Kā instalēt un konfigurēt OpenVPN Debian

Kā instalēt un konfigurēt OpenVPN Debian

OpenVPN neapšaubāmi ir labākais veids, kā droši pievienoties tīklam, izmantojot internetu, OpenVPN ir atvērtā pirmkoda VPN resurss, kas ļauj mums kā lietotājiem maskēt pārlūkošanu, lai netiktu upuri tīklā.

Šie ir ļoti svarīgi aspekti drošības līmenī, kas mums jāņem vērā, un šoreiz mēs analizēsim šo procesu OpenVPN konfigurācija vidē Debian 8.

PiezīmePirms instalēšanas procesa uzsākšanas ir svarīgi ievērot noteiktas prasības:

  • Saknes lietotājs.
  • Droplet Debian 8, mums pašlaik ir Debian 8.1

1. Kā instalēt OpenVPN


Pirmais solis, ko mēs spersim, ir atjauniniet visas vidē esošās pakotnes izmantojot komandu: 
 apt-get atjauninājums

Kad paketes ir lejupielādētas un atjauninātas instalēsim OpenVPN, izmantojot easy-RSA par šifrēšanas problēmām. Mēs izpildīsim šādu komandu: 

 apt-get install openvpn easy-rsa

Tad mums jākonfigurē mūsu OpenVPN, OpenVPN konfigurācijas faili tiek saglabāti šādā ceļā: / etc / openvpn, un mums tie jāpievieno savai konfigurācijai, mēs izmantosim šādu komandu: 

 gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz> /etc/openvpn/server.conf
Kad būsim ieguvuši šos failus izvēlētajā ceļā, mēs tos atvērsim, izmantojot nano redaktoru, mēs izpildīsim šādu komandu: 
 nano /etc/openvpn/server.conf
Mēs redzēsim šādu logu:

Kad esam tur mums ir jāveic dažas izmaiņas failāšīs izmaiņas būtībā ir:

  • Servera aizsardzība ar augsta līmeņa šifrēšanu
  • Atļaut tīmekļa trafiku uz galamērķi
  • Novērst DNS pieprasījumu filtrēšanu ārpus VPN savienojuma
  • Instalēšanas atļaujas

Mēs gatavojamies dubultot RSA atslēgas garumu kas tiek izmantots, ģenerējot gan servera, gan klienta atslēgas, šim nolūkam mēs meklēsim failā šādas vērtības un mainīsim vērtību dh1024.pem ar vērtību dh2048.pem: 

 # Difija Hellmena parametri. # Izveidojiet savu, izmantojot: # openssl dhparam -out dh1024.pem 1024 # Aizstājiet 2024 ar 1024, ja izmantojat # 2048 bitu atslēgas. dh dh1024.pem

Tagad pieņemsim pārliecinieties, vai satiksme ir pareizi novirzīta uz galamērķi, noņemsim komentārus, nospiežot "redirect-gateway def1 bypass-dhcp", noņemot; tās sākumā. failā server.conf: 

 # Ja šī opcija ir iespējota, šī direktīva konfigurēs # visus klientus, lai novirzītu noklusējuma tīkla vārteju caur VPN, kā rezultātā # visa IP trafika, piemēram, tīmekļa pārlūkošana un # un DNS meklēšana, iet caur VPN # (OpenVPN servera mašīnai var būt nepieciešams NAT # vai savienojiet TUN / TAP saskarni ar internetu # in *****, lai tas darbotos pareizi). ; spiediet "redirect-gateway def1 bypass-dhcp"

Nākamais solis būs pasakiet serverim DNS nosaukuma izšķiršanai izmantot OpenDNS Cik vien iespējams, šādā veidā mēs izvairāmies no tā, ka DNS pieprasījumi atrodas ārpus VPN savienojuma, mums savā failā ir jāatrod šāds teksts: 

 # Noteiktus Windows tīkla iestatījumus # var nosūtīt klientiem, piemēram, DNS # vai WINS servera adreses. CAVEAT: # http://openvpn.net/faq.html#dhcpcaveats # Tālāk norādītās adreses attiecas uz publiskiem # DNS serveriem, ko nodrošina opendns.com. ; nospiediet "dhcp-option DNS 208.67.222.222"; push "dhcp-option DNS 208.67.220.220"
Tur mums ir jānoņem atzīme no spiedpogas "dhcp-option DNS 208.67.222.222" un jānospiež "dhcp-option DNS 208.67.220.220" komentāri, noņemot; no sākuma.

Beidzot mēs to darīsim definēt atļaujas Tajā pašā failā, pie kura strādājam, ievietojam šādu tekstu: 

 # Varat to komentēt # sistēmās, kas nav Windows. ; lietotājs neviens; grupas nogrupa
Mēs noņemam atzīmi Noņemt zīmi; no teksta sākuma lietotājs neviens Y grupas nogrupa.

Kā mēs zinām, OpenVPN pēc noklusējuma darbojas kā saknes lietotājs, kas ļauj rediģēt jebkuru parametru, ar pēdējām izmaiņām drošības apsvērumu dēļ to ierobežosim līdz nevienam lietotājam un nogrupu grupai.
Mēs saglabājam izmaiņas, izmantojot taustiņu kombināciju:

Ctrl + O

Un mēs atstājam redaktoru, izmantojot:

Ctrl + X

Tagad mēs ejam iespējot pakešu pārsūtīšanu uz ārējo tīklu, šim nolūkam mēs izpildīsim šādu komandu: 

 atbalss 1> / proc / sys / net / ipv4 / ip_forward
Mums ir jāpadara šīs izmaiņas pastāvīgas, nevis tas, ka mums tas jādara katru reizi, kad palaižam sistēmu, lai tā būtu nepārtraukta, mēs ievadīsim systcl failu, izmantojot nano redaktoru, tāpēc mēs izpildīsim sekojošo: 
 nano /etc/sysctl.conf
Tiks parādīts šāds logs:

Mēs atradīsim šādu rindu: 

 # Noņemiet komentāru nākamajā rindā, lai iespējotu pakešu pārsūtīšanu IPv4 # net.ipv4.ip_forward = 1
PiezīmeAtgādinām, ka redaktora meklēšanu varam izmantot, izmantojot taustiņu kombināciju:

Ctrl + W

Tur mēs noņemsim komentāra atzīmi net.ipv4.ip_forward = 1 simbola # noņemšana.

Nākamais solis, kas mums jāveic, ir konfigurēt UFW. UFW ir ugunsmūra konfigurācija ip tabulām, tāpēc mēs veiksim dažus pielāgojumus, lai mainītu UFW drošību. Vispirms mēs instalēsim UFW paketes, izmantojot šādu komandu: 

 apt-get install ufw

Kad nepieciešamās UFW pakotnes ir lejupielādētas un instalētas, mēs konfigurēsim UFW, lai atļautu SSH savienojumus, lai to paveiktu: 

 ufw atļaut ssh

Mūsu gadījumā mēs strādājam pie UDP 1194. porta, mums ir jākonfigurē šis ports, lai komunikācija būtu apmierinoša, mēs ievadīsim šādu informāciju: 

 ufw atļaut 1194 / udp
PiezīmeMēs varam redzēt mūsu konsoles portus, izmantojot komandu lsof -iUDP

Tālāk mēs rediģēsim UFW konfigurācijas failu, lai to ievadītu ar nano redaktoru šādā ceļā: 

 nano / etc / default / ufw
Tiks atvērts šāds logs:

Tur mēs veiksim dažas izmaiņas, mēs atradīsim šādu rindu, kur mēs nomainīsim DROP uz ACCEPT. 

 DEFAULT_FORWARD_POLICY = "DROP"
Nākamais solis ir pievienojiet dažus UFW noteikumus tīkla adrešu tulkošanai un pareizai IP adrešu maskēšanai lietotāju, kas izveido savienojumu. Atvērsim šādu failu, izmantojot nano redaktoru: 
 nano /etc/ufw/before.rules
Mēs redzēsim, ka tiek parādīts šāds logs:

Mēs pievienosim šādu tekstu: 

 # START OPENVPN NOTEIKUMI # NAT tabulas noteikumi * nat: POSTROUTING ACCEPT [0: 0] # Atļaut trafiku no OpenVPN klienta uz eth0 -A POSTROUTING -s 10.8.0.0/8 -o eth0 -j MASQUERADE COMMIT # END OPENVPN RULES

Kad būsim veikuši šīs izmaiņas, mēs turpināsim iespējot UFW izmantojot šādu komandu: 

 ufw iespējot

Uz pārbaudiet ugunsmūra noteikumusEs izmantoju šādu komandu: 

 ufw statuss

2. Izveidojiet OpenVPN autoritātes sertifikātu


Nākamais solis mūsu procesā ir izveidojiet autorizācijas sertifikātu, lai pieteiktos, izmantojot OpenVPNAtcerēsimies, ka OpenVPN izmanto šos sertifikātus, lai šifrētu trafiku. OpenVPN atbalsta divvirzienu sertifikāciju, tas ir, klientam ir jāautentificē servera sertifikāts un otrādi.
Mēs kopēsim skriptus, izmantojot easy-RSA, izmantojot šādu komandu: 
 cp -r / usr / share / easy -rsa / / etc / openvpn
Mēs gatavojamies izveidojiet direktoriju atslēgu glabāšanai, mēs izmantosim šādu komandu: 
 mkdir / etc / openvpn / easy-rsa / atslēgas
Nākamais solis ir rediģēt sertifikāta parametrus, mēs izmantosim šādu komandu: 
 nano / etc / openvpn / easy-rsa / vars
Tiks parādīts šāds logs:

Mēs mainīsim šādus parametrus atbilstoši mūsu prasībām: 

 eksports KEY_COUNTRY = "CO" eksports KEY_PROVINCE = "BO" eksports KEY_CITY = "Bogota" eksports KEY_ORG = "Solvetic" eksports KEY_EMAIL = "[email protected]" eksports KEY_OU = "Solvetic"

Tajā pašā failā mēs rediģēsim šādu rindu: 

 # X509 Temata lauka eksports KEY_NAME = "EasyRSA"
Mēs gatavojamies nomainiet EasyRSA vērtību uz vajadzīgā servera nosaukumu, izmantosim nosaukumu Solvetic.

Tagad mēs ejam konfigurēt Diffie-Helman parametrus izmantojot rīku, kas ir integrēts OpenSSL un ko sauc par dhparam. Mēs ievadīsim un izpildīsim šādu komandu: 

 openssl dhparam -out /etc/openvpn/dh2048.pem 2048

Kad sertifikāts būs ģenerēts, mēs to darīsim mainīt easy-RSA direktoriju izmantojot komandu: 

 cd / etc / openvpn / easy-rsa
Mēs gatavojamies inicializēt PKI, mēs izmantosim komandu: 
… / Vars

Mēs gatavojamies notīriet pārējos taustiņus lai tie netraucētu instalēšanu, izmantojot komandu: 

 ./tīrīt-visu
Tagad mēs ejam izveidot sertifikātu izmantojot šādu OpenSSL komandu: 
 ./build-ca

Mēs varēsim redzēt virkni jautājumu, kas saistīti ar iepriekš ievadīto informāciju, tādā veidā sertifikāts ir ģenerēts. Tālāk mēs šim nolūkam sāksim savu OpenVPN serveri Mēs rediģēsim failu, kas atrodas ceļā / etc / openvpn / easy-rsa izmantojot iepriekš norādīto atslēgas nosaukumu, mūsu gadījumā Solvetic. Mēs izpildīsim šādu komandu: 

 ./būvētatslēgu serveris Solvetic

Zemāk esošajās rindās mēs varam atstāt atstarpi tukšu un nospiest taustiņu Enter: 

 Lūdzu, ievadiet šādus “papildu” atribūtus, kas jānosūta kopā ar sertifikāta pieprasījumu. Izaicinājuma parole []: neobligāts uzņēmuma nosaukums []:
Tiks parādīts šāds logs, kurā mums jāievada burts y (jā), lai pieņemtu šādus divus jautājumus: Parakstiet sertifikātu un pieprasiet sertifikātus.

Tagad pieņemsim pārvietojiet gan sertifikātus, gan atslēgas uz / etc / openvpn ceļu, mēs izpildīsim šādu komandu: 

 cp /etc/openvpn/easy-rsa/keys/[Solvetic.crt,Solvetic.key,ca.crt}/etc/openvpn
Kad šis process būs pabeigts, mēs to darīsim palaidiet pakalpojumu OpenVPN izmantojot komandu: 
 pakalpojuma openvpn palaišana
Uz redzēt statusu mēs izmantosim komandu: 
 pakalpojuma oopenvpn statuss

Mūsu nākamais solis būs izveidot sertifikātus un atslēgas klientiem, kuri vēlas izveidot savienojumu ar VPN. Ideālā gadījumā drošības labad katram klientam, kas izveido savienojumu ar serveri, ir savs sertifikāts un atslēga, nekad to nekopīgojiet, pēc noklusējuma OpenVPN neatļauj vienlaicīgus savienojumus ar to pašu sertifikātu un atslēgu. Mēs izveidosim atslēgu savam klientam, šim nolūkam mēs ievadīsim šādu komandu: 

 ./build-key Client_Name, mūsu piemērā mēs izmantosim šādu komandu: ./build-key Tests

Mēs aizpildām nepieciešamos laukus, un tad mēs to darīsim nokopējiet ģenerēto atslēgu easy-RSA direktorijā. 

 cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/easy-rsa/keys/client.ovpn.
Tagad pieņemsim lejupielādējiet Winscp rīku bez maksas no zemāk esošās saites. Šis rīks ļaus mums izveidot savienojumu ar mūsu Debian mašīnu, izmantojot SFTP vai FTP, lai pārbaudītu, vai faili ir izveidoti pareizi. Kad būsim to lejupielādējuši un izpildījuši, tas būs logs, ko mēs varam redzēt:

Tur mēs ievadām Debian mašīnas IP adresi, atcerieties, ka IP var apstiprināt, izmantojot komandu ifconfig, mēs ievadām akreditācijas datus un, noklikšķinot uz Savienot, mēs redzam sekojošo:

PALIELINĀT

Tur labajā pusē var redzēt atbilstošos taustiņu un taustiņu failus. Lai piekļūtu, izmantojot OpenVPN, mēs lejupielādēsim rīku no šīs saites OpenVPN versija 2.3.11. Kad esam to lejupielādējuši, mums jāņem vērā dažu izmaiņu veikšana minētajā rīkā, pirmā lieta, ko mēs darīsim, ir nokopēt galvenos failus un atslēgas ceļā, kur parasti tiek instalēta OpenVPN: 

 C: \ Program Files \ OpenVPN \ config
Vēlāk mēs izveidosim failu piezīmju grāmatiņā vai mūsu rīcībā esošo teksta redaktoru ar šādu informāciju: 
 klients dev tun proto udp tālvadības pults 192.168.0.12 1194 atslēga client.key cert client.crt ca ca.crt auth-user-pass neatlaidīga atslēga noturīga-tun comp-lzo darbības vārds 3
PiezīmeIP ir mūsu Debian mašīnas IP, un ports, kā redzējām iepriekš, ir UDP 1194.
Šis fails jāsaglabā ar paplašinājumu .ovpn.

3. OpenVPN klienta piekļuves pārbaude


Palaidīsim OPenVPN un šī būs vide, kurā mēs atradīsimies:

Mēs ievadām lietotāja akreditācijas datus lai izveidotu savienojumu un noklikšķiniet uz Labi un mēs varam redzēt sekojošo

PiezīmeMēs izveidojam šo savienojumu no Windows 7 datora.

Tagad paziņojumu joslā mēs varam redzēt, ka savienojums ir bijis veiksmīgs, un mēs varam redzēt jauno IP adresi.

Ja ar peles labo pogu noklikšķiniet uz rīka (ikona paziņojumu joslā), mums ir šādas iespējas:

No šejienes mēs varam veikt uzdevumus, kurus uzskatām par nepieciešamiem. Piemēram, jā mēs izvēlamies Rādīt statusu mēs redzēsim sekojošo:

4. OpenVPN drošības rīki ”]


Nav šaubu, ka Interneta pārlūkošana var izraisīt drošības problēmas piemēram, vīrusi, informācijas zādzība, spiegprogrammatūra utt., šī iemesla dēļ ir daži rīki, kurus mēs varam ieviest, lai uzlabotu savas mašīnas drošību, tiklīdz OpenVPN.

Parunāsim par Clamav kas ir spēcīgs antivīruss, kas palīdzēs mums saglabāt kontroli pār inficētajiem failiem vai procesiem mūsu Debian 8.1. Tā ir atvērtā pirmkoda programmatūra, kas ļauj mūsu datoros atklāt Trojas zirgus, ļaunprātīgu programmatūru un citus slēptus draudus. Instalēšanas process ir ļoti vienkāršs, tāpēc mēs izpildīsim šādu komandu: 

 Sudo apt-get install clamav

Vēlāk mēs izpildīsim svaigs gliemene lai visa Clamav datu bāze tiktu atjaunināta.
Lai skenētu iekārtu, mēs ievadīsim šādu sintaksi: 

 Clamscan -inficēts -noņemt -rekursīvs / mājās
Pēc brīža mēs redzēsim skenēšanas uzdevuma kopsavilkumu:

Vēl viens instruments, ko mēs varam izmantot, lai uzlabotu savu drošību, ir Privoxy kas darbojas kā tīmekļa starpniekserveris un ietver papildu funkcijas, lai cita starpā aizsargātu privātumu, pārvaldītu sīkfailus, kontrolētu piekļuvi, noņemtu reklāmas. Lai to instalētu mūsu Debian 8.1 sistēmā, mēs izpildīsim šādu komandu: 

 Sudo apt-get install privoxy

Atcerieties, ka, ja mēs esam root lietotāji, sudo nav nepieciešams. Kad visas Privoxy paketes ir lejupielādētas un instalētas, mēs modificēsim dažus tā konfigurācijas faila parametrus, tāpēc mēs izpildīsim šādu komandu: 

 Sudo nano / etc / privoxy / config
Tiks parādīts šāds:

Tur mums jāatrod līnija klausieties adresi localhost: 8118 un mums jāpievieno 2 parametri, vispirms šīs rindas sākumā jāpievieno # simbols un zem tā jāievada termins klausīties adresi ip_of_nour machine: 8118, mūsu gadījumā tas ir: 

 klausīties-adrese 192.168.0.10:8118.
Kad tas ir izdarīts, mēs restartēsim pakalpojumu, izmantojot: 
 sudo /etc/init.d/privoxy restart

Tālāk mēs ejam uz pārlūkprogrammu, kas mums ir Debian, un turpinām mainīt starpniekservera parametrus, mums jāapstiprina, ka IP ir tas, kuru mēs pievienojām, un ports ir 8118. Mūsu piemērā mēs izmantojam IceWeasel un mums jāievada:

  • preferencēm
  • Uzlabots
  • Tīkls
  • Savienojuma iestatīšana
  • Manuāla starpniekservera konfigurācija

Pēc konfigurēšanas mēs noklikšķiniet uz Labi. Tagad mēs varam redzēt, kā Privoxy palīdz mums nodrošināt drošību:

Ir arī citi rīki, kas var palīdzēt mums uzlabot navigāciju, izmantojot mūsu OpenVPN.

DnsmasqTas sniedz mums DNS pakalpojumus šādā veidā, mēs izmantojam tikai DNS kešatmiņu.

HAVPIzmantojot šo rīku, mums ir starpniekserveris ar antivīrusu, tas skenē visu trafiku, meklējot vīrusus vai kādu dīvainu uzvedību.

Kā redzam, ir ļoti svarīgi veikt pasākumus, kas palīdz mums kontrolēt navigāciju, un ir ļoti skaidrs, ka pareizā Debian 8.1

Turpināsim izpētīt visas lieliskās priekšrocības, ko mums piedāvā Debian 8.1, un uzlabosim vidi, jo daudzi no mums ir administratori, koordinatori vai cilvēki, kas atbild par IT jomu, un šie padomi palīdz mums vieglāk un vieglāk tikt galā ar katru dienu lai nākotnē nebūtu kritisku problēmu, kas var sagādāt lielas galvassāpes.

Instalējiet LAMP vietnē Debian 8

Jums palīdzēs attīstību vietā, daloties lapu ar draugiem

wave wave wave wave wave

Populārākas Posts

wave
1
post-title
Kā ievietot fona fotoattēlu Apple Watch 4
2
post-title
Atgūstiet savas Windows paroles, izmantojot Ophcrack
3
post-title
Kā instalēt Apache 8 uz CentOS 7
4
post-title
Youtube paziņo, ka varat izmantot Youtube TV televīzijā
5
post-title
Digitālie un mobilie maksājumi

Ieteicams

wave
- Sponsored Ad -

Redaktora Izvēle

wave
- Sponsored Ad -