2. daļa - uzlabotas

Šīs divdaļīgās rokasgrāmatas par OpenVPN iestatīšanu CentO6 VPS serverī 1. daļā mēs apskatījām iemeslus, kādēļ jūs varētu vēlēties to darīt, un plusus un mīnusus, kas to varētu darīt. Mēs arī sniedzām soli pa solim instrukcijas par OpenVPN Access Server programmatūras instalēšanu jūsu VPS un to, kā izveidot vienkāršu VPN savienojumu, izmantojot OpenVPN Connect klientu.

2. daļā (uzlabots) mēs izpētīsim, kā uzlabot drošību, mainot izmantoto šifru, kā izveidot pašparakstītu OpenVPN CA sertifikātu, kā izveidot OpenVPN .ovpn konfigurācijas failu, lai jebkuru OpenVPN klientu varētu izmantot, lai izveidotu savienojumu ar savu serveri un kā pievienot papildu lietotājus.

Šajās pamācībās mēs esam izvēlējušies izmantot programmatūru OpenVPN Access Server, kas atšķiras no OpenVPN Server. OpenVPN piekļuves serveris ir izveidots tā, lai tas būtu lietotājam draudzīgāks nekā OpenVPN Server, un tas ļauj veikt daudzus citādi sarežģītus uzdevumus, izmantojot vienkāršu GUI. Vienīgais reālais negatīvais ir tas, ka licence ir jāiegādājas vairāk nekā diviem lietotājiem (sākot no USD 9,60 gadā par katru klienta savienojumu). Tā kā šī apmācība ir paredzēta, lai mājas lietotājs izveidotu personīgo DIY attālo OpenVPN serveri, mēs to neuzskatām par būtisku trūkumu.

Šifrēšanas šifra maiņa

Tas ir viegli! Pēc noklusējuma OpenVPN izmanto 128 bitu Blowfish Cipher-Block Chaining (BF-CBC) šifrēšanu. Kaut arī tas ir vairāk nekā pietiekams lielākajai daļai mērķu, pastāv tā vājums, kura dēļ Blowfish šifra radītājs Brūss Šneijers iesaka lietotājiem izvēlēties drošāku alternatīvu..

Kā mēs jau iepriekš apspriedām, mēs labprāt redzētu, ka komerciālie VPN pakalpojumu sniedzēji attālinās no NIST izveidotajiem un / vai sertificētajiem šifrēšanas algoritmiem, taču diemžēl šajā brīdī OpenVPN neatbalsta mūsu iecienītās iespējas - Twofish un Threefish. Lielākā daļa komerciālo pakalpojumu sniedzēju tā vietā ir pārslēgušies uz 256 bitu AES kā standarta, jo šo šifru ASV valdība izmanto, lai šifrētu slepenu informāciju.


1. Atveriet savu OpenVPN piekļuves servera lapu (dodoties uz jūsu administratora lietotāja saskarnes adresi, kā aprakstīts šīs rokasgrāmatas 1. daļā), dodieties uz “Advanced VPN page”..

Papildu iestatījumi

2. Ritiniet uz leju līdz “Papildu OpenVPN Config direktīvas (uzlabotas)” un lodziņiem “Server Config direktīvas” un “Client Config direktīvas” pievienojiet šo rindu:

šifrs

piem. šifrs AES-256-CBC

Papildu VPN iestatījumi

Nospiediet “Saglabāt izmaiņas”.

Pēc tam pēc pieprasījuma “Update Running Server”.

atjaunināšanas serveris

OpenVPN atbalsta šādus šifrus:

DES-CBC (datu šifrēšanas standarts - 56 bitu atslēga, tagad uzskatāma par nedrošu)
DES-EDE3-CBC (arī trīskāršs DES vai 3DES - palielina DES atslēgas lielumu)
BF-CBC (Blowfish)
AES-128-CBC (uzlabotais šifrēšanas standarts)
AES-192-CBC
AES-256-CBC
Camellia-128-CBC (Camellia)
Camellia-192-CBC
Camellia-256-CBC

Kā izveidot OpenVPN sertifikātu

OpenVPN Connect atvieglo dzīvi, izveidojot jums derīgu CA sertifikātu, tāpēc jums tas nav jādara pats. Tomēr, ja vēlaties izveidot pats parakstītu sertifikātu, rīkojieties šādi: (Izpildiet arī 1. un 2. darbību, lai izveidotu sertifikāta parakstīšanas pieprasījumu (CSR), kuru var iesniegt komerciālā sertifikāta iestādei (CA) parakstīšanai, ja vēlaties.)

1. Nepieciešamās SSL bibliotēkas jau vajadzētu būt instalētām jūsu sistēmā no brīža, kad instalējāt OpenVPN piekļuves serveri 1. daļā, taču jums tas jāpārbauda, ​​ievadot šādu komandu:

openssl versija

csr1

Ja viņi to nedara, jūs varat viņus ievadīt, ievadot:

apt-get instalēt openssl (pēc tam vēlreiz pārbaudiet, vai tie ir instalēti tāpat kā iepriekš).

2. Tagad ir laiks izveidot sertifikātu. Vispirms izveidosim sertifikāta parakstīšanas pieprasījumu (CSR). To var iesniegt parakstīšanai komerciālo sertifikātu iestādē (CA), taču šajā apmācībā mēs to pārveidosim par pašu parakstītu CA sertifikātu.

Ievadiet:

openssl req -out server.csr -jauns -jaunums rsa: 2048 -mezgli -atslēgas serveris.key

Atbilde būs uz vairākiem jautājumiem:

Valsts nosaukums (2 burtu kods): (burtu kodi pieejami šeit)
Valsts vai Provansas nosaukums:
Pilsēta:
Org nosaukums:
Organizācijas nosaukuma vienība: (piemēram, IT atbalsts)
Parastais nosaukums: (precīzs VPS domēna nosaukums vai DNS nosaukums)
Epasta adrese:

Plus “papildu” atribūti -

Izaicinājuma parole:
Izvēles uzņēmuma nosaukums:

csr3

Tie jāaizpilda, ja plānojat iesniegt CSR komerciālo sertifikātu izdevējiestādei (CA), taču šīs apmācības nolūkos varat nospiest katru, atstājot laukus tukšus.

3. Tagad jūsu saknes direktorijā vajadzētu būt diviem failiem, kurus sauc par server.csr un server.key. Mēs tos izmantosim, lai izveidotu pašparakstītu SI sertifikātu. Tips:

cp server.key server.key.org

openssl rsa -in server.key.org -out server.key un

openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

csr4

Tagad mums vajadzētu būt 3 failiem: Server.key, Server.crt un Server.csr (ievadiet rež lai redzētu pašreizējā direktorija saturu).

Jaunā CA sertifikāta instalēšana

4. Lejupielādējiet šos failus uz datoru, izmantojot ftp klientu (mēs izmantojām FOSS WinSCP), pēc tam instalējiet tos OpenVPN piekļuves serverī, dodoties uz Web servera lapu (sadaļā “Konfigurācija” lapas kreisajā pusē) un Pārlūkot. uz šādiem failiem:

  • CA pakete: server.crt
  • Sertifikāts: server.crt
  • Privātā atslēga: server.key

Instalēšana CA1

5. Nospiediet “Apstiprināt”, pēc tam ritiniet līdz lapas augšdaļai - “Validācijas rezultātos” vajadzētu pateikt “paša parakstīts sertifikāts” un parādīt iepriekš 2. darbībā ievadīto informāciju. Sertifikāts ir derīgs 1 gadu.

Instalēšana CA2

6. Tagad ritiniet atpakaļ uz leju līdz tīmekļa lapas apakšdaļai un dialoglodziņā “Mainīti iestatījumi” noklikšķiniet uz “Saglabāt” un pēc tam uz “Atjaunināt palaisto serveri”..

atjaunināšanas serveris

Tagad jūs esat apstiprinājis savu OpenVPN serveri ar pašparakstītu CA sertifikātu!

.Ovpn faila izveidošana

Viena no lieliskajām lietām, kas saistītas ar OpenVPN piekļuves servera izmantošanu, ir tas, ka tas daudz ko rada jums, un viena no visnoderīgākajām lietām, ko tā dara, ir automātiski radīt .ovpn OpenVPN konfigurācijas failus, lai jebkurš OpenVPN klients varētu izveidot savienojumu ar jūsu serveri..
1. Piesakieties sava klienta lietotāja saskarnes adresē (nevis administratora lietotāja saskarnē). Kad redzat automātiskās lejupielādes ekrānu (zemāk), atsvaidziniet pārlūkprogrammu.

openvpn klienta pieteikšanās 2

2. Jums tagad tiks piedāvāta lejupielādes izvēle. Atlasiet “Sevi (lietotāja bloķēts profils)” vai “Sevi (autologin profils)” (ja pieejams - jums tas ir jāiestata - skatiet “Citu lietotāju pievienošana zemāk”)..

Lejupielādējiet ovpn failu

3. Kā parasti, importējiet lejupielādēto .ovpn failu savā OpenVPN klientā (standarta Widows OpenVPN klientam vienkārši nokopējiet failu OpenVPN “config” mapē). .Ovpn var pārdēvēt par jebkuru, kas jums patīk, lai palīdzētu to identificēt. Pēc tam piesakieties kā parasti.

Jauna lietotāja autologin

Citu lietotāju pievienošana

1. Papildu lietotājus var pievienot, izmantojot OpenVPN piekļuves servera administratora paneli, dodoties uz “Lietotāju atļaujas”.

Lietotāja atļaujas

Ja plānojat piekļūt savam OpenVPN serverim tikai no drošas vietas, varat vienkāršot pieteikšanos, atlasot “Atļaut automātisko pieteikšanos”.

Pamata bezmaksas OpenVPN piekļuves servera licence ļauj izveidot ne vairāk kā 2 klienta savienojumus. Kad iestatījām savu VPN serveri, opcija pievienot otru lietotāju jau bija pieejama. Ja šī iespēja tomēr neparādās (vai esat iegādājies grupas licenci un vēlaties pievienot vairāk lietotāju), jums tie būs jāpievieno (līdz jūsu licences ierobežojumam) manuāli, ievadot komandu PuTTY '# adduser' ( vai termināļa ekt.). Lūdzu, skatiet šo rakstu, lai iegūtu sīkāku informāciju.

Kad esat pievienojis jaunu lietotāju, jums tiks piedāvāts atjaunināt darbojas serveri (dariet to).

2. Piesakieties klienta lietotāja saskarnes adresē, izmantojot jauno lietotājvārdu un paroli, un rīkojieties, kā aprakstīts iepriekš “.ovpn faila izveidošana”..

Lai uzzinātu vairāk komerciālu VPN, kurus ir vieglāk izmantot, saraksts ir pieejams mūsu labākajā VPN rokasgrāmatā.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me