Нажмите "Enter", чтобы перейти к содержанию

Mobil VPN DIGI SETUP

Mielőtt megteheti, hogy befejezze ezt a műveletet, jelentkezzen be a közösségi fiókjába, vagy hozzon létre egy újat.

Bevezetés

Szeretne biztonságos és biztonságos internet-hozzáférést szervezni az okostelefonon vagy a laptopon, ha csatlakozik egy megbízhatatlan hálózathoz, például WiFi hálózathoz egy szállodában vagy kávézóban? A virtuális magánhálózat (VPN) lehetővé teszi, hogy bizalmasan és biztonságosan dolgozzon a védelem nélküli hálózatokban, mintha magánhálózaton lenne. A forgalom a VPN-kiszolgálóból származik, és továbbra is a célállomásra lép.

A HTTPS csatlakozásokkal kombinálva ez a rendszer lehetővé teszi a hitelesítő adatok és tranzakciók védelmét egy vezeték nélküli hálózatban. Megkerülheti a földrajzi korlátozásokat és a cenzúrát, és elrejtheti a helyét és a nem üres HTTP-forgalmat egy védtelen hálózatból.

OpenVPN — teljes értékű SSL VPN megoldás nyílt forráskódú alátámasztó széles konfigurációk. Ebben a képzési modulban konfigurálja az OpenVPN-kiszolgálót a Debian 9 kiszolgálón, majd állítsa be a hozzáférést a Windows, MacOS, IOS és / vagy / vagy Android rendszeréből. A telepítés és beállítások lépései ebben a tanulási modulban a lehető legegyszerűbbek minden egyes lehetőség számára.

jegyzet. Ha azt tervezi, hogy az OpenVPN-kiszolgálót a Digitalcean Dropleten konfigurálja, akkor mi, mint sok hosting szolgáltató, díjat számít fel a sávszélességi határérték áttekintéséért. Emiatt követni kell a kiszolgálót feldolgozó forgalmat.

További információk találhatók ezen az oldalon.

Előfeltételek

A képzési modulon keresztül menjen hozzá a Debian 9 kiszolgálóhoz, ahol az OpenVPN szolgáltatás található. A képzési modul indítása előtt a jogosultság nélkül kell beállítani a felhasználót gyökér Jogosultságokkal . A Debian 9 kiszolgáló kezdeti konfigurációjához használhatja a megfelelő jogosultsággal rendelkező felhasználót. Ez a képzési modul használja Tűzfal, Amelynek beállítása a következő link a tanulási modulra vonatkozik.

Önnek külön számítógépre van szüksége a tanúsítási központ (CA) funkcióinak végrehajtásához. Forró, mint tanúsító hatóság, technikailag lehetséges az OpenVPN-kiszolgáló helyi számítógépen történő használatához, nem ajánlott, mert ugyanakkor lehet, hogy a VPN hálózatának biztonsági rendszerének sérülékenysége lehet. Az OpenVPN hivatalos dokumentációja szerint CA-t kell elhelyezni egy különálló számítógépre, amely felelős a tanúsítványkérelmek importálásáért és aláírásáért. Emiatt ez a tanulási modul feltételezi, hogy a CA található egy külön Debian 9 szerver, ahol is a felhasználó anélkül, hogy kiváltságokat gyökér jogosultságokkal és alapvető tűzfallal.

Megjegyezzük, hogy ha letiltja a hitelesítési jelszó segítségével megadni ezeket a szervereket, akkor nehézséget okozhat, ha fájlok küldésére közöttük, amint arról a későbbi részeiben tanulási modul. A probléma megoldásához újra kell engedélyezni a hitelesítést az egyes kiszolgálók jelszavával. Minden egyes kiszolgálóhoz egy pár SSH kulcsot is létrehozhat, és hozzáadhat egy SSH nyilvános kulcs OpenVPN-t egy CA számítógépre történő fájlhoz, és fordítva. Ezen megoldások további utasításai megtalálhatók az SSH kulcsokat a Debian 9-ben.

Az előzetes követelmények előnyeinek kihasználása, a jelenlegi tanulási modul 1. lépésére.

1. lépés — OpenVPN és Easylisa telepítése

A csomag indexének frissítéséhez VPN-kiszolgáló És telepítse az OpenVPN-t. Az OpenVPN a Debian Debian raktárakban érhető el, ezért a telepítéshez használható:

Az OpenVPN egy VPN a TLS / SSL-vel. Ez azt jelenti, hogy a kiszolgáló és az ügyfelek közötti kód titkosítási tanúsítványokat használ. Megbízható tanúsítványok kiadása, meg kell hoznia saját egyszerű tanúsító hatóságát (CA). Ehhez töltse le az EASYRSA legújabb verzióját, amelyet használunk egy nyílt kulcsú infrastruktúra CA (PKI) létrehozásához a projekt hivatalos tárhelyéről a Githubon.

Amint azt az előfeltételek jelzik, CA-t készítünk egy külön szerveren. Egy ilyen megközelítést választottunk, mert ha a támadó megkísérelheti a kiszolgálót, akkor hozzáférhet a CA zárt kulcshoz, és felhasználhatja az új tanúsítványok aláírására, biztosítva azokat a VPN-hez való hozzáféréssel. Ennek megfelelően ezzel, hogy a CA-t egy külön számítógépről kezelje, meg kell akadályozni a jogosulatlan felhasználók hozzáférését a VPN-hez. További óvintézkedésként ajánlott kikapcsolni a CA-kiszolgálót, ha nem használják a kulcsok aláírására.

A CA és a PKI infrastruktúra megkezdéséhez használja az Easyra legújabb verzióját CA rendszer és OpenVPN szerver. A legújabb verzió eléréséhez nyissa meg az oldalt Kibocsátás A Github projekt hivatalos Easysa-kiszolgálóján másolja a linket, hogy letöltse a fájlt a kiterjesztéssel, és illessze be a következő parancsra:

Ezután távolítsa el a Tarballot:

Sikeresen telepítette az összes szükséges szoftvert a kiszolgálón és a CA rendszeren. Ezután be kell állítania a változókat az Easyra és a CA könyvtárhoz, ahonnan a kulcstartók és tanúsítványok, amelyeket a kiszolgálónak és az ügyfeleknek a VPN eléréséhez kell elérni.

2. lépés — Easylisa változók és épületek beállítása

A EasyRSA szerelési készlet tartalmaz egy konfigurációs fájl, amelyben meg lehet változtatni, vagy adja meg az egyes változók Ca.

Nyitott a számítógépen CA EasyRSA katalógus:

Ebben a könyvtárban van egy fájl neve . Hozzon létre egy példányt a fájlból, és adja hozzá egy nevet bővítés nélkül:

Nyisson meg egy új fájlt a kívánt szövegszerkesztőben:

Keresse meg az új tanúsítványok alapértelmezett beállításait. Ez így fog kinézni:

~ / Easyli-3.0.4 / vars

Távolítsa el a megjegyzéseket ezekből a sorokból, és cserélje ki a kiválasztott értékeket, de ne hagyja üresen:

~ / Easyli-3.0.4 / vars

A szerkesztés befejezése után mentse el és zárja be a fájlt.

A EasyRSA katalógus van egy script, ami arra hivatott, hogy végezze el a különböző feladatokat kapcsolódó építési és ellenőrzése CA. Futtassa ezt a parancsfájlt azzal a lehetőséggel, hogy elindítsa a nyitott kulcs infrastruktúrát a CA-kiszolgálón:

Ezután indítsa újra a parancsfájlot az opcióval . Ennek eredményeképpen létrejön egy tanúsító hatóság és két fontos fájl, és az SSL tanúsítvány nyitott és zárt részét ábrázolja.

  • — a nyitott része a CA-tanúsítvány, amelyet a szerver és a kliens OpenVPN, hogy tájékoztassák egymást, hogy belépnek egy bizalmi hálózat és hogy nincs potenciális támadó közöttük közre. E tekintetben a fájl egy példánya szükséges lesz a szerverhez és az összes ügyfele számára.
  • — zárt CA gomb, amely kulcsokat és kiszolgálói bizonyítványokat és ügyfeleket ír. Ha a támadó hozzáférést kap a CA-hoz és a fájlt, akkor képes lesz aláírni a tanúsítványkérelmeket, és hozzáférhet a VPN-hez, amely megtöri a biztonságát. Ezért a fájlt tárolni kell csak A CA számítógépet, és a nagyobb biztonság érdekében a CA számítógép ki kell kapcsolni, ha nem használják, hogy aláírja bizonyítvány kéréseket.

Ha nem szeretne megadni egy jelszót minden alkalommal, amikor kölcsönhatásba lép, akkor futtathatja a parancsot az opcióval:

A parancs végrehajtása után a rendszer kéri, hogy megerősítse a szokásos nevet:

A szokásos név az a név, amelyet ehhez a rendszerhez használnak a tanúsító hatóság keretében. Kiválaszthatja a CA-t, de ebben az esetben a legegyszerűbb módja az alapértelmezett név elfogadásához.

Most telepítve van a tanúsító hatóság, és készen áll a tanúsítványkérések megjelölésére.

3. lépés — Szerver tanúsítvány, kulcs és titkosítási fájlok létrehozása

Most a tanúsító hatóság készen áll a munkára, és privát kulcsot és tanúsítványkérelmet generálhat a kiszolgálóról, majd át kell adnia a kérést a CA-nak, hogy aláírja és hozza létre a szükséges tanúsítványt. További fájlokat is létrehozhat a titkosítási folyamatban.

Kezdjük, nyissa meg az EASYRSA katalógust OpenVPN szerver:

Futtassa a szkriptet a kiszolgálón az opcióval . Bár már elindította ezt a parancsot a rendszerben CA-val, meg kell kezdeni, mert a kiszolgáló és a tanúsító hatóság különböző PKI könyvtárakat használ:

Hívja újra a parancsfájlot, és használja a számítógép szokásos nevét. Használhat bármilyen nevet, de a legjobb választani egy emlékezetes opciót. Ebben a tanulási modulban az OpenVPN szerverhez a «Server» szokásos nevet fogjuk használni. Győződjön meg róla, hogy ezt az opciót adja hozzá. A lekérdezési fájlt jelszó védi, amely később problémákat okozhat az engedélyekkel:

jegyzet. Ha bármilyen más nevet választ, kivéve a «Server», akkor követnie kell a következő utasításokat a változással. Például, amikor a létrehozott fájlokat a könyvtárba kell másolni, meg kell adnia a helyes neveket. Később meg kell változtatnod a fájlt a megfelelő fájlokra és .

Ennek eredményeképpen létrejön egy privát kulcs a kiszolgálóhoz és a tanúsítványkérvényfájlhoz a névvel . Másolja a kiszolgálót a könyvtárba

Biztonságos módszer (például az SCP, mint az alábbi példában), mozgassa a fájlt a CA számítógépre:

Nyissa meg a számítógépet Kb EASYRSA katalógus:

Futtassa újra a szkriptet, és importálja a fájlt a szokásos név hozzáadásával a fájl elérési útjára:

Ezután írja alá a kérést a parancsfájl futtatásával, és jelzi a kérés típusát és a szokásos nevet. A kérés az OpenVPN-kiszolgáló tanúsítványának kérésére, és kérheti, írjon egy típust:

Az eredmények során meghívást kap, hogy megbizonyosodjon arról, hogy a kérés megbízható forrásból származott. A megerősítéshez írja be és kattintson a következőkre:

Ha titkosítja a CA gombot, akkor a rendszer kéri, hogy adjon meg egy jelszót.

Ezután mozgassa az aláírt tanúsítványt a VPN-kiszolgálóra a védett módszerrel:

Mielőtt végrehajtaná a kimenetet a CA számítógépről, mozgassa a fájlt a kiszolgálóra:

Ezután jelentkezzen be az OpenVPN-kiszolgáló rendszerébe, és másolja a fájlokat és a könyvtárat:

Ezt követően menjen az Easylisa katalógusba:

Hozzon létre megbízható DIFSI HELMANA kulcsot, amelyet a kulcsok cseréje során használnak:

Ez néhány percet igényelhet. A befejezés után generálja a HMAC aláírást a TLS Integrity Check kiszolgáló funkcióinak megerősítéséhez:

A parancs végrehajtásakor másoljon két új fájlt a könyvtárba

Most a szükséges tanúsítványok és kulcsfontosságú fájlok keletkeznek. Készen áll arra, hogy megfelelő tanúsítványokat és kulcsokat hozzon létre, amelyeket az ügyfélszámítógép az OpenVPN szerver eléréséhez használ.

4. lépés — Ügyfél-tanúsítvány és kulcspár létrehozása

Bár létrehozhat egy privát kulcsot és egy tanúsítványkérelmet az ügyfélrendszerre, és elküldheti őket a CA-nak, hogy aláírjon, ebben a képzési modulban a tanúsítvány tanúsítványkérő generációs folyamatát a szerveren tartjuk. Ennek a módszernek az az előnye, hogy létrehozhatunk olyan szkriptet, amely automatikusan létrehozza az összes szükséges kulcsot és tanúsítványt tartalmazó ügyfélkonfigurációs fájlokat. Ennek köszönhetően nem kell továbbítania kulcsokat, tanúsítványokat és konfigurációs fájlokat az ügyfélrendszerekhez, és a VPN kapcsolatának folyamata felgyorsul.

Ebben a tanulási modulban egy pár kulcsot és tanúsítványt hozunk létre az ügyfélrendszer számára. Ha több ügyfélrendszere van, megismételheti ezt a folyamatot minden ilyen rendszerhez. Kérjük, vegye figyelembe, hogy a parancsfájl minden egyes ügyfél számára egyedi nevet kell megadnia. Ebben a képzési modulban az első páros tanúsítvány / kulcs a név alatt fogjuk használni .

Először hozzon létre egy könyvtárat az otthoni könyvtárban, ahol a tanúsítványt és a kulcsrendszer kulcsokat tárolnak:

Mivel az ügyfelek és konfigurációs fájlok tanúsítványa / kulcsa lesz ebben a könyvtárban, az összes engedélyt le kell zárni:

Visszatérés az EASYRSA könyvtárba, és futtassa a szkriptet az opciókkal, és adja meg a szokásos ügyfél nevét:

Kattintson a szokásos név megerősítéséhez. Másolja a fájlt az előzőleg létrehozott könyvtárba:

Ezután biztonságos módszerrel mozgassa a fájlt a CA számítógépre:

Írja be a CA számítógépet, nyissa meg az Easylisa könyvtárat, és importáljon tanúsítványkérelmet:

Ezután írja alá a kérést, ahogy az előző lépésben a kiszolgálóért tették. Ezúttal azonban meg kell adni a kérelem típusát:

A párbeszédablakban írja be annak megerősítését, hogy a tanúsítványkérelem aláírását tervezi, és amit megbízott forrásból származott:

Ha titkosítja a CA-kulcsot, akkor a rendszer kéri a jelszót.

Ennek eredményeként létrejött egy ügyfél-tanúsítványfájlt . Mozgassa ezt a fájlt a kiszolgálóra.

Csatlakozzon az OpenVPN-kiszolgálóhoz SSH segítségével, és másolja az ügyfél tanúsítványát a könyvtárba:

Ezután másolja a fájlokat és a könyvtárban:

Most generált kulcsokat és tanúsítványokat a kiszolgáló és az ügyfél számára, és megmentette őket a kiszolgáló megfelelő könyvtáraiban. Ezekkel a fájlokkal több intézkedést kell tenni, de később visszatérünk hozzájuk. Most elkezdheti beállítás OpenVPN a kiszolgálón.

5. lépés — Setup OpenVPN

Generált tanúsítványok és kulcsok az ügyfél és a kiszolgáló számára, és most meg lehet kezdeni a beállítást OpenVPN szolgáltatást használni ezeket a hitelesítő adatokat.

Először másolja a fájlt az OpenVPN konfigurációs mintájával a konfigurációs könyvtárban, és távolítsa el az alapot:

Nyissa meg a kiszolgáló konfigurációs fájlt a kívánt szövegszerkesztőben:

Keresse meg a HMAC részt az irányelv keresésével . Ebből a sorból származó megjegyzéseket már törölni kell, de ha a vonal még megjegyezte, távolítsa el a szimbólumot «;«A vonal elején:

/ etc / OpenVPN / Server.Conf

Ezután keresse meg a részén titkosító csipek követve a keresést a megjegyzés sorokat a szöveget . A titkosítás jó titkosítási szintet biztosít, és jól támogatott. Ebből a sorból származó megjegyzéseket már törölni kell, de ha a vonal még megjegyezte, távolítsa el a szimbólumot «;«A vonal elején:

/ etc / OpenVPN / Server.Conf

Irányelv hozzáadása ebben a karakterláncban a HMAC üzenetfeldolgozó algoritmus kiválasztásához. Ehhez jó lesz:

/ etc / OpenVPN / Server.Conf

Ezután keressen meg egy olyan jelölést egy olyan irányelvvel, amely meghatározza a Diffi Helmana algoritmus paramétereit. Az EASYRSA legutóbbi változásai miatt a Diffi Helmana kulcsfájl neve eltérhet a kiszolgáló konfigurációs mintafájljától. Ha szüksége van, módosítsa az itt megadott fájlnevet, törölje a számokat az előző lépésben létrehozott kulcshoz:

/ etc / OpenVPN / Server.Conf

Végül keresse meg a beállításokat és törölje a «;«Az egyes sorok elejétől:

/ etc / OpenVPN / Server.Conf

A mintafájlhoz szükséges változtatások az OpenVPN működéséhez szükségesek. Az alábbiakban leírt módosítások nem kötelezőek, de sok közös felhasználási lehetőséghez is szükségesek.

(Opcionális) Változtassa meg a DNS-t, hogy átirányítsa az összes forgalmat VPN hálózaton keresztül

A fenti beállítások egy VPN-kapcsolatot hoznak létre két számítógépes rendszer között, de a vegyületek nem használják az alagútot. Ha a VPN-t szeretné átirányítani az összes forgalmat, akkor DNS-beállításokat kell küldenie az ügyfélszámítógépekre.

A fájl aktiválásához több irányelv létezik a fájlban. Keresse meg a szakaszt és törölje a pontosvesszőt «;«A vonal elején a megjegyzés mód eltávolításához:

/ etc / OpenVPN / Server.Conf

Ebben a karakterláncban keresse meg a szakaszt, távolítsa el a szimbólumot «;» Az egyes sorok elején a kommentár mód eltávolításához:

/ etc / OpenVPN / Server.Conf

Ez segít az ügyfeleknek megváltoztatni a DNS-beállításokat úgy, hogy a VPN-alagútot alapértelmezett átjáróként használják.

(Opcionális) A kikötő és a protokoll módosítása

Alapértelmezés szerint az OpenVPN Server port és UDP klienst használ. Ha másik portot kell használnia az ügyfél-korlátozások miatt, megváltoztathatja a számot . Ha nem tárolja a webes tartalmat az OpenVPN szerveren, akkor illeszkedik a porthoz, mert általában nem tiltja a tűzfal szabályait.

/ etc / OpenVPN / Server.Conf

Elég gyakran, ez a port korlátozza a protokollt. Ha igen, változtassa meg az értéket az UDP-vel a TCP-n:

/ etc / OpenVPN / Server.Conf

Ha te igazán Módosítsa a TCP protokollt, meg kell változtatnia az irányelv értékét, mivel ezt az irányelvet csak az UDP-jegyzőkönyv használja. Ellenkező esetben az OpenVPN szolgáltatás indításakor a TCP protokoll hibái lehetségesek:

/ etc / OpenVPN / Server.Conf

Ha nem kell más portot és protokollt használnia, a legjobb, ha az alapértelmezett beállításokat hagyja el.

(Opcionális) Megjegyzés az alapértelmezetttől eltérő hitelesítő adatokhoz

Ha a parancs használatakor egy másik nevet választott, módosítsa a sorokat, és hogy megadják a megfelelő fájlokat és . Ha a «szerver» alapértelmezett nevét használta, akkor nem kell megváltoztatnia semmit:

/ etc / OpenVPN / Server.Conf

A szerkesztés befejezése után mentse el és zárja be a fájlt.

Miután elvégezte a kiszolgáló OpenVPN konfigurációjának módosításait, elkezdheti módosítani a kiszolgáló hálózati beállításait.

6. lépés — A kiszolgáló hálózati konfigurációjának konfigurálása

Annak érdekében, hogy az OpenVPN helyesen tudja átirányítani a forgalmat a VPN hálózaton keresztül, meg kell változtatnia néhány kiszolgáló hálózati konfigurációs beállításait. Először meg kell változtatnia az IP továbbítási paramétert, amely meghatározza az IP-forgalom átirányításának szükségességét. Ez szükséges a szerver által biztosított VPN funkciók végrehajtásához.

A kiszolgáló alapértelmezett továbbítási beállításának módosításához módosítsa a fájlt:

Keressen egy megjegyzésláncot a fájlban egy paraméterrel . Távolítsa el a karaktert#»A karakterlánc kezdetétől a beállításhoz való kommentár mód eltávolításához:

/ etc / sysctl.Conf

Mentse el a fájlt, és zárja be a befejezés után.

A fájl olvasásához és az aktuális munkamenet értékeinek módosításához írja be:

Ha a Debian 9 szerver kezdeti konfigurációjának utasításait követte, amely az előfeltételekben megadott, akkor ufw tűzfalnak kell lennie. Függetlenül attól, hogy használja a tűzfalat, hogy rögzítse a nem kívánt forgalom (mit kell tenni szinte mindig), ebben a tűzfal modul lesz szükség bizonyos manipulációk érkező forgalom a szerverre. Néhány tűzfalszabályt meg kell változtatni a Masquerading engedélyezéséhez (ez az iptables koncepció, amely dinamikus hálózati cím (NAT) adja meg a megfelelő ügyfélkapcsolatok útvonalát.

Kinyitása előtt a tűzfal konfigurációs fájl hozzá masqueraging szabályokat, akkor kell előre talál egy nyilvános hálózati interfész a számítógép. Ehhez írja be:

A számítógép nyilvános felületét a parancs végrehajtásának eredményei mutatják be a «dev» szó után. Például ez az eredmény egy olyan nevet mutat, amely az alábbiakban kiemelve:

Ha rendelkezik az alapértelmezett útvonalhoz társított interfész, nyissa meg a fájlt a megfelelő konfiguráció hozzáadásához:

Az UFW szabályokat általában a parancs segítségével adják hozzá . A fájlban felsorolt ​​szabályok olvashatók és aktiválva vannak a szokásos UFW szabályok letöltése előtt. Adja hozzá a vonalat a vonalak alatti felső fájlhoz. Ezt követően az alapértelmezett házirendet felkérik egy láncot az asztalnál, és a VPN bármilyen forgalmát elfedi. Győződjön meg róla, hogy cserélje ki a vonalat a következő parancs használatával meghatározott felületre:

/ etc / ufw / korábban.Szabályok

Mentse el a fájlt, és zárja be a befejezés után.

Meg kell adnia az UFW-t, hogy engedélyezze az alapértelmezett csomag átirányítását. Ehhez nyissa meg a fájlt:

Keresse meg az irányelvben szereplő irányelvet, és módosítsa az értéket:

/ etc / alapértelmezett / ufw

Mentse el a fájlt, és zárja be a befejezés után.

Ezután módosítsa a tűzfal beállításait az OpenVPN forgalom engedélyezéséhez. Ha nem változtatta meg a portot és a protokollt a fájlban, meg kell nyitnia az UDP forgalmat a porton . Ha megváltoztatta a portot vagy a protokollt, cserélje ki az itt kiválasztott értékeket.

Ha elfelejtette hozzáadni egy SSH portot egy kötelező tanulási modul végrehajtásakor, add hozzá most:

Miután hozzáadta ezeket a szabályokat, kapcsolja ki és engedélyezze az UFW-t, hogy letöltse a módosításokat az összes módosított fájlból:

Most a kiszolgáló úgy van konfigurálva, hogy helyesen kezelje az OpenVPN forgalmat.

7. lépés — Az OpenVPN szolgáltatás futása és aktiválása

Most készen áll az OpenVPN szolgáltatás futtatására a szerveren. Ehhez használja a segédprogramot .

Futtassa az OpenVPN-kiszolgálót úgy, hogy megadja a konfigurációs fájl nevét példányváltozóként a SystemD fájl neve után. A kiszolgáló konfigurációs fájljának neve van, így ha a fájl végéhez hívja, hozzá kell adnia:

Győződjön meg róla, hogy a szolgáltatás sikeresen elindul a következő parancs megadásával:

Ha minden jól ment, az eredmény megközelíti a következőket:

Ellenőrizheti az OpenVPN interfész elérhetőségét a következő parancs segítségével:

Megjelenik egy konfigurált interfész:

A szolgáltatás megkezdése után aktiválja azt, hogy automatikusan elinduljon a betöltéskor:

Most az OpenVPN szolgáltatás fut és fut. Mielőtt elkezdené használni, létrehoznia kell egy konfigurációs fájlt az ügyfélrendszerhez. Ebben a képzési modul, már beszéltünk létre gőz tanúsítvány / kulcs kliens rendszerek és a következő lépésben fogjuk bizonyítani egy olyan infrastruktúra létrehozását, amely könnyen létre kliens rendszer konfigurációs fájlok.

8. lépés — Az ügyfélrendszerek konfigurációs infrastruktúrájának létrehozása

Az OpenVPN-ügyfelek konfigurációs fájlok létrehozása ezzel a feladattal társítható, mivel minden ügyfélnek saját konfigurációjával kell rendelkeznie, és mindegyik konfigurációnak meg kell egyeznie a kiszolgáló konfigurációs fájlban megadott paraméterekkel. Ahelyett, hogy egyetlen olyan konfigurációs fájl létrehozását, amely csak egy ügyfél számára használható, ebben a lépésben meghatározzuk az ügyfélkonfigurációs infrastruktúra létrehozásának folyamatát, amelyet gyorsan létrehozhat a konfigurációs fájlok gyors létrehozásához. Először létrehoz egy «Basic» konfigurációs fájlt, majd egy parancsfájlt, amely lehetővé teszi az egyedi ügyfélkonfigurációs fájlokat, tanúsítványokat és kulcsokat.

A kezdethez hozzon létre egy új könyvtárat az ügyfélkonfigurációs fájlok tárolására a korábban létrehozott könyvtárban:

Ezután másolja a fájlt az ügyfélkonfigurációs mintával a könyvtárhoz, hogy alapkonfigurációként használja:

Nyisson meg egy új fájlt egy szövegszerkesztőben:

Keressen egy irányelvet a fájlban . Ez jelzi az OpenVPN szerver címét, t. E. Az OpenVPN-kiszolgáló nyilvános IP-címe. Ha úgy dönt, hogy megváltoztatja az OpenVPN-kiszolgálót meghallgató portot, akkor ki kell cserélnie a kiválasztott portot:

~ / Client-Configs / Base.Conf

A protokollnak meg kell felelnie a kiszolgáló konfigurációjában használt értékeknek:

~ / Client-Configs / Base.Conf

Vegye ki a megjegyzés módot az irányelvekhez és a szimbólum törléséhez «;«Az egyes sorok elejétől:

~ / Client-Configs / Base.Conf

Keresse meg az irányelveket, amelyek meghatározzák és . Helyezze be a megjegyzéseket az irányelvek sorai előtt, mivel hamarosan megadja a tanúsítványokat és a kulcsokat a fájlhoz:

~ / Client-Configs / Base.Conf

Szintén hozzászólásjelzést is adjon hozzá az irányelv sorolásának elején, mivel a kulcsot közvetlenül az ügyfélkonfigurációs fájlból adja hozzá:

~ / Client-Configs / Base.Conf

Hozzon létre egy tükrözi a beállításokat, és a fájlban szerepel:

~ / Client-Configs / Base.Conf

Ezután add hozzá az irányelvfájlhoz . te kell Állítsa be az «1» értéket úgy, hogy a VPN megfelelően működik az ügyfélszámítógépen:

~ / Client-Configs / Base.Conf

Összefoglalva, adjunk hozzá néhányat Észrevételek sorai. Bár engedélyezheti ezeket az irányelveket minden ügyfélkonfigurációs fájlban, csak a Linux ügyfelek számára kell beillesztenie a fájlt . Ez a szkript használja a Linux ügyfelek DNS-ügyfeleinek frissítésére szolgáló segédprogramot.

~ / Client-Configs / Base.Conf

Ha az ügyfél futtatja a Linuxot, és van egy fájlja, törölje a megjegyzésjeleket az ügyfélkonfigurációs fájlsorok elején, amikor létrehozott.

Mentse el a fájlt, és zárja be a befejezés után.

Hozzon létre egy egyszerű szkriptet, amely összeállítja az alapkonfigurációt a megfelelő tanúsítványt, kulcs- és titkosítási fájlokkal, és helyezze el a generált konfigurációt a katalógusba . Nyisson meg egy új fájlt a könyvtárban:

Adja hozzá a következő kódot a fájlhoz, és a kiszolgáló felhasználójának kiszolgálóját kiváltság nélkül cserélje ki gyökér:

~ / Client-Configs / MAKE_CONFIG.SH

Mentse el a fájlt, és zárja be a befejezés után.

A folytatás előtt ellenőrizze ezt a fájlt a következő parancs megadásával:

Ez a parancsfájl létrehozza a létrehozott fájl másolatát, összegyűjti az Ön által létrehozott összes tanúsítványt és kulcsot az ügyfél számára, kivonja a tartalmát, hozzáadja azokat az alapkonfigurációs fájl másolatához, és exportálja ezt az új ügyfélkonfigurációs fájlba. Ez azt jelenti, hogy az összes szükséges információt egy helyen tárolják, és nem kell kezelnie az ügyfélkonfigurációs fájlokat, a tanúsítványokat és a kulcsokat. Ha a jövőben egy ügyfelet kell hozzáadnia, egyszerűen futtathatja ezt a parancsfájlot, hogy gyorsan létrehozzon egy konfigurációs fájlt. Minden fontos információt egy kényelmes helyen tárolják.

Vegye figyelembe, hogy ha hozzá minden új ügyfél, akkor kell, hogy új kulcsokat és tanúsítványokat futtatása előtt ezt a forgatókönyvet, és létrehoz egy konfigurációs fájlt. A következő lépésben gyakorolhatja ezt a parancsfájlt.

9. lépés — Ügyfélkonfigurációk létrehozása

Ha követi a kézikönyv utasításait, a 4. lépésben létrehozott egy ügyfél-tanúsítványt és kulcsneveket, és ennek megfelelően. Ezekhez a hitelesítő adatokhoz konfigurációs fájlt hozhat létre a könyvtárba, és az előző lépés végén létrehozott szkript futtatása:

Ebben az esetben a fájl létrehozza a könyvtárban:

Ez a fájlnak át kell lépnie az ügyfélként használni kívánt eszközre. Például lehet a helyi számítógép vagy mobil eszköz.

Bár az átvitelekre vonatkozó speciális alkalmazások függenek az eszköz operációs rendszerétől és az Ön preferenciáitól, az egyik legmegbízhatóbb és biztonságosabb utat — az SFTP (SSH File Transfer Protocol) vagy SCP (Secure Copy) használata a szerver oldalon. Ebben az esetben az ügyfél VPN hitelesítési fájljait titkosított kapcsolaton keresztül továbbítják.

Itt van egy példa az SFTP parancsra a helyi számítógépről (Macos vagy Linux). A fájlt a saját könyvtárba helyezi:

Íme néhány eszköz és képzési modul a biztonságos fájl átvitelhez a kiszolgálótól egy helyi számítógépre:

10. lépés — Állítsa be az ügyfél konfigurációját

Ez a rész leírja a VPN kliensprofil telepítését Windows, Macos, Linux, IOS és Android rendszerbe. Ezek az utasítások nem függnek egymástól, így azonnal eljuthat az eszközhöz kapcsolódóan.

Az OpenVPN csatlakoztatása egy olyan névvel rendelkezik, amely megfelel a fájlnévnek . Ebben a tanulási modulban ez azt jelenti, hogy a kapcsolatnak van egy olyan neve, amely megfelel az első generált ügyfélfájlnak.

ablakok

Telepítés

Töltse le az OpenVPN kliens alkalmazás ablakát az OpenVPN indítási oldalról. Válassza ki a telepítő megfelelő verzióját a Windows verziójához.

jegyzet. Rendszergazdai jogosultságok szükségesek az OpenVPN telepítéséhez.

Az OpenVPN telepítése után másolja a fájlt:

Az OpenVPN indításakor a profil automatikusan észlelhető és elérhetővé válik.

Minden alkalommal futtatnia kell az Adminisztrátor nevében, még akkor is, ha a rendszergazdai fiókot használja. Ha nem kell nyomnia a jobb egérgombot minden VPN-elindításnál, és válassza ki Futtassa az adminisztrátoron, Az ilyen indítást a rendszergazdai fiókban kell beállítani. Azt is jelenti, hogy a szokásos felhasználóknak meg kell adniuk a rendszergazdai jelszót az OpenVPN használatához. A hagyományos felhasználók nem tudnak megfelelően csatlakozni a kiszolgálóhoz, ha az OpenVPN alkalmazásnak nincs rendszergazdai jogai az ügyfélrendszeren, így szükség van egy emelt kiváltság szintre.

Ahhoz, hogy konfigurálja a OpenVPN alkalmazás futtatásához nevében a rendszergazda minden egyes indításakor, kattintson a jobb gombbal a parancsikonra, majd válassza a elemet Tulajdonságok. A földszinti fülek Kompatibilitás nyomja meg a gombot Módosítsa az összes felhasználó beállításait. Egy új ablakban állítsa be a jelet Futtassa ezt a programot az adminisztrátor nevében.

Kapcsolat

Minden alkalommal, amikor az OpenVPN grafikus felület indul, a Windows operációs rendszer megkérdezi, lehetővé teszi, hogy módosítsa a programot a számítógépen. Kattintás Igen. Amikor elindítja az OpenVPN ügyfélalkalmazást, megjelenik az alkalmazás ikonja a feladat területen, amellyel csatlakoztathatja és leválaszthatja a VPN-kapcsolatot; A VPN-kapcsolat nincs automatikusan telepítve.

Az OpenVPN indítása után kattintson jobb gombbal az OpenVPN ikonra a feladat területen, hogy létrehozzon egy kapcsolatot. Megnyílik a helyi menü. Választ Ügyfél1 A menü tetején (ez az Ön profilja) és kattintson Összekapcsol.

Az állapotablak megnyílik, ahol a naplóadatok megjelennek, amikor a kapcsolat be van állítva, és az üzenet az ügyfél csatlakoztatása után jelenik meg.

A VPN bekapcsolása hasonlóan történik: Ugrás a feladat területre, kattintson az OpenVPN alkalmazás ikonra Kattintson a jobb gombbal, válassza ki az ügyfélprofilt és kattintson az ügyfélprofil elemre Letilt.

Mac operációs rendszer

Telepítés

Tunnelblick — Ingyenes OpenVPN OpenVPN kliens macos számára. Letöltheti az ügyfélalkalmazás utolsó képét az Tunnelblick letöltési oldalról. Kattintson duplán a letöltött fájlra, és kövesse a telepítési utasításokat.

A Tunnelblick telepítési folyamat végén megkérdezi, van konfigurációs fájlja. Kényelmes válaszért Nem És hagyja, hogy az alagútba csomagolja a telepítést. Nyissa meg a Finder ablakot, és kattintson duplán . A Tunnelblick telepíti az ügyfélprofilt. Ehhez adminisztrátori jogosultságokat igényel.

Kapcsolat

Futtassa a Tunnelblick-t, kattintson duplán az alagútbánya a mappában Alkalmazások. Elindítása után TunnelBlick a menüsorban a jobb felső sarokban, a TunnelBlick ikon jelenik meg, hogy ellenőrizzék a kapcsolatot. Kattintson az ikonra, majd kattintson a menüpontra Összekapcsol, Kapcsolat létrehozása VPN. Válassza a Konfigurálás lehetőséget Ügyfél1.

Linux

Telepítés

Ha Linuxot használ, akkor különböző eszközöket használhat az elosztástól függően. Az ablakkezelő vagy az asztali környezet is tartalmazhat segédprogramokat a csatlakozáshoz.

Az OpenVPN szoftver e célból legegyszerűbb módja azonban.

Ubuntu vagy Debianban ugyanúgy telepítheti, mint a kiszolgálóra a következő parancs megadásával:

A CENTOS-ban aktiválhatja az EPEL tárolókat, és telepítheti a telepítést a következő parancs megadásával:

Beállítás

Ellenőrizze, hogy a parancsfájl engedélyezve van-e az elosztáshoz:

Ezután szerkessze az elmozdult OpenVPN kliens konfigurációs fájlját:

Ha talál egy fájlt, távolítsa el a megjegyzés ikont a DNS-beállítások módosításához hozzáadott három sor elejétől:

Ügyfél1.OVPN

Ha centilleket használ, módosítsa azokat az irányelvet, hogy megfeleljen az elérhető elosztási csoportoknak:

Ügyfél1.OVPN

Mentse és zárja be a fájlt.

Most a VPN-hez való csatlakozáshoz egyszerűen adhatja meg az ügyfélkonfigurációs fájl parancsot:

Ez a parancsnak be kell állítania a kapcsolatot a VPN-hez.

iOS

Telepítés

Keressen egy OpenVPN Connect alkalmazást az iTunes App Store alkalmazásban, az OpenVPN hivatalos ügyfél az iOS számára, és telepítse azt. Az iOS kliens konfigurációjának áthelyezéséhez csatlakoztassa közvetlenül a számítógéphez.

Az iTunes használatával történő átvitel befejezésének folyamata itt található. Nyissa meg az iTunes-t a számítógépen, és kattintson iPhone Alkalmazások. Lapozzunk a szakaszhoz Fájlok megosztása és kattintson a OpenVPN kérelem. Üres ablak jobb oldalán OpenVPN dokumentumok Megosztására tervezték fájlok. Húzza a fájlt az OpenVPN dokumentumok ablakot.

Fuss az OpenVPN alkalmazást az iPhone. Ön kap egy értesítést, hogy az új profil kész importálni. Nyomja meg a zöld plusz ikonra importálni.

Kapcsolat

Függelék OpenVPN használatra kész az új profil. Telepítse a kapcsolatot azáltal, hogy a gomb Összekapcsol A rendeletben Tartalmazza. Hogy kikapcsolja, mozgassa meg ugyanazt a gombot a helyzetbe KI.

jegyzet. Kapcsoljuk VPN szakaszban Beállítások Nem tudja használni csatlakozni VPN. Ha megpróbálja ezt, akkor kap egy értesítést, hogy kell használni a OpenVPN alkalmazást.

Android

Telepítés

Nyissa meg a Google Play Áruház alkalmazást. Találja meg az Android OpenVPN Connect alkalmazás, a OpenVPN hivatalos kliens alkalmazás az Android, és telepítse.

Tudod mozgatni a profil összekapcsolásával az Android készüléket a számítógéphez az USB interfészen keresztül, és a fájl másolása. Ha SD csatlakozója van a számítógépen, eltávolíthatunk egy SD kártyát az eszközről, másolhatunk egy profilt, és helyezze vissza a térképet az Android-eszközre.

Futtassa az OpenVPN alkalmazást, és kattintson a menüre a profil importálásához.

Ezután menjen a mentett profil helyére (a képernyő helyét használják) és válassza a Fájl lehetőséget. Az alkalmazás megmutatja, hogy a profilt importálják.

Kapcsolat

Csatlakozás, csak kattintson Összekapcsol. Meg kell jelölnie, hogy megbízik az OpenVPN alkalmazásban. Kattintás RENDBEN, Kapcsolat létrehozása. A VPN-ből való leválasztáshoz lépjen vissza az OpenVPN alkalmazáshoz, és válassza ki Letilt.

11. lépés — A VPN-kapcsolat tesztelése (opcionális)

jegyzet. Ez a VPN kapcsolatvizsgálati módszer csak akkor működik, ha az 5. lépésben a VPN-en keresztül konfigurálja az összes forgalom átirányítását.

Miután a telepítés befejeződött, egy egyszerű csekket kell költenie, hogy minden rendben működik-e. Ne aktiválja a VPN-kapcsolat, nyissa meg a böngészőt, és lépjen a DnsleakTest.

Az oldalon megjelenik az IP-cím által kijelölt az Internet szolgáltató és prominens a világ többi része. Hogy ellenőrizze a DNS-beállításokat át ugyanazon a helyszínen, kattintson Részletes teszt, és látni fogja, melyik DNS-kiszolgálók használata.

Most csatlakoztassa az OpenVPN kliens a VPN-kiszolgáló és frissítse a böngészőt. Látni fogja, egy teljesen más IP-címet (címét VPN szerver), és ez a cím, amely látható lesz a világ többi része. Tehát a DnsleakTest alkalmazás szolgáltatás Részletes teszt Ellenőrizze a DNS-beállításokat, és megerősíti, hogy a DNS-t használ beállítások által megadott VPN.

12. lépés — felülvizsgálata Customer tanúsítások

Néha előfordulhat, hogy vissza kell vonni az ügyfél tanúsítványt, hogy megakadályozzák a további hozzáférést az OpenVPN szerver.

Ehhez menj a EasyrSa könyvtárat a CA számítógép:

Ezután futtassa a szkriptet az opcióval, majd adja meg az ügyfél nevét, amelyre visszavonni szeretné a tanúsítványt:

A rendszer kéri, hogy erősítse meg a visszajelzési tanúsítványt. Belép:

A CA megerősítése után az ügyfélbizonyítvány teljesen teljesen reagál. Az OpenVPN-kiszolgáló jelenlegi időpontjában azonban nem tudja ellenőrizni, hogy az ügyfelek tanúsítványai visszavonják-e, és minden ügyfél hozzáférést biztosít a VPN hálózathoz. A probléma megoldásához létre kell hoznia egy CA-listát a CA számítógépen (CRL):

Ez a parancs létrehoz egy fájlt . Végezze el a fájl biztonságos mozgását az OpenVPN szerverre:

Az OpenVPN-kiszolgálón másolja a fájlt a könyvtárba:

Ezután nyissa meg az OpenVPN szerver konfigurációs fájlt:

Adjon hozzá egy opciót a fájl végén, hogy az OpenVPN-kiszolgáló ellenőrzi az általunk létrehozott tanúsítvány visszavonási listáját minden egyes kapcsolat kísérletnél:

/ etc / OpenVPN / Server.Conf

Mentse és zárja be a fájlt.

Indítsa újra az OpenVPN-t a tanúsítvány visszajelzéseinek befejezéséhez:

Az ügyfél többé nem tud csatlakozni a szerverhez a régi hitelesítő adatok használatával.

A más ügyfelekhez való hozzáférés megtiltása érdekében ismételje meg ezt az eljárást:

  1. A Review Certificate használt csapat .
  2. Hozzon létre egy új listát a CRL-ről
  3. Mozgassa az új fájlt az OpenVPN-kiszolgálóra, és másolja át a könyvtárba, hogy felülírja a régi listát.
  4. Indítsa újra az OpenVPN szolgáltatást.

Ezzel az eljárással visszavonhat minden olyan tanúsítványt, amelyet korábban kiadtak a kiszolgálóhoz.

Következtetés

Most biztonságosan használhatja az internetet azáltal, hogy megvédi az Ön személyiségét és helyét és forgalmát a cipők és a cenzorok. Ha már nem kell tanúsítványokat kiadnia, kapcsolja ki a CA számítógépét, vagy húzza ki az internetről, amíg hozzá kell adnia vagy visszavonnia a tanúsítványt. Nem adja meg a támadókat, hogy hozzáférjenek a VPN-hez.

Más ügyfélrendszerek konfigurálásához meg kell ismételnie lépéseket 4 és 9-11 Minden további eszköz esetében. Az ügyfélrendszerekhez való hozzáférés megtiltása érdekében kövesse az utasításokat a lépésben 12.

Комментарии закрыты, но обратные ссылки и pingbacks ещё работают.