Jak zainstalować i skonfigurować OpenVPN w Debianie

Jak zainstalować i skonfigurować OpenVPN w Debianie | Linux / Unix 2024
Jak zainstalować i skonfigurować OpenVPN w Debianie | Linux / Unix 2024

OpenVPN to bez wątpienia najlepszy sposób na bezpieczne dołączenie do sieci przez internet, OpenVPN to źródło VPN o otwartym kodzie źródłowym, które pozwala nam jako użytkownikom maskować nasze przeglądanie, aby uniknąć bycia ofiarami w sieci.

Są to bardzo ważne aspekty na poziomie bezpieczeństwa, które musimy wziąć pod uwagę i tym razem przeanalizujemy proces Konfiguracja OpenVPN w środowisku Debian 8.

NotatkaPrzed rozpoczęciem procesu instalacji ważne jest spełnienie pewnych wymagań, są to:

  • Użytkownik root.
  • Droplet Debian 8, obecnie mamy Debiana 8.1

1. Jak zainstalować OpenVPN


Pierwszym krokiem, który zrobimy, jest zaktualizuj wszystkie pakiety w środowisku za pomocą polecenia: 
 aktualizacja apt-get

Po pobraniu i zaktualizowaniu pakietów zainstalujmy OpenVPN za pomocą easy-RSA w przypadku problemów z szyfrowaniem. Wykonamy następujące polecenie: 

 apt-get install openvpn easy-rsa

Następnie musimy skonfigurować nasz OpenVPN, pliki konfiguracyjne OpenVPN są przechowywane w następującej ścieżce: /etc/openvpn i musimy je dodać do naszej konfiguracji, użyjemy następującego polecenia: 

 gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz> /etc/openvpn/server.conf
Po wyodrębnieniu tych plików w wybranej ścieżce otworzymy je za pomocą edytora nano, wykonamy następujące polecenie: 
 nano /etc/openvpn/server.conf
Zobaczymy następujące okno:

Kiedy już tam jesteśmy musimy dokonać pewnych modyfikacji w pliku, te zmiany to w zasadzie:

  • Zabezpieczenie serwera szyfrowaniem wysokiego poziomu
  • Zezwalaj na ruch sieciowy do miejsca docelowego
  • Zapobiegaj filtrowaniu żądań DNS poza połączeniem VPN
  • Uprawnienia instalacyjne

Idziemy do podwój długość klucza RSA który jest używany, gdy generowane są klucze zarówno serwera, jak i klienta, w tym celu przeszukamy plik pod kątem następujących wartości i zmodyfikujemy wartość dh1024.pem o wartość dh2048.pem: 

 # Diffie parametry Hellmana. # Wygeneruj własne za pomocą: # openssl dhparam -out dh1024.pem 1024 # Zastąp 2048 zamiast 1024, jeśli używasz # 2048-bitowych kluczy. dh dh1024.pem

Teraz chodźmy upewnij się, że ruch jest poprawnie przekierowywany do miejsca docelowego, odkomentujmy push "redirect-gateway def1 bypass-dhcp" usuwając na początku w pliku server.conf: 

 # Jeśli jest włączona, ta dyrektywa skonfiguruje # wszystkich klientów tak, aby # przekierowywali domyślną bramę sieciową przez VPN, # powodując # cały ruch IP, taki jak przeglądanie stron internetowych i # oraz wyszukiwania DNS, będą przechodzić przez VPN # (maszyna z serwerem OpenVPN może wymagać NAT # lub zmostkuj interfejs TUN / TAP z internetem # w *****, aby to działało poprawnie).; push "brama przekierowania def1 bypass-dhcp"

Następnym krokiem będzie powiedz serwerowi, aby używał OpenDNS do rozpoznawania nazw DNS O ile jest to możliwe, aby w ten sposób uniknąć tego, że żądania DNS znajdują się poza połączeniem VPN, musimy zlokalizować następujący tekst w naszym pliku: 

 # Niektóre ustawienia sieciowe specyficzne dla systemu Windows # mogą być przekazywane do klientów, na przykład # DNS lub adresy serwerów WINS. OSTRZEŻENIE: # http://openvpn.net/faq.html#dhcpcaveats # Poniższe adresy odnoszą się do publicznych # serwerów DNS dostarczonych przez opendns.com.; wciśnij „dhcp-opcja DNS 208.67.222.222”; wciśnij „dhcp-opcja DNS 208.67.220.220”
Tam musimy odznaczyć push "dhcp-option DNS 208.67.222.222" i push "dhcp-option DNS 208.67.220.220", usuwając; od początku.

Wreszcie będziemy zdefiniuj uprawnienia W tym samym pliku, nad którym pracujemy, umieszczamy następujący tekst: 

 # Możesz odkomentować to w # systemach innych niż Windows.; użytkownik nikt; grupa nogroup
Przechodzimy do odznaczenia usuń znak; od początku tekstów użytkownik nikt Tak grupa bez grupy.

Jak wiemy, OpenVPN działa domyślnie jako użytkownik root, pozwalając na edycję dowolnego parametru, przy ostatniej zmianie ograniczymy go do użytkownika none i grupy nogroup ze względów bezpieczeństwa.
Zmiany zapisujemy za pomocą kombinacji klawiszy:

Ctrl + O

I wychodzimy z edytora za pomocą:

Ctrl + X

Teraz zamierzamy włączyć przekazywanie pakietów do sieci zewnętrznej, w tym celu wykonamy następujące polecenie: 

 echo 1> / proc / sys / net / ipv4 / ip_forward
Musimy uczynić tę zmianę trwałą, nie, że musimy to robić za każdym razem, gdy uruchamiamy System, aby był ciągły, wejdziemy do pliku systcl za pomocą edytora nano, w tym celu wykonamy następujące czynności: 
 nano /etc/sysctl.conf
Wyświetli się następujące okno:

Zlokalizujemy następującą linię: 

 # Odkomentuj następną linię, aby włączyć przekazywanie pakietów dla IPv4 # net.ipv4.ip_forward = 1
NotatkaPrzypomnijmy, że możemy skorzystać z wyszukiwania edytora za pomocą kombinacji klawiszy:

Ctrl + W

Tam odhaczymy komentarz net.ipv4.ip_forward = 1 usunięcie symbolu #.

Następnym krokiem, który musimy podjąć, jest skonfigurować UFW. UFW to konfiguracja zapory sieciowej dla tabel IP, dlatego zamierzamy wprowadzić pewne poprawki, aby zmienić zabezpieczenia UFW. W pierwszym kroku zainstalujemy pakiety UFW za pomocą następującego polecenia: 

 apt-get zainstaluj ufw

Po pobraniu i zainstalowaniu niezbędnych pakietów UFW skonfigurujemy UFW, aby umożliwić połączenia SSH, w tym celu wykonamy następujące czynności: 

 ufw zezwól na ssh

W naszym przypadku pracujemy na porcie 1194 UDP, musimy skonfigurować ten port, aby komunikacja była zadowalająca, wpiszemy: 

 ufw zezwól na 1194 / udp
NotatkaMożemy zobaczyć porty naszej konsoli za pomocą polecenia lsof -iUDP

Następnie zamierzamy edytować plik konfiguracyjny UFW, w tym celu wejdziemy za pomocą edytora nano w następującej ścieżce: 

 nano / etc / default / ufw
Otworzy się następujące okno:

Tam wprowadzimy pewne zmiany, zlokalizujemy następującą linię, gdzie zmienimy DROP na ACCEPT. 

 DEFAULT_FORWARD_POLICY = "DROP"
Następnym krokiem jest dodać kilka reguł w UFW dotyczących translacji adresów sieciowych i poprawnego maskowania adresów IP użytkowników, którzy się łączą. Otwórzmy następujący plik za pomocą edytora nano: 
 nano /etc/ufw/before.rules
Zobaczymy, że wyświetla się następujące okno:

Dodamy następujący tekst: 

 # START OPENVPN RULES # Reguły tabeli NAT * nat: POSTROUTING ACCEPT [0: 0] # Zezwalaj na ruch z klienta OpenVPN do eth0 -A POSTROUTING -s 10.8.0.0/8 -o eth0 -j MASQUERADE COMMIT # END OPENVPN RULES

Po wprowadzeniu tych zmian przejdziemy do włącz UFW za pomocą następującego polecenia: 

 ufw włącz

W celu sprawdź zasady zaporyUżywam następującego polecenia: 

 status ufw

2. Utwórz certyfikat urzędu OpenVPN


Następnym krokiem w naszym procesie jest utwórz certyfikat urzędu do logowania przez OpenVPNPamiętajmy, że OpenVPN używa tych certyfikatów do szyfrowania ruchu. OpenVPN obsługuje certyfikację dwukierunkową, co oznacza, że ​​klient musi uwierzytelnić certyfikat serwera i odwrotnie.
Skopiujemy skrypty przez easy-RSA za pomocą następującego polecenia: 
 cp -r / usr / share / easy-rsa / / etc / openvpn
Idziemy do utwórz katalog do przechowywania kluczy, użyjemy następującego polecenia: 
 mkdir / etc / openvpn / easy-rsa / klawisze
Następnym krokiem jest edytuj parametry certyfikatu, użyjemy następującego polecenia: 
 nano / etc / openvpn / easy-rsa / vars
Wyświetli się następujące okno:

Zamierzamy zmodyfikować następujące parametry zgodnie z naszymi wymaganiami: 

 export KEY_COUNTRY = "CO" export KEY_PROVINCE = "BO" export KEY_CITY = "Bogota" export KEY_ORG = "Solvetic" export KEY_EMAIL = "[email protected]" export KEY_OU = "Solvetic"

W tym samym pliku edytujemy następujący wiersz: 

 # Eksport pola tematu X509 KEY_NAME = "EasyRSA"
Idziemy do zmień wartość EasyRSA na nazwę żądanego serwera, będziemy używać nazwy Solvetic.

Teraz zamierzamy skonfigurować parametry Diffie-Helmana za pomocą narzędzia zintegrowanego z OpenSSL, które nazywa się dhparam. Wprowadzimy i wykonamy następujące polecenie: 

 openssl dhparam -out /etc/openvpn/dh2048.pem 2048

Po wygenerowaniu certyfikatu będziemy zmień katalog easy-RSA za pomocą polecenia: 

 cd / etc / openvpn / easy-rsa
Idziemy do zainicjować PKI, użyjemy polecenia: 
… / Vars

Idziemy do wyczyść pozostałe klawisze aby nie przeszkadzały w instalacji za pomocą polecenia: 

 ./Wyczyść wszystko
Teraz zamierzamy zbuduj certyfikat za pomocą następującego polecenia OpenSSL: 
 ./buduj-ca

Będziemy mogli zobaczyć szereg pytań, które są związane z wprowadzonymi wcześniej informacjami, w ten sposób został wygenerowany certyfikat. Następnie uruchomimy nasz serwer OpenVPN, w tym celu Wyedytujemy plik znajdujący się w ścieżce /etc/openvpn/easy-rsa używając wcześniej określonej nazwy klucza, w naszym przypadku Solvetic. Wykonamy następujące polecenie: 

 ./build-key-server Solvetic

W poniższych wierszach możemy pozostawić puste miejsce i nacisnąć Enter: 

 Wprowadź następujące „dodatkowe” atrybuty, które mają zostać wysłane wraz z żądaniem certyfikatu Hasło testowe []: Opcjonalna nazwa firmy []:
Wyświetli się poniższe okno, w którym musimy wpisać literę y (tak), aby zaakceptować następujące dwa pytania: Podpisz certyfikat i wniosek o certyfikaty.

Teraz chodźmy przenieś zarówno certyfikaty, jak i klucze do /etc/openvpn path, wykonamy następujące polecenie: 

 cp /etc/openvpn/easy-rsa/keys/[Solvetic.crt,Solvetic.key,ca.crt} / etc / openvpn
Po zakończeniu tego procesu będziemy uruchom usługę OpenVPN za pomocą polecenia: 
 usługa openvpn start
W celu zobacz status użyjemy polecenia: 
 status usługi oopenvpn

Naszym następnym krokiem będzie stworzenie certyfikatów i kluczy dla klientów, którzy chcą połączyć się z VPN. Idealnie, ze względów bezpieczeństwa, każdy klient, który łączy się z serwerem, ma swój własny certyfikat i klucz, nigdy go nie udostępniaj, domyślnie OpenVPN nie zezwala na jednoczesne połączenia z tym samym certyfikatem i kluczem. Stworzymy klucz dla naszego klienta, w tym celu wpiszemy następujące polecenie: 

 ./build-key Nazwa_Klienta, w naszym przykładzie użyjemy następującego polecenia: ./build-key Tests

Wypełniamy wymagane pola, a następnie skopiuj wygenerowany klucz do katalogu easy-RSA. 

 cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/easy-rsa/keys/client.ovpn.
Teraz chodźmy pobierz narzędzie Winscp za darmo z linku poniżej. To narzędzie pozwoli nam połączyć się przez SFTP lub FTP z naszym komputerem z Debianem w celu sprawdzenia, czy pliki zostały utworzone poprawnie. Po pobraniu i wykonaniu będzie to okno, które możemy zobaczyć:

Tam wpisujemy adres IP maszyny z Debianem pamiętaj, że adres IP można zweryfikować za pomocą polecenia ifconfig, wpisujemy poświadczenia i po kliknięciu Połącz widzimy:

POWIĘKSZAĆ

Tam możemy zobaczyć po prawej stronie odpowiednie pliki kluczy i kluczy. Aby uzyskać dostęp przez OpenVPN, pobierzemy narzędzie z następującego linku OpenVPN w wersji 2.3.11. Po pobraniu musimy wziąć pod uwagę wprowadzenie pewnych zmian we wspomnianym narzędziu, pierwszą rzeczą, którą zrobimy, jest skopiowanie kluczowych plików i kluczy w ścieżce, w której powszechnie instalowany jest OpenVPN: 

 C: \ Program Files \ OpenVPN \ config
Później stworzymy plik w notatniku lub edytorze tekstu, który posiadamy z następującymi informacjami: 
 klient dev tun proto zdalny udp 192.168.0.12 1194 klucz client.key cert client.crt ca ca.crt auth-user-pass persist-key persist-tun comp-lzo verb 3
NotatkaAdres IP to adres naszej maszyny z Debianem, a port, jak widzieliśmy wcześniej, to UDP 1194.
Ten plik musi być zapisany z rozszerzeniem .ovpn.

3. Test dostępu klienta OpenVPN


Uruchommy OPENVPN i to będzie środowisko, w którym się znajdziemy:

Wprowadzamy dane uwierzytelniające użytkownika aby się połączyć i kliknij Dobra i widzimy co następuje

NotatkaNawiązujemy to połączenie z komputera z systemem Windows 7.

Teraz możemy zobaczyć na pasku powiadomień, że połączenie się powiodło i możemy zobaczyć nowy adres IP.

Jeśli klikniemy prawym przyciskiem myszy na narzędzie (ikona w pasku powiadomień) mamy następujące opcje:

Stąd możemy realizować zadania, które uważamy za konieczne. Na przykład tak wybieramy Pokaż status zobaczymy:

4. Narzędzia bezpieczeństwa OpenVPN”]


Nie ma wątpliwości, że Przeglądanie Internetu może prowadzić do problemów z bezpieczeństwem takie jak wirusy, kradzież informacji, oprogramowanie szpiegujące itp., z tego powodu istnieje kilka narzędzi, które możemy zaimplementować w celu poprawy bezpieczeństwa na naszym komputerze po Otwórz VPN.

Porozmawiajmy o Clamav który jest potężnym antywirusem, który pomoże nam zachować kontrolę nad zainfekowanymi plikami lub procesami w naszym Debianie 8.1. Jest to oprogramowanie typu open source, które pozwala nam wykrywać trojany, złośliwe oprogramowanie i inne ukryte zagrożenia na naszych komputerach. Proces instalacji jest bardzo prosty, w tym celu wykonamy następujące polecenie: 

 Sudo apt-get install clamav

Później wykonamy świeży małż aby zaktualizowano całą bazę danych Clamav.
Aby uruchomić skanowanie na maszynie, wprowadzimy następującą składnię: 

 Clamscan -zainfekowany -usuń -rekurencyjny / home
Po chwili zobaczymy podsumowanie zadania skanowania:

Kolejnym narzędziem, którego możemy użyć do poprawy naszego bezpieczeństwa, jest Prywatność który działa jako serwer proxy i zawiera zaawansowane funkcje między innymi do ochrony prywatności, zarządzania plikami cookie, kontroli dostępu, usuwania reklam. Aby zainstalować go w naszym systemie Debian 8.1, wykonamy następujące polecenie: 

 Sudo apt-get install privoxy

Pamiętaj, że jeśli jesteśmy użytkownikami root, sudo nie jest konieczne. Po pobraniu i zainstalowaniu wszystkich pakietów Privoxy zmodyfikujemy niektóre parametry w jego pliku konfiguracyjnym, w tym celu wykonamy następujące polecenie: 

 Sudo nano / etc / privoxy / config
Wyświetlone zostaną następujące informacje:

Tam musimy zlokalizować linię adres nasłuchiwania lokalnego hosta: 8118 i musimy dodać 2 parametry, najpierw dodaj symbol # na początku tej linii i wpisz poniżej termin listen-address ip_of_nour machine: 8118, w naszym przypadku jest to: 

 adres nasłuchiwania 192.168.0.10:8118.
Po wykonaniu tej czynności ponownie uruchomimy usługę za pomocą: 
 sudo /etc/init.d/privoxy restart

Następnie przechodzimy do przeglądarki, którą mamy w Debianie i przystępujemy do modyfikacji parametrów Proxy, musimy potwierdzić, że adres IP jest tym, który dodaliśmy, a port to 8118. W naszym przykładzie używamy IceWeasel i musimy wpisać:

  • preferencje
  • Zaawansowany
  • Internet
  • Konfiguracja połączenia
  • Ręczna konfiguracja proxy

Po skonfigurowaniu klikamy OK. Teraz możemy zobaczyć jak Privoxy pomaga nam w bezpieczeństwie:

Istnieją inne narzędzia, które mogą pomóc nam ulepszyć nawigację za pomocą naszego OpenVPN, które możemy wdrożyć:

DnsmasqDostarcza nam usługi DNS w ten sposób korzystamy tylko z pamięci podręcznej DNS.

HAVPDzięki temu narzędziu mamy proxy z antywirusem, skanuje cały ruch w poszukiwaniu wirusów lub jakiegoś dziwnego zachowania.

Jak widać, bardzo ważne jest podjęcie działań, które pomogą nam zachować kontrolę nad naszą nawigacją i być bardzo jasnym, że prawidłowe działanie Debian 8.1

Kontynuujmy odkrywanie wszystkich wspaniałych korzyści, jakie oferuje nam Debian 8.1 i ulepszajmy nasze środowisko, ponieważ wielu z nas jest administratorami, koordynatorami lub osobami odpowiedzialnymi za obszar IT, a te wskazówki pomagają nam łatwiej radzić sobie z codziennymi sprawami i mają możliwość nie mieć krytycznych problemów w przyszłości, które mogą być dużym bólem głowy.

Zainstaluj LAMP na Debianie 8

wave wave wave wave wave

Popularne Wiadomości

wave
1
post-title
Testowanie JavaScript z Jasmine
2
post-title
Usuń tło lub ramki w ikonach aplikacji Samsung Galaxy M10
3
post-title
Specyficzne SEO dla obrazów w sieci
4
post-title
▷ Polecenie włącza lub wyłącza WiFi Windows 10 CMD
5
post-title
Jak poprawić wydajność programu Outlook i zwolnić zużycie pamięci?

Zalecane

wave
- Sponsored Ad -

Wybór Redakcji

wave
- Sponsored Ad -