Časť 2 - pokročilá

V časti 1 tohto dvojdielneho sprievodcu nastavením OpenVPN na serveri CentO6 VPS sme sa zamerali na to, prečo by ste to mohli chcieť urobiť, a na jeho výhody a nevýhody. Poskytli sme tiež podrobné pokyny na inštaláciu softvéru OpenVPN Access Server do vášho VPS a ako vytvoriť jednoduché pripojenie VPN pomocou klienta OpenVPN Connect..


V časti 2 (rozšírené) preskúmame, ako zlepšiť bezpečnosť zmenou použitej šifry, ako zostaviť self-signed certifikát OpenVPN CA, ako vytvoriť konfiguračný súbor OpenVPN .ovpn tak, aby sa k pripojeniu mohol použiť akýkoľvek klient OpenVPN. váš server a ako pridať ďalších používateľov.

Pre tieto návody sme sa rozhodli používať softvér OpenVPN Access Server, ktorý je odlišný od servera OpenVPN. OpenVPN Access Server je navrhnutý tak, aby bol užívateľsky prívetivejší ako OpenVPN Server, a umožňuje vám vykonávať mnoho inak zložitých úloh pomocou jednoduchého GUI. Jedinou skutočnou nevýhodou je, že licenciu je potrebné zakúpiť pre viac ako dvoch používateľov (od 9,60 dolárov ročne na pripojenie klienta). Keďže však tento návod je zameraný na domáceho používateľa, ktorý stavia osobný vzdialený server OpenVPN pre domácich majstrov, nepovažujeme to za hlavnú nevýhodu..

Zmena šifrovacej šifry

Je to ľahké! OpenVPN štandardne používa 128-bitové šifrovanie Blowfish Cipher-Block Chaining (BF-CBC). Napriek tomu, že na väčšinu účelov stačilo, existujú slabé stránky, ktoré viedli k vytvoreniu šifry Blowfisha, Bruce Schneiera, ktorý odporúča používateľom zvoliť bezpečnejšiu alternatívu.

Ako sme už diskutovali, radi by sme videli, ako sa komerční poskytovatelia VPN vzdialia od vytvorených a / alebo certifikovaných šifrovacích algoritmov NIST, ale v tejto chvíli bohužiaľ OpenVPN nepodporuje naše obľúbené možnosti - Twofish a Threefish. Väčšina komerčných poskytovateľov namiesto toho prešla na štandardnú 256-bitovú AES, pretože ide o šifru, ktorú používa vláda USA na šifrovanie citlivých informácií..

1. Otvorte stránku OpenVPN Access Server (prejdite na svoju adresu používateľského rozhrania správcu, ako je uvedené v časti 1 tejto príručky), prejdite na stránku „Pokročilá VPN“.

Pokročilé nastavenia

2. Prejdite nadol na položku „Ďalšie konfiguračné smernice OpenVPN (pokročilé)“ a do polí „Serverové konfiguračné smernice“ a „Klientske konfiguračné smernice“ pridajte nasledujúci riadok:

šifra

napr. šifra AES-256-CBC

Rozšírené nastavenia VPN

Hit „Uložiť zmeny“.

Po zobrazení výzvy „Aktualizovať bežiaci server“.

aktualizačný server

OpenVPN podporuje nasledujúce šifry:

DES-CBC (Data Encryption Standard - 56-bitový kľúč, teraz považovaný za nezabezpečený)
DES-EDE3-CBC (tiež Triple DES alebo 3DES - zväčšuje veľkosť kľúča DES)
BF-CBC (Blowfish)
AES-128-CBC (Advanced Encryption Standard)
AES-192-CBC
AES-256-CBC
Camellia-128-CBC (Camellia)
Camellia-192-CBC
Camellia-256-CBC

Ako vytvoriť certifikát OpenVPN

OpenVPN Connect zjednodušuje život vytvorením platného certifikátu CA, takže to nemusíte robiť sami. Ak si však chcete vytvoriť svoj vlastný podpísaný certifikát, postupujte podľa krokov nižšie (podľa krokov 1 a 2 môžete tiež vytvoriť žiadosť o podpísanie certifikátu (CSR), ktorú je možné predložiť komerčnej certifikačnej autorite (CA)). na podpis, ak si želáte.)

1. Požadované knižnice SSL by už mali byť nainštalované vo vašom systéme od nainštalovania servera OpenVPN Access Server v časti 1, mali by ste to však skontrolovať zadaním nasledujúceho príkazu:

otvorená verzia

csr1

Ak nie, môžete ich zadať zadaním:

apt-get install openssl (potom znova skontrolujte, či sú nainštalované ako je uvedené vyššie).

2. Teraz je čas zostaviť certifikát. Najprv zostavíme žiadosť o podpísanie certifikátu (CSR). Toto je možné predložiť na podpis komerčnej certifikačnej autorite (CA), ale v tomto tutoriále ju prevedieme na certifikát CA s vlastným podpisom..

Enter:

openssl req -out server.csr -new -newkey rsa: 2048 -nodes -keyout server.key

Odpoveďou bude niekoľko otázok:

Názov krajiny (dvojpísmenový kód): (písmenové kódy sú k dispozícii tu)
Názov štátu alebo Provence:
mesto:
Názov orgánu:
Názov orgánu: (napr. Podpora IT)
Bežné meno: (presný názov domény alebo názov DNS vášho VPS)
Emailová adresa:

Plus „extra“ atribúty -

Heslo výzvy:
Nepovinný názov spoločnosti:

csr3

Mali by ste ich vyplniť, ak plánujete predložiť správu o chemickej bezpečnosti komerčnej certifikačnej autorite (CA), ale na účely tohto tutoriálu stačí zasiahnuť, ak necháte všetky políčka prázdne..

3. Teraz by sme mali mať dva súbory vo vašom koreňovom adresári, ktoré sa nazývajú server.csr a server.key. Použijeme ich na vytvorenie certifikátu CA s vlastným podpisom. typ:

cp server.key server.key.org

openssl rsa -in server.key.org -out server.key a

openssl x509 -req -dni 365 -in server.csr -signkey server.key -out server.crt

csr4

Teraz by sme mali mať 3 súbory: Server.key, Server.crt a Server.csr (zadajte dir zobraziť obsah aktuálneho adresára).

Inštalácia nového certifikátu CA.

4. Stiahnite si tieto súbory do svojho počítača pomocou ftp klienta (použili sme FOSS WinSCP), potom ich nainštalujte do OpenVPN Access Serveru prejdením na stránku 'Web Server' (v časti 'Configuration' v ľavej časti stránky) a Browse do nasledujúcich súborov:

  • Balík CA: server.crt
  • Certifikát: server.crt
  • Súkromný kľúč: server.key

Inštalácia CA1

5. Stlačte „Overiť“, potom prejdite na začiatok stránky - v „Výsledky overenia“ by sa mal zobraziť „certifikát s vlastným podpisom“ a zobraziť informácie, ktoré ste zadali v kroku 2 vyššie. Certifikát je platný 1 rok.

Inštalácia CA2

6. Teraz prejdite späť naspodok webovej stránky a stlačte „Uložiť“, potom „Aktualizovať bežiaci server“ v dialógovom okne „Zmenené nastavenia“..

aktualizačný server

Teraz ste overili svoj server OpenVPN pomocou certifikátu CA s vlastným podpisom!

Vytvára sa súbor .ovpn

Jednou z vynikajúcich vecí pri používaní servera OpenVPN Access Server je to, že pre vás robí veľkú záťaž, a jednou z najužitočnejších vecí, ktorú robí, je automatické generovanie konfiguračných súborov .ovpn OpenVPN, aby sa k vášmu serveru mohol pripojiť každý klient OpenVPN..
1. Prihláste sa na svoju klientsku adresu používateľského rozhrania (nie administrátorské rozhranie). Keď sa zobrazí obrazovka automatického sťahovania (nižšie), obnovte prehliadač.

prihlasovacie meno pre klienta openvpn 2

2. Teraz vám bude ponúknutý výber možností sťahovania. Vyberte možnosť „Vy sami (profil uzamknutý používateľom)“ alebo „Vy sami (profil automatického prihlásenia)“ (ak je k dispozícii - musíte to nastaviť - pozrite si časť „Pridanie ďalších používateľov nižšie“).

Stiahnite si súbor ovpn

3. Importovaný súbor .ovpn importujte do svojho klienta OpenVPN obvyklým spôsobom (v prípade štandardného klienta Widows OpenVPN ho jednoducho skopírujte do priečinka „config“ OpenVPN). .Ovpn je možné premenovať na čokoľvek, čo vám pomôže identifikovať. Potom sa prihláste ako zvyčajne.

Nový užívateľský autológ

Pridávanie ďalších používateľov

1. Ďalších používateľov je možné pridať pomocou administračného panela OpenVPN Access Server Admin, a to tak, že prejdete na položku Povolenia používateľa.

Povolenia používateľa

Ak plánujete prístup na svoj server OpenVPN iba zo zabezpečeného umiestnenia, môžete prihlásenie zjednodušiť výberom možnosti „Povoliť automatické prihlásenie“.

Základná bezplatná licencia OpenVPN Access Server umožňuje až 2 pripojenia klientov. Keď nastavujeme náš server VPN, možnosť pridať druhého používateľa už bola k dispozícii. Ak sa však táto možnosť neobjaví (alebo ste si zakúpili skupinovú licenciu a chcete pridať ďalších používateľov), budete ich musieť pridať (až do obmedzenia licencie) ručne zadaním príkazu „# adduser“ v PuTTY ( alebo atď.). Ďalšie podrobnosti nájdete v tomto článku.

Po pridaní nového používateľa sa zobrazí výzva na aktualizáciu bežiaceho servera (urobte to).

2. Prihláste sa na adresu používateľského rozhrania klienta pomocou nového používateľského mena a hesla a postupujte podľa pokynov uvedených vyššie v časti „Vytvorenie súboru .ovpn“ vyššie..

Zoznam komerčných sietí VPN, ktoré sa ľahšie používajú, nájdete v našom najlepšom sprievodcovi VPN.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me