Hoe u uw eigen OpenVPN-server op een VPS rolt – Deel 2

Deel 2 - geavanceerd

In Deel 1 van deze tweedelige handleiding over het instellen van OpenVPN op een CentO6 VPS-server, hebben we gekeken waarom u dit misschien wilt doen, en de voor- en nadelen hiervan. We hebben ook stapsgewijze instructies gegeven voor het installeren van OpenVPN Access Server-software op uw VPS en het maken van een eenvoudige VPN-verbinding met de OpenVPN Connect-client.

In Deel 2 (geavanceerd) zullen we onderzoeken hoe we de beveiliging kunnen verbeteren door het gebruikte coderingsnummer te wijzigen, hoe een zelfondertekend OpenVPN CA-certificaat te bouwen, hoe een OpenVPN .ovpn-configuratiebestand te maken zodat elke OpenVPN-client kan worden gebruikt om verbinding te maken met uw server en hoe u extra gebruikers kunt toevoegen.

Voor deze zelfstudies hebben we ervoor gekozen om OpenVPN Access Server-software te gebruiken, die verschilt van OpenVPN Server. OpenVPN Access Server is ontworpen om gebruikersvriendelijker te zijn dan OpenVPN Server en stelt u in staat om veel anders complexe taken uit te voeren met behulp van een eenvoudige GUI. Het enige echte nadeel is dat een licentie moet worden gekocht voor meer dan twee gebruikers (vanaf $ 9,60 / jaar per clientverbinding). Omdat deze tutorial echter is gericht op de thuisgebruiker die een persoonlijke DIY OpenVPN-server op afstand bouwt, beschouwen we dit niet als een groot nadeel.

Het coderingscodering wijzigen

Dit is makkelijk! Standaard gebruikt OpenVPN 128-bit Blowfish Cipher-Block Chaining (BF-CBC) -versleuteling. Hoewel meer dan voldoende voor de meeste doeleinden, bestaat er zwakte in die ertoe heeft geleid dat zelfs de maker van de Blowfish-code, Bruce Schneier, gebruikers aanbeveelt om een ​​veiliger alternatief te kiezen.

Zoals we eerder hebben besproken, zouden we graag zien dat commerciële VPN-providers weggaan van door NIST gecreëerde en / of gecertificeerde coderingsalgoritmen, maar helaas ondersteunt OpenVPN op dit moment onze favoriete opties - Twofish en Threefish niet. De meeste commerciële providers zijn in plaats daarvan standaard overgeschakeld naar 256-bit AES, omdat dit de codering is die door de Amerikaanse overheid wordt gebruikt om gevoelige informatie te coderen.

1. Open uw OpenVPN Access Server-pagina (door naar uw Admin UI-adres te gaan, zoals besproken in Deel 1 van deze handleiding), de ga naar de ‘Advanced VPN-pagina’.

Geavanceerde instellingen

2. Blader omlaag naar ‘Extra OpenVPN Config Directives (Advanced)’ en voeg de volgende regel toe aan zowel de ‘Server Config Directives’ en ‘Client Config Directives’ vakken:

cijfer

bv. cijfer AES-256-CBC

Geavanceerde VPN-instellingen

Druk op 'Wijzigingen opslaan'.

Vervolgens ‘Update Running Server’ wanneer daarom wordt gevraagd.

server bijwerken

OpenVPN ondersteunt de volgende cijfers:

DES-CBC (Data Encryption Standard - 56-bits sleutel, nu als onveilig beschouwd)
DES-EDE3-CBC (ook Triple DES of 3DES - vergroot de grootte van DES)
BF-CBC (Blowfish)
AES-128-CBC (Advanced Encryption Standard)
AES-192-CBC
AES-256-CBC
Camellia-128-CBC (Camellia)
Camellia-192-CBC
Camellia-256-CBC

Hoe een OpenVPN-certificaat te bouwen

OpenVPN Connect maakt het leven gemakkelijk door een geldig CA-certificaat voor u te maken, zodat u dit niet zelf hoeft te doen. Als u echter uw eigen zelfondertekende certificaat wilt maken, volgt u de onderstaande stappen (u kunt ook stap 1 en 2 volgen om een ​​certificaatondertekeningsaanvraag (CSR) te maken die kan worden ingediend bij een commerciële certificaatautoriteit (CA) om te ondertekenen als u dat wenst.)

1. De vereiste SSL-bibliotheken moeten al op uw systeem zijn geïnstalleerd vanaf het moment dat u OpenVPN Access Server in Deel 1 hebt geïnstalleerd, maar u moet dit controleren door de volgende opdracht in te voeren:

openssl-versie

CSR1

Als dit niet het geval is, kunt u ze binnen laten komen door in te voeren:

apt-get install openssl (controleer vervolgens opnieuw of ze zijn geïnstalleerd zoals hierboven).

2. Het is nu tijd om het certificaat te bouwen. We zullen eerst een certificaataanvraag (CSR) opstellen. Dit kan worden ingediend bij een commerciële certificeringsinstantie (CA) voor ondertekening, maar in deze zelfstudie zullen we het omzetten in een zelfondertekend CA-certificaat.

Enter:

openssl req -out server.csr -new -newkey rsa: 2048 -nodes -keyout server.key

Het antwoord zal een aantal vragen zijn:

Landnaam (2 lettercode): (lettercodes hier beschikbaar)
Staat of Provence Naam:
Stad:
Naam organisatie:
Naam organisatie-eenheid: (bijvoorbeeld IT-ondersteuning)
Algemene naam: (exacte naam van domein of DNS-naam van uw VPS)
E-mailadres:

Plus ‘extra’ attributen -

Een wachtwoord voor een uitdaging:
Een optionele bedrijfsnaam:

csr3

Deze moeten worden ingevuld als u van plan bent om de CSR in te dienen bij een commerciële certificeringsinstantie (CA), maar voor deze tutorial kunt u gewoon op elke knop klikken om de velden leeg te laten.

3. We moeten nu twee bestanden in uw hoofdmap hebben, server.csr en server.key genoemd. We zullen deze gebruiken om een ​​zelfondertekend CA-certificaat te maken. Type:

cp server.key server.key.org

openssl rsa -in server.key.org -out server.key en

openssl x509 -req -dagen 365 -in server.csr -signkey server.key -out server.crt

csr4

We zouden nu 3 bestanden moeten hebben: Server.key, Server.crt en Server.csr (enter dir om de inhoud van de huidige map te bekijken).

Het nieuwe CA-certificaat installeren

4. Download deze bestanden naar uw pc met behulp van een ftp-client (we gebruikten de FOSS WinSCP) en installeer ze vervolgens in OpenVPN Access Server door naar de pagina 'Webserver' te gaan (onder 'Configuratie' links op de pagina) en Bladeren naar de volgende bestanden:

  • CA-bundel: server.crt
  • Certificaat: server.crt
  • Privésleutel: server.key

CA1 installeren

5. Druk op ‘Valideren’ en scrol vervolgens naar de bovenkant van de pagina. De ‘Validatieresultaten’ moeten ‘zelfondertekend certificaat’ bevatten en de informatie weergeven die u in stap 2 hierboven hebt ingevoerd. Het certificaat is 1 jaar geldig.

CA2 installeren

6. Blader nu terug naar beneden op de webpagina en klik op 'Opslaan' en vervolgens op 'Actieve server bijwerken' in het dialoogvenster 'Instellingen gewijzigd'.

server bijwerken

U hebt nu uw OpenVPN-server gevalideerd met een zelfondertekend CA-certificaat!

Een .ovpn-bestand maken

Een van de geweldige dingen van het gebruik van OpenVPN Access Server is dat het veel van het zware werk voor u doet, en een van de meest nuttige dingen die het doet is het automatisch genereren van .ovpn OpenVPN-configuratiebestanden zodat elke OpenVPN-client verbinding kan maken met uw server.
1. Meld u aan bij uw Client UI-adres (niet Admin UI). Wanneer u het automatische downloadscherm (hieronder) ziet, vernieuwt u uw browser.

openvpn client login 2

2. U krijgt nu een selectie downloadopties aangeboden. Selecteer ‘Jezelf (door de gebruiker vergrendeld profiel)’ of ‘Jezelf (autologin-profiel)’ (indien beschikbaar - je moet dit instellen - zie ‘Andere gebruikers toevoegen hieronder’).

Download ovpn-bestand

3. Importeer het gedownloade .ovpn-bestand als normaal in uw OpenVPN-client (voor de standaard Widows OpenVPN-client kopieert u het bestand eenvoudig naar de map 'config' van OpenVPN). De .ovpn kan worden hernoemd naar wat u maar wilt om hem te helpen identificeren. Log dan normaal in.

Nieuwe gebruiker autologin

Andere gebruikers toevoegen

1. Extra gebruikers kunnen worden toegevoegd met behulp van het OpenVPN Access Server Admin-paneel door naar 'Gebruikersrechten' te gaan.

Gebruikersrechten

Als u van plan bent alleen toegang te krijgen tot uw OpenVPN-server vanaf een veilige locatie, kunt u het inloggen vereenvoudigen door ‘Auto-login toestaan’ te selecteren.

De gratis basislicentie voor OpenVPN Access Server staat maximaal 2 clientverbindingen toe. Toen we onze VPN-server instelden, was de optie om een ​​tweede gebruiker toe te voegen al beschikbaar. Als deze optie echter niet verschijnt (of als u een groepslicentie hebt gekocht en meer gebruikers wilt toevoegen), moet u deze handmatig toevoegen (tot uw licentiebeperking) door de opdracht '# adduser' in PuTTY in te voeren ( of Terminal ect.). Raadpleeg dit artikel voor meer informatie.

Nadat u een nieuwe gebruiker hebt toegevoegd, wordt u gevraagd om 'Running Server bijwerken' (doe dit).

2. Meld u aan bij het UI-adres van de klant met de nieuwe gebruikersnaam en het nieuwe wachtwoord en volg de stappen hierboven beschreven in 'Een .ovpn-bestand maken' hierboven.

Bekijk onze beste VPN-gids voor een lijst met meer commerciële VPN's die eenvoudiger te gebruiken zijn.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me