Acest manual va descrie modul de instalare și configurare a instrumentului OpenVPN pe un server virtual care rulează CentOS 7. OpenVPN este un produs software open source pentru crearea rețelelor private virtuale și conectarea la acestea prin intermediul canalelor Internet deschise.
Înainte de a începe, trebuie să instalați pachete suplimentare din magazia Enterprise Linux (EPEL). Acest lucru este necesar deoarece OpenVPN nu este disponibil în CentOS în mod implicit. Depozitul EPEL este gestionat de comunitatea proiectului Fedora și conține CentOS non-standard, dar pachete populare de aplicații.
yum instala epel-eliberare
Pasul 1: Instalați pachetul OpenVPN
Mai întâi de toate, trebuie să instalați OpenVPN. De asemenea, vom instala instrumentul Easy RSA - acesta va fi folosit pentru a crea perechi de chei SSL care vor asigura securitatea conexiunilor VPN.
yum instala openvpn easy-rsa -y
Pasul 2: configurarea serviciului
Directorul de documentație OpenVPN conține fișiere cu configurații de testare ale programului. Copiați fișierul server.conf - pe baza acestuia vom crea o configurație proprie.
cp /usr/share/doc/openvpn-*/sample/sample-config-files/server.conf / etc / openvpn
Acum deschideți-l pentru editare:
Aici trebuie să faceți unele modificări. Când vom genera mai târziu cheile din programul Easy RSA, dimensiunea lor va fi în mod implicit 2048 de octeți, deci asigurați-vă că valoarea corespunzătoare este specificată în fișierul de setări. Trebuie să modificați numele fișierului dh la dh2048.pem:
- Testarea gratuită
- Costul de la 0,4 ruble pe oră
- Trafic nelimitat
Apoi trebuie să specificați serverele DNS, deoarece aplicațiile client nu vor putea să utilizeze serverele ISP-ului. Cea mai logică cale este să utilizați serverele DNS publice 8.8.8.8 și 8.8.4.4.
împingeți "dhcp-option DNS 8.8.8.8"
împingeți "dhcp-option DNS 8.8.4.4"
utilizator nimeni nu utilizatorul nimeni
nu face nimeni nimeni
Apoi trebuie să salvați fișierul și să îl părăsiți.
Pasul # 3: Crearea cheilor și a certificatelor
După ce ați terminat de lucru cu fișierul de configurare, trebuie să creați chei și certificate. Pachetul Easy RSA include scripturi, cu care poți să o faci.
Creați directorul în care vor fi stocate cheile:
mkdir -p / etc / openvpn / easy-rsa / chei
În acest director trebuie să copiați scripturile pentru a genera cheile și certificatele:
cp -rf /usr/share/easy-rsa/2.0/* / etc / openvpn / easy-rsa
Pentru a optimiza viitoarea lucrare cu OpenVPN, puteți modifica scripturile de generare oarecum, astfel încât să nu introduceți aceleași valori de fiecare dată. Informațiile necesare sunt stocate în fișierul vars. așa că haideți să o editați:
Vom schimba liniile care încep cu KEY_. Acestea ar trebui să includă detaliile companiei dvs. Parametrii cei mai importanți sunt:
- KEY_NAME: Trebuie specificată valoarea serverului. altfel va trebui să faceți modificări în fișierele de configurare care menționează server.key și server.crt.
- KEY_CN: aici este necesar să scrieți un domeniu sau un subdomeniu care să indice către serverul dvs.
În câmpurile rămase puteți introduce informații despre companie:
# Acestea sunt valorile implicite pentru câmpuri
# care vor fi plasate în certificat.
# Nu lăsați niciunul din aceste câmpuri.
export KEY_COUNTRY = "RU"
export KEY_PROVINCE = "Moscova"
export KEY_CITY = "Moscova"
export KEY_ORG = "OOO Romashka"
export KEY_EMAIL = "[email protected]"
export KEY_OU = "Comunitate"
# Câmpul tematic X509
export KEY_NAME = "server"
De asemenea, ar trebui să împiedicați încărcarea configurației SSL din cauza incapacității de a determina versiunea programului. Pentru a copia fișierul de configurare necesar și a elimina numărul de versiune din nume:
cp /etc/openvpn/easy-rsa/openssl-1.0.0.cnf /etc/openvpn/easy-rsa/openssl.cnf
Acum creați cheile și certificatele. Pentru a face acest lucru, mergeți la directorul easy-rsa și rulați comanda sursă pentru noile variabile:
cd / etc / openvpn / easy-rsa
sursă ./vars
Apoi trebuie să ștergeți toate versiunile anterioare de chei și certificate care pot fi conținute în acest director:
Indicăm informații despre organizația care a emis certificatul:
Sistemul va pune câteva întrebări, dar din moment ce am introdus deja datele necesare în fișierul de configurare, puteți apăsa pur și simplu tasta Enter în loc de răspuns.
Acum trebuie să generați un certificat cheie și un certificat de server. Din nou, puteți apăsa doar tasta Enter ca răspuns la întrebările de sistem. Pentru a salva datele, la sfârșitul procedurii, apăsați Y (da).
De asemenea, trebuie să generați un fișier de schimb utilizând algoritmul Diffie-Hellman. Procesul poate dura câteva minute:
Generează cheia suplimentară ta.key.
openvpn --genkey --secret /etc/openvpn/easy-rsa/keys/ta.key
Acum copiem certificatele și cheile create în directorul OpenVPN.
cd / etc / openvpn / easy-rsa / chei
cp dh2048.pem ca.crt server.crt server.key ta.key / etc / openvpn
Toate aplicațiile client pentru comunicare vor avea nevoie, de asemenea, de aceste chei și certificate. Este mai bine să creați chei separate pentru fiecare aplicație de utilizator și să le oferiți nume descriptive cheilor. Acum luăm în considerare situația cu un singur client, așa că o numim client:
cd / etc / openvpn / easy-rsa
./ build-key client
Pasul 4: Rutarea
Pentru a simplifica configurația, vom efectua toate manipulările cu firewall-ul standard iptables. nu un nou instrument de firewallcd.
În primul rând, trebuie să vă asigurați că serviciul iptables este instalat și activat.
yum instalați iptables-services -y
sistemactl masca firewall
systemctl permite iptables
sistem de oprire firewall
sistemctl începe iptables
iptables - flush
Apoi, ar trebui să adăugați la iptables regula că conexiunile vor fi direcționate către subnetul OpenVPN creat:
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
iptables-save> / etc / sysconfig / iptables
Activați redirecționarea IP în sysctl prin editarea fișierului sysctl.conf pentru editare:
În partea de sus, adăugați următoarea linie:
Reporniți serviciul de rețea pentru a aplica modificările:
restart de rețea
Pasul 5: Lansați OpenVPN
Acum totul este gata pentru a începe OpenVPN. Adăugați acest serviciu la systemctl:
systemctl -f activa [email protected]
Aceasta completează configurația de pe server. Vom configura conexiunea din partea clientului.
Pasul 6: Configurați clientul
Indiferent de sistemul de operare instalat pe dispozitivul client, cheile și certificatele generate pe server vor fi totuși obligate să se conecteze la server.
Certificatele cerute (în cazul clientului "client") sunt stocate în directorul / easy-rsa:
/etc/openvpn/easy-rsa/keys/ca.crt
/etc/openvpn/easy-rsa/keys/client.crt
/etc/openvpn/easy-rsa/keys/client.key
client
dev tun
proto udp
remote your_server_ip 1194
resolv-retry infinit
nobind
persistă-cheie
persistă-tun
comp-LZO
verb 3
ca / calea / către / ca.crt
cert /path/to/client.crt
cheie /path/to/client.key
Acum puteți utiliza acest fișier pentru a vă conecta la server.
Conectarea de pe un computer Windows:
Descărcați versiunea oficială a fișierelor binare OpenVPN Community Edition cu o interfață grafică de utilizator.
Deplasăm fișierul .ppn în directorul C: \ Program Files \ OpenVPN \ config. apoi faceți clic pe Conectare în GUI OpenVPN.
Pentru conectare, puteți utiliza instrumentul open-source Tunnelblick. Deplasați fișierul .ovpn în director
/ Library / Support Application / Tunnelblick / Configurations sau faceți clic pe acest fișier.
Pe Linux, trebuie să instalați OpenVPN din depozitele oficiale ale unei anumite distribuții. Apoi rulați-o cu comanda:
sudo openvpn --config
Asta e tot. Acum avem o rețea virtuală privată, complet funcțională, cu serverul nostru OpenVPN pe CentOS 7 VPN.
P. S. Alte instrucțiuni:
Evaluare medie: 5.0. estimare totală: 21 Vă mulțumim pentru evaluarea dvs.! Din păcate, nu a funcționat. Încercați din nou mai târziu.
191014 St. Petersburg ул. Kirochnaya, 9
191014 St. Petersburg ул. Kirochnaya, 9
Articole similare
Trimiteți-le prietenilor: