OpenVPN institutionem et configurationem in CentOS

N
Netooze
September 26, 2019

Dux ad constituendum necnon OpenVPN figurans in servo currenti Ubuntu praesto est ad interretam Link. Considera initum OpenVPN in servo currens CentOS7.

OpenVPN aperta resource application programmatis protocolli VPN exsequendi est. Proprium notae huius item capacitas encryptas creandi est, dum supplicia sunt multum os prominentes, inclusa systemata mobilia.

Proprietas repositorii CentOS est quod OpenVPN in eo non consistit. Nihilominus haec sarcina acquiri potest utendo repositorium EPEL (Venture Linux) quod a Project Fedora administratur. Ex hoc reposito obiter consequi potes varias alias sarcinas quae in repositorio fundamentali non sunt. Montem cum imperio;

yum install epel-release

Initium installing OpenVPN. Inaugurari sarcina:

yum install openvpn easy-rsa -y

Sit scriptor satus cum servo constituens. Effingo server.conf:

cp /usr/share/doc/openvpn-*/sample/sample-config-files/server.conf /etc/openvpn/

Necesse est attendere ad "*". Ita ut instituere conatus est, programma versionis cum asterisco mutari potest. Si plures essent conatus validi, cursus documentorum omnino definire debeas.

Antequam claves generare, paucas mutationes in file configurationis servo faciamus. 

Open server.conf with any editor.

nano /etc/openvpn/server.conf

Reperio lineam "Diffie hellman parametri." et quaerens;

dh dh2048.pem

Quod si ita est, nullae mutationes faciendae sunt. Novae versionis consilii nugatio est quod bona nunc criterio respondeant. In vetustioribus codicibus simpliciter est "dh". Nos, ut diximus, evocamus.

Proximum off, quaere lineam "# Fenestrae speciales retiacula specialia". alterum ex altero infra (eximito semicolon (; -RRB- in initio lineae). Spectare debet aliquid tale ut hoc: .

push "dhcp-option DNS 8.8.8.8"

Distributorium interretialem DNS denotare potes, si praelatus est. Etiam, secundam lineam insculpere potes ut DNS jocus servientis etiam clientibus praeterire possis.

Pro servo securitatis, a nemine usore et a globo nostro vagabimur. Sit lineae nota: .

user nobody

group nobody

Incipiamus creare libellorum.

Sarcina facilia antea inaugurata utens, claves clientium ministrantium creabimus.

Facere directorium in quo claves collocabuntur;

mkdir -p /etc/openvpn/easy-rsa/keys

Effingo scripta ad facilem nuper creatum directorium:

cp -r /usr/share/easy-rsa/3.0/* /etc/openvpn/easy-rsa

Vade ad /etc/openvpn/facilem-rsa/3/ directorium et creo vars script

cd /etc/openvpn/facilis-rsa/

nano vars

Maximus! Versio facili-rsa potest esse diversa, et ideo via aptanda erit.

Sequentes lineas ad fasciculum apertum adde:

set_var EASYRSA                 "$PWD"

set_var EASYRSA_PKI             "$EASYRSA/pki"

set_var EASYRSA_DN              "cn_only"

set_var EASYRSA_REQ_COUNTRY     "RU"

set_var EASYRSA_REQ_PROVINCE    "Moscow"

set_var EASYRSA_REQ_CITY        "Moscow"

set_var EASYRSA_REQ_ORG         "MyOrg"

set_var EASYRSA_REQ_EMAIL       "openvpn@mydomain.net"

set_var EASYRSA_REQ_OU          "CA"

set_var EASYRSA_KEY_SIZE        2048

set_var EASYRSA_ALGO            rsa

set_var EASYRSA_CA_EXPIRE       7500

set_var EASYRSA_CERT_EXPIRE     365

set_var EASYRSA_NS_SUPPORT      "no"

set_var EASYRSA_NS_COMMENT      "CERTIFICATE AUTHORITY"

set_var EASYRSA_EXT_DIR         "$EASYRSA/x509-types"

set_var EASYRSA_SSL_CONF        "$EASYRSA/openssl-1.0.cnf"

set_var EASYRSA_DIGEST          "sha256"

Serva tabella et claude editorem.

Supplicium file patitur:

chmod +x vars

Initialize directorium PKI et CA libellum crea:

./easyrsa init-pki

./easyrsa build-ca

Maximus! Cum libellum CA evolvit, scriptum certe rogabit te ut in tessera minimum 4 personarum accipias. In tesseram abiit meminisse oportet.

Clavem servo crea.

./easyrsa gen-req server nopass

Si proprietatem "nopass" non definis, tunc dolum creans, scriptum certe tesseram postulabit.

Subscribit servo libellum:

./easyrsa sign-req server server

Prima actio manuscripti in fiduciae nostrae rationem accipiet, respondemus "Amo". Tunc certe tesseram postulabit quae cum certificatione CA enucleat definita est.

Reprehendo si libellum signatum est:

openssl verify -CAfile pki/ca.crt pki/issued/ server.crt

Clavis ta.key servo additional generare:

openvpn --genkey --secret /etc/openvpn/easy-rsa/keys/ta.key

Usor libellorum.

Processus certificatorium usoris creandi idem est ad libellum servo creando.

1. crea sine password praesidium:

./easyrsa gen-req client01 nopass

2. libellum nos subscribere:

./easyrsa sign-req client client01

Subscriptio 3. Reprehendo:

openssl verify -CAfile pki/ca.crt pki/issued/client01.crt

Diffie-Hellman.

Creare libellum:

./easyrsa gen-dh

Quo fit, ut dh.pem lima creabitur, & in config dh2048.pem. Posterius illud nominabimus, claves describentes.

Translatio libellorum.

Effingo servo lima key. Ad hoc faciendum consequenter facimus;

cp pki/ca.crt /etc/openvpn/

cp pki/issued/server.crt /etc/openvpn/

cp pki/private/server.key /etc/openvpn/

cp /etc/openvpn/easy-rsa/keys/ta.key /etc/openvpn/

Exemplar clientis claves:

cp pki/ca.crt /etc/openvpn/client/

cp pki/issued/client01.crt /etc/openvpn/client/

cp pki/private/client01.key /etc/openvpn/client/

Effingo Diffie-Hellman clavem file:

cp pki/dh.pem /etc/openvpn/dh2048.pem

Maximus! Scopum electronicum consulto mutatum est ut nomen in config aequaret.

Erexit, excitavit.

Ut acceleraretur setup, opus fiet cum iptables et non cum FirewallD. Nos continue exequi;

yum install iptables-services -y

systemctl mask firewalld

systemctl enable iptables

systemctl stop firewalld

systemctl start iptables

iptables --flush

Priusquam amplius configurationem, nomina interfaces utentes praecepto consideres;

ifconfig -a

Regula ad NAT:

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o <имя_интерфейса> -j MASQUERADE

iptables-save > /etc/sysconfig/iptables

Quod, sicut exempli gratia:

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

iptables-save > /etc/sysconfig/iptables

Patitur fasciculum procuret inter network interfaces. Ad hoc faciendum, systema fasciculi sysctl.conf edit:

nano /etc/sysctl.conf

Linea inserere in principio tabellae:

net.ipv4.ip_forward = 1

Serva tabella, claude editorem et servitium retiacula sileo cum mandato:

systemctl restart network.service

Committitur OpenVPN servo.

Primum addamus officium incipiendi:

systemctl -f enable openvpn@server.service

Satus OpenVPN:

openvpn /etc/openvpn/server.conf

Lorem setup.

Servo configuratur, clientem configurare restat ut coniungere possit.

Neglegens OS uteris, mobilis esto, servi vel domus versionum, Linux vel Fenestra, semper 4 fasciculi egent:

  • ca.crt;
  • client.crt;
  • client.key;
  • client.ovpn

Prima 3 tabulae in indice /etc/openvpn/client/ et client.ovpn creandae sunt. Hoc ut facias, vade in indicem ubi omnes claves clientis sitae sunt;

cd  /etc/openvpn/client/

Faciamus lima:

nano client.ovpn

Imple cum sequenti contentus:

client

dev tun

proto udp

remote <IP_ADDRESS> 1194

resolv-retry infinite

nobind

persist-key

persist-tun

comp-lzo

verb 3

ca ca.crt

cert client01.crt

key client01.key

Loco IP_ADDRESS inserimus inscriptionis IP inscriptionem vel nominis eius domain. Serva tabella cum Ctrl + X et editorem claude.

Documenta ad clientem transfermus. Id fieri potest, exempli gratia, per SFTP seu archivum indicem ac per "da" id per interretialem server.

Clientem xxxvi.

Secundum ratio operativa, depone institutionem fasciculi vel e promptuario instituendi. Etiam ut OpenVPN ex rutrum .

Fenestra:

Pro computers currentibus Fenestra, productum distributionem ex officiali situ deponi debetis, inde "quattuor fasciculi" in folder C: Programma FilesOpenVPNconfig debent.

Postquam OpenVPN GUI deductis, programma icon in lance systematis patebit. Deprimamus eam cum musculo dextro puga, lego Iungo (connect).

MacOS:

OpenVPN pro MacOS aliquanto magis implicatus est. Instrumento aperto-fontis uti debes Tunnelblick. Claves et fasciculus configurationis in ~/Library/Applicationi/Tunnelblick/figurationes collocandae sunt. Vel duplices cliccum in lima configuratione.

Linux:

Ex promptuario instituere debes.

Debian / Ubuntu:

apt-get install openvpn

Centos/OpenSUSE/Fedora:

yum install openvpn -y

Post institutionem, vade ad folder ubi configuratio clavium sita est et mandatum currite:

sudo openvpn --config client.ovpn

Ad reprimendam operationem ministri, aliquem ex locis utere debes qui tuam IP inscriptionem ostendes.

Satus nubes iter tuum? Primum gradum nunc accipe.