Oman OpenVPN-palvelimen vieriminen VPS: ään – osa 2

Osa 2 - edistynyt

Tämän kaksiosaisen oppaan 1. osassa OpenVPN: n asettamisesta CentO6 VPS -palvelimelle tarkastelimme miksi haluat ehkä tehdä tämän, ja sen hyviä ja huonoja puolia. Olemme myös toimittaneet vaiheittaiset ohjeet OpenVPN Access Server -ohjelmiston asentamisesta VPS: ään ja kuinka luoda yksinkertainen VPN-yhteys OpenVPN Connect -asiakkaan avulla.

Osassa 2 (edistynyt) tutkitaan, kuinka parantaa tietoturvaa muuttamalla käytettyä salausta, miten rakentaa itse allekirjoitettu OpenVPN CA -varmenne, miten luodaan OpenVPN .ovpn -määritystiedosto, jotta mitä tahansa OpenVPN-asiakasohjelmaa voidaan käyttää yhteyden muodostamiseen palvelimesi ja kuinka lisätä käyttäjiä.

Näissä opetusohjelmissa olemme päättäneet käyttää OpenVPN Access Server -ohjelmistoa, joka eroaa OpenVPN Serveristä. OpenVPN Access Server on suunniteltu käyttäjäystävällisemmäksi kuin OpenVPN Server, ja sen avulla voit suorittaa monia muuten monimutkaisia ​​tehtäviä yksinkertaisella käyttöliittymällä. Ainoa todellinen haittapuoli on, että lisenssi on ostettava useammalle kuin kahdelle käyttäjälle (alkaen 9,60 dollaria vuodessa / asiakasyhteys). Koska tämä opetusohjelma on kuitenkin tarkoitettu kodinkäyttäjälle henkilökohtaisen DIY-etä OpenVPN-palvelimen rakentamiseen, emme pidä tätä suurena haittana..

Salauksen salauksen muuttaminen

Tämä on helppoa! Oletuksena OpenVPN käyttää 128-bittistä Blowfish Cipher-Block Chaining (BF-CBC) -salausta. Vaikka se on enemmän kuin riittävää useimpiin tarkoituksiin, siinä on heikkouksia, jotka ovat johtaneet jopa Blowfish-salauksen luojaan, Bruce Schneieriin, suositellessaan käyttäjiä valitsemaan turvallisempi vaihtoehto.

Kuten aiemmin olemme keskustelleet, haluaisimme nähdä kaupallisten VPN-palveluntarjoajien siirtyvän pois NIST: n luomista ja / tai sertifioiduista salausalgoritmeista, mutta OpenVPN ei valitettavasti tällä hetkellä tue suosikkivaihtoehtojamme - Twofish ja Threefish. Useimmat kaupalliset tarjoajat ovat sen sijaan siirtyneet 256-bittiseen AES: ään vakiona, koska Yhdysvaltojen hallitus käyttää tätä salausta arkaluontoisten tietojen salaamiseen..

1. Avaa OpenVPN Access Server -sivusi (siirtymällä järjestelmänvalvojan käyttöliittymäsi osoitteeseen, kuten tämän oppaan osassa 1 kerrotaan), siirry Advanced VPN -sivulle..

Lisäasetukset

2. Vieritä kohtaan ”Muut OpenVPN-määritysdirektiivit (edistyneet)” ja lisää seuraava rivi sekä “Palvelinmääritysdirektiivit ”- että” Asiakkaan kokoonpanodirektiivit ”-ruutuihin:

salakirjoitus

esim. salaus AES-256-CBC

VPN: n lisäasetukset

Valitse Tallenna muutokset.

Sitten päivitä käynnissä oleva palvelin, kun sitä pyydetään.

päivityspalvelin

OpenVPN tukee seuraavia salauksia:

DES-CBC (Data Encryption Standard - 56-bittinen avain, jota pidetään nyt epävarmana)
DES-EDE3-CBC (myös kolminkertainen DES tai 3DES - lisää DES-näppäimen kokoa)
BF-CBC (Blowfish)
AES-128-CBC (Advanced Encryption Standard)
AES-192-CBC
AES-256-CBC
Camellia-128-CBC (Camellia)
Camellia-192-CBC
Camellia-256-CBC

Kuinka rakentaa OpenVPN-varmenne

OpenVPN Connect tekee elämästä helppoa luomalla sinulle kelvollisen CA-varmenteen, joten sinun ei tarvitse tehdä tätä itse. Jos kuitenkin haluat luoda oman itse allekirjoitetun varmenteen, noudata alla olevia vaiheita (voit myös suorittaa vaiheet 1 ja 2 luodaksesi varmenteen allekirjoituspyynnön (CSR), joka voidaan lähettää kaupalliselle varmenneviranomaiselle (CA) allekirjoittamiseen, jos haluat.)

1. Vaadittavat SSL-kirjastot tulisi olla jo asennettu järjestelmään siitä hetkestä lähtien, kun asennat OpenVPN Access Serverin osaan 1, mutta sinun tulisi tarkistaa antamalla seuraava komento:

openssl-versio

CSR1

Jos he eivät ole, voit saada heidät saapumaan kirjoittamalla:

apt-get install openssl (tarkista sitten uudelleen, että ne on asennettu kuten yllä).

2. Nyt on aika rakentaa varmenne. Rakennamme ensin varmenteen allekirjoittamispyynnön (CSR). Se voidaan lähettää kaupalliselle varmentajalle (CA) allekirjoittamista varten, mutta tässä oppaassa muuntamme sen itse allekirjoitettuna CA-varmenteena.

Tulla sisään:

openssl req -out server.csr -uusi -uusi avain rsa: 2048 -solmut -avainpalvelin.key

Vastaukseen tulee useita kysymyksiä:

Maan nimi (2 kirjaimen koodi): (kirjainkoodit löytyvät täältä)
Osavaltion tai Provencen nimi:
Kaupunki:
Organisaation nimi:
Orgin nimiyksikkö: (esim. IT-tuki)
Yleinen nimi: (VPS-verkkotunnuksen tarkka nimi tai DNS-nimi)
Sähköpostiosoite:

Plus 'ylimääräiset' ominaisuudet -

Haastesana:
Valinnainen yrityksen nimi:

csr3

Ne on täytettävä, jos aiot lähettää CSR: n kaupalliselle varmentajalle (CA), mutta tämän oppaan tarkoituksiin voit napsauttaa jokaista jättämällä kentät tyhjiksi.

3. Meillä pitäisi nyt olla kaksi tiedostoa juurihakemistossasi, nimeltään server.csr ja server.key. Käytämme näitä luomaan itse allekirjoitetun CA-varmenteen. Tyyppi:

cp server.key server.key.org

openssl rsa -in server.key.org -out server.key ja

openssl x509 -req -days 365 -in server.csr -signkey server server.key -out server.crt

csr4

Meillä pitäisi nyt olla 3 tiedostoa: Server.key, Server.crt ja Server.csr (kirjoita dir nähdäksesi nykyisen hakemiston sisällön).

Uuden CA-varmenteen asentaminen

4. Lataa nämä tiedostot tietokoneellesi ftp-asiakasohjelmalla (FOSS WinSCP) ja asenna ne sitten OpenVPN Access Server -palvelimeen siirtymällä 'Web Server' -sivulle (sivun vasemmalla puolella 'Configuration' -kohdassa) ja selaa seuraaviin tiedostoihin:

  • CA-paketti: server.crt
  • Varmenne: server.crt
  • Yksityinen avain: server.key

CA1: n asentaminen

5. Paina "Vahvista" ja siirry sitten sivun yläosaan - "Validointitulosten" tulisi sanoa "itse allekirjoitettu varmenne" ja näyttää yllä vaiheessa 2 antamasi tiedot. Sertifikaatti on voimassa yhden vuoden.

CA2: n asentaminen

6. Vieritä nyt takaisin verkkosivun alaosaan ja napsauta Tallenna ja sitten Päivitä käynnissä oleva palvelin Asetukset muutettu -valintaikkunassa..

päivityspalvelin

Olet nyt vahvistanut OpenVPN-palvelimesi itse allekirjoitetulla CA-varmennuksella!

.Ovpn-tiedoston luominen

Yksi hienoista asioista OpenVPN Access Server -palvelimen käytössä on, että se tekee paljon raskasta nostosta sinulle, ja yksi hyödyllisimmistä asioista on tuottaa .ovpn OpenVPN -määritystiedostot automaattisesti, jotta kuka tahansa OpenVPN-asiakas voi muodostaa yhteyden palvelimeesi..
1. Kirjaudu asiakkaasi käyttöliittymään (ei järjestelmänvalvojan käyttöliittymään). Kun näet automaattisen latausnäytön (alla), päivitä selaimesi.

openvpn client login 2

2. Sinulle tarjotaan nyt valikoima latausvaihtoehtoja. Valitse 'itse (käyttäjän lukitsema profiili)' tai 'itsesi (autologin profiili)' (jos käytettävissä - sinun on määritettävä tämä - katso 'Muiden käyttäjien lisääminen alla').

Lataa ovpn-tiedosto

3. Tuo ladattu .ovpn-tiedosto OpenVPN-asiakasohjelmaan normaalisti (tavallisille Widows OpenVPN -asiakkaille, kopioi tiedosto vain OpenVPN ”config” -kansioon). .Ovpn voidaan nimetä mihin haluat, sen tunnistamiseksi. Kirjaudu sitten normaalisti.

Uusi käyttäjä autologin

Muiden käyttäjien lisääminen

1. Muita käyttäjiä voidaan lisätä käyttämällä OpenVPN Access Server Admin -paneelia siirtymällä kohtaan Käyttöoikeudet.

Käyttäjän oikeudet

Jos aiot käyttää vain OpenVPN-palvelinta suojatusta paikasta, voit yksinkertaistaa kirjautumista valitsemalla Salli automaattinen sisäänkirjautuminen

Perus ilmainen OpenVPN Access Server -lisenssi sallii jopa 2 asiakasyhteyttä. Kun määritimme VPN-palvelimemme, vaihtoehto toisen käyttäjän lisäämiseksi oli jo saatavilla. Jos tätä vaihtoehtoa ei kuitenkaan näy (tai olet ostanut ryhmälisenssin ja haluat lisätä lisää käyttäjiä), sinun on lisättävä heidät (lisenssisi rajoitukseen saakka) manuaalisesti kirjoittamalla '# adduser' -komento PuTTY: hen ( tai terminaali jne.). Katso lisätietoja tästä artikkelista.

Kun olet lisännyt uuden käyttäjän, sinua kehotetaan päivittämään käynnissä oleva palvelin (tee niin).

2. Kirjaudu asiakkaan käyttöliittymään uudella käyttäjänimellä ja salasanalla ja noudata yllä kohdassa '.ovpn-tiedoston luominen' kuvattuja vaiheita..

Katso luettelo kaupallisemmista VPN-verkoista, joita on helpompi käyttää, katsomme parasta VPN-opasta.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me