Virtuální privátní sítě (VPN) lze využít pro řadu velmi užitečných aplikací. Můžete se bezpečně připojit k jakémukoli veřejnému WiFi hotspotu. Můžete překonat omezení geografického blokování na svých oblíbených webových stránkách. A dokonce se můžete připojit ke své domácí nebo kancelářské síti odkudkoli na světě, jako byste seděli přímo u svého stolu. Tato příručka vás provede procesem nastavení vašeho vlastního serveru OpenVPN a připojení k němu pomocí vaší kopie Viscosity.

Provozování vlastního serveru OpenVPN vám umožní zašifrovat vše, co děláte na internetu, takže můžete bezpečně provádět online bankovnictví na bezplatné WiFi ve vaší oblíbené kavárně. Vše, co odešlete přes připojení VPN, bude z vašeho zařízení šifrováno, dokud se nedostane na váš server OpenVPN doma. Nastavením vašeho OpenVPN serveru pro přístup k vaší domácí nebo kancelářské síti získáte plný přístup ke všem vašim souborům ve vaší síti.

Tato příručka vás provede kroky souvisejícími s nastavením serveru OpenVPN na hostiteli Red Hat Linux, který vám umožní bezpečný přístup k vaší domácí/kancelářské síti ze vzdáleného místa a volitelně přes ni posílá veškerý síťový provoz, abyste měli přístup. také internet bezpečně.

Příprava

Pro tuto příručku předpokládáme:

• Již jste nainstalovali nejnovější verzi Red Hat Enterprise Linux (8.4 v době psaní tohoto článku)
• Máte root přístup k této instalaci
• Znáte názvy svých síťových rozhraní (pokyny níže)
• Tato instalace Red Hat je nová instalace
• Na klientském zařízení již máte nainstalovanou kopii aplikace Viscosity

Pokud si potřebujete stáhnout a nainstalovat kopii Red Hat, zkušební kopii najdete na https://access.redhat.com/products/re.../evaluation. Nebudeme se zabývat podrobnostmi nastavení instance Red Hat, mnoho průvodců lze nalézt online. Pokud používáte jinou verzi Red Hat, je velmi pravděpodobné, že mnoho nebo dokonce všechny kroky popsané v této příručce budou stále platit. Pokud chcete nastavit server OpenVPN na jiném operačním systému, podívejte se prosím na naše další průvodce.

Pokud ještě nemáte na svém klientovi nainstalovanou kopii Viscosity, podívejte se prosím na tuto instalační příručku pro instalaci Viscosity (Mac | Windows).

Chcete-li získat název primárního síťového rozhraní (přístup WAN), spusťte na svém serveru RHEL následující:
ip route | grep default | awk 'NR==1 {print $(NF-4)}'

Máte-li druhé síťové rozhraní pro přístup k počítačům v místní síti, budete při nastavování brány firewall a směrování potřebovat také jeho název.

Podpora

Bohužel nemůžeme poskytnout žádnou přímou podporu pro nastavení vašeho vlastního OpenVPN serveru. Tuto příručku poskytujeme jako laskavost, která vám pomůže začít s vaší kopií Viscosity a co nejlépe ji využít. Důkladně jsme otestovali kroky v této příručce, abychom zajistili, že pokud budete postupovat podle pokynů uvedených níže, měli byste být na dobré cestě využívat výhod provozování vlastního serveru OpenVPN.

Pro další informace nebo pomoc s RHEL je podpora nabízena na https://www.redhat.com/en/services/support

Bezpočet komunit a fór RHEL lze také snadno vyhledávat na internetu.

Přístup k rozhraní příkazového řádku

Kroky popsané v této příručce se provádějí prostřednictvím rozhraní příkazového řádku (tj. terminálu) na vašem serveru RHEL. Pokud tento server provozujete vzdáleně, budete muset použít aplikaci SSH pro bezpečné připojení mezi vaším klientským zařízením a serverem (pro „SSH do“ vašeho serveru). Pokud nastavujete svůj OpenVPN server na virtuálním privátním serveru (VPS), možná znáte pouze webové rozhraní. Mnoho dodavatelů VPS poskytuje kromě webového rozhraní i SSH přístup. Podrobnosti vám sdělí váš poskytovatel VPS.

Pokud jste v SSH noví, v našem Úvodním průvodci máme několik pokynů.

Začínáme

Jakmile se přihlásíme do rootu, musíme se ujistit, že úložiště Red Hat je aktuální zadáním následujícího:

yum update

To projde a aktualizuje předinstalované balíčky. Pokud budou nalezeny nějaké aktualizace, budete dotázáni, zda chcete pokračovat. Potvrďte to zadáním y . Po dokončení upgradu balíčku můžete být informováni, že budete muset restartovat. Pokud ano, ujistěte se, že se po restartu znovu přihlaste k terminálu jako root.

Dále budeme muset nainstalovat EPEL (Extra Packages for Enterprise Linux), protože obsahuje balíček OpenVPN. Pro RHEL 8 spusťte následující:

yum install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm
ARCH=$( /bin/arch )
subscription-manager repos --enable "codeready-builder-for-rhel-8-${ARCH}-rpms"

U ostatních verzí RHEL postupujte podle pokynů EPEL zde .

Další instalace OpenVPN:

yum install openvpn -y

Generování konfigurací, certifikátů a klíčů

Dalším krokem je vygenerování vašich konfigurací pro server a vaše klienty, stejně jako certifikáty k nim. Můžete to snadno provést podle Průvodce vytvářením certifikátů a klíčů. Můžete buď postupovat podle sekce pro Linux pomocí instalačního programu RHEL RPM a zkopírovat konfigurace klienta ze serveru (doporučujeme to), nebo si vše vygenerovat na svém PC nebo Mac a zkopírovat server složku, která je vygenerována na vašem serveru RHEL.

Pokud používáte výchozí DNS Server (10.8.0.1), budete si muset DNS server nastavit sami, pokyny jsou na konci tohoto článku. Místo toho doporučujeme použít existující DNS server, veřejně dostupný DNS server, jako je Google (8.8.8.8 a 8.8.4.4), je nejjednodušší.

Jakmile vygenerujete své konfigurace, budete muset přenést konfiguraci serveru na váš server nebo přenést konfigurace klienta ze serveru. Pokud máte místní přístup, USB disk je nejjednodušší. Pokud ne, máme nějakou nápovědu k přenosu souborů pomocí SCP v našem Úvodním průvodci.

Přesměrování IP

Abychom mohli předávat naše požadavky procházející přes VPN, chceme, aby server OpenVPN fungoval jako router. Proto musíme povolit předávání IP adres.

1. V terminálu můžeme povolit předávání IP na serveru Red Hat zadáním:

   echo 1 > /proc/sys/net/ipv4/ip_forward

2. Abychom zajistili, že hostitelé v domácí/kancelářské síti mohou najít server VPN, musíme zajistit, aby server odpovídal na jakékoli požadavky ARP:

   echo 1 > /proc/sys/net/ipv4/conf/ens33/proxy_arp

   kde ens33 je síťové rozhraní domácí/kancelářské sítě, pokud máte dvě síťová rozhraní, nebo vaše

3. Pokaždé, když restartujeme server, budou tyto příkazy zrušeny. Aby se to nestalo, musíme upravit soubor sysctl.conf:

   nano /etc/sysctl.conf

4. Na konec tohoto souboru přidejte následující řádky:

   net.ipv4.ip_forward = 1

   a

   net.ipv4.conf.ens33.proxy_arp = 1

5. Stiskněte ctrl + x pro ukončení nano. Po zobrazení výzvy uložte změny.
6. Chcete-li povolit změny provedené v souboru sysctl.conf, zadejte:

   sysctl -p /etc/sysctl.conf

Pravidla brány firewall

Použijeme firewall firewall nainstalovaný ve výchozím nastavení na Red Hat. Pokud instalujete OpenVPN na server, který již má vlastní nastavení firewallu, nezapomeňte přidat pravidla, která umožní náš provoz OpenVPN. Pokud se však jedná pouze o jednoduchý samostatný server Red Hat, níže uvedená nastavení brány firewall by měla stačit k uvedení vašeho OpenVPN serveru do provozu.

1. Povolte openvpn služba:

   firewall-cmd --permanent --add-service=openvpn
   

   firewall-cmd --add-service=openvpn

2. Nastavte server OpenVPN tak, aby poskytoval maškarádu:

   firewall-cmd --permanent --add-masquerade
   

   firewall-cmd --add-masquerade

3. Povolte port OpenVPN (1194):

   firewall-cmd --permanent --add-port=1194/udp
   

4. Povolte port DNS (53):

   firewall-cmd --permanent --add-port=53/udp
   

5. Restartujte bránu firewall s těmito novými nastaveními:

   firewall-cmd --reload

Spuštění serveru OpenVPN

V tomto bodě jsou základy hotové. Konfigurace vašeho serveru a soubory by měly být na vašem serveru zkopírovány z místa, kde jste je vygenerovali.

Nejprve zkopírujte konfigurační soubory serveru do adresáře OpenVPN:

sudo cp /path/to/configs/server/* /etc/openvpn/

Nyní spusťte svůj server a povolte jeho spuštění i po restartu.

systemctl -f enable [email protected]
systemctl start [email protected]

Chcete-li zkontrolovat stav serveru, zadejte:

systemctl -l status [email protected]

Na který by měl odpovědět stavem a zeleně byste měli vidět:

...
Active: active (running)
...

Váš server OpenVPN je nyní spuštěn a připraven, abyste se k němu mohli připojit.

Nastavení viskozity

Posledním krokem je nastavení viskozity. Díky openvpn-generate je to stejně snadné jako import a připojení.

Import

Zkopírujte svůj soubor *.visz, který jste vytvořili pomocí openvpn-generate, do počítače Mac nebo Windows s nainstalovanou viskozitou a dvakrát na soubor klikněte. Měli byste vidět výzvu, že konfigurace byla úspěšně importována.

Připojení a používání připojení VPN

Nyní jste připraveni se připojit. Kliknutím na ikonu Viscosity na liště nabídky macOS nebo na systémové liště Windows otevřete nabídku Viscosity Menu, vyberte připojení, které jste importovali, a Viscosity se připojí.

Chcete-li zkontrolovat, zda je VPN v provozu, můžete otevřít okno Podrobnosti z nabídky Viskozita. To vám umožní zobrazit podrobnosti o připojení, provoz a protokol OpenVPN.

To je vše, nastavili jste svůj vlastní server OpenVPN. Gratulujeme, nyní můžete zdarma využívat výhod provozování vlastního serveru OpenVPN!

Základní server DNS

Pokud se rozhodnete provozovat svůj vlastní server DNS pro klienty, následuje příklad nastavení pro svázaný server DNS.

1. Chcete-li nainstalovat server DNS, zadejte:

   yum install bind bind-utils bind-libs bind-chroot

2. Pro nastavení pravidel předávání pro náš DNS server upravíme konfigurační soubor:

   nano /etc/named.conf

3. V horní části uvidíte vyztuženou sbírku pokynů označenou jako možnosti . Vložte následující dva řádky na konec seznamu možností:

   forwarders {8.8.8.8;8.8.4.4;}; #IP of upstream nameservers
   forward only; #rely completely on our upstream nameservers

   kde používáme servery Google DNS (můžete použít službu překladu DNS dle vlastního výběru).

4. Přidejte podsíť VPN (10.8.0.0/24) do poslechu a povolit-dotaz parametry v horní části možností, takže nyní vypadají takto:

   ...
   listen-on port 53 { 10.8.0.0/24;127.0.0.1; };
   ...
   allow-query {10.8.0.0/24;localhost; };
   ...

5. Stiskněte ctrl + x pro ukončení nano. Po zobrazení výzvy uložte změny.
6. Nastavte oprávnění souboru conf na 644:

   chmod 644 /etc/named.conf

Protože je tento soubor conf citlivý na chyby, můžeme jej zkontrolovat zadáním:

named-checkconf /etc/named.conf

Pokud váš konfigurační soubor neobsahuje žádné chyby, tento příkaz nic nevrátí.

1. Otevřete seznam jmenných serverů:

   nano /etc/resolv.conf

2. Nastavte překladač serveru tak, aby ukazoval na sebe:

   nameserver 127.0.0.1

3. Stiskněte ctrl + x pro ukončení nano. Po zobrazení výzvy uložte změny.
4. Pokud váš server Red Hat běží na směrovači se službou DHCP, musíte zajistit, aby se při obnovení zapůjčení DHCP nepřepsal soubor resolv.conf. Typ:

   nano /etc/sysconfig/network-scripts/ifcfg-ens32

   Nahraďte ens33 názvem svého primárního síťového rozhraní, pokud se liší (další informace naleznete v části Příprava)

5. Ujistěte se, že jsou nastaveny následující tři parametry:

   BOOTPROTO=dhcp
   PEERDNS=no
   TYPE=Ethernet

6. Stiskněte ctrl + x pro ukončení nano. Po zobrazení výzvy uložte změny.
7. Chcete-li spustit server DNS, zadejte:

   systemctl start named

8. Povolit automatické spouštění serveru DNS při spouštění systému:

   systemctl enable named

To je vše, DNS server je nyní nastaven.