Debian

Cara mengatur VPN dengan OpenVPN di Debian 9 Stretch Linux

Cara mengatur VPN dengan OpenVPN di Debian 9 Stretch Linux

Distribusi

Panduan ini diuji untuk Debian 9 Stretch Linux, tetapi mungkin bekerja dengan versi Debian baru -baru ini.

Persyaratan

  • Panduan ini mengasumsikan bahwa Anda menjalankan Debian di VPS atau server jarak jauh, karena itulah skenario yang paling mungkin untuk VPN.
  • Instalasi yang berfungsi dari debian stretch dengan akses root

Kesulitan

SEDANG

Konvensi

  • # - mensyaratkan perintah linux yang diberikan untuk dieksekusi dengan hak istimewa root baik secara langsung sebagai pengguna root atau dengan menggunakan sudo memerintah
  • $ - mensyaratkan perintah Linux yang diberikan untuk dieksekusi sebagai pengguna biasa

Mengkonfigurasi iptables

Menyiapkan VPN Anda sendiri bukanlah tugas kecil, tetapi ada banyak alasan yang ingin Anda lakukan. Untuk satu, saat Anda menjalankan VPN Anda sendiri, Anda memiliki kendali penuh dan tahu persis apa yang dilakukannya.

Keamanan adalah faktor penting untuk VPN. Dimungkinkan untuk mengatur yang sederhana dalam beberapa menit, tetapi itu tidak akan aman sama sekali. Anda perlu mengambil langkah yang sesuai untuk memastikan bahwa server dan koneksi Anda tetap pribadi dan dienkripsi.

Sebelum memulai jalan ini, Anda mungkin ingin mempertimbangkan enkripsi disk Anda, meningkatkan keamanan kernel dengan Selinux atau Pax, dan memastikan yang lainnya terkunci.

Ptables adalah bagian besar dari keamanan server. Anda membutuhkan iptables untuk memastikan bahwa informasi tidak bocor dari VPN Anda. Ptables juga berfungsi untuk mencegah koneksi yang tidak sah. Jadi, langkah pertama dalam menyiapkan VPN di Debian adalah menyiapkan ptables.

Temukan Antarmuka WAN Anda

Sebelum Anda dapat mulai menulis aturan iptables Anda, Anda perlu mengetahui antarmuka mana yang Anda tulis.

Menggunakan ifconfig atau ip a untuk mencari antarmuka yang terhubung dengan server Anda ke internet.

Sisa panduan ini akan merujuk antarmuka itu sebagai eth0, Tapi itu mungkin tidak akan menjadi milikmu. Pastikan untuk bertukar atas nama antarmuka jaringan server Anda sebagai gantinya.

Membuat aturan ptables

Setiap pengguna dan admin Linux suka menulis aturan iptables, benar? Itu tidak akan seburuk itu. Anda akan menyusun file dengan semua perintah dan hanya mengembalikannya ke ptables.

Buat file Anda. Anda dapat membuatnya di suatu tempat yang ingin Anda simpan atau hanya membuangnya /tmp. Iptables akan menyimpan aturan Anda, jadi /tmp baik-baik saja.

$ vim /tmp /v4rules

Mulai file dengan menambahkan *Saring untuk memberi tahu iptables bahwa ini adalah aturan filter.

Ya, akan ada IPv6 juga, tapi itu akan jauh lebih pendek.

Aturan Loopback

Mulailah dengan set aturan paling sederhana, antarmuka loopback. Ini hanya memberitahu ptables untuk hanya menerima lalu lintas looback yang berasal dari localhost.

-Input -i lo -j terima -input ! -i lo -s 127.0.0.0/8 -J tolak -sa output -o lo -j terima

Memungkinkan ping

Selanjutnya, Anda mungkin ingin bisa melakukan ping server Anda. Kelompok aturan ini memungkinkan ping melalui.

-Input -p -icmp -m status --State baru --CMP -Type 8 -J AcCECT -A INPUT -P ICMP -M STATE -STATED Didirikan, Terkait -J ACCEPT -A OUTPUT -P ICMP -J ACCEPT

Pengaturan SSH

Anda mungkin harus mengubah ssh dari port 22, jadi biarkan aturan Anda mencerminkan hal itu. 

-Input -i eth0 -p tcp -m state --State baru, mapan - -DPOR 22 -J ACCEPT -A OUTPUT -O ETH0 -P TCP -M NEGARA -STATE Didirikan --PPOR 22 -J ACCEPT

Izinkan OpenVPN melalui

Jelas, Anda akan ingin mengizinkan lalu lintas OpenVPN melalui. Panduan ini akan menggunakan UDP untuk OpenVPN. Jika Anda memilih untuk pergi dengan TCP, biarkan aturan mencerminkan hal itu.

-A input -i eth0 -p udp -m state --State baru, mapan - -DPOR 1194 -J ACCEPT -A output -o eth0 -p udp -m state -State mapan --port 1194 -j terima

DNS

Anda juga ingin mengizinkan lalu lintas DNS melalui server VPN Anda. Ini akan melalui UDP dan TCP.

-A input -i eth0 -p udp -m state --State didirikan --PPORT 53 -J ACCEPT -A OUTPUT -O ETH0 -P UDP -M STATE -STATE BARU, Didirikan - -DPOR 53 -J ACCEPT -A INPUT -i eth0 -p tcp -m state --State didirikan --port 53 -j accept -a output -o eth0 -p tcp -m state --State baru, mapan -DPOR 53 -J ACCECEP

Http/s untuk pembaruan

Mungkin tampak aneh untuk mengizinkan lalu lintas http/s, tetapi Anda Mengerjakan ingin Debian dapat memperbarui dirinya sendiri, benar? Aturan -aturan ini memungkinkan Debian untuk memulai permintaan HTTP, tetapi tidak menerimanya dari luar.

-A input -i eth0 -p tcp -m state --State didirikan --PPORT 80 -J ACCEPT -A INPUT -I ETH0 -P TCP -M NEGARA -STATE Didirikan --PPOR 443 -J ACCEPT -A OUTPUT -O Eth0 -p TCP -M State --State Baru, Didirikan -DPOR 80 -J ACCEPT -A OUTPUT -O ETH0 -P TCP -M STATE -STATE BARU, Didirikan --Dport 443 -J ACCECT

NTP untuk menyinkronkan jam Anda

Dengan asumsi bahwa Anda tidak akan menyinkronkan secara manual jam server Anda dan jam klien, Anda akan membutuhkan NTP. Biarkan juga.

-A input -i eth0 -p udp -m state --State didirikan --PPORT 123 -J ACCEPT -A OUTPUT -O ETH0 -P UDP -M STATE -STATE BARU, Didirikan -DPOR 123 -J ACCEPT

Tun ke terowongan melalui VPN

Panduan ini menggunakan tun ke terowongan melalui VPN, jika Anda menggunakan tap, sesuaikan sesuai.

-Input -i tun0 -j terima -A maju -i tun0 -j terima -a output -o tun0 -j terima

Agar VPN meneruskan lalu lintas Anda ke internet, Anda perlu mengaktifkan penerusan dari Tun ke antarmuka jaringan fisik Anda.

-A forward -i tun0 -o eth0 -s 10.8.0.0/24 -J AcCET -A Maju -M Status -States Didirikan, Terkait -J ACCEPT

Log yang diblokir lalu lintas

Anda mungkin harus memiliki ptables mencatat lalu lintas yang diblokir. Dengan cara ini, Anda menyadari potensi ancaman.

-Batas input -m - -terbatas 3/min -j log --gog -prefix "ptables_input_denied:" - -log -level 4 -se forward -m Limit - -limit 3/min -j log --gog -prefix " ptables_forward_denied: " - -log -level 4 -se output -m Batas - -limit 3/min -j log --gog -prefix" ptables_output_denied: " - -log -level 4

Tolak semua lalu lintas lainnya

Sekarang setelah Anda mencatat semua yang tidak sesuai dengan aturan yang ada, tolak.

-Input -j tolak -sebuah maju -j tolak -sebuah output -j tolak

Jangan lupa untuk menutup file Anda MELAKUKAN.

Nat

Bagian selanjutnya ini membutuhkan tabel yang berbeda. Anda tidak dapat menambahkannya ke file yang sama, jadi Anda hanya perlu menjalankan perintah secara manual.

Buat lalu lintas dari VPN Masquerade sebagai lalu lintas dari antarmuka jaringan fisik.

# ptables -t nat -a postrouting -s 10.8.0.0/24 -O eth0 -j Masquerade

Memblokir semua lalu lintas ipv6

Lalu lintas dapat bocor melalui IPv6, dan sebenarnya tidak perlu menggunakan IPv6 sekarang. Hal termudah untuk dilakukan adalah mematikannya sepenuhnya.

Buat file lain dan lemparkan aturan untuk menolak semua lalu lintas IPv6.

$ vim /tmp /v6rules
*filter -a input -j tolak -sebuah maju -j tolak -a output -j tolak komit

Melakukan segalanya

Mulailah dengan menyiram semua aturan ptables yang ada. 

# ptables -f && ptables -x

Impor setiap file aturan yang Anda buat.

# ptables-Restore < /tmp/v4rules # ip6tables-restore < /tmp/v6rules

Membuatnya menempel

Debian memiliki paket yang akan menangani secara otomatis memuat aturan ptable Anda, jadi Anda tidak perlu membuat pekerjaan cron atau semacamnya.

# apt instal ptables-persistent

Proses instalasi akan menanyakan apakah Anda ingin menyimpan konfigurasi Anda. Jawab, "Ya."

Di masa depan, Anda dapat memperbarui aturan Anda dengan menjalankan perintah Linux berikut.

# layanan netfilter-persistent save

Konfigurasi tambahan

Ada beberapa hal lagi yang perlu Anda lakukan untuk membuat semua antarmuka jaringan Anda berfungsi sesuai kebutuhan.

Pertama, buka /etc/host dan mengomentari semua baris IPv6.

Selanjutnya, buka /etc/sysctl.D/99-SYSCTL.conf. Temukan dan Batalkan Komentari Baris berikut.

bersih.IPv4.ip_forward = 1

Tambahkan baris berikutnya untuk menonaktifkan IPv6 sepenuhnya.

bersih.IPv6.conf.semua.disable_ipv6 = 1 net.IPv6.conf.bawaan.disable_ipv6 = 1 net.IPv6.conf.lo.disable_ipv6 = 1 net.IPv6.conf.eth0.disable_ipv6 = 1

Akhirnya, terapkan perubahan Anda. 

# sysctl -p

Apa berikutnya

Itu bagian pertama. Firewall server Anda sekarang siap menjalankan OpenVPN, dan jaringan Anda juga selaras.

Langkah selanjutnya adalah membuat otoritas sertifikat untuk menangani semua kunci enkripsi Anda. Ini tidak panjang proses seperti ini, tapi itu sama pentingnya.

Otoritas Sertifikasi

Gunakan Easy-RSA untuk menetapkan otoritas sertifikat yang akan Anda gunakan untuk membuat dan kunci enkripsi untuk server OpenVPN Anda.

Ini adalah bagian kedua dalam mengonfigurasi server OpenVPN di Debian Stretch.

VPN bergantung pada enkripsi. Sangat penting bahwa mereka mengenkripsi koneksi mereka dengan klien serta proses koneksi itu sendiri.

Untuk menghasilkan kunci yang diperlukan untuk komunikasi terenkripsi, Anda perlu membentuk otoritas sertifikat. Ini benar -benar tidak sulit, dan ada alat yang menyederhanakan proses lebih lanjut.

Menginstal paket

Sebelum Anda memulai, instal OpenVPN dan Easy-RSA.

# Apt Instal OpenVPN Easy-RSA

Siapkan direktori

Paket OpenVPN membuat direktori untuk dirinya sendiri di /etc/openvpn. Di situlah Anda dapat mengatur otoritas sertifikat.

Easy-RSA termasuk skrip yang secara otomatis membuat direktori dengan semua yang Anda butuhkan. Gunakan untuk membuat direktori Otoritas Sertifikat Anda.

# make-cadir/etc/openvpn/sertifikat

Masukkan direktori itu dan buat tautan lunak antara konfigurasi openssl terbaru openssl.CNF.

# ln -s openssl -1.0.0.CNF OpenSSL.CNF

Atur variabel

Di dalam folder ada file yang dipanggil, vars. File itu berisi variabel yang akan digunakan Easy-RSA untuk menghasilkan kunci Anda. Buka. Ada beberapa nilai yang perlu Anda ubah.

Mulailah dengan menemukan Key_size variabel dan ubah nilainya menjadi 4096.

Ekspor key_size = 4096

Selanjutnya, temukan blok informasi mengenai lokasi dan identitas otoritas sertifikat Anda.

Ekspor key_country = "US" Ekspor key_province = "CA" Ekspor key_city = "SanFrancisco" Ekspor Key_org = "Fort-Funston" Ekspor Key_email = "[email protected] "Ekspor key_ou =" myorganizationalUnit "

Ubah nilai yang sesuai dengan Anda.

Variabel terakhir yang perlu Anda temukan adalah Key_name

Ekspor key_name = "VPNServer"

Sebutkan itu sesuatu yang dapat diidentifikasi.

Buat kunci otoritas

Easy-RSA termasuk skrip untuk menghasilkan otoritas sertifikat.

Muat variabel terlebih dahulu.

# sumber ./vars

Pesan peringatan akan muncul di terminal yang memberi tahu Anda itu bersih-semua akan menghapus kunci Anda. Anda belum memilikinya, jadi tidak apa -apa.

# ./bersih-semua

Anda sekarang dapat menjalankan skrip untuk benar -benar menghasilkan otoritas sertifikat Anda. Script akan mengajukan pertanyaan tentang kunci yang Anda hasilkan. Jawaban default adalah variabel yang sudah Anda masukkan. Anda dapat dengan aman menghancurkan "Enter."Ingat saja untuk memasukkan kata sandi jika Anda mau dan menjawab" ya "untuk dua pertanyaan terakhir.

# ./build-ca

Buat kunci server

Kunci -kunci yang Anda buat adalah untuk otoritas sertifikat itu sendiri. Anda membutuhkan kunci untuk server juga. Sekali lagi, ada naskah untuk itu.

# ./Server Build-Key-Server

Menghasilkan PEM diffie-hellman

Anda perlu menghasilkan PEM diffie-hellman yang akan digunakan OpenVPN untuk membuat kunci sesi klien yang aman. Easy-RSA menyediakan skrip untuk ini juga, tetapi lebih mudah untuk menggunakan OpenSSL biasa.

Karena tujuan di sini adalah keamanan, yang terbaik adalah menghasilkan kunci 4096bit. Ini akan membutuhkan waktu untuk menghasilkan, dan mungkin sedikit memperlambat proses koneksi, tetapi enkripsi akan cukup kuat.

# OpenSSL DHPARAM 4096>/etc/OpenVPN/DH4096.PEM

Menghasilkan kunci HMAC

Ya, Anda membutuhkan kunci enkripsi lain. OpenVPN menggunakan tombol HMAC untuk menandatangani paket yang digunakannya dalam proses otentikasi TLS. Dengan menandatangani paket -paket tersebut, OpenVPN dapat menjamin bahwa hanya paket yang berasal dari mesin dengan kunci yang diterima. Itu hanya menambahkan lapisan keamanan lain.

Utilitas untuk menghasilkan kunci HMAC Anda sebenarnya dibangun menjadi OpenVPN sendiri. Menjalankannya.

# openvpn --genkey --secret/etc/openvpn/sertifikat/tombol/ta.kunci

Apa berikutnya

Membuat enkripsi yang kuat adalah salah satu aspek terpenting dari pengaturan server OpenVPN. Tanpa enkripsi yang baik, seluruh proses pada dasarnya tidak berarti.

Pada titik ini, Anda akhirnya siap untuk mengkonfigurasi server itu sendiri. Konfigurasi server sebenarnya kurang rumit dari apa yang telah Anda lakukan sejauh ini, jadi selamat.

OpenVPN Sever

Konfigurasikan server OpenVPN menggunakan tombol enkripsi yang Anda hasilkan di bagian sebelumnya dari panduan ini.

Ini adalah bagian ketiga dalam mengonfigurasi server OpenVPN di Debian Stretch.

Sekarang, Anda telah tiba di acara utama. Ini adalah konfigurasi server OpenVPN yang sebenarnya. Segala sesuatu yang telah Anda lakukan sejauh ini benar -benar diperlukan, tetapi tidak ada yang menyentuh OpenVPN sendiri, sampai sekarang.

Bagian ini sepenuhnya berkaitan dengan mengkonfigurasi dan menjalankan server OpenVPN, dan sebenarnya kurang rumit dari yang mungkin Anda pikirkan.

Dapatkan konfigurasi dasar

OpenVPN telah membuat proses ini sangat mudah. Paket yang Anda instal datang dengan file konfigurasi sampel untuk klien dan server. Anda hanya perlu membuka ritsleting server ke Anda /etc/openvpn direktori.

# gunzip -c/usr/share/doc/openvpn/contoh/sampel-config-files/server.conf.GZ>/etc/OpenVPN/Server.conf

Buka di editor teks favorit Anda dan bersiaplah untuk mulai mengubah banyak hal.

Gunakan kunci Anda

Setelah Anda berada di dalam file, Anda akan melihat bahwa semuanya diisi dengan default yang masuk akal, dan ada banyak komentar yang memberikan dokumentasi yang sangat baik tentang apa yang dilakukan semuanya.

Hal pertama yang perlu Anda temukan adalah bagian untuk menambahkan otoritas sertifikat dan kunci server Anda. Variabelnya ca, cert, Dan kunci. Atur mereka sama dengan jalur lengkap dari masing -masing file tersebut. Itu akan terlihat seperti contoh di bawah ini.

CA/etc/OpenVPN/CERTS/KEYS/CA.CRT CERT/ETC/OPENVPN/CERTS/KEYS/Server.Kunci CRT/etc/openvpn/sertifikat/kunci/server.Kunci # File ini harus dirahasiakan

Bagian selanjutnya yang perlu Anda temukan adalah Diffie-Hellman .PEM Setelah selesai, itu akan terlihat seperti ini:

DH DH4096.PEM

Akhirnya, temukan tls-auth untuk kunci HMAC Anda.

tls-auth/etc/openvpn/sertifikat/tombol/ta.Kunci 0 # File ini rahasia

Ya, tinggalkan 0 di sana.

Daging Sapi Keamanan

Pengaturan enkripsi dalam file konfigurasi baik -baik saja, tetapi bisa banyak lebih baik. Saatnya mengaktifkan pengaturan enkripsi yang lebih baik.

Temukan bagian yang dimulai dengan, # Pilih cipher kriptografi. Di situlah Anda perlu menambahkan baris berikut di bawah ini ia ada opsi berkomentar yang ada.

Cipher AES-256-CBC

Ini bukan salah satu opsi yang terdaftar di sana, tetapi didukung oleh OpenVPN. Enkripsi AES 256bit itu mungkin yang terbaik yang ditawarkan oleh OpenVPN.

Gulir ke akhir file. Dua opsi berikutnya belum ada dalam konfigurasi, jadi Anda perlu menambahkannya.

Pertama, Anda perlu menentukan pencernaan otentikasi yang kuat. Ini adalah enkripsi yang akan digunakan OpenVPN untuk otentikasi pengguna. Pilih SHA512.

# AUTH Digest AUTH SHA512

Selanjutnya, batasi cipher yang akan digunakan OpenVPN untuk yang lebih kuat. Yang terbaik adalah membatasi sejauh mungkin.

# Batas ciphers tls-cipher tls-dhe-rsa-with-aes-256-gcm-sha384: tls-dhe-rsa-with-aes-128-gcm-sha256: tls-dhe-rsa-with-aes-256- CBC-SHA: TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA: TLS-DHE-RSA-WITH-AES-128-CBC-SHA: TLS-DHE-RSA-WITH-CAMELLIA-128-CBC- Sha

Lalu lintas langsung

Semua hal enkripsi tidak sesuai. Saatnya melakukan routing. Anda perlu memberi tahu OpenVPN untuk menangani pengalihan lalu lintas dan DNS.

Mulailah dengan mengarahkan lalu lintas. Temukan baris di bawah ini dan buka komentar.

Dorong "Redirect-Gateway DEF1 Bypass-DHCP"

Untuk merutekan DNS melalui OpenVPN, Anda perlu memberikannya opsi DNS. Baris -baris ini sudah ada dan berkomentar juga. Membatalkan komentar mereka. Jika Anda ingin menggunakan server DNS yang berbeda, Anda dapat mengubah IP ke DNS itu juga.

dorong "DHCP-option DNS 208.67.222.222 "Push" DHCP-Option DNS 208.67.220.220 "

Siapkan pengguna OpenVPN

OpenVPN berjalan sebagai root secara default. Itu ide yang sangat buruk. Jika OpenVPN dikompromikan, seluruh sistem kacau. Ada beberapa baris berkomentar untuk menjalankan OpenVPN sebagai "tidak ada," tetapi "tidak ada" biasanya menjalankan layanan lain juga. Jika Anda tidak ingin OpenVPN memiliki akses ke apa pun kecuali OpenVPN, Anda perlu menjalankannya sebagai penggunanya sendiri.

Buat pengguna sistem untuk OpenVPN untuk dijalankan sebagai.

# adduser --system --shell/usr/sbin/nologin ---no-create-home openvpn

Kemudian, Anda dapat mengedit file konfigurasi dengan membongkar baris yang menjalankan OpenVPN sebagai "tidak ada," dan menggantinya dengan nama pengguna yang baru saja Anda buat.

User OpenVPN Group Nogroup

Kirim Log ke NULL

Ada dua opsi dalam hal log, dan mereka berdua memiliki kelebihan. Anda dapat mencatat semuanya seperti biasa dan memiliki log untuk diulang kembali di kemudian hari, atau Anda bisa paranoid dan log ke /dev/null.

Dengan mencatat /dev/null, Anda menghapus catatan klien apa pun yang terhubung ke VPN dan ke mana mereka pergi. Meskipun Anda mengontrol VPN Anda, Anda mungkin ingin menempuh rute ini jika Anda mencoba untuk lebih berpikiran privasi.

Jika Anda ingin menghancurkan log Anda, temukan status, catatan, Dan Log-Inpend variabel dan arahkan semuanya /dev/null. Itu harus terlihat mirip dengan contoh di bawah ini.

Status /Dev /Null… Log /Dev /Null Log-Append /Dev /Null

Itu bagian terakhir dari konfigurasi. Simpan, dan bersiaplah untuk menjalankan server Anda.

Jalankan server Anda

Sebenarnya ada dua layanan yang Anda butuhkan untuk mulai memutar OpenVPN di Debian Stretch. Mulailah mereka berdua dengan SystemD.

# Systemctl Mulai OpenVPN # SystemCTL Mulai OpenVPN@Server

Verifikasi bahwa mereka berjalan dengan benar.

# Systemctl Status OpenVPN*.melayani

Memungkinkan mereka berdua berjalan saat startup.

# Systemctl Aktifkan OpenVPN # SystemCTL Aktifkan OpenVPN@Server

Anda sekarang memiliki server VPN yang berjalan di debian stretch!

Apa berikutnya

Anda disini. Anda telah melakukannya! Debian sekarang menjalankan OpenVPN di belakang firewall yang aman, dan siap untuk klien untuk terhubung.

Di bagian berikutnya, Anda akan mengatur klien pertama Anda dan menghubungkannya ke server Anda.

Klien OpenVPN

Konfigurasi dan OpenVPN Klien untuk terhubung ke server OpenVPN yang baru dikonfigurasi.

Ini adalah bagian keempat dan terakhir dalam mengonfigurasi server OpenVPN di debian stretch.

Sekarang server Anda sedang berjalan, Anda dapat mengatur klien untuk terhubung ke sana. Klien itu dapat berupa perangkat apa pun yang mendukung OpenVPN, yang hampir semuanya.

Ada sesuatu yang perlu Anda lakukan di server terlebih dahulu untuk berangkat ke klien, tetapi setelah itu, ini semua tentang mengatur koneksi itu.

Buat kunci klien

Mulailah dengan membuat satu set kunci klien. Prosesnya hampir identik dengan yang Anda gunakan untuk membuat kunci server.

CD ke dalam direktori Otoritas Sertifikat, atur sumber dari file Variabel dan bangun kunci.

# CD/etc/OpenVPN/Sumber # ./vars # ./Build-Key FirstClient

Anda dapat memberi nama kunci klien apa pun yang Anda pilih. Sekali lagi, skrip akan mengajukan serangkaian pertanyaan kepada Anda. Default harus baik untuk semuanya.

File konfigurasi klien

OpenVPN memberikan contoh konfigurasi klien selain yang server. Kenten direktori baru untuk konfigurasi klien Anda dan salin contohnya.

# mkdir/etc/openvpn/klien # cp/usr/share/doc/openvpn/contoh/sampel-config-files/klien.conf/etc/openvpn/klien/klien.ovpn

Buka file di editor teks pilihan Anda.

Host jarak jauh

Temukan garis dengan terpencil variabel. Setel dengan IP server Anda.

Remote 192.168.1.5 1194

Menjadi siapa pun

Tidak ada pelatihan dengan para pria tanpa wajah yang dibutuhkan. Temukan saja unkromment baris di bawah ini.

Pengguna Tidak Ada Kelompok Nogroup

Siapkan Kunci Anda

Anda harus memberi tahu konfigurasi klien di mana menemukan kunci yang dibutuhkan juga. Temukan baris berikut dan edit untuk mencocokkan apa yang telah Anda atur.

CA CA.CRT Cert FirstClient.CRT Key FirstClient.kunci

Pastikan untuk menggunakan nama sebenarnya dari sertifikat dan kunci klien. Jalannya baik -baik saja. Anda akan meletakkan semuanya di direktori yang sama.

Temukan dan Batalkan Komentari Garis untuk HMAC.

tls-auth ta.Kunci 1

Tentukan enkripsi

Klien perlu tahu enkripsi apa yang digunakan server. Sama seperti server, beberapa baris ini perlu ditambahkan.

Temukan sandi variabel. Itu berkomentar. Unkomment dan tambahkan sandi yang Anda gunakan di server.

Cipher AES-256-CBC

Tambahkan pencernaan otentikasi dan pembatasan sandi di akhir konfigurasi klien.

# Otentikasi pencernaan auth sha512 # pembatasan cipher tls-cipher tls-dhe-rsa-with-aes-256-gcm-sha384: tls-dhe-rsa-with-aes-128-gcm-sha256: tls-dhe-rsa-with -Aes-256-cbc-sha: tls-dhe-rsa-with-camellia-256-cbc-sha: tls-dhe-rsa-with-aes-128-cbc-sha: tls-dhe-rsa-with-camellia -128-cbc-sha

Simpan konfigurasi dan keluar Anda.

Kirim klien tarball

Anda harus mengemas konfigurasi dan kunci klien Anda dalam tarball dan mengirimkannya ke klien. Muat semuanya menjadi satu tarball untuk menyederhanakan hal -hal di ujung klien.

# tar cjf/etc/openvpn/klien/firstclient.ter.xz -c/etc/openvpn/sertifikat/tombol CA.CRT FirstClient.CRT FirstClient.kunci ta.kunci -c/etc/openvpn/klien/klien.ovpn

Sekarang, Anda dapat mentransfer tarball itu ke klien Anda namun Anda memilih.

Menghubung

Dengan asumsi bahwa klien Anda adalah distribusi Debian, proses koneksi sangat sederhana. Instal OpenVPN seperti yang Anda lakukan di server.

# App Instal OpenVPN

Ekstrak tarball Anda ke /etc/openvpn direktori yang dibuat instalasi.

# CD/etc/openvpn # tar xjf/path/to/firstclient.ter.xz

Anda mungkin perlu mengganti nama klien.ovpn ke OpenVPN.conf. Anda akan mendapatkan kesalahan saat startup jika Anda melakukannya.

Mulai dan Aktifkan OpenVPN dengan SystemD.

# SystemCTL Mulai OpenVPN # SystemCTL Aktifkan OpenVPN

Kesimpulan

Anda memiliki server VPN yang berfungsi dan klien yang terhubung! Anda dapat mengikuti prosedur yang sama yang dirinci dalam panduan ini untuk klien Anda yang lain juga. Pastikan untuk membuat kunci terpisah untuk masing -masing. Anda dapat menggunakan file konfigurasi yang sama.

Anda juga mungkin ingin memastikan bahwa semuanya berfungsi dengan baik. Buka tes kebocoran DNS untuk memastikan bahwa IP Anda menambal server, dan Anda tidak menggunakan DNS IPS Anda.

Tutorial Linux Terkait:

  • Dasar Ubuntu 22.04 Pengaturan Koneksi Klien/Server OpenVPN
  • Cara Mengatur Server OpenVPN di Ubuntu 20.04
  • Hal -hal yang harus diinstal pada ubuntu 20.04
  • Hal -hal yang harus dilakukan setelah menginstal ubuntu 20.04 FOSSA FOSSA Linux
  • Unduh Linux
  • Instal Arch Linux di VMware Workstation
  • Distro linux terbaik untuk pengembang
  • Perintah Linux: 20 perintah terpenting teratas yang Anda butuhkan untuk…
  • Cara membuat VPN di Ubuntu 20.04 Menggunakan Wireguard
  • Pengantar Otomatisasi Linux, Alat dan Teknik