חלק ב '- מתקדם

בחלק 1 של מדריך דו-חלקי זה בנושא הגדרת OpenVPN בשרת CentO6 VPS, בדקנו מדוע כדאי לכם לעשות זאת, ואת היתרונות והחסרונות לעשות זאת. בנוסף סיפקנו הוראות שלב אחר שלב להתקנת תוכנת OpenVPN Access Server ב VPS שלך, וכיצד ליצור חיבור VPN פשוט באמצעות לקוח OpenVPN Connect.


בחלק 2 (מתקדם) נחקור כיצד לשפר את האבטחה על ידי שינוי הצופן המשמש, כיצד לבנות תעודת OpenVPN CA חתימה עצמית, כיצד ליצור קובץ תצורה של OpenVPN .ovpn כך שניתן להשתמש בכל לקוח OpenVPN להתחבר אליו לשרת שלך, וכיצד להוסיף משתמשים נוספים.

למדריכים אלה בחרנו להשתמש בתוכנת OpenVPN Access Server, המובחנת מ OpenVPN Server. שרת AccessVPN Access נועד להיות ידידותי יותר למשתמש מאשר שרת OpenVPN, ומאפשר לבצע משימות רבות ומורכבות אחרת באמצעות ממשק משתמש פשוט. החיסרון האמיתי היחיד הוא שיש לרכוש רישיון ליותר משני משתמשים (החל מ- $ 9.60 לשנה לחיבור לקוח). עם זאת, מכיוון שהדרכה זו מכוונת למשתמש הביתי לבנות שרת אישי OpenVPN מרוחק DIY, איננו רואים בכך חיסרון משמעותי.

שינוי קידוד ההצפנה

זה קל! כברירת מחדל, OpenVPN משתמש בהצפנת 128-bit Blowfish Cipher-Block Chaining (BF-CBC). אמנם יותר ממספיק לרוב המטרות, אך חולשה בו קיימת שהובילה אפילו ליוצר הצופן של Blowfish, ברוס שנייר, והמליץ ​​למשתמשים לבחור בחלופה בטוחה יותר..

כפי שדיברנו בעבר, נשמח לראות ספקי VPN מסחריים מתרחקים מאלגוריתמי הצפנה שנוצרו ו / או מאושרים, אך לרוע המזל בנקודה זו OpenVPN אינה תומכת באפשרויות האהובות עלינו - Twofish ו- Threefish. מרבית הספקים המסחריים עברו במקום זה ל- AES 256 סיביות כסטנדרט, מכיוון שזה הצופן המשמש את ממשלת ארה"ב להצפנת מידע רגיש.

1. פתח את דף OpenVPN Access Server שלך (על ידי מעבר לכתובת ממשק המשתמש של הניהול שלך, כפי שנדון בחלק 1 של מדריך זה), עבור אל 'עמוד VPN Advanced'.

הגדרות מתקדמות

2. גלול מטה אל 'הנחיות תצורת OpenVPN נוספות (מתקדם)', והוסף את השורה הבאה לתיבות 'הוראות להגדרת שרת' והן 'הוראות להגדרת לקוח':

צופן

למשל. צופן AES-256-CBC

הגדרות VPN מתקדמות

לחץ על 'שמור שינויים'.

ואז 'עדכן שרת פועל' כשתתבקש.

שרת עדכון

OpenVPN תומך בצפנים הבאים:

DES-CBC (תקן הצפנת נתונים - מפתח 56 סיביות, הנחשב כיום לחסר ביטחון)
DES-EDE3-CBC (גם טריפל DES או 3DES - מגדיל את גודל המפתח של DES)
BF-CBC (Blowfish)
AES-128-CBC (תקן הצפנה מתקדם)
AES-192-CBC
AES-256-CBC
קמליה -128-CBC (קמליה)
קמליה -192-CBC
קמליה -256-CBC

כיצד לבנות תעודת OpenVPN

OpenVPN Connect מקל על החיים על ידי יצירת אישור CA תקף עבורך, כך שאתה לא צריך לעשות זאת בעצמך. עם זאת, אם ברצונך ליצור אישור חתימה עצמית משלך, עקוב אחר הצעדים שלהלן (תוכל גם לעקוב אחר שלבים 1 ו -2 כדי ליצור בקשת חתימה על אישור (CSR)) שניתן להגיש לרשות אישורים מסחריים (CA). לחתימה אם תרצה.)

1. ספריות SSL הנדרשות כבר צריכות להיות מותקנות במערכת שלך מרגע שהתקנת את OpenVPN Access Server בחלק 1, אך עליך לבדוק על ידי הזנת הפקודה הבאה:

גרסת

csr1

אם הם לא, תוכל להכניס אותם על ידי כניסה:

apt-get להתקין openssl (בדוק שוב שהם מותקנים כנ"ל).

כעת הגיע הזמן לבנות את האישור. נבנה תחילה בקשה לחתימת אישורים (CSR). ניתן להגיש את זה לרשות אישורים מסחריים (CA) לחתימה, אך במדריך זה נמיר אותה לתעודת CA שחתמה על עצמה..

להיכנס:

openssl req -out server.csr -new -newkey rsa: 2048 -nodes -keyout server.key

התגובה תהיה מספר שאלות:

שם מדינה (קוד אותיות 2): (קודי אותיות זמינים כאן)
שם מדינה או פרובנס:
עיר:
שם אורג:
יחידת שם אורג: (למשל תמיכת IT)
שם נפוץ: (שם מדויק של שם התחום או ה- DNS של ה- VPS שלך)
כתובת דוא"ל:

בנוסף תכונות 'נוספות' -

סיסמת אתגר:
שם חברה אופציונלי:

csr3

יש למלא את אלה אם אתה מתכנן להגיש את אחריות חברתית לרשות תעודות מסחריות (CA), אך לצורך הדרכה זו, אתה יכול פשוט להקיש על כל אחד מהם להשאיר את השדות ריקים.

3. כעת עלינו להיות שני קבצים בספריית השורש שלך, שנקראים server.csr ו- server.key. אנו נשתמש בהם כדי ליצור תעודת CA חתימה עצמית. סוג:

cp server.key server.key.org

openssl rsa -in server.key.org -out server.key ו

openssl x509-req-days 365 -in server.csr-server server.key -out server.crt

csr4

כעת עלינו להחזיק 3 קבצים: Server.key, Server.crt ו- Server.csr (הזן דיר כדי לראות את התוכן של הספרייה הנוכחית).

התקנת אישור CA החדש

4. הורד קבצים אלה למחשב שלך באמצעות לקוח ftp (השתמשנו ב- FOSS WinSCP), ואז התקן אותם בשרת OpenVPN Access על ידי מעבר לדף 'שרת אינטרנט' (תחת 'תצורה' משמאל לדף), ודפדף לקבצים הבאים:

  • צרור CA: server.crt
  • תעודה: server.crt
  • מפתח פרטי: server.key

התקנת CA1

5. לחץ על 'אימות', ואז גלול לראש הדף - 'תוצאות האימות' אמור לומר 'אישור עם חתימה עצמית' ולהציג את המידע שהזנת בשלב 2 לעיל. האישור תקף לשנה.

התקנת CA2

6. כעת גלול חזרה למטה לתחתית דף האינטרנט ולחץ על 'שמור', ואז 'עדכן שרת פועל' בתיבת הדו-שיח 'הגדרות השתנו'.

שרת עדכון

אימתת כעת את שרת OpenVPN שלך עם תעודת CA חתימה עצמית!

יצירת קובץ .ovpn

אחד הדברים הנהדרים בשימוש ב- OpenVPN Access Server הוא שהוא עושה הרבה מההרמה הכבדה עבורך, ואחד הדברים השימושיים ביותר שהיא עושה הוא לייצר קובצי תצורת .ovpn OpenVPN באופן אוטומטי כך שכל לקוח OpenVPN יכול להתחבר לשרת שלך..
1. התחבר לכתובת ממשק המשתמש של הלקוח שלך (ולא ממשק המשתמש הניהולי). כשאתה רואה את מסך ההורדה האוטומטי (למטה), רענן את הדפדפן שלך.

כניסה לקוח של openvpn 2

כעת תוצע לך מבחר של אפשרויות הורדה. בחר 'עצמך (פרופיל נעול על ידי משתמש)' או 'עצמך (פרופיל autologin)' (אם קיים - עליך להגדיר זאת - ראה 'הוספת משתמשים אחרים למטה').

הורד קובץ ovpn

3. ייבא את קובץ ה- .ovpn שהורדת ללקוח OpenVPN כרגיל (עבור לקוח האלמנות OpenVPN האלמנות הרגיל, פשוט העתק את הקובץ לתיקייה 'config' של OpenVPN). ניתן לשנות את שם ה- .ovpn לכל מה שתרצה על מנת לעזור לזהות אותו. ואז התחבר כרגיל.

משתמש חדש באוטולוגין

הוספת משתמשים אחרים

1. ניתן להוסיף משתמשים נוספים באמצעות לוח הניהול של OpenVPN Access Server על ידי מעבר אל 'הרשאות משתמש'.

הרשאות משתמש

אם אתה מתכנן לגשת לשרת OpenVPN שלך רק ממיקום מאובטח, אתה יכול לפשט את הכניסה על ידי בחירה באפשרות 'אפשר כניסה אוטומטית'.

רישיון ה- OpenVPN Access Server הבסיסי בחינם מאפשר עד 2 חיבורי לקוח. כאשר אנו מתקינים את שרת ה- VPN שלנו, האפשרות להוסיף משתמש שני כבר הייתה זמינה. עם זאת, אפשרות זו לא מופיעה (או שרכשת רישיון קבוצתי ואתה מעוניין להוסיף משתמשים נוספים), תצטרך להוסיף אותם (עד להגבלת הרישיון שלך) באופן ידני על ידי הזנת הפקודה 'adduser' ב- PuTTY ( או מסוף ect.). עיין במאמר זה לפרטים נוספים.

לאחר הוספת משתמש חדש תתבקש לבצע 'עדכון שרת פועל' (עשה זאת).

2. התחבר לכתובת ממשק המשתמש של הלקוח באמצעות שם המשתמש והסיסמה החדשים ובצע את הצעדים המפורטים למעלה בסעיף 'יצירת קובץ .ovpn' לעיל..

לקבלת רשימה של VPNs מסחריים נוספים, שקל יותר להשתמש בהם, עיין במדריך ה- VPN הטוב ביותר שלנו.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me