قسمت 2 - پیشرفته

در قسمت 1 این راهنمای دو قسمتی در مورد تنظیم OpenVPN در سرور CentO6 VPS ، ما به این موضوع پرداختیم که چرا ممکن است بخواهید این کار را انجام دهید ، و جوانب مثبت و منفی در انجام این کار است. ما همچنین دستورالعمل های مرحله به مرحله برای نصب نرم افزار OpenVPN Access Server در VPS شما و نحوه ایجاد یک اتصال ساده VPN با استفاده از سرویس گیرنده OpenVPN Connect ارائه دادیم..


در قسمت 2 (پیشرفته) ما چگونگی بهبود امنیت را با تغییر رمزگذار مورد استفاده ، چگونگی ساخت یک گواهی OpenVPN CA خود امضا ، نحوه ایجاد پرونده پیکربندی OpenVPN .ovpn بررسی خواهیم کرد تا بتواند از هر مشتری OpenVPN برای اتصال به سرور خود و نحوه اضافه کردن کاربران اضافی.

برای این آموزش ها ما استفاده از نرم افزار OpenVPN Access Server را انتخاب کرده ایم که از سرور OpenVPN متمایز است. OpenVPN Access Server به گونه ای طراحی شده است که از سرور OpenVPN بسیار کاربر پسند تر باشد و به شما امکان می دهد با استفاده از یک رابط کاربری گرافیکی ساده ، بسیاری از کارهای پیچیده را انجام دهید. تنها نکته منفی این است که مجوز باید برای بیش از دو کاربر خریداری شود (با شروع از $ 9.60 / year برای هر مشتری). با این حال ، از آنجا که این آموزش در ساخت کاربر سرور DIY از راه دور OpenVPN شخصی DIY است ، ما این را یک اشکال بزرگ نمی دانیم.

تغییر رمزگذاری رمزگذاری

این آسان است! به طور پیش فرض OpenVPN از رمزگذاری 128 بیتی Blowfish Cipher-Block Chaining (BF-CBC) استفاده می کند. در حالی که بیش از اکثر اهداف کافی است ، ضعف در آن وجود دارد که حتی به خالق رمزنگاری Blowfish ، بروس اشنیر منجر شده است ، و به کاربران توصیه می کند یک گزینه جایگزین تر را انتخاب کنند.

همانطور که قبلاً بحث کردیم ، ما دوست داریم که ارائه دهندگان تجاری VPN از الگوریتم های رمزنگاری شده ایجاد شده و / یا معتبر فاصله بگیرند ، اما متأسفانه در این مرحله OpenVPN از گزینه های مورد علاقه ما - Twofish و Threefish پشتیبانی نمی کند. در عوض ، بیشتر ارائه دهندگان تجاری به AES 256 بیتی تبدیل شده اند ، زیرا این رمز رمزگذاری شده توسط دولت ایالات متحده برای رمزگذاری اطلاعات حساس است..

1. صفحه سرور دسترسی OpenVPN خود را باز کنید (با مراجعه به آدرس UI Admin خود ، همانطور که در قسمت 1 این راهنمای بحث شده است) ، به صفحه "Advanced VPN پیشرفته" بروید..

تنظیمات پیشرفته

2. به "دستورالعمل های پیکربندی OpenVPN اضافی (پیشرفته)" بروید و خط زیر را هم به جعبه های "سرور پیکربندی سرور" و "بخشنامه تنظیمات مشتری" اضافه کنید:

رمزگذاری

به عنوان مثال. رمزگذاری AES-256-CBC

تنظیمات پیشرفته VPN

آمار "ذخیره تغییرات".

سپس در صورت درخواست "سرور در حال اجرا" را به روز کنید.

سرور بروزرسانی

OpenVPN از رمزگذارهای زیر پشتیبانی می کند:

DES-CBC (استاندارد رمزگذاری داده ها - کلید 56 بیتی ، اکنون ناامن تلقی می شود)
DES-EDE3-CBC (همچنین Triple DES یا 3DES - اندازه کلیدی DES را افزایش می دهد)
BF-CBC (Blowfish)
AES-128-CBC (استاندارد رمزگذاری پیشرفته)
AES-192-CBC
AES-256-CBC
کاملیا-128-CBC (کاملی)
کاملیا -192-CBC
کاملیا -256-CBC

نحوه ساخت گواهینامه OpenVPN

OpenVPN Connect با ایجاد یک گواهی معتبر CA برای شما زندگی را آسان می کند ، بنابراین نیازی نیست خودتان این کار را انجام دهید. اما اگر می خواهید گواهی نامه خود امضاء شده خود را ایجاد کنید ، مراحل زیر را دنبال کنید (همچنین می توانید مراحل 1 و 2 را برای ایجاد یک درخواست امضای گواهی (CSR) دنبال کنید ، که می تواند به مرجع صدور گواهینامه تجاری (CA) ارسال شود) برای امضای در صورت تمایل.)

1. از زمان نصب OpenVPN Access Server در قسمت 1 ، كتابخانه های SSL موردنیاز باید از قبل روی سیستم شما نصب شوند ، اما باید با وارد كردن دستور زیر بررسی كنید:

نسخه opensl

csr1

اگر اینگونه نباشند ، می توانید با وارد کردن آنها را وارد کنید:

apt-get installs opensl (سپس دوباره بررسی کنید که مانند بالا نصب شده اند).

2. اکنون زمان ساخت گواهینامه است. ما ابتدا درخواست امضای گواهینامه (CSR) را خواهیم ساخت. این می تواند برای امضای به مرجع صدور گواهینامه تجاری (CA) ارسال شود ، اما در این آموزش ، ما آن را به گواهی CA خود امضا شده تبدیل خواهیم کرد..

وارد:

opensl req -out server.csr-new-newkey rsa: 2048-nodes -keyout server.key

پاسخ تعدادی سؤال خواهد بود:

نام کشور (کد نامه 2): (کدهای نامه موجود در اینجا)
نام ایالتی یا پروانس:
شهر:
نام ارگان:
واحد نام سازمان: (به عنوان مثال پشتیبانی IT)
نام مشترک: (نام دقیق دامنه یا نام DNS از VPS شما)
آدرس ایمیل:

به علاوه ویژگی های "اضافی" -

رمز عبور چالش:
نام شرکت اختیاری:

csr3

اگر قصد دارید CSR را به مرجع صدور گواهینامه تجاری (CA) ارسال کنید ، این موارد باید پر شود ، اما برای هدف این آموزش ، فقط می توانید برای هرکدام ضربه بزنید تا زمینه ها را خالی بگذارید..

۳- اکنون باید دو پرونده در فهرست اصلی خود داشته باشیم به نام های server.csr و server.key. ما از اینها برای ایجاد گواهی CA خود امضا شده استفاده خواهیم کرد. نوع:

cp server.key server.key.org

opensl rsa -in server.key.org - server.key و

opensl x509 -req -days 365-server.csr -signkey server.key - server.crt

csr4

اکنون باید 3 پرونده داشته باشیم: Server.key ، Server.crt و Server.csr (enter) راهنما برای دیدن محتوای فهرست موجود).

نصب گواهینامه CA جدید

4- این فایلها را با استفاده از کلاینت ftp در رایانه شخصی خود بارگیری کنید (ما از FOSS WinSCP استفاده کردیم) ، سپس با رفتن به صفحه 'وب سرور' (در زیر 'تنظیمات' در سمت چپ صفحه) ، آنها را در OpenVPN Access Server نصب کنید. به پرونده های زیر:

  • بسته CA: server.crt
  • گواهینامه: server.crt
  • کلید خصوصی: server.key

نصب CA1

5. "اعتبار سنجی" را بزنید ، سپس به بالای صفحه بروید - "نتایج اعتبارسنجی" باید "گواهی خود امضا شده" باشد و اطلاعاتی را که در مرحله 2 بالا وارد کرده اید نمایش دهید. گواهینامه به مدت 1 سال معتبر است.

نصب CA2

6. حالا به پایین صفحه وب بروید و به "ذخیره" ، سپس "سرور در حال اجرا" را در گفتگوی "تنظیمات تغییر یافته" بزنید..

سرور بروزرسانی

اکنون سرور OpenVPN خود را با گواهی CA خود امضاء شده اعتبار داده اید!

ایجاد پرونده .ovpn

یکی از موارد بسیار خوب در مورد استفاده از OpenVPN Access Server این است که بسیاری از کارهای سنگین را برای شما انجام می دهد و یکی از مفیدترین کارهایی که انجام می دهد تولید فایل های پیکربندی OpenVPN .ovpn بصورت خودکار است تا هر مشتری OpenVPN بتواند به سرور شما متصل شود..
1. به آدرس UI مشتری خود وارد شوید (نه UI مدیر). هنگامی که صفحه بارگیری خودکار را مشاهده می کنید (در زیر) ، مرورگر خود را تازه کنید.

ورود مشتری openvpn 2

2. اکنون به شما امکان انتخاب گزینه بارگیری را می دهد. "خودتان (نمایه قفل شده توسط کاربر)" یا "خود (نمایه autologin)" را انتخاب کنید (در صورت موجود - باید این تنظیم را انجام دهید - به "افزودن سایر کاربران در زیر" مراجعه کنید).

فایل ovpn را بارگیری کنید

3. پرونده .ovpn بارگیری شده را به صورت عادی در مشتری OpenVPN خود وارد کنید (برای مشتری استاندارد Widows OpenVPN ، به سادگی پرونده را در پوشه پیکربندی OpenVPN copy کپی کنید). .ovpn را می توان برای کمک به شناسایی آن به هر آنچه دوست دارید تغییر دهید. سپس به صورت عادی وارد شوید.

اتولوگ کاربر جدید

افزودن سایر کاربران

1. با رفتن به "مجوزهای کاربر" ، کاربران اضافی می توانند با استفاده از پنل مدیریت سرور دسترسی OpenVPN اضافه شوند. "

مجوزهای کاربر

اگر قصد دارید از یک مکان مطمئن فقط به سرور OpenVPN خود دسترسی پیدا کنید ، می توانید با انتخاب "مجاز به ورود به سیستم خودکار" ورود به سیستم را ساده کنید.

مجوز اولیه OpenVPN Access Server اجازه می دهد تا حداکثر 2 اتصال مشتری. هنگامی که سرور VPN خود را تنظیم کردیم ، گزینه اضافه کردن کاربر دوم از قبل در دسترس بود. اما ، اگر این گزینه ظاهر نشود (یا شما مجوز گروهی را خریداری کرده اید و مایل به اضافه کردن کاربران بیشتری هستید) ، باید با وارد کردن فرمان '# adduser' در PuTTY (آنها را تا محدودیت مجوز خود) به صورت دستی اضافه کنید. یا ترمینال ect.). لطفا برای اطلاعات بیشتر به این مقاله مراجعه کنید.

پس از افزودن کاربر جدید ، از شما خواسته می شود Server سرور در حال اجرا را به روز کنید (این کار را انجام دهید).

2. با استفاده از نام کاربری و رمزعبور جدید به آدرس UI Client وارد شوید و مراحل ذکر شده در بالا در "ایجاد پرونده .ovpn" فوق را دنبال کنید.

برای داشتن لیستی از VPN های تجاری تر ، که استفاده از آنها ساده تر است ، به بهترین راهنمای VPN ما نگاهی بیندازید.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me