كيفية لف خادم OpenVPN الخاص بك على VPS – الجزء 2

الجزء 2 - المتقدمة

في الجزء 1 من هذا الدليل المكون من جزأين حول إعداد OpenVPN على خادم CentO6 VPS ، نظرنا في سبب رغبتك في القيام بذلك ، وإيجابيات وسلبيات القيام بذلك. لقد قدمنا ​​أيضًا إرشادات خطوة بخطوة لتثبيت برنامج خادم الوصول إلى OpenVPN على VPS ، وكيفية إنشاء اتصال VPN بسيط باستخدام عميل OpenVPN Connect.


في الجزء 2 (متقدم) ، سوف نستكشف كيفية تحسين الأمان من خلال تغيير التشفير المستخدم ، وكيفية إنشاء شهادة OpenVPN CA موقعة ذاتياً ، وكيفية إنشاء ملف تكوين OpenVPN .ovpn بحيث يمكن استخدام أي عميل OpenVPN للاتصال الخادم الخاص بك ، وكيفية إضافة مستخدمين إضافيين.

بالنسبة لهذه البرامج التعليمية ، اخترنا استخدام برنامج خادم الوصول إلى OpenVPN ، والذي يختلف عن خادم OpenVPN. تم تصميم خادم الوصول إلى OpenVPN ليكون سهل الاستخدام أكثر من خادم OpenVPN ، ويسمح لك بأداء العديد من المهام المعقدة الأخرى باستخدام واجهة المستخدم الرسومية البسيطة. الجانب السلبي الحقيقي الوحيد هو أنه يجب شراء ترخيص لأكثر من مستخدمين (يبدأ من 9.60 دولار في السنة لكل عميل اتصال). ومع ذلك ، نظرًا لأن هذا البرنامج التعليمي يهدف إلى بناء المستخدم المنزلي لخادم OpenVPN عن بُعد شخصي ، فإننا لا نعتبر هذا عائقًا كبيرًا.

تغيير تشفير التشفير

هذا سهل! بشكل افتراضي ، يستخدم OpenVPN تشفير 128 بت Blowfish Cipher-Block Chaining (BF-CBC). على الرغم من كونه أكثر من كافٍ لمعظم الأغراض ، إلا أن الضعف الموجود فيه أدى إلى إنشاء مُصمم شفرات Blowfish ، Bruce Schneier ، لتوصي المستخدمين باختيار بديل أكثر أمانًا.

كما ناقشنا من قبل ، نود أن نرى موفري VPN التجاريين يبتعدون عن خوارزميات تشفير معتمدة و / أو معتمدة من NIST ، ولكن للأسف في هذه المرحلة ، لا يدعم OpenVPN خياراتنا المفضلة - Twofish و Threefish. بدلًا من ذلك ، تحول معظم مقدمي الخدمات التجارية إلى AES 256 بت كمعيار ، لأن هذا هو الشفرة المستخدمة من قبل حكومة الولايات المتحدة لتشفير المعلومات الحساسة.

1. افتح صفحة خادم الوصول إلى OpenVPN (بالانتقال إلى عنوان واجهة المستخدم الخاصة بالمسؤول ، كما هو موضح في الجزء 1 من هذا الدليل) ، انتقل إلى "صفحة VPN المتقدمة".

إعدادات متقدمة

2. قم بالتمرير لأسفل إلى "توجيهات تكوين OpenVPN إضافية (متقدم)" ، وأضف السطر التالي إلى مربعي "توجيهات تكوين الخادم" و "توجيهات تكوين العميل":

الشفرة

منها مثلا. تشفير AES-256-CBC

إعدادات VPN المتقدمة

اضغط على "حفظ التغييرات".

ثم "تحديث تشغيل الخادم" عندما يُطلب منك ذلك.

خادم التحديث

يدعم OpenVPN الأصفار التالية:

DES-CBC (معيار تشفير البيانات - مفتاح 56 بت ، يعتبر الآن غير آمن)
DES-EDE3-CBC (أيضًا Triple DES أو 3DES - يزيد من حجم مفتاح DES)
BF-CBC (السمكة المنتفخة)
AES-128-CBC (معيار التشفير المتقدم)
AES-192-CBC
AES-256-CBC
كاميليا -128-CBC (كاميليا)
كاميليا-192-CBC
كاميليا-256-CBC

كيفية بناء شهادة OpenVPN

يجعل OpenVPN Connect الحياة سهلة من خلال إنشاء شهادة CA صالحة لك ، لذلك لا تحتاج إلى القيام بذلك بنفسك. ومع ذلك ، إذا كنت ترغب في إنشاء شهادة موقعة ذاتياً ، فاتبع الخطوات أدناه (يمكنك أيضًا اتباع الخطوتين 1 و 2 لإنشاء طلب توقيع شهادة (CSR) ، والذي يمكن إرساله إلى مرجع مصدق تجاري (CA) للتوقيع إذا كنت ترغب.)

1. يجب أن تكون مكتبات SSL المطلوبة مثبتة بالفعل على نظامك من عند تثبيت خادم الوصول إلى OpenVPN في الجزء 1 ، لكن يجب عليك التحقق من خلال إدخال الأمر التالي:

openssl الإصدار

csr1

إذا لم يفعلوا ، فيمكنك إدخالهم عن طريق إدخال:

الرابطة بين الحصول على تثبيت openssl (ثم ​​تحقق مرة أخرى من تثبيتها على النحو الوارد أعلاه).

2. لقد حان الوقت لبناء الشهادة. سنقوم أولاً بإنشاء طلب توقيع شهادة (CSR). يمكن إرسال هذا إلى المرجع المصدق التجاري (CA) للتوقيع ، ولكن في هذا البرنامج التعليمي ، سنحولها إلى شهادة CA موقعة ذاتيا.

أدخل:

openssl req -out server.csr -new -newkey rsa: 2048 -nodes -keyout server.key

سيكون الرد على عدد من الأسئلة:

اسم البلد (رمز الحرفان): (رموز الحروف متاحة هنا)
اسم الولاية أو بروفانس:
مدينة:
اسم المؤسسة:
وحدة اسم المؤسسة: (على سبيل المثال دعم تكنولوجيا المعلومات)
الاسم الشائع: (الاسم الدقيق للمجال أو اسم DNS الخاص بـ VPS)
عنوان البريد الإلكتروني:

بالإضافة إلى سمات "إضافية" -

كلمة مرور التحدي:
اسم شركة اختياري:

csr3

يجب ملؤها إذا كنت تخطط لإرسال CSR إلى مرجع مصدق تجاري (CA) ، ولكن لغرض هذا البرنامج التعليمي ، يمكنك الضغط على كل واحد لترك الحقول فارغة.

3. يجب أن يكون لدينا الآن ملفان في دليل الجذر الخاص بك ، يسمى server.csr و server.key. سوف نستخدم هذه لإنشاء شهادة المرجع المصدق ذاتيا. اكتب:

cp server.key server.key.org

openssl rsa -in server.key.org -out server.key و

openssl x509 -req-days 365 -in server.csr -signkey server.key -out server.crt

csr4

يجب أن يكون لدينا الآن 3 ملفات: Server.key و Server.crt و Server.csr (إدخال دير لمشاهدة محتويات الدليل الحالي).

تثبيت شهادة المرجع المصدق الجديدة

4. قم بتنزيل هذه الملفات على جهاز الكمبيوتر الخاص بك باستخدام عميل ftp (استخدمنا FOSS WinSCP) ، ثم قم بتثبيتها في خادم الوصول إلى OpenVPN بالانتقال إلى صفحة "خادم الويب" (ضمن "التكوين" على يسار الصفحة) ، وتصفح إلى الملفات التالية:

  • حزمة CA: server.crt
  • شهادة: server.crt
  • المفتاح الخاص: server.key

تثبيت CA1

5. اضغط على "التحقق من الصحة" ، ثم انتقل إلى أعلى الصفحة - يجب أن تشير "نتائج التحقق من الصحة" إلى "شهادة موقعة ذاتيا" وتعرض المعلومات التي أدخلتها في الخطوة 2 أعلاه. الشهادة صالحة لمدة سنة واحدة.

تثبيت CA2

6. انتقل الآن لأسفل إلى أسفل صفحة الويب واضغط على "حفظ" ، ثم "تحديث تشغيل الخادم" في مربع الحوار "تم تغيير الإعدادات".

خادم التحديث

لقد قمت الآن بالتحقق من صحة خادم OpenVPN بشهادة CA موقعة ذاتياً!

إنشاء ملف .ovpn

أحد الأشياء العظيمة حول استخدام خادم الوصول إلى OpenVPN هو أنه يقوم بالكثير من الأحمال الثقيلة ، وأحد أكثر الأشياء المفيدة هو إنشاء ملفات تهيئة .ovpn OpenVPN تلقائيًا حتى يتمكن أي عميل OpenVPN من الاتصال بخادمك.
1. تسجيل الدخول إلى عنوان واجهة المستخدم الخاصة بك العميل (وليس واجهة المستخدم المسؤول). عندما ترى شاشة التنزيل التلقائي (أدناه) ، قم بتحديث متصفحك.

openvpn تسجيل دخول العميل 2

2. سيُعرض عليك الآن مجموعة من خيارات التنزيل. حدد "نفسك (ملف تعريف مقفل بواسطة المستخدم)" أو "نفسك (ملف تعريف ذاتي تلقائي)" (إذا كان متاحًا - تحتاج إلى إعداد هذا - راجع "إضافة مستخدمين آخرين أدناه").

تحميل ملف ovpn

3. قم باستيراد ملف .ovpn الذي تم تنزيله إلى عميل OpenVPN الخاص بك كالمعتاد (لعميل Widows OpenVPN القياسي ، ما عليك سوى نسخ الملف إلى مجلد "تهيئة" OpenVPN). يمكن إعادة تسمية .ovpn إلى ما تريد من أجل المساعدة في التعرف عليه. ثم تسجيل الدخول كالمعتاد.

مستخدم جديد autologin

إضافة مستخدمين آخرين

1. يمكن إضافة مستخدمين إضافيين باستخدام لوحة OpenVPN Access Server Admin عن طريق الانتقال إلى "أذونات المستخدم".

أذونات المستخدم

إذا كنت تخطط للوصول إلى خادم OpenVPN الخاص بك فقط من موقع آمن ، يمكنك تبسيط تسجيل الدخول عن طريق تحديد "السماح بتسجيل الدخول التلقائي"

يسمح ترخيص OpenVPN Access Server الأساسي المجاني بحد أقصى اتصالين للعميل. عندما نقوم بإعداد خادم VPN الخاص بنا ، كان خيار إضافة مستخدم ثانٍ متاحًا بالفعل. ومع ذلك ، إذا لم يظهر هذا الخيار (أو كنت قد اشتريت ترخيصًا جماعيًا وترغب في إضافة المزيد من المستخدمين) ، فسيتعين عليك إضافته (حتى تقييد الترخيص الخاص بك) يدويًا عن طريق إدخال الأمر "# adduser" في PuTTY ( أو محطة إلخ.). يرجى الرجوع إلى هذه المقالة لمزيد من التفاصيل.

بمجرد إضافة مستخدم جديد ، ستتم مطالبتك بـ "تحديث خادم التشغيل" (قم بذلك).

2. قم بتسجيل الدخول إلى عنوان عميل UI باستخدام اسم المستخدم وكلمة المرور الجديدة ، واتبع الخطوات الموضحة أعلاه في "إنشاء ملف .ovpn" أعلاه.

للحصول على قائمة بمزيد من شبكات VPN التجارية ، والتي يسهل استخدامها ، ألق نظرة على أفضل دليل VPN الخاص بنا.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me