Sådan installeres og konfigureres OpenVPN på Debian

Sådan installeres og konfigureres OpenVPN på Debian | Linux / Unix 2024
Sådan installeres og konfigureres OpenVPN på Debian | Linux / Unix 2024

OpenVPN er utvivlsomt den bedste måde til sikkert at oprette forbindelse til et netværk via internettet, OpenVPN er en open source VPN -ressource, der giver os som brugere mulighed for at maskere vores browsing for at undgå at blive ofre på netværket.

Dette er meget vigtige aspekter på sikkerhedsniveau, som vi skal tage højde for, og denne gang skal vi analysere processen med OpenVPN -konfiguration i et miljø Debian 8.

BemærkInden installationsprocessen påbegyndes, er det vigtigt at opfylde visse krav, disse er:

  • Rodbruger.
  • Dråbe Debian 8, vi har i øjeblikket Debian 8.1

1. Sådan installeres OpenVPN


Det første skridt, vi vil tage, er opdater alle pakker i miljøet ved hjælp af kommando: 
 apt-get opdatering

Når pakkerne er downloadet og opdateret lad os installere OpenVPN ved hjælp af easy-RSA for krypteringsproblemer. Vi kommer til at udføre følgende kommando: 

 apt-get installer openvpn easy-rsa

Derefter vi skal konfigurere vores OpenVPN, er OpenVPN -konfigurationsfilerne gemt i følgende sti: / etc / openvpn, og vi skal tilføje disse til vores konfiguration, vi kommer til at bruge følgende kommando: 

 gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz> /etc/openvpn/server.conf
Når vi har udpakket disse filer på den valgte sti, åbner vi dem ved hjælp af nano -editoren, vi udfører følgende kommando: 
 nano /etc/openvpn/server.conf
Vi ser følgende vindue:

Når vi er der vi skal foretage nogle ændringer af filen, disse ændringer er dybest set:

  • Sikring af serveren med kryptering på højt niveau
  • Tillad webtrafik til destinationen
  • Undgå, at DNS -anmodninger filtreres uden for VPN -forbindelsen
  • Installationstilladelser

Vi skal dobbelt længden af ​​RSA -nøglen som bruges, når nøglerne til både serveren og klienten genereres, til dette vil vi søge i filen efter følgende værdier, og vi vil ændre værdien dh1024.pem med værdien dh2048.pem: 

 # Diffie hellman parametre. # Generer din egen med: # openssl dhparam -out dh1024.pem 1024 # Erstat 2048 for 1024, hvis du bruger # 2048 bit nøgler. dh dh1024.pem

Lad os nu Sørg for, at trafikken omdirigeres korrekt til destinationen, lad os ikke kommentere "redirect-gateway def1 bypass-dhcp" ved at fjerne; i begyndelsen af ​​den. i server.conf-filen: 

 # Hvis det er aktiveret, vil dette direktiv konfigurere # alle klienter til at omdirigere deres standard # netværksgateway via VPN, hvilket får # al IP -trafik såsom webbrowsing og # og DNS -opslag til at gå gennem VPN # (OpenVPN -servermaskinen skal muligvis NAT # eller bro TUN / TAP -grænsefladen til internettet # i ***** for at dette fungerer korrekt).; skub "redirect-gateway def1 bypass-dhcp"

Det næste trin bliver fortæl serveren at bruge OpenDNS til opløsning af DNS -navne Så længe det er muligt, på denne måde undgår vi, at DNS -anmodninger er uden for VPN -forbindelsen, skal vi lokalisere følgende tekst i vores fil: 

 # Visse Windows-specifikke netværksindstillinger # kan skubbes til klienter, f.eks. DNS # eller WINS-serveradresser. CAVEAT: # http://openvpn.net/faq.html#dhcpcaveats # Adresserne nedenfor refererer til de offentlige # DNS -servere leveret af opendns.com.; skub "dhcp-option DNS 208.67.222.222"; push "dhcp-option DNS 208.67.220.220"
Der skal vi fjerne markeringen af ​​push "dhcp-option DNS 208.67.222.222" og push "dhcp-option DNS 208.67.220.220" kommentarer ved at fjerne; fra begyndelsen.

Endelig vil vi definere tilladelser I den samme fil, som vi arbejder på, placerer vi følgende tekst: 

 # Du kan fjerne dette på # ikke-Windows-systemer.; bruger ingen; gruppe nogroup
Vi fortsætter med at fjerne markeringen ved at fjerne skiltet; fra begyndelsen af ​​teksterne bruger ingen Y gruppe nogroup.

Som vi ved kører OpenVPN som standard som root -bruger, der tillader at redigere enhver parameter, med den sidste ændring vil vi begrænse det til ingen bruger og nogroup -gruppen af ​​sikkerhedsmæssige årsager.
Vi gemmer ændringerne ved hjælp af tastekombinationen:

Ctrl + O.

Og vi forlader redaktøren ved hjælp af:

Ctrl + X

Nu skal vi aktivere videresendelse af pakker til det eksterne netværk, for dette vil vi udføre følgende kommando: 

 ekko 1> / proc / sys / net / ipv4 / ip_forward
Vi skal gøre denne ændring permanent, ikke at vi skal gøre det hver gang vi starter systemet, for at gøre det kontinuerligt kommer vi til at indtaste systcl -filen ved hjælp af nano -editoren, for dette vil vi udføre følgende: 
 nano /etc/sysctl.conf
Følgende vindue vises:

Vi vil finde følgende linje: 

 # Fjern den næste linje for at aktivere videresendelse af pakker til IPv4 # net.ipv4.ip_forward = 1
BemærkHusk, at vi kan bruge editorens søgning ved hjælp af tastekombinationen:

Ctrl + W.

Der vil vi fjerne markeringen af ​​kommentaren net.ipv4.ip_forward = 1 fjernelse af # -symbolet.

Det næste skridt, vi skal tage, er konfigurer UFW. UFW er en firewall -konfiguration til ip -tabeller, derfor vil vi foretage nogle justeringer for at ændre UFW -sikkerheden. Som et første trin skal vi installere UFW -pakkerne ved hjælp af følgende kommando: 

 apt-get install ufw

Når de nødvendige UFW -pakker er blevet downloadet og installeret, vil vi konfigurere UFW til at tillade SSH -forbindelser, for dette vil vi udføre følgende: 

 ufw tillader ssh

I vores tilfælde arbejder vi på port 1194 i UDP, vi skal konfigurere denne port for at kommunikationen skal være tilfredsstillende, vi indtaster følgende: 

 ufw tillader 1194 / udp
BemærkVi kan se portene på vores konsol ved hjælp af kommandoen lsof -iUDP

Dernæst skal vi redigere UFW -konfigurationsfilen for dette, vi indtaster med nano -editoren i følgende sti: 

 nano / etc / default / ufw
Følgende vindue åbnes:

Der vil vi foretage nogle ændringer, vi finder den følgende linje, hvor vi vil ændre DROP til ACCEPT. 

 DEFAULT_FORWARD_POLICY = "DROP"
Næste trin er tilføj nogle regler i UFW for oversættelse af netværksadresserne og den korrekte maskering af IP -adresserne af brugere, der opretter forbindelse. Lad os åbne følgende fil ved hjælp af nano -editoren: 
 nano /etc/ufw/before.rules
Vi vil se, at følgende vindue vises:

Vi vil tilføje følgende tekst: 

 # START OPENVPN -REGLER # NAT -tabelregler * nat: POSTROUTING ACCEPT [0: 0] # Tillad trafik fra OpenVPN -klient til eth0 -A POSTROUTING -s 10.8.0.0/8 -o eth0 -j MASQUERADE COMMIT # END OPENVPN REGLER

Når vi har foretaget disse ændringer, går vi videre til aktiver UFW ved hjælp af følgende kommando: 

 ufw aktivere

Til tjek firewall reglerJeg bruger følgende kommando: 

 ufw status

2. Opret OpenVPN -autoritetscertifikat


Næste trin i vores proces er oprette autoritetscertifikatet til login via OpenVPNLad os huske, at OpenVPN bruger disse certifikater til at kryptere trafikken. OpenVPN understøtter tovejs certificering, det vil sige, at klienten skal godkende serverens certifikat og omvendt.
Vi kommer til at kopiere scripts over easy-RSA ved hjælp af følgende kommando: 
 cp -r / usr / share / easy -rsa / / etc / openvpn
Vi skal opret et bibliotek for at gemme nøglerne, vil vi bruge følgende kommando: 
 mkdir / etc / openvpn / easy-rsa / keys
Næste trin er rediger certifikatparametre, vil vi bruge følgende kommando: 
 nano / etc / openvpn / easy-rsa / vars
Følgende vindue vises:

Vi kommer til at ændre følgende parametre i henhold til vores krav: 

 eksport KEY_COUNTRY = "CO" eksport KEY_PROVINCE = "BO" eksport KEY_CITY = "Bogota" eksport KEY_ORG = "Solvetic" eksport KEY_EMAIL = "[email protected]" eksport KEY_OU = "Solvetic"

I den samme fil vil vi redigere følgende linje: 

 # X509 Emne Felteksport KEY_NAME = "EasyRSA"
Vi skal ændre EasyRSA -værdien til navnet på den server, du ønsker, vil vi bruge navnet Solvetic.

Nu skal vi konfigurere Diffie-Helman parametre ved hjælp af et værktøj, der leveres integreret med OpenSSL, som kaldes dhparam. Vi vil indtaste og udføre følgende kommando: 

 openssl dhparam -out /etc/openvpn/dh2048.pem 2048

Når certifikatet er genereret, gør vi det ændre easy-RSA bibliotek ved hjælp af kommando: 

 cd / etc / openvpn / easy-rsa
Vi skal initialisere PKI, vil vi bruge kommandoen: 
… / Vars

Vi skal ryd de andre taster så de ikke forstyrrer installationen ved hjælp af kommandoen: 

 ./clean-all
Nu skal vi bygge certifikatet ved hjælp af følgende OpenSSL -kommando: 
 ./build-ca

Vi vil kunne se en række spørgsmål, der er relateret til de tidligere indtastede oplysninger, på denne måde er certifikatet blevet genereret. Dernæst skal vi starte vores OpenVPN -server til dette Vi redigerer filen i stien / etc / openvpn / easy-rsa ved hjælp af det tidligere angivne nøglenavn, i vores tilfælde Solvetic. Vi kommer til at udføre følgende kommando: 

 ./build-key-server Solvetic

I nedenstående linjer kan vi lade rummet stå tomt og trykke på Enter: 

 Angiv følgende 'ekstra' attributter, der skal sendes med din certifikatanmodning En udfordringskodeord []: Et valgfrit firmanavn []:
Følgende vindue vises, hvor vi skal indtaste bogstavet y (ja) for at acceptere følgende to spørgsmål: Underskriv certifikatet og anmod om certifikater.

Lad os nu flytte både certifikater og nøgler til / etc / openvpn sti, vil vi udføre følgende kommando: 

 cp /etc/openvpn/easy-rsa/keys/[Solvetic.crt,Solvetic.key,ca.crt}/etc/openvpn
Når denne proces er udført, gør vi det starte OpenVPN -tjenesten ved hjælp af kommando: 
 service openvpn start
Til se status vi vil bruge kommandoen: 
 service oopenvpn -status

Vores næste trin vil være at oprette certifikater og nøgler til de klienter, der ønsker at oprette forbindelse til VPN. Af sikkerhedsmæssige årsager har hver klient, der opretter forbindelse til serveren, sit eget certifikat og sin nøgle, del det aldrig, som standard tillader OpenVPN ikke samtidige forbindelser med samme certifikat og nøgle. Vi skal oprette nøglen til vores klient, hertil indtaster vi følgende kommando: 

 ./build-key Client_Name, i vores eksempel vil vi bruge følgende kommando: ./build-key Tests

Vi udfylder de påkrævede felter, og så gør vi det kopier den genererede nøgle til easy-RSA-biblioteket. 

 cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/easy-rsa/keys/client.ovpn.
Lad os nu download Winscp -værktøjet gratis fra nedenstående link. Dette værktøj giver os mulighed for at oprette forbindelse via SFTP eller FTP til vores Debian -maskine for at kontrollere, at filerne er oprettet korrekt. Når vi har downloadet og eksekveret det, er dette vinduet, som vi kan se:

Der indtaster vi IP -adressen på Debian -maskinen, husk at IP'en kan valideres ved hjælp af ifconfig -kommandoen, vi indtaster legitimationsoplysningerne, og når vi klikker på Connect, kan vi se følgende:

FORSTØRRE

Der kan vi se i højre side de respektive filer for nøglerne og nøglerne. For at få adgang via OpenVPN kommer vi til at downloade værktøjet fra følgende link OpenVPN version 2.3.11. Når vi har downloadet det, skal vi tage højde for at foretage nogle ændringer i værktøjet, den første ting, vi skal gøre, er at kopiere nøglefiler og nøgler på den sti, hvor OpenVPN normalt er installeret: 

 C: \ Program Files \ OpenVPN \ config
Senere opretter vi en fil i notesblok eller teksteditoren, som vi har med følgende oplysninger: 
 client dev tun proto udp remote 192.168.0.12 1194 key client.key cert client.crt ca ca.crt auth-user-pass persist-key persist-tun comp-lzo verb 3
BemærkIP -adressen er vores Debian -maskine og porten, som vi så tidligere, er UDP 1194.
Denne fil skal gemmes med filtypenavnet .ovpn.

3. OpenVPN -klientadgangstest


Lad os køre OPenVPN og dette vil være det miljø, som vi vil befinde os i:

Vi indtaster brugerens legitimationsoplysninger for at oprette forbindelse og klikke på okay og vi kan se følgende

BemærkVi opretter denne forbindelse fra en Windows 7 -computer.

Nu kan vi se i meddelelseslinjen, at forbindelsen har været vellykket, og vi kan se den nye IP -adresse.

Hvis vi højreklikker på værktøjet (ikon i meddelelseslinjen) har vi følgende muligheder:

Herfra kan vi udføre de opgaver, som vi anser for nødvendige. For eksempel ja vi vælger Vis status vi vil se følgende:

4. OpenVPN sikkerhedsværktøjer ']


Der er ingen tvivl om, at Internetsøgning kan føre til sikkerhedsproblemer såsom vira, informationstyveri, spyware osv., af denne grund er der nogle værktøjer, som vi kan implementere for at forbedre sikkerheden på vores maskine, når OpenVPN.

Lad os snakke om Clamav som er et kraftfuldt antivirusprogram, der hjælper os med at bevare kontrollen over inficerede filer eller processer i vores Debian 8.1. Det er open source -software, der giver os mulighed for at opdage trojanere, malware og andre latente trusler på vores computere. Installationsprocessen er meget enkel, derfor udfører vi følgende kommando: 

 Sudo apt-get install clamav

Senere vil vi udføre frisk musling så hele Clamav -databasen opdateres.
For at køre en scanning på maskinen indtaster vi følgende syntaks: 

 Clamscan -inficeret -fjerne -recursive / hjem
Efter et øjeblik vil vi se en oversigt over scanningsopgaven:

Et andet værktøj, vi kan bruge til at forbedre vores sikkerhed, er Privoxy som fungerer som en webproxy og indeholder avancerede funktioner til at beskytte privatlivets fred, styre cookies, kontrollere adgang, fjerne annoncer, blandt andre. For at installere det på vores Debian 8.1 -system vil vi udføre følgende kommando: 

 Sudo apt-get install privoxy

Husk, at hvis vi er som root -brugere, er sudo ikke nødvendigt. Når alle Privoxy -pakkerne er blevet downloadet og installeret, vil vi ændre nogle parametre i dens konfigurationsfil, for dette vil vi udføre følgende kommando: 

 Sudo nano / etc / privoxy / config
Følgende vises:

Der skal vi lokalisere linjen lyt-adresse lokal vært: 8118 og vi skal tilføje 2 parametre, tilføj først # -symbolet i begyndelsen af ​​denne linje og indtast udtrykket lytte-adresse ip_of_nour-maskine nedenfor: 8118, i vores tilfælde er det: 

 lyt-adresse 192.168.0.10:8118.
Når dette er gjort, vil vi genstarte tjenesten ved hjælp af: 
 sudo /etc/init.d/privoxy genstart

Dernæst går vi til den browser, vi har i Debian, og fortsætter med at ændre proxy -parametrene, vi skal bekræfte, at IP’en er den, vi tilføjede, og porten er 8118. I vores eksempel bruger vi IceWeasel, og vi skal indtaste:

  • præferencer
  • Fremskreden
  • Net
  • Forbindelsesopsætning
  • Manuel proxy -konfiguration

Når den er konfigureret, klikker vi på OK. Nu kan vi se hvordan Privoxy hjælper os med sikkerhed:

Der er andre værktøjer, der kan hjælpe os med at forbedre navigationen ved hjælp af vores OpenVPN, vi kan implementere:

DnsmasqDet giver os DNS -tjenester på denne måde, vi bruger kun DNS -cachen.

HAVPMed dette værktøj har vi en proxy med antivirus, det scanner al trafik på jagt efter vira eller en underlig adfærd.

Som vi kan se, er det meget vigtigt at træffe foranstaltninger, der hjælper os med at bevare kontrollen over vores navigation og være meget klar over, at den korrekte funktion af Debian 8.1

Lad os fortsætte med at undersøge alle de store fordele, Debian 8.1 tilbyder os og forbedre vores miljø, da mange af os er administratorer, koordinatorer eller ansvarlige for it -området, og disse tips hjælper os med at klare den daglige hverdag lettere og med muligheden ikke at have kritiske problemer i fremtiden, der kan være en stor hovedpine.

Installer LAMP på Debian 8

wave wave wave wave wave

Populære Indlæg

wave
1
post-title
Sprog i PrestaShop
2
post-title
Aktiver USB -skrivebeskyttelse Windows 10
3
post-title
▷ Se operativsystemet efter CMD eller PowerShell - Windows
4
post-title
Sådan fjernes lyd fra Xiaomi Mi Mix 2 kamera
5
post-title
Kommenter i Microsoft Edge

Anbefalet

wave
- Sponsored Ad -

Redaktørens Valg

wave
- Sponsored Ad -