Jak převést svůj vlastní server OpenVPN na VPS – část 2

Část 2 - pokročilé

V části 1 této dvoudílné příručky o nastavení OpenVPN na serveru CentO6 VPS jsme se podívali na to, proč byste to mohli chtít, a na výhody a nevýhody takového postupu. Poskytli jsme také podrobné pokyny pro instalaci softwaru OpenVPN Access Server do vašeho VPS a jak vytvořit jednoduché připojení VPN pomocí klienta OpenVPN Connect..


V části 2 (pokročilé) prozkoumáme, jak zlepšit zabezpečení změnou použité šifry, jak sestavit self-signed certifikát OpenVPN CA, jak vytvořit konfigurační soubor OpenVPN .ovpn tak, aby se k připojení mohl použít jakýkoli klient OpenVPN. váš server a jak přidat další uživatele.

V těchto výukových programech jsme se rozhodli používat software OpenVPN Access Server, který se liší od serveru OpenVPN. OpenVPN Access Server je navržen tak, aby byl uživatelsky přívětivější než OpenVPN Server a umožňuje provádět mnoho jinak složitých úkolů pomocí jednoduchého GUI. Jedinou skutečnou nevýhodou je, že licenci je třeba zakoupit pro více než dva uživatele (začínající na 9,60 USD / rok na připojení klienta). Protože je však tento tutoriál zaměřen na domácí uživatele, který si staví osobní DIY vzdálený server OpenVPN, nepovažujeme to za hlavní nevýhodu..

Změna šifrovací šifry

To je snadné! Ve výchozím nastavení OpenVPN používá 128bitové šifrování Blowfish Cipher-Block Chaining (BF-CBC). Přestože je pro většinu účelů dostačující, existují slabiny, které vedly k vytvoření tvůrce šifry Blowfish Bruce Schneier, který doporučuje uživatelům zvolit bezpečnější alternativu.

Jak jsme již diskutovali, rádi bychom viděli, jak se komerční poskytovatelé VPN vzdálí od vytvořených a / nebo certifikovaných šifrovacích algoritmů NIST, ale v tuto chvíli OpenVPN bohužel nepodporuje naše oblíbené možnosti - Twofish a Threefish. Většina komerčních poskytovatelů místo toho přešla na 256bitový AES jako standard, protože se jedná o šifru používanou vládou USA k šifrování citlivých informací.

1. Otevřete stránku OpenVPN Access Server (přejděte na svou UI adresu administrátora, jak je uvedeno v části 1 této příručky), přejděte na „stránku Advanced VPN“.

Pokročilé nastavení

2. Přejděte dolů na položku „Další direktivy OpenVPN Config (rozšířené)“ a do řádků „Server Config Directions“ a „Client Config Directions“ přidejte následující řádek:

šifra

např. šifra AES-256-CBC

Pokročilá nastavení VPN

Stiskněte "Uložit změny".

Po zobrazení výzvy „Aktualizovat běžící server“.

aktualizační server

OpenVPN podporuje následující šifry:

DES-CBC (Data Encryption Standard - 56bitový klíč, nyní považovaný za nezabezpečený)
DES-EDE3-CBC (také Triple DES nebo 3DES - zvyšuje klíčovou velikost DES)
BF-CBC (Blowfish)
AES-128-CBC (Advanced Encryption Standard)
AES-192-CBC
AES-256-CBC
Camellia-128-CBC (Camellia)
Camellia-192-CBC
Camellia-256-CBC

Jak vytvořit certifikát OpenVPN

OpenVPN Connect usnadňuje život vytvořením platného certifikátu CA, takže to nemusíte dělat sami. Pokud si však přejete vytvořit svůj vlastní podepsaný certifikát, postupujte podle následujících kroků (můžete také postupovat podle kroků 1 a 2 a vytvořit žádost o podepsání certifikátu (CSR), kterou lze odeslat komerční certifikační autoritě (CA)). k podpisu, pokud si přejete.)

1. Požadované knihovny SSL by již měly být nainstalovány ve vašem systému od okamžiku, kdy jste nainstalovali server OpenVPN Access Server v části 1, ale měli byste to zkontrolovat zadáním následujícího příkazu:

openssl verze

csr1

Pokud tomu tak není, můžete je zadat zadáním:

apt-get install openssl (znovu zkontrolujte, zda jsou nainstalovány výše).

2. Nyní je čas sestavit certifikát. Nejprve vytvoříme žádost o podepsání certifikátu (CSR). To může být předloženo komerční certifikační autoritě (CA) k podpisu, ale v tomto tutoriálu ji převedeme na self-signed CA certifikát.

Zadejte:

openssl req -out server.csr -new -newkey rsa: 2048 -nodes -keyout server.key

Odpovědí bude řada otázek:

Název země (2místný kód): (kódy písmen jsou k dispozici zde)
Název státu nebo Provence:
Město:
Název orgánu:
Org Name Unit: (např. Podpora IT)
Obecný název: (přesný název domény nebo název DNS vašeho VPS)
Emailová adresa:

Plus „extra“ atributy -

Heslo výzvy:
Nepovinný název společnosti:

csr3

Tyto údaje by měly být vyplněny, pokud plánujete předložit CSR komerční certifikační autoritě (CA), ale pro účely tohoto tutoriálu stačí zasáhnout, aby každý z nich nechal pole prázdná..

3. Nyní byste měli mít v kořenovém adresáři dva soubory nazvané server.csr a server.key. Použijeme je k vytvoření certifikátu CA s vlastním podpisem. Typ:

cp server.key server.key.org

openssl rsa -in server.key.org -out server.key a

openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

csr4

Nyní bychom měli mít 3 soubory: Server.key, Server.crt a Server.csr (zadejte dir zobrazit obsah aktuálního adresáře).

Instalace nového certifikátu CA.

4. Stáhněte si tyto soubory do svého PC pomocí ftp klienta (použili jsme FOSS WinSCP), poté je nainstalujte do OpenVPN Access Serveru tím, že jdete na stránku 'Web Server' (pod 'Configuration' v levé části stránky) a Browse do následujících souborů:

  • Svazek CA: server.crt
  • Certifikát: server.crt
  • Soukromý klíč: server.key

Instalace CA1

5. Stiskněte tlačítko „Ověřit“ a poté přejděte na začátek stránky - „Výsledky ověření“ by mělo říkat „certifikát podepsaný sám sebou“ a zobrazte informace, které jste zadali v kroku 2 výše. Certifikát je platný 1 rok.

Instalace CA2

6. Nyní přejděte zpět na konec webové stránky a v dialogovém okně „Nastavení změněno“ klikněte na „Uložit“ a poté na „Aktualizovat běžící server“..

aktualizační server

Nyní jste ověřili svůj server OpenVPN pomocí certifikátu CA s vlastním podpisem!

Vytvoření souboru .ovpn

Jednou z velkých věcí, které se týkají používání serveru OpenVPN Access Server, je to, že pro vás dělá velké těžkosti, a jednou z nejužitečnějších věcí, kterou dělá, je automatické generování konfiguračních souborů .ovpn OpenVPN tak, aby se k vašemu serveru mohl připojit každý klient OpenVPN..
1. Přihlaste se na svou klientskou adresu uživatelského rozhraní (nikoli uživatelské rozhraní správce). Když se zobrazí obrazovka automatického stahování (níže), obnovte prohlížeč.

přihlášení klienta openvpn 2

2. Nyní vám bude nabídnut výběr možností stahování. Vyberte možnost „Sám (profil uzamčený uživatelem)“ nebo „Sám (profil automatického přihlášení)“ (je-li k dispozici - musíte to nastavit - viz „Přidání dalších uživatelů níže“).

Stáhněte soubor ovpn

3. Importujte stažený soubor .ovpn do svého klienta OpenVPN jako obvykle (u standardního klienta Widows OpenVPN jej jednoduše zkopírujte do složky „config“ OpenVPN). .Ovpn lze přejmenovat na cokoli, aby vám to pomohlo identifikovat. Poté se přihlaste jako obvykle.

Autologin nového uživatele

Přidávání dalších uživatelů

1. Další uživatelé mohou být přidáni pomocí administrátorského panelu OpenVPN Access Server, přejděte na „Uživatelská oprávnění“.

Uživatelská oprávnění

Pokud máte v úmyslu přistupovat k serveru OpenVPN pouze ze zabezpečeného umístění, můžete přihlášení zjednodušit výběrem možnosti „Povolit automatické přihlášení“

Základní bezplatná licence OpenVPN Access Server umožňuje až 2 klientská připojení. Když nastavujeme náš server VPN, možnost přidání druhého uživatele již byla k dispozici. Pokud se však tato možnost neobjeví (nebo jste si zakoupili skupinovou licenci a chcete přidat další uživatele), budete je muset přidat (až do svého licenčního omezení) ručně zadáním příkazu '# adduser' v PuTTY ( nebo ect.). Další podrobnosti naleznete v tomto článku.

Po přidání nového uživatele budete vyzváni k aktualizaci aktualizačního serveru (udělejte to).

2. Přihlaste se na adresu uživatelského rozhraní klienta pomocí nového uživatelského jména a hesla a postupujte podle pokynů uvedených výše v části „Vytvoření souboru .ovpn“ výše..

Seznam komerčních sítí VPN, které se snadněji používají, najdete v našem nejlepším průvodci VPN.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me