2. del - napredno

V prvem delu tega dvodelnega vodnika o nastavitvi OpenVPN-ja na strežnik CentO6 VPS smo preučili, zakaj bi to morda želeli, ter prednosti in slabosti tega. Podali smo tudi navodila po korakih za namestitev programske opreme OpenVPN Access Server na VPS in kako ustvariti preprosto povezavo VPN s pomočjo odjemalca OpenVPN Connect.


V 2. delu (napredno) bomo raziskali, kako izboljšati varnost s spremembo uporabljene šifre, kako sestaviti samopodpisano potrdilo OpenVPN CA, kako ustvariti konfiguracijsko datoteko OpenVPN .ovpn, tako da se lahko kateri koli odjemalec OpenVPN uporablja za povezavo vaš strežnik in kako dodati dodatne uporabnike.

Za te vadnice smo se odločili za uporabo programske opreme OpenVPN Access Server, ki se razlikuje od OpenVPN Server. OpenVPN dostopni strežnik je zasnovan tako, da je uporabniku prijaznejši od strežnika OpenVPN in omogoča izvajanje številnih sicer zapletenih opravil z uporabo preprostega vmesnika. Edina slaba stran je, da je treba kupiti licenco za več kot dva uporabnika (začenši z 9,60 USD na leto na povezavo s strankami). Ker pa je ta vadnica namenjena domačemu uporabniku, ki gradi osebni sam oddaljeni strežnik OpenVPN, tega ne smatramo kot glavno pomanjkljivost.

Spreminjanje šifrirne šifre

To je enostavno! OpenVPN privzeto uporablja 128-bitno šifriranje blokirnega vezja Blowfish (BF-CBC). Čeprav več kot zadostuje za večino namenov, obstajajo slabosti, ki so privedle celo do ustvarjalca šifre Blowfish Brucea Schneierja, ki uporabnikom priporoča, da izberejo varnejšo alternativo.

Kot smo že razpravljali, bi radi videli, da se komercialni ponudniki VPN oddaljujejo od ustvarjenih in / ali potrjenih algoritmov šifriranja, ki jih ustvarjajo NIST, vendar žal OpenVPN ne podpira naših najljubših možnosti - Twofish in Threefish. Večina komercialnih ponudnikov je namesto tega standardno prešla na 256-bitni AES, saj je to šifra, ki jo ameriška vlada uporablja za šifriranje občutljivih informacij.

1. Odprite svojo stran OpenVPN Access Server (tako, da odprete naslov skrbniškega uporabniškega vmesnika, kot je razloženo v 1. delu tega priročnika), pojdite na "Advanced VPN page".

Napredne nastavitve

2. Pomaknite se navzdol do „Dodatne direktive o konfiguriranju OpenVPN (napredno)“ in dodajte naslednjo vrstico v okenca „Direktivi strežnika konfigurirajte“ in „Direktivi o konfiguraciji odjemalca“:

šifra

npr. šifra AES-256-CBC

Napredne nastavitve VPN

Pritisnite »Shrani spremembe«.

Potem ob pozivu 'Posodobi teče strežnik'.

posodobitveni strežnik

OpenVPN podpira naslednje šifre:

DES-CBC (Standard za šifriranje podatkov - 56-bitni ključ, zdaj velja za negotov)
DES-EDE3-CBC (tudi Triple DES ali 3DES - poveča velikost ključa DES)
BF-CBC (Blowfish)
AES-128-CBC (napredni standard šifriranja)
AES-192-CBC
AES-256-CBC
Camellia-128-CBC (Camellia)
Camellia-192-CBC
Camellia-256-CBC

Kako sestaviti certifikat OpenVPN

OpenVPN Connect olajša življenje tako, da za vas ustvari veljaven certifikat CA, zato vam tega ni treba storiti sami. Če pa želite ustvariti lastno potrdilo o lastnem podpisu, sledite spodnjim korakom (lahko sledite tudi korakoma 1 in 2, da ustvarite zahtevo za podpis potrdila (CSR), ki jo je mogoče predložiti organu za tržne certifikate (CA) za podpis, če želite.)

1. Zahtevane knjižnice SSL bi morale biti že nameščene v vašem sistemu, ko ste namestili OpenVPN Access Server v 1. delu, vendar to preverite tako, da vnesete naslednji ukaz:

različica openssl

csr1

Če ne, jih lahko vnesete tako, da vnesete:

apt-get install openssl (nato ponovno preverite, ali so nameščeni kot zgoraj).

2. Zdaj je čas za izdelavo certifikata. Najprej bomo izdelali zahtevo za podpis certifikata (CSR). To je mogoče predložiti organu za tržne certifikate (CA) v podpis, vendar ga bomo v tej vaji pretvorili v samopodpisano potrdilo CA.

Vnesite:

openssl req -out server.csr -new -newkey rsa: 2048 -nodes -keyout server.key

Odgovor bo na številna vprašanja:

Ime države (dvočrkovna koda): (kode črk so na voljo tukaj)
Ime države ali Provence:
Mesto:
Ime orge:
Org Ime enota: (npr. Podpora za IT)
Skupno ime: (natančno ime domene ali DNS ime vašega VPS)
Email naslov:

Plus "dodatni" atributi -

Izzivno geslo:
Neobvezno ime podjetja:

csr3

Te je treba izpolniti, če nameravate predložiti CSR organu za komercialne certifikate (CA), toda za namene te vadnice lahko samo pritisnete, da vsa polja ostanejo prazna.

3. Zdaj bi morali imeti v vašem korenskem imeniku dve datoteki, imenovani server.csr in server.key. Te bomo uporabili za ustvarjanje samopodpisanega certifikata CA. Vrsta:

cp server.key server.key.org

openssl rsa -in server.key.org -out server.key in

openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

csr4

Zdaj bi morali imeti 3 datoteke: Server.key, Server.crt in Server.csr (vnesite dir za ogled vsebine trenutnega imenika).

Namestitev novega certifikata CA

4. Prenesite te datoteke v računalnik s pomočjo odjemalca ftp (uporabili smo FOSS WinSCP), nato pa jih namestite v dostopni strežnik OpenVPN tako, da odprete stran »Spletni strežnik« (pod »Konfiguracija« na levi strani) in brskate do naslednjih datotek:

  • CA Paket: server.crt
  • Potrdilo: server.crt
  • Zasebni ključ: server.key

Namestitev CA1

5. Pritisnite »Preverjanje«, nato se pomaknite na vrh strani - »Potrditveni rezultati« naj bodo »samopodpisano potrdilo« in prikažite podatke, ki ste jih vnesli v 2. koraku. Potrdilo velja 1 leto.

Namestitev CA2

6. Zdaj se pomaknite nazaj do dna spletne strani in v pogovornem oknu »Spremenjene nastavitve« kliknite »Shrani«, nato »Posodobi zagnani strežnik«..

posodobitveni strežnik

Zdaj ste potrdili svoj strežnik OpenVPN s samopodpisanim certifikatom CA!

Ustvarjanje .ovpn datoteke

Ena od odličnih stvari pri uporabi OpenVPN Access Server je, da veliko stori za vas, ena najbolj uporabnih stvari pa je, da samodejno ustvari .ovpn konfiguracijske datoteke OpenVPN, tako da se lahko vsak odjemalec OpenVPN poveže s strežnikom.
1. Prijavite se na naslov uporabniškega vmesnika (ne uporabniški vmesnik Admin). Ko vidite zaslon samodejnega prenosa (spodaj), osvežite brskalnik.

openvpn prijava odjemalca 2

2. Zdaj vam bo na voljo izbira prenosov. Izberite »Sebe (profil z zaklenjenim uporabnikom)« ali »Sebe (profil za samodejno prijavo)« (če je na voljo - to morate nastaviti - glejte »Spodaj dodajanje drugih uporabnikov«).

Prenesite ovpn datoteko

3. Naloženo datoteko .ovpn uvozite v odjemalca OpenVPN kot običajno (za standardnega odjemalca Widows OpenVPN preprosto kopirajte datoteko v mapo OpenVPN 'config'). .Ovpn se lahko preimenujete v karkoli želite, da ga lažje prepoznate. Nato se prijavite kot običajno.

Nov uporabniški samodejni vpis

Dodajanje drugih uporabnikov

1. Dodatne uporabnike lahko dodate s pomočjo skrbniške plošče OpenVPN Access Server, tako da odprete »Uporabniška dovoljenja«.

Uporabniška dovoljenja

Če nameravate dostopati do strežnika OpenVPN samo z varne lokacije, lahko prijavo poenostavite tako, da izberete »Dovoli samodejno prijavo«

Osnovna brezplačna licenca OpenVPN Access Server omogoča do 2 odjemalski povezavi. Ko smo nastavili strežnik VPN, je bila že na voljo možnost dodajanja drugega uporabnika. Če pa se ta možnost ne pojavi (ali ste kupili skupinsko licenco in želite dodati več uporabnikov), jih boste morali dodati (do omejitve licence) ročno, tako da v PuTTY vnesete ukaz '# adduser' ( ali Terminal ect.). Za več podrobnosti glejte ta članek.

Ko dodate novega uporabnika, boste pozvani, da posodobite teče strežnik (storite tako).

2. Prijavite se na uporabnikov uporabniški vmesnik z novim uporabniškim imenom in geslom in sledite zgornjim korakom v razdelku »Ustvarjanje .ovpn datoteke« zgoraj.

Za seznam bolj komercialnih VPN-jev, ki so enostavnejši za uporabo, si oglejte naš najboljši vodič za VPN.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me