Sådan konfigureres en Linux VPN-server fra en Windows-klient

VPN er vigtig for sikker forbindelse til serverens ressourcer over et offentligt internet til dets private netværk eller netværk bag en firewall og sammenkobling af flere private netværk på tværs af virksomhedsgrene.


I denne tutorial indstiller vi OpenVPN i Centos 7 og konfigurerer VPN-forbindelse med Windows-klient.

Særlig note: HostAdvices hosting-anmeldelser giver dig mulighed for at konsultere tusinder af brugere, før du køber en hostingplan. Hvis du ønsker at købe en CentOS 7 VPS-plan, skal du konsultere VPS-hostinganmeldelser eller Linux Hosting-anmeldelser.

Installation af pakker:

OpenVPN: Open source SSL VPN-løsning

EPEL Repo: OpenVPN er tilgængeligt i Epel Repo og er ikke tilgængeligt i standard Centos Repository

Easy-RSA: Bruges til oprettelse og generering af nøgler og certifikater i vpn-forbindelsen.

$ sudo yum installer openvpn epel-release let-rsa

Installation af skærmbilleder af pakker

Forbered Easy-RSA til generering af nøgler og certifikater

Opret et bibliotek for at gemme nøgler og certifikater

$ sudo mkdir -p / etc / openvpn / easy-rsa / nøgler

Kopier let-rsa-scripts til openvpn easy-rsa-biblioteket

$ sudo cp -rf /usr/share/easy-rsa/3.0.3/* / etc / openvpn / easy-rsa /

Særlig note: I dette tilfælde bruger vi easy-rsa v3, som er den seneste version på tidspunktet for udarbejdelsen af ​​denne tutorial

Skift ejerskab af easy-rsa til ikke-root-bruger.

$ sudo chown -R linuxuser / etc / openvpn / easy-rsa /

Opret en ny PKI ved at køre init-pki-scriptet

$ cd / etc / openvpn / easy-rsa
$ ./easyrsa init-pki

Opret en ny PKI ved at køre init-pki script-skærmbillede

Speciel note: Pki dir er nu / etc / opnevpn / easy-rsa / pki

Byg certifikatmyndighed

$. / easyrsa build-ca nopass

Nopass-indstillingen er at aktivere signering af certifikater uden at indtaste adgangskode. For kritiske applikationer, der kræver et højt sikkerhedsniveau, anbefales det at fjerne nopass-indstillingen.

Build Certificate Authority (nopass) - skærmbillede

Særlig note: Certifikatfil er nu på /etc/openvpn/easy-rsa/pki/ca.crt

Generer servernøgler og certifikater, og underskriv deres anmodninger

$ ./easyrsa gen-req centos7-hostadvice nopass

Kommandostruktur

./ easyrsa gen-req UNIQUE_SERVER_SHORT_NAME nopass

Bemærk: Normalt er servertasterne ikke krypterede ved hjælp af "NoPass" argument. Dette skyldes udelukkende, at serverne normalt starter uden indtastning af adgangskode. Dette genererer en ukrypteret nøgle, så beskyt dens adgang og filtilladelser omhyggeligt.

./easyrsa gen-req UNIQUE_SERVER_SHORT_NAME nopass skærmbillede

Særlig note: Servertypepar og filer med certifikatanmodning er nu kl
req: /etc/openvpn/easy-rsa/pki/reqs/centos7-hostadvice.req
nøgle: /etc/openvpn/easy-rsa/pki/private/centos7-hostadvice.key

Importer anmodning om servercertifikat til CA

I CA importerer du enhedsanmodningsfil ved hjælp af en "kort navn", i dette tilfælde “c7ha”. Dette kopierer bare anmodningsfilen til reqs / under PKI dir for at forberede den til gennemgang og underskrift.

$ ./easyrsa import-req pki / reqs / centos7-hostadvice.req c7ha

Kommandostruktur

$ ./easyrsa import-req /path/to/received.req UNIQUE_SHORT_FILE_NAME

Importer servercertificeringsanmodning til CA-skærmbillede

Gennemgå og underskrive serveranmodningen

Gennemgå anmodningen om tegn for at bekræfte, at detaljerne er, som du havde indtastet

$ ./easyrsa show-req c7ha

Kommandostruktur:

$ ./easyrsa show-req UNIQUE_SHORT_FILE_NAME

Gennemgå og underskrive skærmbillede af serveranmodning

Underskrive anmodningen:

$ ./easyrsa sign-req-server c7ha

Kommandostruktur

$ ./easyrsa sign-req-server UNIQUE_SHORT_FILE_NAME
Særlig note: Den underskrevne certifikatanmodning findes nu på /etc/openvpn/easy-rsa/pki/issued/c7ha.crt

Generer klientnøgler og certifikater og underskriv deres anmodninger

$ ./easyrsa gen-req win-client0

Kommandostruktur

./ easyrsa gen-req UNIQUE_CLIENT_SHORT_NAME

Det anbefales at oprette krypterede private nøgler ved at udelade den ekstra nopass-mulighed efter navnet. Nopass-indstillingen skal kun inkluderes, hvis automatisk VPN-opstart er påkrævet. Ikke-krypterede private nøgler kunne bruges af alle, der får en kopi af filen. Krypterede nøgler tilbyder stærkere beskyttelse, men kræver adgangskoden ved første brug.

Generer klientnøgler og certifikater og underskriv deres skærmbillede af anmodninger

Særlig note: Servertypepar og filer med certifikatanmodning er nu kl
req: /etc/openvpn/easy-rsa/pki/reqs/win-client0.req
nøgle: /etc/openvpn/easy-rsa/pki/private/win-client0.key

Importer anmodning om servercertifikat til CA

I CA importerer du enhedsanmodningsfil ved hjælp af en "kort navn", i dette tilfælde “w7c”. Dette kopierer bare anmodningsfilen til reqs / under PKI dir for at forberede den til gennemgang og underskrift.

$ ./easyrsa import-req pki / reqs / win-client0.req w7c

Kommandostruktur

$ ./easyrsa import-req /path/to/received.req UNIQUE_SHORT_FILE_NAME

Importer servercertificeringsanmodning til CA-skærmbillede

Gennemgå og underskriv klientanmodningen

Gennemgå anmodningen om tegn for at bekræfte, at detaljerne er, som du havde indtastet

$ ./easyrsa show-req w7c

Kommandostruktur:

./ easyrsa show-req UNIQUE_SHORT_FILE_NAME

Gennemgå og underskrive skærmbilledet for klientanmodning

Underskrive anmodningen:

./ easyrsa sign-req-klient w7c

Kommandostruktur

./ easyrsa sign-req-klient UNIQUE_SHORT_FILE_NAME

underskrive klientanmodningen - skærmbillede

Særlig note: Den underskrevne certifikatsanmodning findes nu på /etc/openvpn/easy-rsa/pki/issued/w7c.crt

Generer Diffie-Hellman (DH) nøgleudvekslingsfil

På PKIs OpenVPN-server kræves DH-parametre under TLS-håndtryk med forbindende klienter.

$ ./easyrsa gen-dh

Generer skærmbillede af Diffie-Hellman (DH) -udvekslingsfil Generer skærmbillede af Diffie-Hellman (DH) -udvekslingsfil - del 2

Særlig note: dh-udvekslingsfilen er nu placeret på /etc/openvpn/easy-rsa/pki/dh.pem

Kopier openls-konfigurationsfilen til en version-mindre navngivet fil

$ cp openssl-1.0.cnf openssl.cnf

Årsag: For at forhindre, at ssl ikke indlæser konfigurationen på grund af, at den ikke kan registrere dens version

Generer statisk krypteringsnøgle til TLS-godkendelse

$ sudo openvpn –genkey –secret /etc/openvpn/hostadvicevpn.tlsauth

Konfigurer openvpn

Kopier server.conf – openvpn konfigurationsfil til / etc / openvpn

$ sudo cp /usr/share/doc/openvpn-2.4.5/sample/sample-config-files/server.conf / etc / openvpn /

Rediger filen server.conf

$ sudo vim /etc/openvpn/server.conf

Frakobl derefter og rediger følgende linjer

ca let-rsa / pki / ca.crt
cert let-rsa / pki / udstedt / c7ha.crt
key easy-rsa / pki / private / centos7-hostadvice.key # Denne fil skal holdes hemmelig
dh let-rsa / pki / dh.pem
topologi subnet
server 10.128.0.0 255.255.255.0 # indtast netværksadressen til din servers private netværk
skubbe "dhcp-option DNS 8.8.8.8"
skubbe "dhcp-option DNS 8.8.4.4"
tls-crypt hostadvicevpn.tlsauth
bruger ingen
gruppe ingen
log-tilføj openvpn.log

Konfigurer firewall og routing

Kontroller de aktive firewallzoner på din server ved hjælp af kommandoen:

$ sudo firewall-cmd –get-active-zoner

Tilføj openpvn, port 1194 (til klientforbindelse) til firewalld

$ sudo firewall-cmd –permanent –zone = betroet – add-service = openvpn
$ sudo firewall-cmd – permanent – zone = betroet – add-port = 1194 / udp

Tilføj maskerade for at aktivere videresend routing til openvpn-undernettet

$ sudo firewall-cmd – permanent – zone = betroet – tilføj maskerade
$ PORTIN = $ (ip-rute få 8.8.8.8 | awk ‘NR == 1 {print $ (NF-2)}’)
$ firewall-cmd –permanent –direkt –pas gennemgående ipv4 -t nat -A POSTROUTING -s 10.128.0.0/24 -o $ PORTIN -j MASQUERADE

Genstart firewall for at gennemføre ændringerne

$ sudo firewall-cmd – genindlæst

Aktivér ip-videresendelse for at tillade al trafik fra klienten til serverens ip-adresse, da klientens ip-adresse forbliver skjult.

$ sudo vim /etc/sysctl.conf

Tilføj linjen:

net.ipv4.ip_forward = 1

Gem derefter filen

Konfigurer skærmbillede af firewall og routing

Genstart derefter netværkstjenesten

$ sudo systemctl genstart netværk

Start og aktiver openvpn-tjeneste

$ sudo systemctl –f aktivere openvpn @ server
$ sudo systemctl start openvpn @ server

Bekræft, at openvpn kører

$ sudo systemctl status openvpn @ server

Konfigurer Windows-klient til vpn-forbindelse

Download openvpn-klient til windows fra https://openvpn.net/index.php/open-source/downloads.html

Konfigurer Windows-klient til vpn-forbindelse

Opret C: \ Program Files \ OpenVPN \ config \ key.txt, hvis det ikke findes.

Gå til Start, og højreklik derefter på “Generer en statisk OpenVPN-nøgle” > Kør som administrator

startmenu - skærmbillede

Tasterne genereres og gemmes på C: \ Program Files \ OpenVPN \ config \ key.txt

Tasterne genereres og gemmes på C: \ Program Files \ OpenVPN \ config \ key.txt (skærmbillede)

Åbn filen, frakomprimere og ændre følgende parametre:

fjern
havn 1194

Opret C: \ Program Files \ OpenVPN \ log \ client.log, hvis det ikke findes.

Gå til Start > Alle programmer > OpenVPN > OpenVPN GUI, højreklik og vælg “Kør som administrator”

startmenuskærmbillede OpenVPN GUI, Hjælpeprogrammets skærmbillede

Leder du efter at opgradere din Linux-hosting-konto? Find de bedste Linux-hostingtjenester, samt bruger- og ekspertanmeldelser på HostAdvice.

Tjek de top 3 Linux-hostingtjenester

FastComet

Startpris:
$ 2,95


Pålidelighed
9.7


Prisfastsættelse
9.5


Brugervenlig
9.7


Support
9.7


Funktioner
9.6

Læs anmeldelser

Besøg FastComet

Hostinger

Startpris:
$ 0.99


Pålidelighed
9.3


Prisfastsættelse
9.3


Brugervenlig
9.4


Support
9.4


Funktioner
9.2

Læs anmeldelser

Besøg Hostinger

ChemiCloud

Startpris:
$ 2,76


Pålidelighed
10


Prisfastsættelse
9.9


Brugervenlig
9.9


Support
10


Funktioner
9.9

Læs anmeldelser

Besøg ChemiCloud

Relaterede artikler om, hvordan man gør

  • Sådan konfigureres SSH på en Ubuntu 16.04 VPS eller en dedikeret server
    mellemprodukt
  • Sådan installeres og konfigureres Linux Malware Detect på CentOS 7
    ekspert
  • Sådan konfigureres SSH på en CentOS 7 VPS fra en Windows-klient
    mellemprodukt
  • Sådan konfigureres SSH til en Ubuntu 16.04 VPS fra en Linux-klient
    nybegynder
  • Sådan konfigureres en VSFTPD-server på en CentOS 7 VPS eller en dedikeret server
    mellemprodukt
Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map