Часть 2 - продвинутый

В первой части этого руководства из двух частей по настройке OpenVPN на сервере CentO6 VPS мы рассмотрели, почему вы можете захотеть это сделать, а также плюсы и минусы этого. Мы также предоставили пошаговые инструкции по установке программного обеспечения OpenVPN Access Server на VPS и по созданию простого VPN-подключения с помощью клиента OpenVPN Connect..


Во второй части (дополнительно) мы рассмотрим, как улучшить безопасность путем изменения используемого шифра, как создать самозаверяющий сертификат CA OpenVPN, как создать файл конфигурации OpenVPN .ovpn, чтобы любой клиент OpenVPN мог использоваться для подключения к ваш сервер, и как добавить дополнительных пользователей.

Для этих руководств мы решили использовать программное обеспечение OpenVPN Access Server, отличное от OpenVPN Server. OpenVPN Access Server разработан, чтобы быть более удобным для пользователя, чем OpenVPN Server, и позволяет вам выполнять многие сложные задачи, используя простой графический интерфейс. Единственным недостатком является то, что лицензия должна быть приобретена для более чем двух пользователей (начиная с $ 9,60 / год за клиентское соединение). Однако, так как это руководство предназначено для домашнего пользователя, создающего персональный DIY-сервер OpenVPN удаленного доступа, мы не считаем это серьезным недостатком..

Смена шифра шифра

Это легко! По умолчанию OpenVPN использует 128-битное шифрование Blowfish Cipher-Block Chaining (BF-CBC). Хотя этого более чем достаточно для большинства целей, в нем существуют слабые места, которые привели к тому, что даже создатель шифра Blowfish, Брюс Шнайер, рекомендует пользователям выбрать более безопасную альтернативу.

Как мы уже обсуждали ранее, нам бы хотелось, чтобы коммерческие провайдеры VPN отошли от созданных NIST и / или сертифицированных алгоритмов шифрования, но, к сожалению, на данный момент OpenVPN не поддерживает наши любимые варианты - Twofish и Threefish. Большинство коммерческих провайдеров вместо этого переключились на 256-битный AES в качестве стандарта, поскольку этот шифр используется правительством США для шифрования конфиденциальной информации..

1. Откройте страницу сервера доступа OpenVPN (перейдя по адресу своего пользовательского интерфейса администратора, как описано в части 1 данного руководства), перейдите на страницу «Расширенные VPN».

Расширенные настройки

2. Прокрутите вниз до «Дополнительные директивы конфигурации OpenVPN (расширенные)» и добавьте следующую строку в поля «Директивы конфигурации сервера» и «Директивы конфигурации клиента»:

шифровать

например. шифр AES-256-CBC

Расширенные настройки VPN

Нажмите «Сохранить изменения».

Затем «Обновить работающий сервер» при появлении запроса.

сервер обновлений

OpenVPN поддерживает следующие шифры:

DES-CBC (Стандарт шифрования данных - 56-битный ключ, теперь считается небезопасным)
DES-EDE3-CBC (также Triple DES или 3DES - увеличивает размер ключа DES)
BF-CBC (Blowfish)
AES-128-CBC (расширенный стандарт шифрования)
AES-192-CBC
AES-256-CBC
Камелия-128-CBC (Камелия)
Camellia-192-CBC
Camellia-256-CBC

Как создать сертификат OpenVPN

OpenVPN Connect облегчает жизнь, создав для вас действующий сертификат CA, поэтому вам не нужно делать это самостоятельно. Однако если вы хотите создать собственный самозаверяющий сертификат, выполните следующие действия (вы также можете выполнить шаги 1 и 2, чтобы создать запрос на подпись сертификата (CSR), который можно отправить в коммерческий центр сертификации (ЦС). для подписи, если хотите.)

1. Необходимые библиотеки SSL уже должны быть установлены в вашей системе с момента установки OpenVPN Access Server в части 1, но вы должны проверить, введя следующую команду:

версия openssl

csr1

Если их нет, вы можете получить их, введя:

apt-get установить openssl (затем проверьте еще раз, что они установлены, как указано выше).

2. Пришло время построить сертификат. Сначала мы создадим запрос на подпись сертификата (CSR). Это может быть передано в коммерческий центр сертификации (CA) для подписи, но в этом руководстве мы преобразуем его в самоподписанный сертификат CA.

Войти:

openssl req -out server.csr -new -newkey rsa: 2048 -nodes -keyout server.key

Ответом будет ряд вопросов:

Название страны (2-буквенный код): (буквенные коды доступны здесь)
Название штата или Прованса:
Город:
Название организации:
Название организации: (например, ИТ-поддержка)
Общее имя: (точное имя домена или DNS-имя вашего VPS)
Адрес электронной почты:

Плюс «дополнительные» атрибуты -

Пароль для вызова:
Необязательное название компании:

csr3

Они должны быть заполнены, если вы планируете отправить CSR в коммерческий центр сертификации (CA), но для целей данного учебного пособия вы можете просто нажать для каждого, чтобы оставить поля пустыми.

3. Теперь у нас должно быть два файла в корневом каталоге, которые называются server.csr и server.key. Мы будем использовать их для создания самозаверяющего сертификата CA. Тип:

cp server.key server.key.org

openssl rsa -in server.key.org -out server.key и

openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

csr4

Теперь у нас должно быть 3 файла: Server.key, Server.crt и Server.csr (введите реж чтобы увидеть содержимое текущего каталога).

Установка нового сертификата CA

4. Загрузите эти файлы на свой ПК с помощью FTP-клиента (мы использовали FOSS WinSCP), затем установите их на OpenVPN Access Server, перейдя на страницу «Веб-сервер» (в разделе «Конфигурация» слева от страницы) и выберите «Обзор». в следующие файлы:

  • Пакет CA: server.crt
  • Сертификат: server.crt
  • Закрытый ключ: server.key

Установка CA1

5. Нажмите «Подтвердить», затем перейдите к верхней части страницы - «Результаты проверки» должны обозначить «самозаверяющий сертификат» и отобразить информацию, введенную вами на шаге 2 выше. Сертификат действителен в течение 1 года.

Установка CA2

6. Теперь прокрутите вниз до нижней части веб-страницы и нажмите «Сохранить», затем «Обновить работающий сервер» в диалоговом окне «Настройки изменены»..

сервер обновлений

Теперь вы проверили свой сервер OpenVPN с помощью самозаверяющего сертификата CA!

Создание файла .ovpn

Одна из замечательных особенностей использования OpenVPN Access Server заключается в том, что он делает большую часть тяжелой работы за вас, и одна из самых полезных вещей, которую он делает, - это автоматическая генерация файлов конфигурации .ovpn OpenVPN, чтобы любой клиент OpenVPN мог подключиться к вашему серверу..
1. Войдите в свой адрес интерфейса клиента (не интерфейс администратора). Когда вы увидите экран автоматической загрузки (ниже), обновите ваш браузер.

Вход клиента openvpn 2

2. Теперь вам будет предложен выбор вариантов загрузки. Выберите «Себя (профиль, заблокированный пользователем)» или «Себя (профиль автологина)» (если доступно - вам нужно это настроить - см. «Добавление других пользователей ниже»).

Скачать файл ovpn

3. Импортируйте загруженный файл .ovpn в свой клиент OpenVPN как обычно (для стандартного клиента OpenVPN для Widows просто скопируйте файл в папку «config» OpenVPN). .Ovpn можно переименовать во что угодно, чтобы помочь идентифицировать его. Тогда войдите как обычно.

Новый пользователь autologin

Добавление других пользователей

1. Дополнительные пользователи могут быть добавлены с помощью панели администрирования OpenVPN Access Server, перейдя в раздел «Права пользователя».

Пользовательские разрешения

Если вы планируете получать доступ к вашему серверу OpenVPN только из безопасного места, вы можете упростить вход в систему, выбрав «Разрешить автоматический вход»

Базовая бесплатная лицензия OpenVPN Access Server допускает до 2 клиентских подключений. Когда мы настраивали наш VPN-сервер, опция добавления второго пользователя была уже доступна. Однако, если эта опция не появляется (или вы приобрели групповую лицензию и хотите добавить больше пользователей), вам придется добавить их (до ограничения лицензии) вручную, введя команду «# adduser» в PuTTY ( или Терминал и т. д.). Пожалуйста, обратитесь к этой статье для более подробной информации.

После добавления нового пользователя вам будет предложено «Обновить работающий сервер» (сделать это).

2. Войдите в систему по адресу UI клиента, используя новое имя пользователя и пароль, и выполните действия, описанные выше в разделе «Создание файла .ovpn» выше..

Для получения списка более коммерческих VPN, которые проще в использовании, посмотрите наше лучшее руководство по VPN.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me