GNU/Linux >> Znalost Linux >  >> Panels >> OpenVPN

Nastavení serveru OpenVPN se Sophos UTM a viskozitou

Tato příručka vás provede kroky, které se týkají nastavení serveru OpenVPN na hostiteli Sophos UTM, který vám umožňuje bezpečný přístup k vaší domácí/kancelářské síti ze vzdáleného místa a volitelně přes ni posílá veškerý síťový provoz, abyste měli přístup k také internet bezpečně.

Před použitím této příručky důrazně doporučujeme přečíst si náš článek Úvod do provozu serveru OpenVPN.

Příprava

Pro tuto příručku předpokládáme:

  • Již jste nainstalovali nejnovější verzi Sophos UTM (9.5 v době psaní tohoto článku)
  • Sophos UTM byl nastaven alespoň s rozhraním WAN a LAN
  • Během této příručky jste svým klientským zařízením připojeni k serveru Sophos UTM prostřednictvím rozhraní LAN
  • Tato instalace Sophos UTM je nová instalace
  • Na klientském zařízení již máte nainstalovanou kopii aplikace Viscosity

Pokud si potřebujete stáhnout a nainstalovat kopii Sophos UTM, informace naleznete na https://www.sophos.com/en-us/support/utm-downloads.aspx. Nebudeme se zabývat podrobnostmi nastavení instance Sophos UTM, mnoho průvodců lze nalézt online. Pokud používáte jinou verzi Sophos UTM, je velmi pravděpodobné, že mnoho nebo dokonce všechny kroky popsané v této příručce budou stále platit. Pokud chcete nastavit server OpenVPN na jiném operačním systému, podívejte se prosím na naše další průvodce.

Vaše klientské zařízení musí být připojeno k serveru Sophos UTM přes rozhraní LAN. To je nezbytné, abyste měli přístup k portálu WebAdmin a nastavili konfiguraci Sophos UTM. Specifika toho, jak toho můžete dosáhnout, závisí na konkrétní konfiguraci sítě.

Pokud ještě nemáte na svém klientském počítači nainstalovanou kopii Viscosity, podívejte se prosím na tuto instalační příručku pro instalaci Viscosity (Mac | Windows).

Podpora

Bohužel nemůžeme poskytnout žádnou přímou podporu pro nastavení vašeho vlastního OpenVPN serveru. Tuto příručku poskytujeme jako laskavost, která vám pomůže začít s vaší kopií Viscosity a co nejlépe ji využít. Důkladně jsme otestovali kroky v této příručce, abychom se ujistili, že pokud budete postupovat podle pokynů uvedených níže, měli byste být na dobré cestě využívat výhod provozování vlastního serveru OpenVPN.

Sophos nabízí technickou podporu pro UTM na https://secure2.sophos.com/en-us/support.aspx

Začínáme

Nejprve se musíte přihlásit na portál WebAdmin ze svého klientského zařízení připojeného k LAN rozhraní serveru Sophos UTM. Otevřete prohlížeč na svém klientovi a přejděte na IP adresu rozhraní LAN vašeho serveru Sophos UTM (něco jako https://10.0.0.1:4444 nebo https://192.168.0.1:4444 ). Budete se muset přihlásit. Heslo pro uživatele admin by mělo být nakonfigurováno při nastavování instance Sophos UTM.

Vytvořit uživatele

Ověřovací služby

Pokud používáte systém ověřování uživatelů, jako je LDAP, budete muset přidat tato nastavení, abyste své uživatele ověřili.

  1. Na postranním panelu klikněte na Definitions & Users> Authentication Services .
  2. V části Automatické vytvoření uživatele části Globální nastavení zaškrtněte políčko Vytvářet uživatele automaticky zaškrtávací políčko.
  3. Klikněte na Apply pro uložení této změny.
  4. V části Automatické vytvoření uživatele pro zařízení níže, zkontrolujte Ověření klienta možnost.
  5. Klikněte na Apply pro uložení této změny.



  6. Klikněte na Servery a poté klikněte na New Authentication Server... tlačítko.
  7. Zadejte podrobnosti o vašem systému ověřování uživatelů a klikněte na Save až bude hotovo.

Ověření místního uživatele

Pokud nepoužíváte ověřovací systém, budete muset pro každého uživatele vytvořit místní uživatelský účet, aby mohl přistupovat k portálu uživatele a připojit se k VPN.

  1. Na postranním panelu klikněte na Definitions & Users> Users & Groups .
  2. V části Uživatelé klikněte na + New User... .
  3. Vyplňte podrobnosti o uživateli, včetně uživatelského jména. Nastavte Autentizaci na Local a zadejte heslo.
  4. Ponechte možnost Použít statickou IP adresu vzdáleného přístupu nezaškrtnuto.
  5. Až budete hotovi, klikněte na Save .



Přístup k síti

Dále musíme definovat podsíť VPN, aby bylo možné uživatelům přidělovat IP adresy:

  1. Stále v Definitions & Users v postranním panelu klikněte na Network Definitions podsekce.
  2. V části Definice sítě klikněte na + New Network Definition... .
  3. Zadejte název sítě, budeme používat „VPN Network“.
  4. Ponechte typ Network a nastavte adresu IPv4 na 10.8.0.0.
  5. Ponechte masku sítě jako /24 (255.255.255.0) .
  6. Až budete hotovi, klikněte na Save .



Chcete-li uživatelům umožnit přihlášení k portálu uživatele:

  1. Na postranním panelu klikněte na Management> User Portal .
  2. V Globální klikněte na šedé tlačítko napájení vpravo nahoře. Při spuštění se změní na žlutou.
  3. V části Povolené sítě klikněte na ikonu složky.
  4. Z postranního panelu přetáhněte Internal (Network) do Povolených sítí box umožňující uživatelům připojit se k uživatelskému portálu prostřednictvím vnitřní sítě.
  5. Klikněte na Apply pro uložení těchto změn. Ikona napájení by následně měla zezelenat.



Server DNS

Chcete-li uživatelům VPN umožnit předávat své požadavky DNS přes VPN:

  1. Na postranním panelu klikněte na Network Services> DNS .
  2. V Globální klikněte na ikonu složky v části Povolené sítě krabice.
  3. Klikněte a přetáhněte výše vytvořenou síť VPN do části Povolené sítě krabice.
  4. Klikněte na Apply pro uložení této změny.



  5. Klikněte na Forwarders tab.
  6. Zrušte zaškrtnutí políčka Použít servery pro předávání přiřazené poskytovatelem internetových služeb zaškrtávací políčko.
  7. V DNS Forwarders klikněte na + ikonu pro přidání definice sítě.
  8. Pojmenujte síť. Budeme používat servery DNS společnosti Google, ale můžete použít jiný server DNS.
  9. Ponechte typ jako Host .
  10. Nastavte adresu IPv4 na server DNS dle vašeho výběru, v našem příkladu pomocí Googlu 8.8.8.8.
  11. Klikněte na Save pro přidání serveru DNS.



  12. Pokud chcete více než jeden server DNS, přidejte jej nyní opakováním výše uvedených kroků.
  13. Až budete hotovi, klikněte na Apply pro uložení změn.

Nastavení SSL

Konfigurace serveru OpenVPN:

  1. Na postranním panelu klikněte na Remote Access> SSL .
  2. V části Profily klikněte na + New Remote Access Profil... .
  3. Zadejte jméno do vstupu Název profilu, náš server budeme nazývat „OpenVPN server“.
  4. V části Uživatelé a skupiny klikněte na ikonu složky. Na postranním panelu se zobrazí seznam dostupných uživatelů a skupin. Klikněte a přetáhněte výše vytvořeného uživatele (nebo uživatele ověřovací služby, tj. uživatelů LDAP) do Uživatelé a skupiny krabice.
  5. V Místních sítích klikněte na ikonu složky. Na postranním panelu se zobrazí seznam místních sítí. Přetáhněte všechny sítě, které by měly být pro uživatele dostupné, do Místních sítí krabice. Chcete-li uživatelům umožnit přístup k místní síti, přetáhněte Internal (Network) . Chcete-li uživatelům umožnit přístup k internetu prostřednictvím serveru Sophos UTM, přetáhněte External (WAN) (Network) .
  6. Zrušte zaškrtnutí u Automatických pravidel brány firewall možnost, stanovíme vlastní pravidla brány firewall.
  7. Klikněte na Save .



Dále klikněte na Nastavení karta nahoře:

  1. V Adresa rozhraní zadáním, kliknutím na ikonu koše odeberete aktuální hodnotu.
  2. Kliknutím na ikonu složky zobrazíte seznam dostupných sítí. Přetáhněte všechny sítě, přes které se klient může připojit, do vstupního pole. V našem případě přetáhneme Internal (Address) .
  3. Nastavte Protokol na UDP .
  4. Nastavte Port do 1194.
  5. V části Přepsat název hostitele zadejte místní síťovou adresu serveru Sophos UTM, v našem příkladu 10.0.0.1.
  6. Klikněte na Apply k uložení těchto změn.
  7. V Pool virtuálních IP adres klikněte na ikonu Pool network folder.
  8. Přetáhněte síť VPN, kterou jsme vytvořili dříve.
  9. Klikněte na Apply pro uložení těchto změn.



Pokud chcete uživatelům umožnit udržovat současná připojení k serveru OpenVPN, ponechte možnost Povolit více souběžných připojení na uživatele vybrána možnost. V opačném případě zrušte výběr a klikněte na Apply pro uložení této změny.

Nyní klikněte na Pokročilé karta nahoře:

  1. Změňte Šifrovací algoritmus na AES-256-CBC .
  2. Opusťte Algoritmus ověřování jako SAH1 .
  3. Ponechte Velikost klíče jako 2048 bit .
  4. Pokud máte místní certifikát SSL k identifikaci serveru pro klienty, vyberte jej v části Certifikát serveru rozbalit.
  5. Ponechte životnost klíče jako 28 800.
  6. Klikněte na Apply k uložení těchto změn.
  7. V části Nastavení komprese , zrušte zaškrtnutí políčka „Komprimovat provoz SSL VPN“ a poté klikněte na Apply .



Aby bylo zajištěno, že připojení klienti budou používat server pro překlad DNS:

  1. Stále v Remote Access v postranním panelu klikněte na Advanced podsekce.
  2. Nastavte DNS server #1 na 10.8.0.1, což bude IP adresa OpenVPN serveru.
  3. Klikněte na Apply až bude hotovo.



Pravidla brány firewall

Firewall musí být nakonfigurován tak, aby umožňoval provoz naší VPN a uživatelského portálu.

  1. Na postranním panelu klikněte na Network Protection> Firewall .
  2. V části Pravidla klikněte na + New Rule... .
  3. V části Zdroje klikněte na ikonu složky.
  4. Přetáhněte z postranní lišty uživatele, které jsme dříve vytvořili a kterým chceme umožnit přístup k uživatelskému portálu.
  5. Klikněte na ikonu složky v části Služby krabice.
  6. Přetáhněte HTTPS aby uživatelé měli přístup k uživatelskému portálu přes HTTPS.
  7. Klikněte na ikonu složky v Cíle krabice.
  8. Přetáhněte Internal (Network) umožnit uživatelům přístup k portálu uživatele prostřednictvím místní sítě.
  9. Opusťte Akci jako Allow .
  10. Klikněte na Save až bude hotovo.



Nyní povolte toto pravidlo kliknutím na malou šedou ikonu vypínače vedle našeho nového pravidla. Mělo by se změnit na zelenou, což znamená, že je nyní použito pravidlo brány firewall.


Dále musíme vytvořit maškarní pravidlo, abychom mohli provoz přes VPN přenést na externí síťové rozhraní.

  1. Stále v Network Protection v postranním panelu klikněte na NAT podsekce.
  2. V části Masquerading klikněte na + New Masquerading Rule... .
  3. Klikněte na ikonu složky vedle položky Network input.
  4. Klikněte a přetáhněte v síti VPN, kterou jsme vytvořili dříve.
  5. Změňte vstup rozhraní na External (WAN) .
  6. Ponechte vstup Použít adresu jako << Primary address >> .
  7. Až budete hotovi, klikněte na Save vytvořit pravidlo.



  8. Chcete-li pravidlo aktivovat, klikněte na šedé tlačítko vedle pravidla, aby se změnilo na zelené.

Konfigurace klienta

Abychom se mohli připojit k našemu serveru OpenVPN, musíme si stáhnout konfiguraci klienta pro našeho uživatele. Na klientském počítači:

  1. Otevřete prohlížeč a přejděte na https://your-server-ip .
  2. Zadejte uživatelské jméno a heslo pro uživatele a přihlaste se.



  3. Klikněte na Vzdálený přístup tab.
  4. Klikněte na tlačítko Download tlačítko vedle položky „Kliknutím sem stáhnete konfigurační soubor pro nastavení SSL VPN v systémech Linux, MacOS X, BSD nebo Solaris“.
  5. Měl by stáhnout soubor s názvem „[email protected]“.



Nastavení viskozity

Pokud ještě nemáte spuštěnou Viscosity, spusťte Viscosity nyní. Ve verzi pro Mac v liště nabídek se zobrazí ikona Viskozita. Ve verzi pro Windows v systémové liště se zobrazí ikona Viscosity.

Klikněte na ikonu Viskozita na liště nabídek (Windows :systémová lišta) a vyberte „Předvolby...“:




Zobrazí se seznam dostupných připojení VPN. Předpokládáme, že jste nedávno nainstalovali Viscosity, takže tento seznam je prázdný. Klikněte na tlačítko '+' a vyberte Import Connection> From File... :



Přejděte do umístění souboru „[email protected]“ a otevřete jej. Zobrazí se vyskakovací zpráva oznamující, že připojení bylo importováno.

(Volitelné) Povolení přístupu k internetu

Ve výchozím nastavení připojení VPN umožňuje přístup k souborovému serveru a dalším počítačům v domácí/kancelářské (LAN) síti. Pokud však také chcete, aby byl veškerý internetový provoz odesílán prostřednictvím připojení VPN, je nutné provést konečnou úpravu připojení:

  1. Poklepáním na připojení v okně Předvolby viskozity otevřete editor připojení
  2. Klikněte na Networking tab.
  3. Klikněte na rozbalovací nabídku „Veškerý provoz“ a vyberte možnost „Odeslat veškerý provoz přes připojení VPN“. Není nutné zadávat výchozí bránu.
  4. Klikněte na tlačítko Save tlačítko.

Připojení a používání připojení VPN

Nyní jste připraveni se připojit. Kliknutím na ikonu Viscosity na liště nabídky macOS nebo na systémové liště Windows otevřete nabídku Viscosity Menu, vyberte připojení, které jste importovali, a Viscosity se připojí.

Chcete-li zkontrolovat, zda je VPN v provozu, můžete otevřít okno Podrobnosti z nabídky Viskozita. To vám umožní zobrazit podrobnosti o připojení, provoz a protokol OpenVPN.



To je vše, nastavili jste svůj vlastní server OpenVPN. Gratulujeme, nyní můžete zdarma využívat výhod provozování vlastního serveru OpenVPN!


OpenVPN

  1. Jak nainstalovat a hostovat server OpenVPN pomocí Dockeru

  2. Nainstalujte a nastavte OpenVPN Server na Ubuntu 20.04

  3. Nainstalujte a nakonfigurujte OpenVPN Server FreeBSD 12

  1. Jak nastavit a nakonfigurovat server OpenVPN na Ubuntu 22.04

  2. Nastavení serveru Obfuscation s Obfsproxy a Viscosity

  3. Nastavení serveru OpenVPN s CentOS a viskozitou

  1. Nastavení serveru OpenVPN s DD-WRT a viskozitou

  2. Nastavení serveru OpenVPN s Netgear a viskozitou

  3. Nastavení serveru OpenVPN s webovou autentizací Okta Single Sign-on a viskozitou