GNU/Linux >> Znalost Linux >  >> Panels >> OpenVPN

Nainstalujte a nastavte OpenVPN Server na Fedora 29/CentOS 7

V této příručce se naučíme, jak nainstalovat a nastavit OpenVPN Server na Fedora 29/CentOS 7.
OpenVPN je open-source VPN software, který nám umožňuje vytvořit VPN tunel založený na SSL. Představte si, že byste se chtěli připojit k vašemu kooperativnímu intranetu ze vzdáleného místa. Nebojte se, protože pokud máte nastaven server VPN, může to být možné. Virtuální privátní síť (VPN) poskytuje bezpečný tunel, který rozšiřuje privátní síť přes veřejnou síť, tj. pomáhá vytvářet Wide Area Network (WAN) ze stávajících lokálních sítí (LAN). Výsledkem je, že uživatelé mohou bezpečně odesílat data přes veřejné sítě, jako by byli přímo připojeni k jejich LAN.

Více o OpenVPN se můžete dozvědět zde.

Instalace a nastavení serveru OpenVPN na Fedora 29/28/CentOS 7

Bez velké teorie se pojďme podívat na postup krok za krokem, jak nainstalovat a nastavit OpenVPN Server na Fedora 29/28/CentOS 7.

Aktualizujte svůj server.

Aktualizace dnf < 

Nainstalujte OpenVPN a Easy-RSA na Fedoru 29/28

OpenVPN poskytuje robustního a vysoce flexibilního VPN démona, zatímco balíček Easy-RSA se používá ke generování párů klíčů SSL, které se používají k zabezpečení připojení VPN. Oba balíčky OpenVPN i Easy-RSA jsou dostupné ve výchozích úložištích Fedory. Spusťte níže uvedený příkaz a nainstalujte je.

dnf install openvpn easy-rsa

Nainstalujte OpenVPN a Easy-RSA na CentOS 7

OpenVPN není k dispozici ve výchozích úložištích CentOS, ale je k dispozici v EPEL, takže před instalací OpenVPN musíte nainstalovat úložiště EPEL.

Chcete-li přidat další balíčky pro Enterprise Linux (EPEL), spusťte některý z následujících příkazů;

yum install epel-release

nebo

wget http://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpmrpm -ivh epel-release-latest-7.noarch.rpm

Nainstalujte OpenVPN a Easy-RSA

yum install openvpn easy-rsa

Sestavte místního CA a vygenerujte serverové klíče a soubor certifikátu

Vytvořte adresář pro ukládání klíčů serveru a souborů certifikátů.

mkdir /etc/openvpn/easy-rsa

Zkopírujte skripty pro generování klíčů/certifikátů nainstalované Easy-RSA z výchozího adresáře do adresáře vytvořeného výše.

cp -air /usr/share/easy-rsa/3/* /etc/openvpn/easy-rsa 

Přejděte do /etc/openvpn/easy-rsa adresář a spusťte nové PKI.

cd /etc/openvpn/easy-rsa./easyrsa init-pki

Sestavte certifikát CA. To vás vyzve k zadání hesla pro šifrování a běžného názvu serveru.

./easyrsa build-ca
...zápis nového soukromého klíče do '/etc/openvpn/easy-rsa/pki/private/ca.key.EajtR0SkLM'Zadejte heslo PEM:PASSWORD Ověřování – zadejte heslo PEM:PASSWORD -----...-----Common Name (např.:váš uživatel, název hostitele nebo serveru) [Easy-RSA CA]:server Vytvoření CA je dokončeno a nyní můžete importovat a podepisovat žádosti o certifikát. Váš nový soubor certifikátu CA pro publikování je na adrese:/etc/openvpn/easy-rsa/pki/ca.crt

Jak bylo uvedeno, certifikát CA je uložen na adrese /etc/openvpn/easy-rsa/pki/ca.crt .

Vygenerujte soubor klíče Diffie-Hellman, který lze použít během TLS handshake s připojováním klientů.

./easyrsa gen-dh

Tím se vygeneruje klíč DH a uloží se jako /etc/openvpn/easy-rsa/pki/dh.pem .

Vygenerujte soubor klíče a certifikátu pro server.

./easyrsa build-server-full server nopass

Vygenerujte pro klienta soubor klíče a certifikátu.

./easyrsa build-client-full client nopass

V případě, že potřebujete zrušit platnost dříve podepsaného certifikátu, vygenerujte certifikát o zrušení.

./easyrsa gen-crl

Toto uloží certifikát o zrušení pod /etc/openvpn/easy-rsa/pki/crl.pem .

Vygenerovat předsdílený ověřovací klíč TLS/SSL

openvpn --genkey --secret /etc/openvpn/easy-rsa/pki/ta.key

Zkopírujte vygenerované certifikáty/klíče do konfiguračního adresáře serveru.

cp -rp /etc/openvpn/easy-rsa/pki/{ca.crt,dh.pem,ta.key,issued,private} /etc/openvpn/server /

Konfigurace serveru OpenVPN

OpenVPN má ve svém adresáři dokumentace vzorový konfigurační soubor, a proto, abychom si usnadnili život, zkopírujeme vzorový /usr/share/doc/openvpn{-2.4.6,}/sample/sample-config-files/server.conf soubor do /etc/openvpn pro úpravu.

Na Fedoře

cp /usr/share/doc/openvpn/sample/sample-config-files/server.conf /etc/openvpn/server/

Na CentOS 7

cp /usr/share/doc/openvpn-2.4.6/sample/sample-config-files/server.conf /etc/openvpn/server/

Upravte soubor server.conf soubor následovně;

vim /etc/openvpn/server/server.conf

Upravte soubor tak, aby vypadal jako níže;

# Na kterém portu TCP/UDP má OpenVPN naslouchat?# Změňte jej tak, aby odpovídal vašemu portu a otevřete jej na firewallportu 1194# TCP nebo UDP server?proto udp# "dev tun " vytvoří směrovanou IP tuneldev tun# Změnit cestu pro certificatesca ca.crtcert vydané/server.crtkey private/server.key# Rozdílný klíč výměny hellman pathdh dh.pem# Topologie sítě podsíť# OpenVPN Network IP. Níže, Server si vezme 10.8.0.1 pro sebe,# zbytek bude zpřístupněn klientům.server 172.16.0.0 255.255.255.0# tato direktiva nakonfiguruje všechny klienty tak, aby přesměrovali svou výchozí# síťovou bránu přes VPNpush "redirect- gateway def1 bypass-dhcp"# DNS serverspush "dhcp-option DNS 208.67.222.222"push "dhcp-option DNS 208.67.220.220"# Pro kompresi kompatibilní se staršími klienty použijte comp-lzo.comp-lzo# Spustit VPN nikdo s omezenými oprávněními nikdo# Stavový protokol filestatus /var/log/openvpn/openvpn-status.log# Předsdílená autentizace TLS/SSL keytls-auth ta.key 0# Vytvořte adresář protokolu VPN a protokol filelog-append /var/log/openvpn/openvpn .log#Připojte tento řádek pro změnu ověřovacího algoritmu (HMAC) z SHA1 na SHA512auth SHA512

Vytvořte adresář protokolu;

mkdir /var/log/openvpn/

Uložte konfigurační soubor

Konfigurovat směrování

Povolit přesměrování IP

Povolení předávání IP zajistí, že provoz z klienta bude směrován přes IP adresu serveru, takže IP adresa klienta bude maskována.

echo "net.ipv4.ip_forward =1">> /etc/sysctl.conf

Pro provedení změn spusťte níže uvedený příkaz;

sysctl --system

Povolit port služby OpenVPN přes firewall

firewall-cmd --add-port=1194/udp --permanent

Aktivovat IP Masquerading

firewall-cmd --add-masquerade --permanent

Předat provoz přijatý na zadané podsíti OpenVPN na rozhraní, přes které budou odesílány pakety.

Najděte rozhraní, přes které se odesílají pakety, spuštěním příkazu níže;

ip route get 8.8.8.88.8.8.8 via 192.168.43.1 dev enp0s8 src 192.168.43.23

Název rozhraní se může pro váš případ lišit. Nahraďte odpovídajícím způsobem.

firewall-cmd --permanent --direct --passthrough ipv4 -t nat -A POSTROUTING -s 172.16.0.0/24 -o enp0s8 -j MASKÁRA

Znovu načtěte firewall, aby se změny projevily.

firewall-cmd --reload

Spusťte a nastavte OpenVPN start při spouštění.

systemctl start [email protected] enable [email protected]

Když služba OpenVPN běží, vytvoří tunelovací rozhraní, tun0;

ip add show tun04:tun0: mtu 1500 qdisc fq_codel stav NEZNÁMÝ výchozí skupina qlen 100 link/none inet 172.16 .0.1/24 brd 172.16.0.255 rozsah globální tun0 valid_lft navždy preferovaný_lft navždy inet6 fe80::1155:c60c:c009:48c9/64 odkaz na rozsah stable-privacy valid_lft navždy preferovaný_lft navždy

VPN serveru je přidělena IP adresa 172.16.0.1, zatímco prvnímu klientovi bude přidělena 172.16.0.2.

Konfigurace klienta VPN

Aby se klient VPN mohl připojit k serveru VPN, je vyžadována kopie certifikátu CA, klientského klíče, klientského certifikátu a ověřovacího klíče TLS/SSL vygenerovaného výše. Zkopírujte tedy tyto soubory do cílového klienta a umístěte je do vhodného adresáře.

cd /etc/openvpn/easy-rsa/pki/scp {ca.crt,issued/client.crt,private/client.key, ta.key} [email protected]:~/

Nainstalujte klienta OpenVPN

  • Pokud jako klienta používáte server Linux/Unix, nainstalujte klienta OpenVPN například pomocí příslušného správce balíčků;
    apt install openvpnyum install openvpn
  • Pokud se připojujete z počítače se systémem Windows, můžete si jednoduše stáhnout instalační program klienta OpenVPN ze stránky pro stahování OpenVPN a nainstalovat jej.

Vytvořte konfigurační soubor OpenVPN pro klienta, jak je znázorněno níže. Jako příklad jsem zkopíroval soubory certifikátu a klíče do svého domovského adresáře na klientovi.

[email protected]:/home/amos# lsca.crt client.crt client.key ta.key
vim client.ovpn
clienttls-clientpulldev tunproto udpremote 192.168.43.69 1194resolv-retry infinitenobinddhcp-option DNS 8.8.8.8uživatel nikdoskupina nogrouppersist-keypersist-tunkey-direction 1tls-auth-keyt.z.klíč klienta. 

Chcete-li se připojit k serveru OpenVPN z klienta, spusťte některý z níže uvedených příkazů;

sudo openvpn client.ovpn

nebo

sudo openvpn --config client.ovpn

Pokud je připojení úspěšné, měli byste vidět Initialization Sequence Completed .

Po 31. prosinec 03:54:39 ​​2018 TUN/TAP zařízení tun0 otevřeno Po pros. 31. 03:54:39 ​​2018 Délka fronty TUN/TAP TX nastavena na 100 Po 31. prosinec 03:54:39 ​​2018 configdidv_config_config_018 do_ =0Po pro :54:39 ​​2018 /sbin/ip route add 192.168.43.69/32 dev enp0s8Po Dec 31 03:54:39 ​​2018 /sbin/ip route add 0.0.0.0/1 via 172.16.0.11 Mon Dec:9 /sbin/ip route add 128.0.0.0/1 via 172.16.0.1Po Dec 31 03:54:39 ​​2018 GID set to nogroupPon Dec 31 03:54:39 ​​2018 UID set to NobodyPon Dec 31:38Initialization 03:54ce Dokončeno

Pokud můžete zkontrolovat rozhraní, měli byste vidět vytvořené tunelové rozhraní.

ip add sh tun020:tun0: mtu 1500 qdisc pfifo_fast state UNKNOWN výchozí skupina qlen 100 link/none inet 172.16.0.2 /24 brd 172.16.0.255 rozsah globální tun0 valid_lft navždy preferovaný_lft navždy inet6 fe80::dc37:c115:60f:6b86/64 příznaky odkazu rozsahu 800 valid_lft navždy preferovaný_lft navždy

Úspěšně jste se připojili k serveru VPN.

To je vše o tom, jak nainstalovat a nastavit OpenVPN server na Fedora 29/CentOS 7. Váš OpenVPN server je plně funkční. Užívat si.

Související výukové programy

Nakonfigurujte IPSEC VPN pomocí StrongSwan na Ubuntu 18.04

Nakonfigurujte klienta strongSwan VPN na Ubuntu 18.04/CentOS 8

Nastavte IPSEC VPN pomocí StrongSwan na Debianu 10


No
OpenVPN
  1. Jak nainstalovat a nastavit DRBD na CentOS

  2. Jak nainstalovat a používat TeamSpeak Server na CentOS 7

  3. Nejjednodušší způsob instalace a konfigurace serveru OpenVPN v systému Linux

  1. Jak nastavit NTP server na CentOS/RHEL 7/6 a Fedora 30/29

  2. Nainstalujte a nastavte OpenVPN Server na Ubuntu 20.04

  3. Nainstalujte a nakonfigurujte klienta OpenVPN na CentOS 8/Ubuntu 18.04

  1. Jak nainstalovat a nakonfigurovat OpenVPN Access Server

  2. Nastavte OpenVPN Server na CentOS 8

  3. Nainstalujte a nakonfigurujte OpenVPN Server FreeBSD 12