Instalați și configurați serverul openvpn pe debian

Instrucțiuni de instalare și configurare pentru serverul OpenVPN bazat pe distribuția Linux-Debian 8 Jessie.

OpenVPN necesită suport pentru interfața TUN / TAP pe server. Dacă instalați OpenVPN pe o mașină fizică sau utilizați virtualizarea KVM, aceasta nu ar trebui să fie o problemă.






În cazul utilizării OpenVZ, este necesar să activați suportul TUN / TAP în setările containerului.

Verificăm suportul din interfețele de sistem tun / tap:

Clienții vor utiliza autentificarea cheie pe server. Pentru aceasta, creați un director în care vor fi copiate cheile generate:

Și copiem utilitățile și config-urile pentru a lucra cu tastele:

accesați directorul creat:

În fișierul vars, puteți configura setările pentru chei și certificate. Acest element este opțional și îl puteți ignora dacă doriți.

Schimbăm (la alegere) următoarele rânduri:

Restul este lăsat implicit.

După editarea vars, inițializați variabilele și ștergeți directorul keys / server din vechile certificate și chei:

Crearea de certificate

Creați un certificat rădăcină:

Generați certificate server și client:

Pentru fiecare client, trebuie generate chei separate.

Generăm cheia Diffie-Hellman:

Creăm o cheie pentru autentificarea tls:

Toate certificatele și cheile generate sunt localizate în / etc / openvpn / easy-rsa / keys /
Copiem certificatele și cheile serverului în directorul OpenVPN:

Următoarele chei și certificate trebuie copiate în mașina client client OpenVPN:

client1.crt
client1.key
ca.crt
ta.key

Pentru a înțelege scopul și locația fișierelor corespunzătoare, am făcut o masă mică:

Configurarea serverului OpenVPN

Un exemplu de fișier de configurare OpenVPN este localizat în directorul /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz. copiați și despachetați-l în / etc / openvpn:

# cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz / etc / openvpn /
# gzip -d /etc/openvpn/server.conf.gz

În funcție de necesități, modificăm setările serverului OpenVPN:

Iată configurația mea:

Astfel, gateway-ul implicit pentru clienți este serverul OpenVPN.

Creați un director pentru setările clientului și reporniți serverul:

După ce configurarea OpenVPN este finalizată, reporniți serverul:

În cazul inițierii cu succes a OpenVPN, o nouă interfață tun0 ar trebui să apară în sistem:

Prezența acestei interfețe înseamnă că OpenVPN rulează și rulează. Dacă dintr-un anumit motiv nu apare, atunci ne uităm la fișierul de jurnal pentru erori:

Configurarea rutei pentru clienții OpenVPN

După conectarea clientului la serverul OpenVPN, dacă acesta (clientul) se află în rețeaua locală, trebuie să configurați suplimentar rutarea pentru accesarea resurselor în rețea. Pentru a face acest lucru, creați un fișier în directorul ccd cu același nume de chei client:

Adăugați în fișier următorii parametri:

Prima linie adaugă o rută către rețeaua locală a clientului. Pur și simplu, îi spune clientului OpenVPN să "meargă" în rețeaua 192.168.2.0 prin serverul OpenVPN. Dacă locația dvs. este asociată cu altă subrețea, trebuie să fie specificată și ea.

A doua linie specifică serverul DNS care va fi folosit după conectare (Dacă nu există niciun server DNS în rețeaua locală, puteți specifica ns de la Google - 8.8.8.8 sau nu specificați deloc.

Activați NAT pe serverul OpenVPN

Pentru a utiliza OpenVPN pentru a accesa Internetul, trebuie să fie setată o regulă pe server pentru rutarea traficului de la rețeaua OpenVPN la rețeaua locală sau la rețeaua ISP și înapoi.

Aplicați modificările (încărcați variabilele kernelului):

Nu uitați să prescrieți regulile iptables. Trebuie să permitem clienților din subrețeaua 10.10.10.0/24 să acceseze Internetul, să le permită să primească pachete de pe Internet și să sări peste traficul clienților prin NAT.

În prima linie, permitem redirecționarea pachetelor pe interfața tun0.
A doua linie permite redirecționarea de la tun0 la eth0.
În al treilea rând, permitem formularea de la eth0 la tun0.

Înlocuiți eth0 cu numele interfeței externe. Trebuie remarcat faptul că MASQUEADE creează o sarcină pe procesor. Prin urmare, este de preferat utilizarea SNAT:

Salvați regulile și adăugați-le la pornire:

Configurarea clientului OpenVPN

Dacă OpenVPN nu este instalat, instalați-l:

Copiați următoarele chei și certificate pe computerul client:

Apoi îi transferăm în directorul OpenVPN - / etc / openvpn /

Copiați și despachetați fișierul de configurare a eșantionului în conținutul directorului OpenVPN:

și editați-l:

Adăugați următorii parametri în conținutul fișierului:

Pentru mașinile Windows, trebuie să puneți fișierul client.ovpn în directorul:

Protocolul, opțiunile de criptare și compresie pentru client și server trebuie să fie aceleași.

În acest moment, instalarea Debian OpenVPN este finalizată, verificăm capacitatea de lucru:

Ne conectăm de la client la serverul OpenVPN. și ping OpenVPN-server:

Dacă ping-ul trece, atunci totul este bine, dacă nu, atunci uita-te la jurnale și verificați setările de rutare.

P.S. Dacă aveți o adresă IP dinamică pe server, puteți utiliza scriptul de înlocuire IP în configurația OpenVPN. și apoi trimiteți-l prin e-mail.

Articole similare

• Instalarea și configurarea serverului openvpn în ajutorul debian-debian

• Configurarea de bază a serverului web pe debian și instalarea drupal

• Configurarea serverului pptp în Debian

Trimiteți-le prietenilor: