Как настроить сервер OpenVPN в Ubuntu 16.04

1. Вступление Хотите получить безопасный и надежный доступ к Интернету со своего смартфона или ноутбука...
2. Шаг 1: Установите OpenVPN
3. Шаг 2. Настройка CA Directory
4. Шаг 3: Настройте переменные CA
5. Шаг 7. Настройка службы OpenVPN
6. Настройте конфигурацию OpenVPN
7. Базовая конфигурация
8. (Необязательно) Push-изменения DNS для перенаправления всего трафика через VPN
9. (Необязательно) Настройте порт и протокол
10. (Необязательно) Укажите учетные данные не по умолчанию
11. Шаг 8: Настройте конфигурацию сети сервера
12. Разрешить IP-пересылку
13. Настройте правила UFW для маскировки клиентских подключений
14. Откройте порт OpenVPN и включите изменения
15. Шаг 9: Запустите и включите службу OpenVPN
16. Шаг 10: Создайте инфраструктуру конфигурации клиента
17. Создание структуры каталога конфигурации клиента
18. Создание базовой конфигурации
19. Создание скрипта генерации конфигурации
20. Шаг 11: Генерация клиентских конфигураций
21. Передача конфигурации на клиентские устройства
22. Шаг 12: Установите конфигурацию клиента
23. Windows
24. OS X
25. Linux
26. Настройка
27. IOS
28. Android
29. Шаг 13: Проверьте ваше VPN-соединение
30. Заключение

Вступление

Хотите получить безопасный и надежный доступ к Интернету со своего смартфона или ноутбука при подключении к ненадежной сети, такой как WiFi в отеле или кафе? Виртуальная частная сеть (VPN) позволяет конфиденциально и безопасно обходить ненадежные сети, как если бы вы были в частной сети. Трафик выходит с VPN-сервера и продолжается до места назначения.

В сочетании с HTTPS соединения эта настройка позволяет защитить ваши беспроводные логины и транзакции. Вы можете обойти географические ограничения и цензуру, а также защитить свое местоположение и любой незашифрованный HTTP-трафик из ненадежной сети.

OpenVPN является полнофункциональным VPN-решением Secure Socket Layer (SSL) с открытым исходным кодом, которое поддерживает широкий спектр конфигураций. В этом руководстве мы настроим сервер OpenVPN на Droplet, а затем настроим доступ к нему из Windows, OS X, iOS и Android. В этом руководстве будут максимально упрощены этапы установки и настройки для этих установок.

Примечание. Если вы планируете настроить сервер OpenVPN на устройстве DigitalOcean Droplet, учтите, что мы, как и многие хостинг-провайдеры, взимаем плату за превышение пропускной способности. По этой причине, пожалуйста, помните, сколько трафика обрабатывает ваш сервер.

Увидеть эта страница для получения дополнительной информации.

Предпосылки

Для завершения этого урока вам понадобится доступ к серверу Ubuntu 16.04.

Вам необходимо настроить пользователя без полномочий root с правами sudo, прежде чем вы начнете это руководство. Вы можете следить за нашими Руководство по первоначальной настройке Ubuntu 16.04 настроить пользователя с соответствующими разрешениями. В связанном учебном пособии также будет установлен брандмауэр , который, как мы предполагаем, будет установлен в этом руководстве.

Когда вы будете готовы начать, войдите на свой сервер Ubuntu как пользователь sudo и продолжайте ниже.

Шаг 1: Установите OpenVPN

Для начала мы установим OpenVPN на наш сервер. OpenVPN доступен в репозиториях Ubuntu по умолчанию, поэтому мы можем использовать apt для установки. Мы также будем устанавливать пакет easy-rsa, который поможет нам настроить внутренний CA (центр сертификации) для использования с нашей VPN.

Чтобы обновить индекс пакета вашего сервера и установить необходимые пакеты, введите:

• sudo apt-get update
• sudo apt-get установить openvpn easy-rsa

Необходимое программное обеспечение теперь на сервере, готово к настройке.

Шаг 2. Настройка CA Directory

OpenVPN - это TLS / SSL VPN. Это означает, что он использует сертификаты для шифрования трафика между сервером и клиентами. Для выдачи доверенных сертификатов нам потребуется настроить наш собственный простой центр сертификации (CA).

Для начала мы можем скопировать каталог шаблонов easy-rsa в наш домашний каталог с помощью команды make-cadir:

Перейдите во вновь созданный каталог, чтобы начать настройку CA:

Шаг 3: Настройте переменные CA

Чтобы настроить значения, которые будет использовать наш ЦС, нам нужно отредактировать файл vars в каталоге. Откройте этот файл сейчас в вашем текстовом редакторе:

Внутри вы найдете несколько переменных, которые можно настроить, чтобы определить, как будут создаваться ваши сертификаты. Нам нужно беспокоиться только о некоторых из них.

Внизу файла найдите параметры, которые устанавливают значения по умолчанию для новых сертификатов. Это должно выглядеть примерно так:

~ / OpenVPN-ч / вары

, , , export KEY_COUNTRY = "US" export KEY_PROVINCE = "CA" export KEY_CITY = "SanFrancisco" export KEY_ORG = "Fort-Funston" export KEY_EMAIL = "[email protected]" export KEY_OU = "MyOrganizationalUnit". , ,

Измените значения в красном цвете по своему усмотрению, но не оставляйте их пустыми:

~ / OpenVPN-ч / вары

, , , export KEY_COUNTRY = "US" export KEY_PROVINCE = "NY" export KEY_CITY = "Нью-Йорк" export KEY_ORG = "DigitalOcean" export KEY_EMAIL = "[email protected]" export KEY_OU = "Community". , ,

Пока мы здесь, мы также отредактируем значение KEY_NAME чуть ниже этого раздела, которое заполняет поле темы. Для простоты мы будем называть его сервером в этом руководстве:

~ / OpenVPN-ч / вары

export KEY_NAME = "сервер"

Когда вы закончите, сохраните и закройте файл.

Теперь мы можем использовать переменные, которые мы установили, и утилиты easy-rsa для создания нашего центра сертификации.

Убедитесь, что вы находитесь в своей директории CA, а затем создайте файл vars, который вы только что отредактировали

• cd ~ / openvpn-ca
• исходные переменные

Вы должны увидеть следующее, если оно было получено правильно:

Выход

ПРИМЕЧАНИЕ. Если вы запустите ./clean-all, я буду выполнять команду rm -rf для / home / sammy / openvpn-ca / keys

Убедитесь, что мы работаем в чистой среде, набрав:

Теперь мы можем построить наш корневой CA, набрав:

Это инициирует процесс создания корневого ключа центра сертификации и сертификата. Поскольку мы заполнили файл vars, все значения должны быть заполнены автоматически. Просто нажмите клавишу ВВОД через подсказки, чтобы подтвердить выбор:

Выход

Создание 2048-битного закрытого ключа RSA ........................................... ............................................... +++ ............................... +++ запись нового закрытого ключа для ca.key ----- You вас попросят ввести информацию, которая будет включена в ваш запрос на сертификат. То, что вы собираетесь ввести, это то, что называется отличительным именем или DN. Есть довольно много полей, но вы можете оставить некоторые пустыми. Для некоторых полей будет использоваться значение по умолчанию. Если вы введете «.», Поле останется пустым. ----- Название страны (двухбуквенный код) [US]: название штата или провинции (полное название) [NY]: название населенного пункта (например, город) [New York City]: название организации (например, компания) [DigitalOcean ]: Название подразделения организации (например, раздел) [сообщество]: общее имя (например, ваше имя или имя хоста вашего сервера) [DigitalOcean CA]: имя [сервер]: адрес электронной почты [[email protected]]:

Теперь у нас есть центр сертификации, который можно использовать для создания остальных файлов, которые нам нужны.

Затем мы создадим наш сертификат сервера и пару ключей, а также некоторые дополнительные файлы, используемые в процессе шифрования.

Начните с создания сертификата сервера OpenVPN и пары ключей. Мы можем сделать это, набрав:

Примечание . Если вы выберете здесь имя, отличное от «сервер», вам придется настроить некоторые из приведенных ниже инструкций. Например, при копировании сгенерированных файлов в директорию / etc / openvpn вам придется заменить правильные имена. Вы также должны будете позже изменить файл /etc/openvpn/server.conf, чтобы он указывал на правильные файлы .crt и .key.

• ./build-key-server сервер

Еще раз, у подсказок будут значения по умолчанию, основанные на аргументе, который мы только что передали (сервер), и содержимом нашего файла vars, который мы получили.

Не стесняйтесь принимать значения по умолчанию, нажав ENTER . Не вводите пароль для этой настройки. В конце вам нужно будет ввести y на два вопроса, чтобы подписать и подтвердить сертификат:

Выход

, , , Сертификат подлежит сертификации до 1 мая 17:51:16 2026 по Гринвичу (3650 дней). Подписать сертификат? [y / n]: y 1 из 1 запросов на сертификаты сертифицирован, зафиксировать? [y / n] y Создать базу данных с 1 новыми записями. База данных обновлена.

Далее мы сгенерируем несколько других предметов. Мы можем генерировать сильные ключи Диффи-Хеллмана для использования во время обмена ключами, набрав:

Это может занять несколько минут.

После этого мы можем сгенерировать подпись HMAC, чтобы усилить возможности проверки целостности TLS на сервере:

• openvpn --genkey - секретные ключи / ta.key

Далее мы можем сгенерировать клиентский сертификат и пару ключей. Хотя это может быть сделано на клиентском компьютере и затем подписано сервером / ЦС в целях безопасности, для этого руководства мы сгенерируем подписанный ключ на сервере для простоты.

Для этого руководства мы создадим один ключ / сертификат клиента, но если у вас более одного клиента, вы можете повторить этот процесс столько раз, сколько захотите. Передайте уникальное значение скрипту для каждого клиента.

Поскольку вы можете вернуться к этому шагу позже, мы повторно предоставим файл vars. Мы будем использовать client1 в качестве значения для нашей первой пары сертификат / ключ для этого руководства.

Чтобы создать учетные данные без пароля, чтобы помочь в автоматических подключениях, используйте команду build-key, например:

• cd ~ / openvpn-ca
• исходные переменные
• ./build-key client1

Если вместо этого вы хотите создать защищенный паролем набор учетных данных, используйте команду build-key-pass:

• cd ~ / openvpn-ca
• исходные переменные
• ./build-key-pass client1

Опять же, значения по умолчанию должны быть заполнены, так что вы можете просто нажать ENTER, чтобы продолжить. Оставьте пароль вызова пустым и обязательно введите y для запросов, которые спрашивают, следует ли подписывать и подтверждать сертификат.

Шаг 7. Настройка службы OpenVPN

Затем мы можем начать настройку службы OpenVPN с использованием сгенерированных нами учетных данных и файлов.

Для начала нам нужно скопировать нужные нам файлы в каталог конфигурации / etc / openvpn.

Мы можем начать со всех файлов, которые мы только что сгенерировали. Они были помещены в каталог ~ / openvpn-ca / keys по мере их создания. Нам нужно переместить наш сертификат CA, наш сертификат сервера и ключ, подпись HMAC и файл Diffie-Hellman:

• CD ~ / OpenVPN-CA / ключи
• sudo cp ca.crt server.crt server.key ta.key dh2048.pem / etc / openvpn

Затем нам нужно скопировать и распаковать пример файла конфигурации OpenVPN в каталог конфигурации, чтобы мы могли использовать его в качестве основы для нашей установки:

• gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | sudo tee /etc/openvpn/server.conf

Настройте конфигурацию OpenVPN

Теперь, когда наши файлы на месте, мы можем изменить файл конфигурации сервера:

• sudo nano /etc/openvpn/server.conf

Базовая конфигурация

Во-первых, найдите раздел HMAC, найдя директиву tls-auth. Удалите « ; », чтобы раскомментировать строку tls-auth. Ниже этого добавьте параметр key-direction, установленный в "0":

/etc/openvpn/server.conf

tls-auth ta.key 0 # Этот файл является секретным key-direction 0

Затем найдите раздел о криптографических шифрах, ища закомментированные строки шифров. Шифр AES-128-CBC предлагает хороший уровень шифрования и хорошо поддерживается. Удалите « ; », чтобы раскомментировать строку шифра AES-128-CBC:

/etc/openvpn/server.conf

шифр AES-128-CBC

Ниже добавьте строку авторизации, чтобы выбрать алгоритм дайджеста сообщений HMAC. Для этого SHA256 является хорошим выбором:

/etc/openvpn/server.conf

аутентификация SHA256

Наконец, найдите настройки пользователя и группы и удалите « ; » в начале, чтобы раскомментировать эти строки:

/etc/openvpn/server.conf

пользователь nobody группа nogroup

(Необязательно) Push-изменения DNS для перенаправления всего трафика через VPN

Приведенные выше настройки создадут VPN-соединение между двумя компьютерами, но не заставят никакие соединения использовать туннель. Если вы хотите использовать VPN для маршрутизации всего вашего трафика, вы, вероятно, захотите передать настройки DNS на клиентские компьютеры.

Вы можете сделать это, раскомментировав несколько директив, которые будут настраивать клиентские машины для перенаправления всего веб-трафика через VPN. Найдите раздел redirect-gateway и удалите точку с запятой " ; " в начале строки redirect-gateway, чтобы раскомментировать ее:

/etc/openvpn/server.conf

нажмите "redirect-gateway def1 bypass-dhcp"

Чуть ниже найдите раздел dhcp-option. Снова удалите " ; " перед обеими строками, чтобы раскомментировать их:

/etc/openvpn/server.conf

push "dhcp-option DNS 208.67.222.222" push "dhcp-option DNS 208.67.220.220"

Это должно помочь клиентам перенастроить свои настройки DNS для использования VPN-туннеля в качестве шлюза по умолчанию.

(Необязательно) Настройте порт и протокол

По умолчанию сервер OpenVPN использует порт 1194 и протокол UDP для приема клиентских подключений. Если вам нужно использовать другой порт из-за ограниченных сетевых сред, в которых могут находиться ваши клиенты, вы можете изменить параметр порта. Если вы не размещаете веб-контент на своем сервере OpenVPN, порт 443 является популярным выбором, поскольку это обычно разрешается правилами брандмауэра.

/etc/openvpn/server.conf

# Необязательный! порт 443

Часто, если протокол будет ограничен этим портом. Если это так, измените протокол с UDP на TCP:

/etc/openvpn/server.conf

# Необязательный! прото ткп

Если вам не нужно использовать другой порт, лучше оставить эти две настройки по умолчанию.

(Необязательно) Укажите учетные данные не по умолчанию

Если вы ранее выбрали другое имя во время команды ./build-key-server, измените строки сертификата и ключа, которые вы видите, чтобы они указывали на соответствующие файлы .crt и .key. Если вы использовали сервер по умолчанию, это уже должно быть правильно установлено:

/etc/openvpn/server.conf

сервер сертификатов .crt сервер ключей .key

Когда вы закончите, сохраните и закройте файл.

Шаг 8: Настройте конфигурацию сети сервера

Затем нам нужно настроить некоторые аспекты работы сети на сервере, чтобы OpenVPN мог правильно маршрутизировать трафик.

Разрешить IP-пересылку

Во-первых, нам нужно разрешить серверу пересылать трафик. Это очень важно для функциональности, которую мы хотим, чтобы наш VPN-сервер предоставил.

Мы можем изменить этот параметр, изменив файл /etc/sysctl.conf:

• sudo nano /etc/sysctl.conf

Внутри найдите строку, которая устанавливает net.ipv4.ip_forward. Удалите символ « # » в начале строки, чтобы раскомментировать этот параметр:

/etc/sysctl.conf

net.ipv4.ip_forward = 1

Сохраните и закройте файл, когда вы закончите.

Чтобы прочитать файл и настроить значения для текущего сеанса, введите:

Настройте правила UFW для маскировки клиентских подключений

Если вы выполнили предварительные требования к руководству по первоначальной настройке сервера Ubuntu 16.04, у вас должен быть установлен брандмауэр UFW. Независимо от того, используете ли вы брандмауэр для блокировки нежелательного трафика (что вы почти всегда должны делать), нам нужен брандмауэр в этом руководстве, чтобы манипулировать частью трафика, поступающего на сервер. Нам нужно изменить файл правил, чтобы настроить маскарадинг, концепцию iptables, которая обеспечивает динамический NAT на лету для правильной маршрутизации клиентских соединений.

Прежде чем мы откроем файл конфигурации брандмауэра для добавления маскировки, нам нужно найти общедоступный сетевой интерфейс нашей машины. Для этого введите:

Ваш общедоступный интерфейс должен следовать за словом «dev». Например, этот результат показывает интерфейс с именем wlp11s0, который выделен ниже:

Выход

по умолчанию через 203.0.113.1 dev wlp11s0 proto static metric 600

Если у вас есть интерфейс, связанный с вашим маршрутом по умолчанию, откройте файл /etc/ufw/before.rules, чтобы добавить соответствующую конфигурацию:

• sudo nano /etc/ufw/before.rules

Этот файл обрабатывает конфигурацию, которая должна быть введена в действие перед загрузкой обычных правил UFW. В верхней части файла добавьте выделенные строки ниже. Это установит политику по умолчанию для цепочки POSTROUTING в таблице nat и маскирует любой трафик, поступающий из VPN:

Примечание : не забудьте заменить wlp11s0 в строке -A POSTROUTING ниже интерфейсом, который вы нашли в приведенной выше команде.

/etc/ufw/before.rules

# # rules.before # # Правила, которые должны быть запущены до добавления правил в командной строке ufw. Пользовательские # правила должны быть добавлены в одну из следующих цепочек: # ufw-before-input # ufw-before-output # ufw-before-forward # # ПРАВИЛА ОТКРЫТИЯ НАЧАЛА # # Правила таблицы NAT * nat: ПРИНЯТЬ ПОСТРОЕНИЕ [0: 0] # Разрешить трафик от клиента OpenVPN к wlp11s0 (измените интерфейс, который вы обнаружили!) -A POSTROUTING -s 10.8.0.0/8 -o wlp11s0 -j ​​MASQUERADE COMMIT # END OPENVPN RULES # Не удаляйте эти обязательные строки, иначе будут фильтр ошибок *. , ,

Сохраните и закройте файл, когда вы закончите.

Нам нужно указать UFW, чтобы по умолчанию также разрешались пересылка пакетов. Для этого мы откроем файл / etc / default / ufw:

• sudo nano / etc / default / ufw

Внутри найдите директиву DEFAULT_FORWARD_POLICY. Мы изменим значение с DROP на ACCEPT:

/ И т.д. / по умолчанию / UFW

DEFAULT_FORWARD_POLICY = "ПРИНЯТЬ"

Сохраните и закройте файл, когда вы закончите.

Откройте порт OpenVPN и включите изменения

Далее мы настроим сам брандмауэр, чтобы пропускать трафик к OpenVPN.

Если вы не изменили порт и протокол в файле /etc/openvpn/server.conf, вам потребуется открыть UDP-трафик для порта 1194. Если вы изменили порт и / или протокол, подставьте значения, которые вы выбрали здесь.

Мы также добавим порт SSH на тот случай, если вы забыли добавить его, следуя обязательному руководству:

• sudo ufw разрешить 1194 / udp
• sudo ufw разрешить OpenSSH

Теперь мы можем отключить и снова включить UFW, чтобы загрузить изменения из всех файлов, которые мы изменили:

• отключить sudo ufw
• sudo ufw enable

Наш сервер теперь настроен для правильной обработки трафика OpenVPN.

Шаг 9: Запустите и включите службу OpenVPN

Мы наконец-то готовы запустить сервис OpenVPN на нашем сервере. Мы можем сделать это с помощью systemd.

Нам нужно запустить сервер OpenVPN, указав имя нашего файла конфигурации в качестве переменной экземпляра после имени файла системного модуля. Наш конфигурационный файл для нашего сервера называется / etc / openvpn / server .conf, поэтому мы добавим @server в конец файла нашего модуля при его вызове:

• sudo systemctl start openvpn @ server

Дважды проверьте, что служба успешно запущена, набрав:

• sudo systemctl status openvpn @ server

Если все прошло хорошо, ваш вывод должен выглядеть примерно так:

Выход

● [email protected] - подключение OpenVPN к серверу. Загружен: загружен (/lib/systemd/system/[email protected]; отключен; предустановка поставщика: включен) Активен: активен (работает) с вт 2016-05-03 15:30 : 05 EDT; 47s ago Документы: man: openvpn (8) https://community.openvpn.net/openvpn/wiki/Openvpn23ManPage https://community.openvpn.net/openvpn/wiki/HOWTO Процесс: 5852 ExecStart = / usr / sbin / openvpn --daemon ovpn-% i --status /run/openvpn/%i.status 10 --cd / etc / openvpn --script-security 2 --config /etc/openvpn/%i.conf --writepid / run / openvpn /% i.pid (код = выход, sta Основной PID: 5856 (openvpn) Задачи: 1 (лимит: 512) CGroup: /system.slice/system-openvpn.slice/[email protected] └─5856 / usr / sbin / openvpn --daemon ovpn-сервер --status /run/openvpn/server.status 10 --cd / etc / openvpn --script-security 2 --config /etc/openvpn/server.conf - writepid /run/openvpn/server.pid 03 мая 15:30:05 openvpn2 ovpn-server [5856]: / sbin / ip addr add dev tun0 local 10.8.0.1 peer 10.8.0.2 03 мая 15:30:05 openvpn2 ovpn- сервер [5856]: / sbin / ip route добавить 10.8.0.0/24 через 10.8.0.2 3 мая 15:30:05 openvpn2 ovpn-server [5856]: GID установлен на nogroup 03 мая 15:30:05 openvpn2 ovpn-server [5856]: UID не установлен никому 3 мая 15:30:05 openvpn2 ovpn -server [5856]: локальная ссылка UDPv4 (связанная): [undef] 03 мая 15:30:05 openvpn2 ovpn-сервер [5856]: удаленная ссылка UDPv4: [undef] 03 мая 15:30:05 openvpn2 ovpn-сервер [ 5856]: MULTI: вызван multi_init, r = 256 v = 256 03 мая 15:30:05 openvpn2 ovpn-сервер [5856]: IFCONFIG POOL: база = 10.8.0.4 размер = 62, ipv6 = 0 03 мая 03 15:30: 05 openvpn2 ovpn-сервер [5856]: IFCONFIG POOL LIST 03 мая 15:30:05 openvpn2 ovpn-сервер [5856]: последовательность инициализации завершена

Вы также можете проверить, доступен ли интерфейс OpenVPN tun0, набрав:

Вы должны увидеть настроенный интерфейс:

Выход

4: tun0: <POINTOPOINT, MULTICAST, NOARP, UP, LOWER_UP> mtu 1500 Состояние очереди qdisc UNKNOWN группа по умолчанию qlen 100 link / none inet 10.8.0.1 peer 10.8.0.2/32 глобальная область действия tun0 valid_lft forever предпочитаемый_lft forever

Если все прошло хорошо, включите службу, чтобы она автоматически запускалась при загрузке:

• sudo systemctl включить openvpn @ server

Шаг 10: Создайте инфраструктуру конфигурации клиента

Далее нам нужно настроить систему, которая позволит нам легко создавать файлы конфигурации клиента.

Создание структуры каталога конфигурации клиента

Создайте структуру каталогов в вашем домашнем каталоге для хранения файлов:

• mkdir -p ~ / client-configs / files

Поскольку в наши файлы конфигурации клиента будут встроены клиентские ключи, мы должны заблокировать разрешения для нашего внутреннего каталога:

• chmod 700 ~ / client-configs / files

Создание базовой конфигурации

Далее, давайте скопируем пример конфигурации клиента в наш каталог для использования в качестве нашей базовой конфигурации:

• cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf ~ / client-configs / base.conf

Откройте этот новый файл в вашем текстовом редакторе:

• nano ~ / client-configs / base.conf

Внутри нам нужно сделать несколько корректировок.

Сначала найдите директиву remote. Это указывает клиенту на наш адрес сервера OpenVPN. Это должен быть публичный IP-адрес вашего сервера OpenVPN. Если вы изменили порт, который прослушивает сервер OpenVPN, измените 1194 на выбранный вами порт:

~ / Клиент-конфига / base.conf

, , , # Имя хоста / IP и порт сервера. # Вы можете иметь несколько удаленных записей # для балансировки нагрузки между серверами. удаленный сервер_IP_адрес 1194. , ,

Убедитесь, что протокол соответствует значению, которое вы используете в конфигурации сервера:

~ / Клиент-конфига / base.conf

прото удп

Далее раскомментируйте директивы user и group, удалив символ " ; ":

~ / Клиент-конфига / base.conf

# Понижение привилегий после инициализации (не только для Windows) пользователя nobody группа nogroup

Найдите директивы, которые устанавливают ca, cert и key. Закомментируйте эти директивы, так как мы будем добавлять сертификаты и ключи в сам файл:

~ / Клиент-конфига / base.conf

# SSL / TLS parms. # Смотрите файл конфигурации сервера для более # описания. Лучше всего использовать # отдельную пару файлов .crt / .key для каждого клиента. Один файл ca # может быть использован для всех клиентов. # ca ca.crt # cert client.crt # ключ client.key

Отразите настройки шифра и аутентификации, которые мы установили в файле /etc/openvpn/server.conf:

~ / Клиент-конфига / base.conf

шифр AES-128-CBC, аутентификация SHA256

Затем добавьте директиву key-direction где-нибудь в файле. Для работы с сервером необходимо установить значение «1»:

~ / Клиент-конфига / base.conf

ключ-направление 1

Наконец, добавьте несколько закомментированных строк. Мы хотим включить их в каждую конфигурацию, но должны включать их только для клиентов Linux, которые поставляются с файлом / etc / openvpn / update-resolv-conf. Этот скрипт использует утилиту resolvconf для обновления информации DNS для клиентов Linux.

~ / Клиент-конфига / base.conf

# script-security 2 # up / etc / openvpn / update-resolv-conf # down / etc / openvpn / update-resolv-conf

Если ваш клиент работает под управлением Linux и имеет файл / etc / openvpn / update-resolv-conf, вы должны раскомментировать эти строки из сгенерированного файла конфигурации клиента OpenVPN.

Сохраните файл, когда вы закончите.

Создание скрипта генерации конфигурации

Далее мы создадим простой скрипт для компиляции нашей базовой конфигурации с соответствующими сертификатами, ключами и файлами шифрования. Это поместит сгенерированную конфигурацию в каталог ~ / client-configs / files.

Создайте и откройте файл с именем make_config.sh в каталоге ~ / client-configs:

• nano ~ / client-configs / make_config.sh

Внутри вставьте следующий скрипт:

~ / Клиент-конфига / make_config.sh

#! / bin / bash # Первый аргумент: идентификатор клиента KEY_DIR = ~ / openvpn-ca / keys OUTPUT_DIR = ~ / client-configs / files BASE_CONFIG = ~ / client-configs / base.conf cat $ {BASE_CONFIG} \ <(echo -e '<ca>') \ $ {KEY_DIR} /ca.crt \ <(echo -e '</ ca> \ n <cert>') \ $ {KEY_DIR} / $ {1} .crt \ <( echo -e '</ cert> \ n <key>') \ $ {KEY_DIR} / $ {1} .key \ <(echo -e '</ key> \ n <tls-auth>') \ $ { KEY_DIR} /ta.key \ <(echo -e '</ tls-auth>') \> $ {OUTPUT_DIR} / $ {1} .ovpn

Сохраните и закройте файл, когда вы закончите.

Отметьте файл как исполняемый, набрав:

• chmod 700 ~ / client-configs / make_config.sh

Шаг 11: Генерация клиентских конфигураций

Теперь мы можем легко создавать файлы конфигурации клиента.

Если вы следовали этому руководству, вы создали клиентский сертификат и ключ с именами client1.crt и client1.key соответственно, выполнив команду ./build-key client1 на шаге 6. Мы можем создать конфигурацию для этих учетных данных, перейдя в наш ~ / client-configs и используя скрипт, который мы сделали:

• cd ~ / client-config
• ./make_config.sh client1

Если все прошло хорошо, у нас должен быть файл client1.ovpn в нашем каталоге ~ / client-configs / files:

• ls ~ / client-config / files

Выход

client1.ovpn

Передача конфигурации на клиентские устройства

Нам нужно перенести файл конфигурации клиента на соответствующее устройство. Например, это может быть ваш локальный компьютер или мобильное устройство.

Хотя точные приложения, используемые для выполнения этой передачи, будут зависеть от вашего выбора и операционной системы устройства, вы хотите, чтобы приложение использовало SFTP (протокол передачи файлов SSH) или SCP (Secure Copy) на серверной части. При этом файлы аутентификации VPN вашего клиента будут передаваться через зашифрованное соединение.

Вот пример команды SFTP с использованием нашего примера client1.ovpn. Эта команда может быть запущена с вашего локального компьютера (OS X или Linux). Он помещает файл .ovpn в ваш домашний каталог:

• sftp sammy @openvpn_server_ip: клиентские конфиги / файлы / client1.ovpn ~ /

Вот несколько инструментов и учебных пособий для безопасной передачи файлов с сервера на локальный компьютер:

Шаг 12: Установите конфигурацию клиента

Теперь мы обсудим, как установить клиентский профиль VPN на Windows, OS X, iOS и Android. Ни одна из этих инструкций клиента не зависит друг от друга, поэтому не стесняйтесь переходить к тому, что применимо к вам.

Соединение OpenVPN будет называться так, как вы назвали файл .ovpn. В нашем примере это означает, что соединение будет называться client1.ovpn для первого сгенерированного нами файла клиента.

Windows

Установка

Клиентское приложение OpenVPN для Windows можно найти на Страница загрузок OpenVPN , Выберите подходящую версию установщика для вашей версии Windows.

Заметка

OpenVPN требует административных привилегий для установки.

После установки OpenVPN скопируйте файл .ovpn в:

C: \ Program Files \ OpenVPN \ config

Когда вы запускаете OpenVPN, он автоматически видит профиль и делает его доступным.

OpenVPN должен запускаться от имени администратора каждый раз, когда он используется, даже учетными записями администратора. Чтобы сделать это без необходимости щелкать правой кнопкой мыши и выбирать Запуск от имени администратора каждый раз, когда вы используете VPN, вы можете сделать это заранее, но это необходимо сделать из учетной записи администратора. Это также означает, что обычным пользователям потребуется ввести пароль администратора, чтобы использовать OpenVPN. С другой стороны, обычные пользователи не могут правильно подключиться к серверу, если только приложение OpenVPN на клиенте не имеет прав администратора, поэтому необходимы повышенные привилегии.

Чтобы приложение OpenVPN всегда запускалось от имени администратора, щелкните правой кнопкой мыши его ярлык и выберите « Свойства» . В нижней части вкладки « Совместимость » нажмите кнопку « Изменить настройки для всех пользователей» . В новом окне установите флажок Запускать эту программу от имени администратора .

соединительный

Каждый раз, когда вы запускаете графический интерфейс OpenVPN, Windows спросит, хотите ли вы, чтобы программа вносила изменения в ваш компьютер. Нажмите Да . Запуск клиентского приложения OpenVPN только помещает апплет в системный трей, так что VPN может быть подключен и отключен по мере необходимости; это фактически не делает соединение VPN.

После запуска OpenVPN инициируйте соединение, зайдя в апплет на панели задач и щелкнув правой кнопкой мыши значок апплета OpenVPN. Это открывает контекстное меню. Выберите client1 в верхней части меню (это наш профиль client1.ovpn) и выберите Connect .

Откроется окно состояния, в котором будут показаны выходные данные журнала, пока установлено соединение, и появится сообщение, как только клиент подключится.

Отключение от VPN таким же образом: зайдите в апплет в системном трее, щелкните правой кнопкой мыши значок апплета OpenVPN, выберите профиль клиента и нажмите Отключить .

OS X

Установка

Tunnelblick бесплатный клиент OpenVPN с открытым исходным кодом для Mac OS X. Вы можете загрузить последний образ диска с Страница загрузок Tunnelblick , Дважды щелкните загруженный файл .dmg и следуйте инструкциям по установке.

В конце процесса установки Tunnelblick спросит, есть ли у вас какие-либо файлы конфигурации. Может быть проще ответить « Нет» и позволить Tunnelblick закончить. Откройте окно Finder и дважды щелкните client1.ovpn. Tunnelblick установит профиль клиента. Требуются административные привилегии.

соединительный

Запустите Tunnelblick, дважды щелкнув Tunnelblick в папке « Приложения ». После запуска Tunnelblick в строке меню в правом верхнем углу экрана появится значок Tunnelblick для управления подключениями. Нажмите на значок, а затем на пункт меню Connect, чтобы инициировать VPN-соединение. Выберите соединение client1 .

Linux

Установка

Если вы используете Linux, существует множество инструментов, которые вы можете использовать в зависимости от вашего дистрибутива. Среда вашего рабочего стола или оконный менеджер могут также включать утилиты подключения.

Однако самый универсальный способ подключения - это просто использовать программное обеспечение OpenVPN.

В Ubuntu или Debian вы можете установить его так же, как на сервере, набрав:

• sudo apt-get update
• sudo apt-get установить openvpn

В CentOS вы можете включить репозитории EPEL, а затем установить его, набрав:

• sudo yum установить epel-release
• sudo yum установить openvpn

Настройка

Проверьте, содержит ли ваш дистрибутив скрипт / etc / openvpn / update-resolv-conf:

Выход

Обновление-Решимость-конф

Затем отредактируйте файл конфигурации клиента OpenVPN, который вы передали:

Раскомментируйте три строки, которые мы поместили для настройки параметров DNS, если вам удалось найти файл update-resolv-conf:

client1.ovpn

скрипт-безопасность 2 вверх / etc / openvpn / update-resolv-conf вниз / etc / openvpn / update-resolv-conf

Если вы используете CentOS, измените группу с nogroup на nobody, чтобы соответствовать доступным группам дистрибутива:

client1.ovpn

никто не группа

Сохраните и закройте файл.

Теперь вы можете подключиться к VPN, просто указав команду openvpn в файл конфигурации клиента:

• sudo openvpn --config client1 .ovpn

Это должно соединить вас с вашим сервером.

IOS

Установка

В магазине приложений iTunes найдите и установите OpenVPN Connect , официальное iOS клиентское приложение OpenVPN. Чтобы перенести конфигурацию клиента iOS на устройство, подключите его напрямую к компьютеру.

Завершение передачи с помощью iTunes будет описано здесь. Откройте iTunes на компьютере и нажмите « iPhone» > « Приложения» . Прокрутите вниз до раздела « Общий доступ к файлам » и выберите приложение OpenVPN. Пустое окно справа, OpenVPN Documents , предназначено для обмена файлами. Перетащите файл .ovpn в окно «Документы OpenVPN».

Теперь запустите приложение OpenVPN на iPhone. Появится уведомление о том, что новый профиль готов к импорту. Нажмите зеленый знак плюс, чтобы импортировать его.

соединительный

OpenVPN теперь готов к использованию с новым профилем. Начните соединение, сдвинув кнопку подключения в положение « Вкл» . Отключите, сдвинув ту же кнопку в положение Выкл

Заметка

Переключатель VPN в настройках нельзя использовать для подключения к VPN. Если вы попытаетесь, вы получите уведомление о подключении только с помощью приложения OpenVPN.

Android

Установка

Откройте Google Play Store. Поиск и установка Android OpenVPN Connect , официальное клиентское приложение OpenVPN для Android.

Профиль .ovpn можно перенести, подключив устройство Android к компьютеру через USB и скопировав файл. Кроме того, если у вас есть устройство чтения карт SD, вы можете извлечь SD-карту устройства, скопировать на нее профиль и затем вставить карту обратно в устройство Android.

Запустите приложение OpenVPN и коснитесь меню, чтобы импортировать профиль.

Затем перейдите к местоположению сохраненного профиля (на скриншоте используется / sdcard / Download /) и выберите файл. Приложение отметит, что профиль был импортирован.

соединительный

Для подключения просто нажмите кнопку подключения . Вам будет задан вопрос, доверяете ли вы приложению OpenVPN. Нажмите OK, чтобы инициировать соединение. Чтобы отключиться от VPN, вернитесь в приложение OpenVPN и выберите Disconnect .

Шаг 13: Проверьте ваше VPN-соединение

После того, как все установлено, простая проверка подтверждает, что все работает правильно. Не включая VPN-соединение, откройте браузер и перейдите к DNSLeakTest ,

Сайт вернет IP-адрес, назначенный вашим интернет-провайдером. Чтобы проверить настройки DNS через тот же веб-сайт, нажмите Extended Test, и он скажет вам, какие DNS-серверы вы используете.

Теперь подключите клиент OpenVPN к VPN вашего Droplet и обновите браузер. Теперь должен появиться совершенно другой IP-адрес вашего VPN-сервера. Вот так ты и являешься миру. Снова, DNSLeakTest-х Расширенный тест проверит ваши настройки DNS и подтвердит, что вы сейчас используете преобразователи DNS, выдвинутые вашей VPN.

Иногда вам может потребоваться отозвать сертификат клиента, чтобы предотвратить дальнейший доступ к серверу OpenVPN.

Для этого войдите в каталог CA и повторно введите файл vars:

• cd ~ / openvpn-ca
• исходные переменные

Затем вызовите команду revoke-full, используя имя клиента, которое вы хотите отозвать:

Это покажет некоторый вывод, заканчивающийся ошибкой 23. Это нормально, и процесс должен был успешно сгенерировать необходимую информацию об отзыве, которая хранится в файле с именем crl.pem в подкаталоге keys.

Перенесите этот файл в каталог конфигурации / etc / openvpn:

• sudo cp ~ / openvpn-ca / keys / crl.pem / etc / openvpn

Затем откройте файл конфигурации сервера OpenVPN:

• sudo nano /etc/openvpn/server.conf

В нижней части файла добавьте опцию crl-verify, чтобы сервер OpenVPN проверял список отзыва сертификатов, который мы создавали каждый раз при попытке подключения:

/etc/openvpn/server.conf

crl-verify crl.pem

Сохраните и закройте файл.

Наконец, перезапустите OpenVPN для реализации отзыва сертификата:

• sudo systemctl перезапустить openvpn @ сервер

Теперь клиент больше не сможет успешно подключаться к серверу, используя старые учетные данные.

Чтобы отозвать дополнительных клиентов, выполните этот процесс:

1. Создайте новый список отзыва сертификатов, используя файл vars в каталоге ~ / openvpn-ca, а затем вызвав скрипт полного отзыва для имени клиента.
2. Скопируйте новый список отзыва сертификатов в каталог / etc / openvpn, чтобы перезаписать старый список.
3. Перезапустите сервис OpenVPN.

Этот процесс может быть использован для отзыва любых сертификатов, ранее выданных для вашего сервера.

Заключение

Поздравляем! Теперь вы безопасно пересекаете Интернет, защищая свою личность, местоположение и трафик от злоумышленников и цензоров.

Чтобы настроить больше клиентов, вам нужно только выполнить шаги 6 и 11-13 для каждого дополнительного устройства. Чтобы отозвать доступ к клиентам, выполните шаг 14 .

Похожие

Комментарии