořádá.
  5. Zajistěte Certifikační autoritu je název, který jsme vytvořili během průvodce, který by měl být „OPNsense-CA“ a Typ je 'Klientský certifikát'.
  6. Změnit Životnost (dny) na 3650.
  7. Klikněte na Uložit.
  8. Budete přesměrováni zpět na stránku Vytvořit uživatele, Uživatelské certifikáty by nyní měly obsahovat položku, klikněte znovu na Uložit dole.
  9. V poli s textem „Změny byly úspěšně použity“ by se mělo objevit modré pole. Přidali jsme nového uživatele, kterého nyní můžeme používat.

Skupiny uživatelů (volitelné)

Pokud máte uživatele pro různé úkoly, kteří na svém serveru OPNsense nechcete mít přístup k VPN, můžete vytvořit uživatelskou skupinu pro řízení přístupu k vašemu serveru VPN. Chcete-li vytvořit skupinu:

  1. Klikněte na System> Access> Groups na levé straně.
  2. Chcete-li přidat nového uživatele, klikněte na + (plus) v pravém dolním rohu stránky Uživatelé.
  3. Nastavte Název skupiny na 'VPN', můžete také nastavit Popis, který poznáte, něco jako 'VPN Server access group'.
  4. Nyní můžete do skupiny přidat uživatele, stačí kliknout na jejich jméno v seznamu vlevo a poté kliknout na šipku vpravo.
  5. Klikněte na Uložit

Nyní musíme povolit pouze této skupině přístup k serveru. Chcete-li to provést:

  1. Klikněte na VPN> OpenVPN> Servers na levé straně.
  2. Klikněte na tlačítko Upravit (tužka) vedle vašeho serveru OpenVPN.
  3. Změňte Vynutit místní skupinu na 'VPN' (nebo jak jste pojmenovali svou skupinu VPN, pokud je něco jiného).
  4. Přejděte dolů a klikněte na Uložit .


Nastavení viskozity

Pokud jste se dostali až sem, měli byste se nyní připojit k serveru OpenVPN, gratulujeme! Nyní můžeme nastavit viskozitu.

Exportovat připojení z OPNsense

Nejprve si budete muset stáhnout konfiguraci z OPNsense. OPNsense to extrémně usnadňuje tím, že poskytuje připojení připravená k použití pro různá zařízení, včetně připojení speciálně připravených pro viskozitu. Chcete-li se k nim dostat:

  1. Klikněte na VPN> OpenVPN> Client Export na levé straně.
  2. V části Instalační balíčky klienta klikněte na rozevírací seznam Exportovat vedle uživatele, pro kterého chcete exportovat konfiguraci, a vyberte možnost „Viscosity Bundle“. Bude staženo připojení visz.



Importovat připojení do viskozity

Rozhraní poskytované verzemi Viscosity pro Mac a Windows jsou záměrně velmi podobné. Náš průvodce se proto zaměříme na verzi pro Mac a upozorníme na případné rozdíly oproti verzi pro Windows, jakmile se objeví.

Pokud ještě nemáte spuštěnou Viscosity, spusťte Viscosity nyní. Ve verzi pro Mac v liště nabídek se zobrazí ikona Viskozita. Ve verzi pro Windows v systémové liště se zobrazí ikona Viscosity.

Klikněte na ikonu Viskozita na liště nabídek (Windows :systémová lišta) a vyberte „Předvolby...“:




Zobrazí se seznam dostupných připojení VPN. Předpokládáme, že jste nedávno nainstalovali Viscosity, takže tento seznam je prázdný. Klikněte na tlačítko '+' a vyberte Import Connection> From File... :



Přejděte do umístění konfiguračního souboru viskozity a otevřete jej. Zobrazí se vyskakovací zpráva oznamující, že připojení bylo importováno.

Nyní dvakrát klikněte na připojení v okně Předvolby, abyste vyvolali nastavení připojení. Pokud jste použili správné připojení exportované z OPNsense, vše, co musíte udělat, je změnit název připojení na něco, co budete rozpoznávat, a znovu zkontrolovat, zda je adresa serveru správná.




Uložte připojení a nyní byste měli být schopni se připojit.

(Volitelné) Povolení přístupu k internetu

Ve výchozím nastavení připojení VPN umožňuje přístup k souborovému serveru a dalším počítačům v domácí/kancelářské (LAN) síti. Pokud však také chcete, aby byl veškerý internetový provoz odesílán prostřednictvím připojení VPN, je nutné provést konečnou úpravu připojení:

  1. Poklepáním na připojení v okně Předvolby viskozity otevřete editor připojení
  2. Klikněte na Networking tab.
  3. Klikněte na rozbalovací nabídku „Veškerý provoz“ a vyberte možnost „Odeslat veškerý provoz přes připojení VPN“. Není nutné zadávat výchozí bránu.
  4. Klikněte na tlačítko Save tlačítko.

Připojení a používání připojení VPN

Nyní jste připraveni se připojit. Kliknutím na ikonu Viscosity na liště nabídky macOS nebo na systémové liště Windows otevřete nabídku Viscosity Menu, vyberte připojení, které jste importovali, a Viscosity se připojí.

Chcete-li zkontrolovat, zda je VPN v provozu, můžete otevřít okno Podrobnosti z nabídky Viskozita. To vám umožní zobrazit podrobnosti o připojení, provoz a protokol OpenVPN.



To je vše, nastavili jste svůj vlastní server OpenVPN. Gratulujeme, nyní můžete zdarma využívat výhod provozování vlastního serveru OpenVPN!


OpenVPN

  1. Jak nainstalovat a hostovat server OpenVPN pomocí Dockeru

  2. Nainstalujte a nastavte OpenVPN Server na Ubuntu 20.04

  3. Nainstalujte a nakonfigurujte OpenVPN Server FreeBSD 12

  1. Jak nastavit a nakonfigurovat server OpenVPN na Ubuntu 22.04

  2. Nastavení serveru Obfuscation s Obfsproxy a Viscosity

  3. Nastavení serveru OpenVPN s CentOS a viskozitou

  1. Nastavení serveru OpenVPN s DD-WRT a viskozitou

  2. Nastavení serveru OpenVPN s Netgear a viskozitou

  3. Nastavení serveru OpenVPN s webovou autentizací Okta Single Sign-on a viskozitou