ส่วนที่ 2 - ขั้นสูง

ในส่วนที่ 1 ของคำแนะนำสองส่วนนี้ในการตั้งค่า OpenVPN บนเซิร์ฟเวอร์ CentO6 VPS เราดูว่าทำไมคุณอาจต้องการทำสิ่งนี้และข้อดีข้อเสียของการทำเช่นนั้น เรายังให้คำแนะนำทีละขั้นตอนสำหรับการติดตั้งซอฟต์แวร์ OpenVPN Access Server บน VPS ของคุณและวิธีสร้างการเชื่อมต่อ VPN อย่างง่ายโดยใช้ไคลเอนต์ OpenVPN Connect.


ในส่วนที่ 2 (ขั้นสูง) เราจะสำรวจวิธีการปรับปรุงความปลอดภัยโดยการเปลี่ยนรหัสที่ใช้วิธีการสร้างใบรับรอง OpenVPN CA ที่ลงนามเอง, วิธีสร้างไฟล์กำหนดค่า OpenVPN .ovpn เพื่อให้ไคลเอนต์ OpenVPN ใด ๆ สามารถเชื่อมต่อกับ เซิร์ฟเวอร์ของคุณและวิธีเพิ่มผู้ใช้เพิ่มเติม.

สำหรับบทเรียนเหล่านี้เราได้เลือกใช้ซอฟต์แวร์ OpenVPN Access Server ซึ่งแตกต่างจากเซิร์ฟเวอร์ OpenVPN OpenVPN Access Server ได้รับการออกแบบให้ใช้งานง่ายกว่า OpenVPN Server และช่วยให้คุณสามารถทำงานที่ซับซ้อนหลายอย่างได้โดยใช้ GUI อย่างง่าย ข้อเสียจริงเพียงอย่างเดียวคือต้องซื้อสิทธิ์ใช้งานสำหรับผู้ใช้มากกว่าสองราย (เริ่มต้นที่ $ 9.60 / ปีต่อการเชื่อมต่อลูกค้า) อย่างไรก็ตามเนื่องจากบทช่วยสอนนี้มุ่งเป้าไปที่ผู้ใช้ตามบ้านที่สร้างเซิร์ฟเวอร์ OpenVPN ระยะไกล DIY ส่วนตัวเราไม่พิจารณาว่านี่เป็นข้อเสียเปรียบที่สำคัญ.

การเปลี่ยนรหัสเข้ารหัส

มันง่ายมาก! ตามค่าเริ่มต้น OpenVPN ใช้การเข้ารหัส Blowfish Cipher-Block Chaining (BF-CBC) 128 บิต ในขณะที่มากกว่าเพียงพอสำหรับวัตถุประสงค์ส่วนใหญ่มีจุดอ่อนอยู่ที่นำไปสู่แม้แต่ผู้สร้างรหัสของ Blowfish, Bruce Schneier แนะนำให้ผู้ใช้เลือกทางเลือกที่ปลอดภัยมากขึ้น.

ดังที่เราได้กล่าวถึงก่อนหน้านี้เราชอบที่จะเห็นผู้ให้บริการ VPN เชิงพาณิชย์ย้ายออกจาก NIST ที่สร้างและ / หรืออัลกอริทึมการเข้ารหัสที่ผ่านการรับรอง แต่น่าเสียดายที่ ณ จุดนี้ OpenVPN ไม่สนับสนุนตัวเลือกโปรดของเรา - Twofish และ Threefish ผู้ให้บริการเชิงพาณิชย์ส่วนใหญ่ได้เปลี่ยนมาใช้ AES 256 บิตแทนเป็นมาตรฐานเนื่องจากเป็นรหัสที่รัฐบาลสหรัฐอเมริกาใช้ในการเข้ารหัสข้อมูลที่ละเอียดอ่อน.

1. เปิดหน้า OpenVPN Access Server ของคุณ (โดยไปที่ที่อยู่ UI ของผู้ดูแลระบบตามที่กล่าวไว้ในส่วนที่ 1 ของคู่มือนี้) ไปที่หน้า ‘Advanced VPN’.

ตั้งค่าขั้นสูง

2. เลื่อนลงไปที่ ‘คำสั่งการกำหนดค่า OpenVPN เพิ่มเติม (ขั้นสูง)’ และเพิ่มบรรทัดต่อไปนี้ลงในทั้งกล่อง "คำสั่งกำหนดค่าเซิร์ฟเวอร์" และ "คำสั่งกำหนดค่าไคลเอนต์"

ตัวเลข

เช่น. รหัส AES-256-CBC

การตั้งค่า VPN ขั้นสูง

กด ‘บันทึกการเปลี่ยนแปลง’.

จากนั้น ‘อัปเดตเซิร์ฟเวอร์ที่ใช้งาน’ เมื่อได้รับแจ้ง.

เซิร์ฟเวอร์การอัพเดท

OpenVPN รองรับยันต์ต่อไปนี้:

DES-CBC (มาตรฐานการเข้ารหัสข้อมูล - คีย์ 56 บิตตอนนี้ถือว่าไม่ปลอดภัย)
DES-EDE3-CBC (เช่น Triple DES หรือ 3DES - เพิ่มขนาดคีย์ของ DES)
BF-CBC (ปักเป้า)
AES-128-CBC (มาตรฐานการเข้ารหัสขั้นสูง)
AES-192-CBC
AES-256-CBC
Camellia-128-CBC (Camellia)
Camellia-192-CBC
Camellia-256-CBC

วิธีสร้างใบรับรอง OpenVPN

OpenVPN Connect ทำให้ชีวิตง่ายขึ้นด้วยการสร้างใบรับรอง CA ที่ถูกต้องสำหรับคุณดังนั้นคุณไม่จำเป็นต้องทำด้วยตัวเอง อย่างไรก็ตามหากคุณต้องการสร้างใบรับรองที่ลงนามเองให้ทำตามขั้นตอนด้านล่าง (คุณสามารถทำตามขั้นตอนที่ 1 และ 2 เพื่อสร้างคำขอลงนามใบรับรอง (CSR) ซึ่งสามารถส่งไปยังผู้ออกใบรับรองพาณิชย์ (CA) สำหรับการลงนามหากคุณต้องการ)

1. ไลบรารี SSL ที่ต้องการควรติดตั้งในระบบของคุณตั้งแต่เมื่อคุณติดตั้ง OpenVPN Access Server ในส่วนที่ 1 แต่คุณควรตรวจสอบโดยป้อนคำสั่งต่อไปนี้:

รุ่น openssl

csr1

หากไม่เป็นเช่นนั้นคุณสามารถนำพวกเขาเข้ามาโดยป้อน:

apt-get install openssl (จากนั้นตรวจสอบอีกครั้งว่ามีการติดตั้งตามด้านบน).

2. ได้เวลาสร้างใบรับรองแล้ว เราจะสร้างคำขอลงนามใบรับรอง (CSR) ก่อน สิ่งนี้สามารถส่งไปยังผู้ออกใบรับรองพาณิชย์ (CA) เพื่อลงนาม แต่ในบทช่วยสอนนี้เราจะแปลงเป็นใบรับรอง CA ที่ลงชื่อด้วยตนเอง.

Enter:

openssl req -out server.csr -new -newkey rsa: 2048 -nodes -keyout server.key

การตอบสนองจะเป็นคำถามจำนวนหนึ่ง:

ชื่อประเทศ (รหัสตัวอักษร 2 ตัว): (มีรหัสตัวอักษรให้ที่นี่)
ชื่อรัฐหรือโปรวองซ์:
เมือง:
ชื่อองค์กร:
หน่วยชื่อองค์กร: (เช่นการสนับสนุนด้านไอที)
ชื่อสามัญ: (ชื่อที่แน่นอนของโดเมนหรือชื่อ DNS ของ VPS ของคุณ)
ที่อยู่อีเมล:

บวกแอตทริบิวต์ 'พิเศษ' -

รหัสผ่านที่ท้าทาย:
ชื่อ บริษัท เสริม:

csr3

ควรกรอกสิ่งเหล่านี้หากคุณวางแผนที่จะส่ง CSR ไปยังผู้ออกใบรับรองเชิงพาณิชย์ (CA) แต่สำหรับจุดประสงค์ของบทช่วยสอนนี้คุณสามารถกดแต่ละครั้งเพื่อปล่อยให้ฟิลด์ว่าง.

3. ตอนนี้เราควรมีสองไฟล์ในไดเรกทอรีรากของคุณที่เรียกว่า server.csr และ server.key เราจะใช้สิ่งเหล่านี้เพื่อสร้างใบรับรอง CA ที่ลงชื่อด้วยตนเอง ประเภท:

cp server.key server.key.org

openssl rsa -in server.key.org -out server.key และ

openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

csr4

ตอนนี้เราควรมี 3 ไฟล์: Server.key, Server.crt และ Server.csr (Enter dir เพื่อดูเนื้อหาของไดเรกทอรีปัจจุบัน).

การติดตั้งใบรับรอง CA ใหม่

4. ดาวน์โหลดไฟล์เหล่านี้ไปยังพีซีของคุณโดยใช้ไคลเอนต์ ftp (เราใช้ FOSS WinSCP) จากนั้นติดตั้งใน OpenVPN Access Server โดยไปที่หน้า 'Web Server' (ใต้ 'Configuration' ทางด้านซ้ายของหน้า) และเรียกดู ไปที่ไฟล์ต่อไปนี้:

  • CA Bundle: server.crt
  • ใบรับรอง: server.crt
  • คีย์ส่วนตัว: server.key

การติดตั้ง CA1

5. กด ‘ตรวจสอบ’ จากนั้นเลื่อนไปที่ด้านบนของหน้า - ‘ผลการตรวจสอบ’ ควรจะพูดว่า 'ใบรับรองที่ลงนามเอง' และแสดงข้อมูลที่คุณป้อนในขั้นตอนที่ 2 ด้านบน ใบรับรองมีอายุ 1 ปี.

การติดตั้ง CA2

6. ตอนนี้เลื่อนกลับลงไปที่ด้านล่างของหน้าเว็บแล้วกด ‘บันทึก’ จากนั้น ‘อัปเดตเซิร์ฟเวอร์ที่ใช้งาน’ ในกล่องโต้ตอบ ‘การตั้งค่าการเปลี่ยนแปลง’.

เซิร์ฟเวอร์การอัพเดท

ตอนนี้คุณได้ตรวจสอบความถูกต้องของเซิร์ฟเวอร์ OpenVPN ของคุณด้วยใบรับรอง CA ที่ลงนามเอง!

การสร้างไฟล์. ovpn

หนึ่งในสิ่งที่ยอดเยี่ยมเกี่ยวกับการใช้ OpenVPN Access Server คือการยกอย่างหนักสำหรับคุณและสิ่งที่มีประโยชน์มากที่สุดอย่างหนึ่งก็คือการสร้างไฟล์. oppn ของ OpenVPN โดยอัตโนมัติเพื่อให้ไคลเอนต์ OpenVPN สามารถเชื่อมต่อกับเซิร์ฟเวอร์ของคุณ.
1. ลงชื่อเข้าใช้ที่อยู่ไคลเอ็นต์ UI ของคุณ (ไม่ใช่ UI ของผู้ดูแลระบบ) เมื่อคุณเห็นหน้าจอดาวน์โหลดอัตโนมัติ (ด้านล่าง) รีเฟรชเบราว์เซอร์ของคุณ.

ลูกค้าเข้าสู่ระบบ openvpn 2

2. คุณจะได้รับตัวเลือกการดาวน์โหลดที่หลากหลาย เลือก ‘ตัวคุณเอง (โปรไฟล์ล็อคผู้ใช้)’ หรือ ‘ตัวเอง (โปรไฟล์ออโตโลจิน)’ (ถ้ามี - คุณต้องตั้งค่านี้ - ดู ‘เพิ่มผู้ใช้อื่นด้านล่าง’).

ดาวน์โหลดไฟล์ ovpn

3. นำเข้าไฟล์. ovpn ที่ดาวน์โหลดไปยังไคลเอนต์ OpenVPN ของคุณตามปกติ (สำหรับไคลเอนต์ Widows OpenVPN มาตรฐานเพียงคัดลอกไฟล์ลงในโฟลเดอร์ OpenVPN ‘config’) .ovpn สามารถเปลี่ยนชื่อเป็นสิ่งที่คุณต้องการเพื่อช่วยระบุ จากนั้นเข้าสู่ระบบตามปกติ.

ผู้ใช้ใหม่อัตโนมัติ

การเพิ่มผู้ใช้อื่น ๆ

1. ผู้ใช้เพิ่มเติมสามารถเพิ่มได้โดยใช้แผงควบคุมของ OpenVPN Access Server Admin โดยไปที่ 'การอนุญาตผู้ใช้'

สิทธิ์ของผู้ใช้

หากคุณวางแผนที่จะเข้าถึงเซิร์ฟเวอร์ OpenVPN ของคุณจากตำแหน่งที่ปลอดภัยคุณสามารถทำให้การเข้าสู่ระบบง่ายขึ้นโดยเลือก "อนุญาตการลงชื่อเข้าใช้อัตโนมัติ"

สิทธิ์การใช้งาน OpenVPN Access Server ขั้นพื้นฐานฟรีอนุญาตให้เชื่อมต่อกับไคลเอ็นต์ได้สูงสุด 2 เครื่อง เมื่อเราติดตั้งเซิร์ฟเวอร์ VPN ตัวเลือกในการเพิ่มผู้ใช้คนที่สองนั้นมีอยู่แล้ว อย่างไรก็ตามหากตัวเลือกนี้ไม่ปรากฏขึ้น (หรือคุณซื้อสิทธิ์ใช้งานแบบกลุ่มและต้องการเพิ่มผู้ใช้เพิ่มเติม) คุณจะต้องเพิ่มพวกเขา (ตามข้อ จำกัด สิทธิ์ใช้งานของคุณ) ด้วยตนเองโดยป้อนคำสั่ง '# adduser' ใน PuTTY ( หรือเทอร์มินัล ect.) โปรดอ้างอิงบทความนี้สำหรับรายละเอียดเพิ่มเติม.

เมื่อคุณเพิ่มผู้ใช้ใหม่คุณจะได้รับแจ้งให้ 'อัปเดตเซิร์ฟเวอร์ที่ใช้งานอยู่' (เช่นนั้น).

2. เข้าสู่ที่อยู่ UI ของลูกค้าโดยใช้ชื่อผู้ใช้และรหัสผ่านใหม่และทำตามขั้นตอนที่อธิบายไว้ข้างต้นใน "การสร้างไฟล์. vpn" ด้านบน.

สำหรับรายชื่อ VPN เชิงพาณิชย์ที่สามารถใช้งานได้ง่ายดูที่คำแนะนำ VPN ที่ดีที่สุดของเรา.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me