So rollen Sie Ihren eigenen OpenVPN-Server auf einem VPS – Teil 2

Teil 2 - fortgeschritten

In Teil 1 dieses zweiteiligen Handbuchs zum Einrichten von OpenVPN auf einem CentO6 VPS-Server haben wir untersucht, warum Sie dies tun möchten und welche Vor- und Nachteile dies hat. Wir haben auch schrittweise Anleitungen zur Installation der OpenVPN Access Server-Software auf Ihrem VPS und zum Erstellen einer einfachen VPN-Verbindung mit dem OpenVPN Connect-Client bereitgestellt.

In Teil 2 (Fortgeschrittene) erfahren Sie, wie Sie die Sicherheit verbessern können, indem Sie die verwendete Verschlüsselung ändern, ein selbstsigniertes OpenVPN-CA-Zertifikat erstellen und eine OpenVPN-.ovpn-Konfigurationsdatei erstellen, sodass mit jedem OpenVPN-Client eine Verbindung hergestellt werden kann Ihren Server und wie Sie zusätzliche Benutzer hinzufügen.

Für diese Tutorials haben wir uns für die Verwendung der OpenVPN Access Server-Software entschieden, die sich von OpenVPN Server unterscheidet. OpenVPN Access Server ist benutzerfreundlicher als OpenVPN Server und ermöglicht es Ihnen, viele ansonsten komplexe Aufgaben mit einer einfachen GUI auszuführen. Der einzige wirkliche Nachteil ist, dass eine Lizenz für mehr als zwei Benutzer erworben werden muss (ab 9,60 USD / Jahr pro Client-Verbindung). Da sich dieses Lernprogramm jedoch an den Heimanwender richtet, der einen persönlichen OpenVPN-Remoteserver für Heimanwender erstellt, betrachten wir dies nicht als großen Nachteil.

Ändern der Verschlüsselung

Das ist einfach! Standardmäßig verwendet OpenVPN die 128-Bit-Verschlüsselung Blowfish Cipher-Block Chaining (BF-CBC). Obwohl dies für die meisten Zwecke mehr als ausreichend ist, bestehen darin Schwächen, die sogar dazu geführt haben, dass der Schöpfer der Blowfish-Chiffre, Bruce Schneier, den Benutzern empfiehlt, eine sicherere Alternative zu wählen.

Wie bereits erwähnt, würden wir gerne sehen, dass kommerzielle VPN-Anbieter von NIST-erstellten und / oder zertifizierten Verschlüsselungsalgorithmen Abstand nehmen. Leider unterstützt OpenVPN derzeit nicht unsere bevorzugten Optionen - Twofish und Threefish. Die meisten kommerziellen Anbieter haben stattdessen standardmäßig auf 256-Bit-AES umgestellt, da diese Verschlüsselung von der US-Regierung zur Verschlüsselung vertraulicher Informationen verwendet wird.

1. Öffnen Sie Ihre OpenVPN Access Server-Seite (indem Sie zu Ihrer Admin-UI-Adresse gehen, wie in Teil 1 dieses Handbuchs beschrieben), und rufen Sie die Seite "Advanced VPN" auf..

Erweiterte Einstellungen

2. Scrollen Sie nach unten zu "Additional OpenVPN Config Directives (Advanced)" und fügen Sie den Feldern "Server Config Directives" und "Client Config Directives" die folgende Zeile hinzu:

Chiffre

z.B. Chiffre AES-256-CBC

Erweiterte VPN-Einstellungen

Klicken Sie auf "Änderungen speichern"..

Klicken Sie auf "Laufenden Server aktualisieren", wenn Sie dazu aufgefordert werden.

Server aktualisieren

OpenVPN unterstützt die folgenden Chiffren:

DES-CBC (Datenverschlüsselungsstandard - 56-Bit-Schlüssel, jetzt als unsicher eingestuft)
DES-EDE3-CBC (auch Triple DES oder 3DES - erhöht die Schlüsselgröße von DES)
BF-CBC (Blowfish)
AES-128-CBC (Advanced Encryption Standard)
AES-192-CBC
AES-256-CBC
Kamelie-128-CBC (Kamelie)
Camellia-192-CBC
Kamelie-256-CBC

So erstellen Sie ein OpenVPN-Zertifikat

OpenVPN Connect vereinfacht das Leben, indem es ein gültiges CA-Zertifikat für Sie erstellt, sodass Sie dies nicht selbst tun müssen. Wenn Sie jedoch ein selbstsigniertes Zertifikat erstellen möchten, führen Sie die folgenden Schritte aus (Sie können auch die Schritte 1 und 2 ausführen, um eine Zertifikatsignierungsanforderung (Certificate Signing Request, CSR) zu erstellen, die bei einer kommerziellen Zertifizierungsstelle (CA) eingereicht werden kann. zur Unterschrift, wenn Sie es wünschen.)

1. Die erforderlichen SSL-Bibliotheken sollten bereits auf Ihrem System installiert sein, als Sie OpenVPN Access Server in Teil 1 installiert haben. Sie sollten dies jedoch überprüfen, indem Sie den folgenden Befehl eingeben:

openssl version

csr1

Wenn dies nicht der Fall ist, können Sie sie eingeben, indem Sie Folgendes eingeben:

apt-get install openssl (Überprüfen Sie dann erneut, ob sie wie oben installiert sind.).

2. Nun ist es an der Zeit, das Zertifikat zu erstellen. Wir werden zunächst eine Zertifikatsignierungsanforderung (Certificate Signing Request, CSR) erstellen. Dies kann einer kommerziellen Zertifizierungsstelle zum Signieren vorgelegt werden. In diesem Lernprogramm wird es jedoch in ein selbstsigniertes Zertifizierungsstellenzertifikat umgewandelt.

Eingeben:

openssl req -out server.csr -new -newkey rsa: 2048 -nodes -keyout server.key

Die Antwort wird eine Reihe von Fragen sein:

Ländername (2 Buchstaben Code): (Buchstaben Codes hier verfügbar)
Bundesland oder Provence Name:
Stadt:
Org Name:
Organisationseinheit: (z. B. IT-Support)
Common Name: (genauer Name der Domain oder DNS-Name Ihres VPS)
E-Mail-Addresse:

Plus zusätzliche Attribute -

Ein Challenge-Passwort:
Ein optionaler Firmenname:

csr3

Diese Felder sollten ausgefüllt werden, wenn Sie den CSR bei einer kommerziellen Zertifizierungsstelle (CA) einreichen möchten. Für die Zwecke dieses Lernprogramms können Sie jedoch jedes Feld einzeln auswählen, um die Felder leer zu lassen.

3. Wir sollten jetzt zwei Dateien in Ihrem Stammverzeichnis haben, die server.csr und server.key heißen. Wir werden diese verwenden, um ein selbstsigniertes CA-Zertifikat zu erstellen. Art:

cp server.key server.key.org

openssl rsa -in server.key.org -out server.key und

openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

csr4

Wir sollten jetzt 3 Dateien haben: Server.key, Server.crt und Server.csr (Enter dir um den Inhalt des aktuellen Verzeichnisses zu sehen).

Installieren des neuen CA-Zertifikats

4. Laden Sie diese Dateien mit einem FTP-Client auf Ihren PC herunter (wir haben FOSS WinSCP verwendet) und installieren Sie sie in OpenVPN Access Server, indem Sie auf die Seite 'Webserver' (links unter 'Konfiguration') und auf Durchsuchen klicken zu den folgenden Dateien:

  • CA-Bundle: server.crt
  • Zertifikat: server.crt
  • Privater Schlüssel: server.key

CA1 installieren

5. Klicken Sie auf "Validieren" und scrollen Sie zum oberen Rand der Seite. Die "Validierungsergebnisse" sollten "selbstsigniertes Zertifikat" lauten und die in Schritt 2 oben eingegebenen Informationen anzeigen. Das Zertifikat ist 1 Jahr gültig.

CA2 installieren

6. Scrollen Sie jetzt zurück zum Ende der Webseite und klicken Sie im Dialogfeld "Einstellungen geändert" auf "Speichern" und dann auf "Laufenden Server aktualisieren".

Server aktualisieren

Sie haben Ihren OpenVPN-Server jetzt mit einem selbstsignierten CA-Zertifikat validiert!

Erstellen einer .ovpn-Datei

Eines der großartigen Dinge bei der Verwendung von OpenVPN Access Server ist, dass es einen Großteil des Lastaufwands für Sie erledigt, und eines der nützlichsten Dinge ist, automatisch .ovpn-OpenVPN-Konfigurationsdateien zu generieren, damit jeder OpenVPN-Client eine Verbindung zu Ihrem Server herstellen kann.
1. Melden Sie sich bei Ihrer Client-UI-Adresse an (nicht bei der Admin-UI). Wenn Sie den Bildschirm für das automatische Herunterladen (unten) sehen, aktualisieren Sie Ihren Browser.

openvpn client login 2

2. Ihnen wird nun eine Auswahl an Download-Optionen angeboten. Wählen Sie "Sie selbst (Benutzer-gesperrtes Profil)" oder "Sie selbst (automatisches Profil)" (falls verfügbar - Sie müssen dies einrichten - siehe "Weitere Benutzer hinzufügen" weiter unten)..

Laden Sie die ovpn-Datei herunter

3. Importieren Sie die heruntergeladene .ovpn-Datei wie gewohnt in Ihren OpenVPN-Client (für den Standard-Widows-OpenVPN-Client kopieren Sie die Datei einfach in den OpenVPN-Ordner „config“). Die .ovpn-Datei kann nach Belieben umbenannt werden, um sie leichter identifizieren zu können. Dann wie gewohnt einloggen.

Neuer Benutzer autologin

Andere Benutzer hinzufügen

1. Weitere Benutzer können über das Administrationsfenster von OpenVPN Access Server hinzugefügt werden, indem Sie auf "Benutzerberechtigungen" klicken.

Benutzerberechtigungen

Wenn Sie nur von einem sicheren Ort aus auf Ihren OpenVPN-Server zugreifen möchten, können Sie die Anmeldung vereinfachen, indem Sie "Automatische Anmeldung zulassen" auswählen.

Die kostenlose OpenVPN Access Server-Grundlizenz ermöglicht bis zu 2 Client-Verbindungen. Beim Einrichten unseres VPN-Servers war die Option zum Hinzufügen eines zweiten Benutzers bereits verfügbar. Wenn diese Option jedoch nicht angezeigt wird (oder Sie eine Gruppenlizenz erworben haben und weitere Benutzer hinzufügen möchten), müssen Sie diese (bis zu Ihrer Lizenzbeschränkung) manuell hinzufügen, indem Sie den Befehl '# adduser' in PuTTY eingeben ( oder Terminal ect.). Weitere Informationen finden Sie in diesem Artikel.

Sobald Sie einen neuen Benutzer hinzugefügt haben, werden Sie aufgefordert, den aktiven Server zu aktualisieren..

2. Melden Sie sich mit dem neuen Benutzernamen und dem neuen Kennwort bei der Client-Benutzeroberfläche an und führen Sie die oben unter "Erstellen einer .ovpn-Datei" beschriebenen Schritte aus.

Eine Liste weiterer kommerzieller VPNs, die einfacher zu verwenden sind, finden Sie in unserem besten VPN-Handbuch.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me