Jak nastavit Linux VPN server z Windows klienta

VPN je důležitá pro bezpečné připojení k prostředkům serveru přes veřejný internet k jeho soukromé síti nebo síti za bránou firewall a propojení více soukromých sítí napříč pobočkami společnosti.


V tomto tutoriálu jsme v Centos 7 nastavili OpenVPN a nakonfigurovali připojení VPN s klientem Windows.

Zvláštní poznámka: Hostitelské recenze hostingu vám umožňují konzultovat tisíce uživatelů před zakoupením hostovacího plánu. Pokud chcete zakoupit plán CentOS 7 VPS, podívejte se na recenze hostingu VPS nebo recenze hostování Linuxu.

Instalace balíčků:

OpenVPN: Open source SSL VPN řešení

EPEL Repo: OpenVPN je k dispozici v Epel Repo a není k dispozici ve výchozím repozitáři Centos

Easy-RSA: Používá se pro vytváření a generování klíčů a certifikátů v připojení vpn.

$ sudo yum install openvpn epel-release easy-rsa

Snímek obrazovky instalace balíčků

Připravte Easy-RSA pro generování klíčů a certifikátů

Vytvořte adresář pro uložení klíčů a certifikátů

$ sudo mkdir -p / etc / openvpn / easy-rsa / keys

Zkopírujte skripty easy-rsa do adresáře openvpn easy-rsa

$ sudo cp -rf /usr/share/easy-rsa/3.0.3/* / etc / openvpn / easy-rsa /

Zvláštní poznámka: V tomto případě používáme easy-rsa v3, což je nejnovější verze v době přípravy tohoto tutoriálu

Změňte vlastnictví zařízení easy-rsa na uživatele bez oprávnění root.

$ sudo chown -R linuxuser / etc / openvpn / easy-rsa /

Nastavte nový PKI spuštěním skriptu init-pki

$ cd / etc / openvpn / easy-rsa
$ ./easyrsa init-pki

Nastavte nový PKI spuštěním screenshotu skriptu init-pki

Zvláštní poznámka: pki dir je nyní / etc / opnevpn / easy-rsa / pki

Sestavení certifikační autority

$. / easyrsa build-ca nopass

Možnost nopass umožňuje povolení podpisů certifikátů bez zadání hesla. U kritických aplikací, které vyžadují vysokou úroveň zabezpečení, se doporučuje odebrat možnost nopass.

Build Certification Authority (nopass) - snímek obrazovky

Zvláštní poznámka: Soubor certifikátu je nyní na /etc/openvpn/easy-rsa/pki/ca.crt

Generujte klíče a certifikáty serveru a podepisujte jejich požadavky

$ ./easyrsa gen-req centos7-hostadvice nopass

Příkazová struktura

./ easyrsa gen-req UNIQUE_SERVER_SHORT_NAME nopass

Poznámka: Klíče serveru jsou obvykle nešifrované pomocí "nopass" argument. Důvodem je pouze to, že servery se obvykle spouštějí bez zadání hesla. To vytváří nešifrované klíč, proto pečlivě chráňte přístup a oprávnění k souborům.

./easyrsa gen-req UNIQUE_SERVER_SHORT_NAME nopass screenshot

Zvláštní poznámka: Soubory serveru Keypair a žádosti o certifikát jsou nyní na
req: /etc/openvpn/easy-rsa/pki/reqs/centos7-hostadvice.req
key: /etc/openvpn/easy-rsa/pki/private/centos7-hostadvice.key

Importujte žádost o certifikát serveru do CA

Na CA importujte soubor požadavku entity pomocí "krátké jméno", v tomto případě „c7ha“. Tím se pouze zkopíruje soubor žádosti do požadavků / pod adresářem PKI, aby byl připraven na kontrolu a podepsání.

$ ./easyrsa import-req pki / reqs / centos7-hostadvice.req c7ha

Příkazová struktura

$ ./easyrsa import-req /path/to/received.req UNIQUE_SHORT_FILE_NAME

Importujte žádost o certifikát serveru do snímku CA.

Zkontrolujte a podepište žádost o server

Zkontrolujte žádost o podpis a potvrďte, že podrobnosti jsou zadány

$ ./easyrsa show-req c7ha

Příkazová struktura:

$ ./easyrsa show-req UNIQUE_SHORT_FILE_NAME

Zkontrolujte a podepište snímek žádosti serveru

Podepsat žádost:

$ ./easyrsa sign-req server c7ha

Příkazová struktura

Server $ ./easyrsa sign-req UNIQUE_SHORT_FILE_NAME
Zvláštní poznámka: Podepsaná žádost o certifikát je nyní k dispozici na adrese /etc/openvpn/easy-rsa/pki/issued/c7ha.crt

Generujte klientské klíče a certifikáty a podepisujte jejich požadavky

$ ./easyrsa gen-req win-client0

Příkazová struktura

./ easyrsa gen-req UNIQUE_CLIENT_SHORT_NAME

Doporučujeme vytvořit šifrované soukromé klíče tak, že za název vynecháte další možnost nopass. Možnost nopass by měla být zahrnuta, pouze pokud je vyžadováno automatické spuštění VPN. Nešifrované soukromé klíče může využít kdokoli, kdo získá kopii souboru. Šifrované klíče nabízejí silnější ochranu, ale při prvním použití budou vyžadovat přístupové heslo.

Vytvářejte klientské klíče a certifikáty a podepisujte jejich žádosti screenshot

Zvláštní poznámka: Soubory serveru Keypair a žádosti o certifikát jsou nyní na
req: /etc/openvpn/easy-rsa/pki/reqs/win-client0.req
key: /etc/openvpn/easy-rsa/pki/private/win-client0.key

Importujte žádost o certifikát serveru do CA

Na CA importujte soubor požadavku entity pomocí "krátké jméno", v tomto případě „w7c“. Tím se pouze zkopíruje soubor žádosti do požadavků / pod adresářem PKI, aby byl připraven na kontrolu a podepsání.

$ ./easyrsa import-req pki / reqs / win-client0.req w7c

Příkazová struktura

$ ./easyrsa import-req /path/to/received.req UNIQUE_SHORT_FILE_NAME

Importujte žádost o certifikát serveru do snímku CA.

Zkontrolujte a podepište žádost klienta

Zkontrolujte žádost o podpis a potvrďte, že podrobnosti jsou zadány

$ ./easyrsa show-req w7c

Příkazová struktura:

./ easyrsa show-req UNIQUE_SHORT_FILE_NAME

Zkontrolujte a podepište snímek žádosti klienta

Podepsat žádost:

./ easyrsa sign-req klient w7c

Příkazová struktura

./ easyrsa sign-req klient UNIQUE_SHORT_FILE_NAME

podepsat žádost klienta - snímek obrazovky

Zvláštní poznámka: Podepsaná žádost o certifikát je nyní k dispozici na adrese /etc/openvpn/easy-rsa/pki/issued/w7c.crt

Vytvořte soubor pro výměnu klíčů Diffie-Hellman (DH)

Na serveru OpenVPN PKI jsou parametry DH vyžadovány během handshake TLS s připojujícími se klienty.

$ ./easyrsa gen-dh

Vygenerujte snímek obrazovky pro výměnu klíčů Diffie-Hellman (DH) Vygenerovat snímek obrazovky pro výměnu klíčů Diffie-Hellman (DH) - část 2

Zvláštní poznámka: Výměnný soubor dh je nyní umístěn na adrese /etc/openvpn/easy-rsa/pki/dh.pem

Zkopírujte konfigurační soubor openssl do pojmenovaného souboru bez verze

$ cp openssl-1.0.cnf openssl.cnf

Důvod: Chcete-li zabránit tomu, aby ssl nedokázal načíst konfiguraci kvůli neschopnosti zjistit jeho verzi

Vygenerujte statický šifrovací klíč pro autentizaci TLS

$ sudo openvpn –genkey –secret /etc/openvpn/hostadvicevpn.tlsauth

Konfigurace openvpn

Zkopírujte konfigurační soubor server.conf – openvpn do / etc / openvpn

$ sudo cp /usr/share/doc/openvpn-2.4.5/sample/sample-config-files/server.conf / etc / openvpn /

Upravte soubor server.conf

$ sudo vim /etc/openvpn/server.conf

Poté odkomentujte a upravte následující řádky

ca easy-rsa / pki / ca.crt
cert easy-rsa / pki / vydal / c7ha.crt
key easy-rsa / pki / private / centos7-hostadvice.key # Tento soubor by měl být utajen
dh easy-rsa / pki / dh.pem
topologie podsítě
server 10.128.0.0 255.255.255.0 # zadejte síťovou adresu pro soukromou síť vašeho serveru
tlačit "dhcp-volba DNS 8.8.8.8"
tlačit "dhcp-volba DNS 8.8.4.4"
tls-crypt hostadvicevpn.tlsauth
uživatel nikdo
skupina nikdo
log-append openvpn.log

Konfigurace Firewallu a směrování

Zkontrolujte aktivní zóny brány firewall na serveru pomocí příkazu:

$ sudo firewall-cmd –get-active-zones

Přidejte k firewallu openpvn, port 1194 (pro připojení klienta)

$ sudo firewall-cmd – permanentní –zone = důvěryhodný –add-service = openvpn
$ sudo firewall-cmd – stálý –zone = důvěryhodný –add-port = 1194 / udp

Přidejte maškarádu pro povolení směrování směrování do podsítě openvpn

$ sudo firewall-cmd – permanentní –zone = důvěryhodný – add-maškaráda
$ PORTIN = $ (ip trasa získává 8.8.8.8 | awk ‘NR == 1 {print $ (NF-2)}’)
$ firewall-cmd – stálý – přímý – průchod ipv4 -t nat -A POSTROUTING -s 10.128.0.0/24 -o $ PORTIN -j MASQUERADE

Restartujte firewalld, aby se změny projevily

$ sudo firewall-cmd – načíst

Povolte přeposílání ip pro povolení veškerého přenosu z klienta na IP adresu serveru, protože IP adresa klienta zůstává skrytá.

$ sudo vim /etc/sysctl.conf

Přidejte řádek:

net.ipv4.ip_forward = 1

Poté soubor uložte

Konfigurace snímku obrazovky Firewalld a Routing

Poté restartujte síťovou službu

$ sudo systemctl restartujte síť

Spusťte a povolte službu openvpn

$ sudo systemctl –f povolit openvpn @ server
$ sudo systemctl start openvpn @ server

Potvrďte běh openvpn

$ sudo systemctl status openvpn @ server

Nakonfigurujte klienta Windows pro připojení vpn

Stáhněte si openvpn klienta pro Windows z https://openvpn.net/index.php/open-source/downloads.html

Nakonfigurujte klienta Windows pro připojení vpn

Pokud neexistuje, vytvořte soubor C: \ Program Files \ OpenVPN \ config \ key.txt.

Jděte na Start, potom klikněte pravým tlačítkem na „Generovat statický OpenVPN klíč“ > Spustit jako administrátor

start menu - screenshot

Klíče jsou generovány a uloženy v C: \ Program Files \ OpenVPN \ config \ key.txt

Klíče jsou generovány a ukládány v C: \ Program Files \ OpenVPN \ config \ key.txt (screenshot)

Otevřete soubor, odkomentujte a změňte následující parametry:

dálkový
port 1194

Vytvořte C: \ Program Files \ OpenVPN \ log \ client.log, pokud neexistuje.

Přejít na Start > Všechny programy > OpenVPN > OpenVPN GUI, klikněte pravým tlačítkem a vyberte „Spustit jako správce“

Start menu screenshot OpenVPN GUI, Utilities screenshot

Chcete upgradovat svůj hostingový účet pro Linux? Najděte nejlepší hostovací služby Linux, stejně jako uživatelské a odborné recenze na HostAdvice.

Podívejte se na top 3 Linux hostingové služby

FastComet

Vyvolávací cena:
2,95 $


Spolehlivost
9.7


Ceny
9.5


Uživatelsky přívětivý
9.7


Podpěra, podpora
9.7


Funkce
9.6

Přečtěte si recenze

Navštivte FastComet

Hostinger

Vyvolávací cena:
0,99 $


Spolehlivost
9.3


Ceny
9.3


Uživatelsky přívětivý
9.4


Podpěra, podpora
9.4


Funkce
9.2

Přečtěte si recenze

Navštivte Hostinger

ChemiCloud

Vyvolávací cena:
2,76 $


Spolehlivost
10


Ceny
9.9


Uživatelsky přívětivý
9.9


Podpěra, podpora
10


Funkce
9.9

Přečtěte si recenze

Navštivte ChemiCloud

Související články s postupy

  • Jak nastavit SSH na Ubuntu 16.04 VPS nebo dedikovaném serveru
    středně pokročilí
  • Jak nainstalovat a nakonfigurovat Linux Malware Detect on CentOS 7
    expert
  • Jak nastavit SSH na CentOS 7 VPS od klienta Windows
    středně pokročilí
  • Jak nastavit SSH pro Ubuntu 16.04 VPS z klienta Linux
    nováček
  • Jak nastavit server VSFTPD na CentOS 7 VPS nebo dedikovaném serveru
    středně pokročilí
Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map