Slik ruller du din egen OpenVPN-server på en VPS – del 2

Del 2 - avansert

I del 1 av denne to-delte guiden for å sette opp OpenVPN på en CentO6 VPS-server, så vi på hvorfor du kanskje vil gjøre dette, og fordeler og ulemper med å gjøre det. Vi ga også trinn-for-trinn-instruksjoner for å installere OpenVPN Access Server-programvare på din VPS, og hvordan du oppretter en enkel VPN-tilkobling ved å bruke OpenVPN Connect-klienten.

I del 2 (avansert) skal vi utforske hvordan du kan forbedre sikkerheten ved å endre chifferen som brukes, hvordan lage et selvsignert OpenVPN CA-sertifikat, hvordan lage en OpenVPN .ovpn-konfigurasjonsfil slik at enhver OpenVPN-klient kan brukes til å koble til serveren din, og hvordan du legger til flere brukere.

For disse opplæringsprogrammene har vi valgt å bruke OpenVPN Access Server-programvare, som er forskjellig fra OpenVPN Server. OpenVPN Access Server er designet for å være mer brukervennlig enn OpenVPN Server, og lar deg utføre mange ellers kompliserte oppgaver ved hjelp av en enkel GUI. Den eneste virkelige ulempen er at en lisens må kjøpes for mer enn to brukere (starter på $ 9,60 / år per klientforbindelse). Siden denne opplæringen er rettet mot hjemmebrukeren å bygge en personlig DIY ekstern OpenVPN-server, anser vi ikke dette som en stor ulempe.

Endre krypteringskryptering

Dette er enkelt! Som standard bruker OpenVPN 128-biters Blowfish Cipher-Block Chaining (BF-CBC) -kryptering. Selv om det er mer enn tilstrekkelig for de fleste formål, eksisterer svakhet i den som har ført til at selv Blowfish-chifferens skaper, Bruce Schneier, anbefaler brukere å velge et sikrere alternativ.

Som vi har diskutert tidligere, vil vi gjerne se at kommersielle VPN-leverandører beveger seg bort fra NIST opprettede og / eller sertifiserte krypteringsalgoritmer, men dessverre støtter ikke OpenVPN på dette tidspunktet våre favorittalternativer - Twofish og Threefish. De fleste kommersielle leverandører har i stedet byttet til 256-bit AES som standard, ettersom dette er den kodingen som brukes av den amerikanske regjeringen for å kryptere sensitiv informasjon.

1. Åpne OpenVPN Access Server-siden (ved å gå til Admin UI-adressen, som omtalt i del 1 av denne guiden), gå til 'Avansert VPN-side'.

Avanserte innstillinger

2. Bla ned til ‘Ekstra OpenVPN-konfigurasjonsdirektiver (avansert)’, og legg til følgende linje i både ‘Serverkonfigurasjonsdirektiver’ og ‘klientkonfigurasjonsdirektiver’:

chiffer

f.eks. chiffer AES-256-CBC

Avanserte VPN-innstillinger

Treff ‘Lagre endringer’.

Deretter 'Oppdater kjører server' når du blir bedt om det.

oppdater server

OpenVPN støtter følgende sifre:

DES-CBC (Data Encryption Standard - 56-bits nøkkel, nå ansett som usikker)
DES-EDE3-CBC (også Triple DES eller 3DES - øker nøkkelstørrelsen på DES)
BF-CBC (Blowfish)
AES-128-CBC (Advanced Encryption Standard)
AES-192-CBC
AES-256-CBC
Camellia-128-CBC (Camellia)
Camellia-192-CBC
Camellia-256-CBC

Hvordan bygge et OpenVPN-sertifikat

OpenVPN Connect gjør livet enkelt ved å opprette et gyldig CA-sertifikat for deg, slik at du ikke trenger å gjøre dette selv. Imidlertid, hvis du ønsker å opprette ditt eget selvsignerte sertifikat, følger du trinnene nedenfor (du kan også følge trinn 1 og 2 for å opprette en sertifikatsigneringsforespørsel (CSR)), som kan sendes til en kommersiell sertifikatmyndighet (CA) for signering hvis du ønsker det.)

1. De nødvendige SSL-bibliotekene bør allerede være installert på systemet ditt fra da du installerte OpenVPN Access Server i del 1, men du bør sjekke ved å angi følgende kommando:

openssl versjon

CSR1

Hvis de ikke gjør det, kan du få dem til å gå inn ved å gå inn:

apt-get install openssl (sjekk deretter på nytt at de er installert som over).

2. Det er nå på tide å bygge sertifikatet. Vi vil først bygge en sertifikatsigneringsforespørsel (CSR). Dette kan sendes til en sertifikatmyndighet (CA) for signering, men i denne opplæringen vil vi konvertere det til et selvsignert CA-sertifikat.

Tast inn:

openssl req -out server.csr -new -newkey rsa: 2048 -noder -keyout server.key

Svaret vil være en rekke spørsmål:

Landsnavn (to bokstavkoder): (bokstavkoder tilgjengelig her)
Staten eller Provence Navn:
By:
Orgnavn:
Org Name Unit: (f.eks. IT-støtte)
Vanlig navn: (nøyaktig navn på domenet eller DNS-navnet på VPS)
Epostadresse:

Pluss ‘ekstra’ attributter -

Et utfordringspassord:
Et valgfritt firmanavn:

csr3

Disse bør fylles ut hvis du planlegger å sende inn CSR til en kommersiell sertifikatmyndighet (CA), men i denne opplæringsformålet kan du bare trykke for at hver enkelt skal la feltene være tomme.

3. Vi skal nå ha to filer i rotkatalogen din, kalt server.csr og server.key. Vi vil bruke disse til å lage et selvsignert CA-sertifikat. Type:

cp server.key server.key.org

openssl rsa -in server.key.org -out server.key og

openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

csr4

Vi skal nå ha 3 filer: Server.key, Server.crt og Server.csr (angi dir for å se innholdet i den gjeldende katalogen).

Installere det nye CA-sertifikatet

4. Last ned disse filene til PCen din ved hjelp av en ftp-klient (vi brukte FOSS WinSCP), installer dem deretter i OpenVPN Access Server ved å gå til 'Web Server' -siden (under 'Configuration' til venstre på siden), og Bla gjennom til følgende filer:

  • CA Bundle: server.crt
  • Sertifikat: server.crt
  • Privat nøkkel: server.key

Installerer CA1

5. Trykk på ‘Validate’, bla deretter til toppen av siden - ‘Validation Results’ skal si ‘selvsignert sertifikat’ og vise informasjonen du skrev inn i trinn 2 ovenfor. Sertifikatet er gyldig i 1 år.

Installerer CA2

6. Bla nå ned til bunnen av websiden og trykk "Lagre", og deretter "Oppdater kjører server" i dialogboksen "Innstillinger endret".

oppdater server

Du har nå validert OpenVPN-serveren med et selvsignert CA-sertifikat!

Oppretter en .ovpn-fil

Noe av det som er bra med å bruke OpenVPN Access Server, er at den gjør mye av det tunge løftet for deg, og noe av det mest nyttige det gjør er å generere .ovpn OpenVPN-konfigurasjonsfiler automatisk slik at enhver OpenVPN-klient kan koble seg til serveren din..
1. Logg inn på klientens UI-adresse (ikke Admin UI). Når du ser skjermbildet for automatisk nedlasting (nedenfor), kan du oppdatere nettleseren.

openvpn-klientpålogging 2

2. Du vil nå bli tilbudt et utvalg av nedlastingsvalg. Velg ‘Yourself (bruker-låst profil)’ eller ‘Yourself (autologin profile)’ (hvis tilgjengelig - må du konfigurere dette - se ‘Legge til andre brukere nedenfor’).

Last ned ovpn-fil

3. Importer den nedlastede .ovpn-filen til OpenVPN-klienten som normalt (for standard Widows OpenVPN-klient, bare kopier filen til OpenVPN ‘config’ -mappen). .Ovpn kan omdøpes til hva du måtte ønske for å hjelpe deg med å identifisere den. Logg deretter inn som normalt.

Ny bruker autologin

Legger til andre brukere

1. Flere brukere kan legges til ved hjelp av OpenVPN Access Server Admin-panelet ved å gå til 'Brukertillatelser'.

Brukertillatelser

Hvis du bare planlegger å få tilgang til OpenVPN-serveren fra et sikkert sted, kan du forenkle påloggingen ved å velge "Tillat automatisk pålogging"

Den grunnleggende gratis OpenVPN Access Server-lisensen tillater opptil to klientforbindelser. Når vi konfigurerte VPN-serveren vår, var alternativet for å legge til en ny bruker allerede tilgjengelig. Hvis dette alternativet imidlertid ikke vises (eller du har kjøpt en gruppelisens og ønsker å legge til flere brukere), må du legge dem til (opp til lisensbegrensningen) manuelt ved å legge inn kommandoen '# adduser' i PuTTY ( eller terminal ect.). Vennligst referer til denne artikkelen for mer informasjon.

Når du har lagt til en ny bruker, vil du bli bedt om å oppdatere kjører server (gjør det).

2. Logg inn på klientens UI-adresse ved å bruke det nye brukernavnet og passordet, og følg trinnene som er beskrevet ovenfor i 'Opprette en .ovpn-fil' ovenfor.

For en liste over mer kommersielle VPN-er, som er enklere å bruke, ta en titt på vår beste VPN-guide.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me