Πώς να μεταφέρετε τον δικό σας διακομιστή OpenVPN σε ένα VPS – Μέρος 2

Μέρος 2 - προχωρημένο

Στο Μέρος 1 αυτού του οδηγού δύο μερών σχετικά με τη δημιουργία του OpenVPN σε ένα διακομιστή CentO6 VPS, εξετάσαμε γιατί μπορεί να θέλετε να το κάνετε αυτό και τα πλεονεκτήματα και τα μειονεκτήματα. Επίσης, παρέχουμε οδηγίες βήμα προς βήμα για την εγκατάσταση του λογισμικού OpenVPN Access Server στο VPS σας και πώς να δημιουργήσετε μια απλή σύνδεση VPN χρησιμοποιώντας τον πελάτη OpenVPN Connect.


Στο Μέρος 2 (προχωρημένο) θα διερευνήσουμε τον τρόπο βελτίωσης της ασφάλειας με την αλλαγή του κρυπτογραφημένου κώδικα, τον τρόπο δημιουργίας ενός πιστοποιητικού CA OpenVPN, πώς να δημιουργήσετε ένα αρχείο διαμόρφωσης OpenVPN .ovpn έτσι ώστε οποιοσδήποτε πελάτης OpenVPN να μπορεί να χρησιμοποιηθεί για σύνδεση τον διακομιστή σας και τον τρόπο προσθήκης πρόσθετων χρηστών.

Για αυτά τα μαθήματα, επιλέξαμε να χρησιμοποιήσουμε το λογισμικό OpenVPN Access Server, το οποίο διαφέρει από τον OpenVPN Server. Ο OpenVPN Access Server έχει σχεδιαστεί για να είναι πιο φιλικός προς το χρήστη από τον OpenVPN Server και σας επιτρέπει να εκτελείτε πολλές κατά τα άλλα πολύπλοκες εργασίες χρησιμοποιώντας ένα απλό GUI. Το μόνο πραγματικό μειονέκτημα είναι ότι μια άδεια χρήσης πρέπει να αγοραστεί για περισσότερους από δύο χρήστες (ξεκινώντας από $ 9,60 / έτος ανά σύνδεση πελάτη). Ωστόσο, καθώς αυτό το σεμινάριο απευθύνεται στον οικιακό χρήστη που δημιουργεί ένα προσωπικό απομακρυσμένο διακομιστή OpenVPN, δεν θεωρούμε αυτό ένα σημαντικό μειονέκτημα.

Αλλαγή του κρυπτογράφου κρυπτογράφησης

Αυτό είναι εύκολο! Από προεπιλογή, το OpenVPN χρησιμοποιεί κρυπτογράφηση κρυπτογράφησης μπλοκ κρυπτογραφίας μπλοκαρίσματος 128 bit (BF-CBC). Ενώ είναι κάτι περισσότερο από αρκετό για τους περισσότερους σκοπούς, υπάρχει αδυναμία σε αυτό που έχει οδηγήσει ακόμη και στον δημιουργό του κρυπτογράφου Blowfish, Bruce Schneier, που συνιστά στους χρήστες να επιλέξουν μια ασφαλέστερη εναλλακτική λύση.

Όπως έχουμε συζητήσει προηγουμένως, θα θέλαμε να δούμε τους εμπορικούς παρόχους VPN να απομακρυνθούν από τους αλγορίθμους κρυπτογράφησης που έχουν δημιουργηθεί ή / και NIST, αλλά δυστυχώς σε αυτό το σημείο το OpenVPN δεν υποστηρίζει τις αγαπημένες μας επιλογές - Twofish και Threefish. Οι περισσότεροι εμπορικοί πάροχοι έχουν μετατραπεί σε AES 256-bit ως πρότυπο, καθώς αυτός είναι ο κωδικός που χρησιμοποιείται από την κυβέρνηση των ΗΠΑ για την κρυπτογράφηση ευαίσθητων πληροφοριών.

1. Ανοίξτε τη σελίδα του διακομιστή Access OpenVPN (μεταβαίνοντας στη διεύθυνση διαχειριστή του UI, όπως περιγράφεται στο Μέρος 1 του παρόντος οδηγού), τη μετάβαση στη σελίδα 'Advanced VPN'.

Προηγμένες ρυθμίσεις

2. Μετακινηθείτε με κύλιση προς τα κάτω στις «Πρόσθετες Οδηγίες Configuration OpenVPN (Advanced)» και προσθέστε την ακόλουθη γραμμή τόσο στα πλαίσια των οδηγιών "Οδηγίες ρύθμισης παραμέτρων διακομιστών" και "Οδηγίες ρύθμισης παραμέτρων πελάτη":

κρυπτογράφημα

π.χ. κρυπτογράφηση AES-256-CBC

Σύνθετες ρυθμίσεις VPN

Πατήστε 'Αποθήκευση αλλαγών'.

Τότε 'Update Running Server' όταν σας ζητηθεί.

διακομιστή ενημέρωσης

Το OpenVPN υποστηρίζει τους ακόλουθους κρυπτογράφους:

DES-CBC (Πρότυπο κρυπτογράφησης δεδομένων - πλήκτρο 56-bit, θεωρείται πλέον ανασφαλές)
DES-EDE3-CBC (επίσης Triple DES ή 3DES - αυξάνει το μέγεθος κλειδιού του DES)
BF-CBC (Blowfish)
AES-128-CBC (Πρότυπο προηγμένης κρυπτογράφησης)
AES-192-CBC
AES-256-CBC
Camellia-128-CBC (Camellia)
Camellia-192-CBC
Camellia-256-CBC

Πώς να δημιουργήσετε ένα πιστοποιητικό OpenVPN

Το OpenVPN Connect διευκολύνει τη ζωή σας δημιουργώντας ένα έγκυρο πιστοποιητικό CA για εσάς, οπότε δεν χρειάζεται να το κάνετε εσείς οι ίδιοι. Ωστόσο, αν θέλετε να δημιουργήσετε το δικό σας πιστοποιητικό που έχετε υπογράψει αυτομάτως, ακολουθήστε τα παρακάτω βήματα (μπορείτε επίσης να ακολουθήσετε τα βήματα 1 και 2 για να δημιουργήσετε μια αίτηση υπογραφής πιστοποιητικού (CSR), η οποία μπορεί να υποβληθεί σε μια αρχή εμπορικού πιστοποιητικού (CA) για υπογραφή αν θέλετε.)

1. Οι απαιτούμενες βιβλιοθήκες SSL θα πρέπει ήδη να εγκατασταθούν στο σύστημά σας από την εγκατάσταση του OpenVPN Access Server στο Μέρος 1, αλλά θα πρέπει να ελέγξετε εισάγοντας την ακόλουθη εντολή:

openssl έκδοση

csr1

Αν δεν είναι, τότε μπορείτε να τα εισάγετε εισάγοντας:

apt-get εγκαταστήσετε το openssl (στη συνέχεια ελέγξτε ξανά ότι έχουν εγκατασταθεί όπως παραπάνω).

2. Είναι πλέον καιρός να χτίσετε το πιστοποιητικό. Θα δημιουργήσουμε πρώτα ένα αίτημα υπογραφής πιστοποιητικού (CSR). Αυτό μπορεί να υποβληθεί σε μια αρχή εμπορικού πιστοποιητικού (CA) για υπογραφή, αλλά σε αυτό το σεμινάριο, θα το μετατρέψουμε σε πιστοποιητικό CA που έχει υπογράψει αυτόματα.

Εισαγω:

openssl req -out server.csr -new -keykey rsa: 2048 -nodes -keyout server.key

Η απάντηση θα είναι μια σειρά ερωτήσεων:

Όνομα χώρας (κωδικός 2 χαρακτήρων): (οι κωδικοί επιστολών είναι διαθέσιμοι εδώ)
Κράτος ή Προβηγκία Όνομα:
Πόλη:
Όνομα οργανισμού:
Μονάδα ονομάτων Οργάνωσης: (π.χ. υποστήριξη τεχνολογίας πληροφοριών)
Κοινό όνομα: (ακριβές όνομα τομέα ή όνομα DNS του VPS σας)
Διεύθυνση ηλεκτρονικού ταχυδρομείου:

Επιπλέον χαρακτηριστικά «επιπλέον» -

Ένας κωδικός πρόκλησης:
Ένα προαιρετικό όνομα εταιρείας:

csr3

Αυτά θα πρέπει να συμπληρώνονται εάν σκοπεύετε να υποβάλετε την ΕΧΑ σε μια αρχή εμπορικού πιστοποιητικού (CA), αλλά για τους σκοπούς αυτού του εκπαιδευτικού εγχειριδίου, μπορείτε απλά να χτυπήσετε για κάθε ένα να αφήσει τα πεδία κενά.

3. Θα πρέπει τώρα να έχετε δύο αρχεία στον ριζικό κατάλογό σας, που ονομάζονται server.csr και server.key. Θα τα χρησιμοποιήσουμε για να δημιουργήσουμε ένα πιστοποιητικό CA που έχει υπογράψει αυτόματα. Τύπος:

cp server.key server.key.org

openssl rsa - στο server.key.org -out server.key και

openssl x509 -req -μέρες 365 -σε server.csr -αρχείο κλειδιού server.key -out server.crt

csr4

Θα πρέπει τώρα να έχουμε 3 αρχεία: Server.key, Server.crt και Server.csr (πληκτρολογήστε dir για να δείτε τα περιεχόμενα του τρέχοντος καταλόγου).

Εγκατάσταση του νέου πιστοποιητικού CA

4. Κάντε λήψη αυτών των αρχείων στον υπολογιστή σας χρησιμοποιώντας έναν ftp client (χρησιμοποιήσαμε το FOSS WinSCP) και στη συνέχεια εγκαταστήστε τους στον OpenVPN Access Server πηγαίνοντας στη σελίδα 'Web Server' (κάτω από το 'Configuration' στα αριστερά της σελίδας) στα ακόλουθα αρχεία:

  • CA Bundle: server.crt
  • Πιστοποιητικό: server.crt
  • Ιδιωτικό κλειδί: server.key

Εγκατάσταση CA1

5. Πατήστε 'Validate' (Επικύρωση) και, στη συνέχεια, μετακινηθείτε στο επάνω μέρος της σελίδας - τα 'Αποτελέσματα επικύρωσης' θα πρέπει να δηλώνουν 'self-signed certificate' και να εμφανίζουν τις πληροφορίες που καταχωρίσατε στο Βήμα 2 παραπάνω. Το πιστοποιητικό ισχύει για 1 έτος.

Εγκατάσταση CA2

6. Τώρα μετακινηθείτε προς τα κάτω στο κάτω μέρος της ιστοσελίδας και πατήστε 'Αποθήκευση', στη συνέχεια 'Ενημέρωση τρέχοντος διακομιστή' στο παράθυρο διαλόγου 'Ρυθμίσεις αλλαγής'.

διακομιστή ενημέρωσης

Έχετε πλέον επικυρώσει τον διακομιστή σας OpenVPN με ένα πιστοποιητικό CA που έχει υπογράψει αυτόματα!

Δημιουργία αρχείου .ovpn

Ένα από τα σπουδαία πράγματα για τη χρήση του OpenVPN Access Server είναι ότι κάνει μεγάλο μέρος της βαριάς ανύψωσης για εσάς και ένα από τα πιο χρήσιμα πράγματα που κάνει είναι να δημιουργήσει αυτόματα αρχεία διαμόρφωσης OpenVPN αυτόματα έτσι ώστε οποιοσδήποτε πελάτης OpenVPN να μπορεί να συνδεθεί στον server σας.
1. Συνδεθείτε στη διεύθυνση UI του πελάτη σας (όχι στο διαχειριστή UI). Όταν δείτε την οθόνη αυτόματης λήψης (παρακάτω), ανανεώστε το πρόγραμμα περιήγησής σας.

openvpn σύνδεση πελάτη 2

2. Θα σας προσφέρουμε τώρα μια επιλογή επιλογών λήψης. Επιλέξτε "Προσωπικά κλειδωμένο προφίλ" ή "Προσωπικό σας (προφίλ autologin)" (εάν υπάρχει - πρέπει να το ορίσετε - ανατρέξτε στην ενότητα "Προσθήκη άλλων χρηστών παρακάτω").

Κατεβάστε το αρχείο ovpn

3. Εισαγάγετε το ληφθέν αρχείο .ovpn στο πρόγραμμα-πελάτη OpenVPN κανονικά (για τον τυπικό πελάτη OpenVPN Widows, απλά αντιγράψτε το αρχείο στο φάκελο του OpenVPN 'config'). Το .ovpn μπορεί να μετονομαστεί σε ό, τι θέλετε, για να το αναγνωρίσετε. Στη συνέχεια, συνδεθείτε κανονικά.

Νέο αυτόλογο χρήστη

Προσθήκη άλλων χρηστών

1. Πρόσθετοι χρήστες μπορούν να προστεθούν χρησιμοποιώντας τον πίνακα διαχειριστή του OpenVPN Access Server, μεταβαίνοντας στο 'Δικαιώματα χρήστη'.

Δικαιώματα χρήστη

Αν σκοπεύετε να αποκτήσετε πρόσβαση μόνο στον OpenVPN server σας από ασφαλή τοποθεσία, μπορείτε να απλοποιήσετε τη σύνδεση επιλέγοντας 'Allow Auto-login'

Η βασική δωρεάν άδεια OpenVPN Access Server επιτρέπει έως και 2 συνδέσεις πελατών. Όταν ρυθμίσαμε τον διακομιστή VPN, η επιλογή προσθήκης ενός δεύτερου χρήστη ήταν ήδη διαθέσιμη. Εάν, ωστόσο, αυτή η επιλογή δεν εμφανίζεται (ή έχετε αγοράσει άδεια ομάδας και επιθυμείτε να προσθέσετε περισσότερους χρήστες), θα πρέπει να τα προσθέσετε (μέχρι το όριο άδειας χρήσης) μη αυτόματα εισάγοντας την εντολή '# adduser' στο PuTTY ή τερματικό σταθμό κ.λπ.). Ανατρέξτε σε αυτό το άρθρο για περισσότερες λεπτομέρειες.

Αφού προσθέσετε έναν νέο χρήστη, θα σας ζητηθεί να 'Ενημερώσετε τον τρέχοντα διακομιστή' (κάντε αυτό).

2. Συνδεθείτε στη διεύθυνση UI του πελάτη χρησιμοποιώντας το νέο όνομα χρήστη και κωδικό πρόσβασης και ακολουθήστε τα βήματα που περιγράφονται παραπάνω στην ενότητα 'Δημιουργία αρχείου .ovpn' παραπάνω.

Για μια λίστα με πιο εμπορικά δίκτυα VPN, που είναι πιο εύχρηστα, ρίξτε μια ματιά στον καλύτερο οδηγό VPN.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me