Kaip nustatyti „Linux“ VPN serverį iš „Windows“ kliento

VPN yra svarbus norint saugiai prisijungti prie serverio išteklių per viešąjį internetą prie jo privataus tinklo ar tinklo už užkardos ir sujungti kelis privačius tinklus per įmonės filialus..


Šiame vadove mes nustatėme „OpenVPN“ programoje „Centos 7“ ir konfigūravome VPN ryšį su „Windows“ klientu.

Speciali pastaba: „HostAdvice“ prieglobos apžvalgos leidžia prieš įsigyjant prieglobos planą pasitarti su tūkstančiais vartotojų. Jei norite įsigyti „CentOS 7 VPS“ planą, pasitarkite su VPS talpinimo apžvalgomis arba „Linux Hosting“ apžvalgomis.

Paketų montavimas:

„OpenVPN“: atvirojo kodo SSL VPN sprendimas

„EPEL Repo“: „OpenVPN“ galima naudoti „Epel Repo“, o numatytojoje „Centos“ saugykloje nėra

„Easy-RSA“: naudojama kuriant ir generuojant raktus ir sertifikatus naudojant „vpn“ ryšį.

Įdiekite „openvpn epel-release“ „rsa“

Paketų diegimo ekrano kopija

Paruoškite „Easy-RSA“ raktų ir sertifikatų generavimui

Norėdami išsaugoti raktus ir sertifikatus, sukurkite katalogą

$ sudo mkdir -p / etc / openvpn / easy-rsa / keys

Nukopijuokite „Easy-rsa“ scenarijus į „openvpn“ „Easy-rsa“ katalogą

$ sudo cp -rf /usr/share/easy-rsa/3.0.3/* / etc / openvpn / easy-rsa /

Speciali pastaba: šiuo atveju mes naudojame lengvą „rsa v3“, kuris yra naujausia šios mokymo programos sudarymo metu

Pakeiskite „easy-rsa“ nuosavybės teisę į ne root vartotoją.

$ sudo chown -R linuxuser / etc / openvpn / easy-rsa /

Nustatykite naują PKI paleisdami scenarijų „init-pki“

$ cd / etc / openvpn / easy-rsa
$ ./easyrsa init-pki

Nustatykite naują PKI paleisdami scenarijaus „init-pki“ ekrano kopiją

Speciali pastaba: pki dir dabar yra / etc / opnevpn / easy-rsa / pki

Sukurti sertifikatų tarnyba

$. / „easyrsa build-ca nopass“

„Nopass“ galimybė yra įgalinti sertifikatų pasirašymą neįvedant slaptažodžio. Esant kritinėms programoms, kurioms reikalingas aukšto lygio saugumas, rekomenduojama pašalinti „nopass“ parinktį.

„Build Certificate Authority“ (nopass) - ekrano kopija

Speciali pastaba: sertifikato failas dabar yra /etc/openvpn/easy-rsa/pki/ca.crt

Generuokite serverio raktus ir sertifikatus ir pasirašykite jų užklausas

$ ./easyrsa gen-req centos7-hostadvice nopasas

Komandos struktūra

./ „easyrsa gen-req UNIQUE_SERVER_SHORT_NAME“ nopas

Pastaba: Paprastai serverio raktai nešifruojami naudojant "nopas" argumentas. Taip yra tik todėl, kad serveriai paprastai įkraunami be jokio slaptažodžio įvedimo. Tai sukuria nešifruotas raktą, todėl atsargiai apsaugokite jo prieigą ir failų teises.

./easyrsa gen-req „UNIQUE_SERVER_SHORT_NAME“ ekrano kopijos ekrano kopija

Speciali pastaba: Server Keypair ir sertifikato užklausų failai yra dabar
Req: /etc/openvpn/easy-rsa/pki/reqs/centos7-hostadvice.req
raktas: /etc/openvpn/easy-rsa/pki/private/centos7-hostadvice.key

Importuokite serverio sertifikato užklausą į CA

Į CA importuokite subjekto užklausos failą naudodami "trumpas vardas", šiuo atveju „c7ha“. Tai tiesiog nukopijuoja užklausos failą į užklausas / po PKI direktoriumi, kad jį būtų galima paruošti peržiūrai ir pasirašymui.

$ ./easyrsa importo-req pki / reqs / centos7-hostadvice.req c7ha

Komandos struktūra

$ ./easyrsa import-req /path/to/receptd.req UNIQUE_SHORT_FILE_NAME

Importuokite serverio sertifikato užklausą į CA ekrano kopiją

Peržiūrėkite ir pasirašykite serverio užklausą

Peržiūrėkite prašymą pasirašyti, kad patvirtintumėte, jog informacija yra tokia, kokią buvote įvedę

$ ./easyrsa show-req c7ha

Komandos struktūra:

$ ./easyrsa „show-req UNIQUE_SHORT_FILE_NAME“

Peržiūrėkite ir pasirašykite serverio užklausos ekrano kopiją

Pasirašykite prašymą:

$ ./easyrsa sign-req serveris c7ha

Komandos struktūra

$ ./easyrsa registracijos serveris UNIQUE_SHORT_FILE_NAME
Speciali pastaba: Pasirašytą sertifikato prašymą dabar rasite /etc/openvpn/easy-rsa/pki/issued/c7ha.crt

Generuokite kliento raktus ir sertifikatus ir pasirašykite jų užklausas

$ ./easyrsa gen-req laimėk klientas0

Komandos struktūra

./ „easyrsa gen-req UNIQUE_CLIENT_SHORT_NAME“

Rekomenduojama sukurti užšifruotus asmeninius raktus, paliekant papildomą nopass variantą po vardo. „Nopass“ parinktis turėtų būti įtraukta tik tuo atveju, jei reikalingas automatizuotas VPN paleidimas. Nenaudotus privačius raktus galėjo naudoti visi, kurie gauna failo kopiją. Užšifruoti raktai suteikia stipresnę apsaugą, tačiau pirmą kartą juos naudojant reikės slaptažodžio.

Generuokite kliento raktus ir sertifikatus ir pasirašykite jų užklausas ekrano kopijoje

Speciali pastaba: Server Keypair ir sertifikato užklausų failai yra dabar
Req: /etc/openvpn/easy-rsa/pki/reqs/win-client0.req
klavišas: /etc/openvpn/easy-rsa/pki/private/win-client0.key

Importuokite serverio sertifikato užklausą į CA

Į CA importuokite subjekto užklausos failą naudodami "trumpas vardas", šiuo atveju „w7c“. Tai tiesiog nukopijuoja užklausos failą į užklausas / po PKI direktoriumi, kad jį būtų galima paruošti peržiūrai ir pasirašymui.

$ ./easyrsa importo-req pki / reqs / win-client0.req w7c

Komandos struktūra

$ ./easyrsa import-req /path/to/receptd.req UNIQUE_SHORT_FILE_NAME

Importuokite serverio sertifikato užklausą į CA ekrano kopiją

Peržiūrėkite ir pasirašykite kliento prašymą

Peržiūrėkite prašymą pasirašyti, kad patvirtintumėte, jog informacija yra tokia, kokią buvote įvedę

$ ./easyrsa „show-req w7c“

Komandos struktūra:

./ „easyrsa show-req UNIQUE_SHORT_FILE_NAME“

Peržiūrėkite ir pasirašykite kliento užklausos ekrano kopiją

Pasirašykite prašymą:

./ „easyrsa sign-req“ klientas w7c

Komandos struktūra

./ „easyrsa sign-req“ klientas UNIQUE_SHORT_FILE_NAME

pasirašyti kliento prašymą - ekrano kopija

Speciali pastaba: Pasirašytą sertifikato prašymą dabar rasite /etc/openvpn/easy-rsa/pki/issued/w7c.crt

Sugeneruoti „Diffie-Hellman“ (DH) raktų mainų failą

PKI „OpenVPN“ serveryje DH parametrai reikalingi atliekant TLS paspaudimą su jungiamaisiais klientais.

$ ./easyrsa gen-dh

Sugeneruokite „Diffie-Hellman“ (DH) raktų mainų failo ekrano kopiją Sugeneruoti „Diffie-Hellman“ (DH) raktų mainų failo ekrano kopiją - 2 dalis

Speciali pastaba: DH mainų failas dabar yra /etc/openvpn/easy-rsa/pki/dh.pem

Nukopijuokite „openssl“ konfigūracijos failą į pavadintą failą be versijos

$ cp openssl-1.0.cnf openssl.cnf

Priežastis: Kad SSL nepavyktų įkelti konfigūracijos dėl to, kad nepavyko aptikti jos versijos

Sukurkite statinį šifravimo raktą TLS autentifikavimui

$ sudo openvpn –genkey –secret /etc/openvpn/hostadvicevpn.tlsauth

Konfigūruokite „openvpn“

Nukopijuokite server.conf – „openvpn“ konfigūracijos failą į / etc / openvpn

$ sudo cp /usr/share/doc/openvpn-2.4.5/sample/sample-config-files/server.conf / etc / openvpn /

Redaguokite failą server.conf

$ sudo vim /etc/openvpn/server.conf

Tada atšaukite ir redaguokite šias eilutes

ca easy-rsa / pki / ca.crt
sertifikatas easy-rsa / pki / išduotas / c7ha.crt
klavišas easy-rsa / pki / private / centos7-hostadvice.key # Šis failas turėtų būti laikomas paslaptyje
dh easy-rsa / pki / dh.pem
topologijos potinklis
serveris 10.128.0.0 255.255.255.0 # įveskite savo privataus serverio tinklo adresą
stumti "„dhcp-option DNS 8.8.8.8“"
stumti "„dhcp-option DNS 8.8.4.4“"
tls-kriptos hostadvicevpn.tlsauth
vartotojas niekas
grupės niekas
Prisijungti-pridėkite openvpn.log

Konfigūruokite užkardą ir maršruto parinkimą

Patikrinkite aktyvias ugniasienės zonas jūsų serveryje naudodamiesi komanda:

$ sudo ugniasienė-cmd – tikslinės-aktyvios zonos

Į ugniasienę pridėkite „openpvn“, prievadą 1194 (kliento prisijungimui)

$ sudo firewall-cmd – nuolatinis –zone = patikimas –add-service = openvpn
$ sudo firewall-cmd – nuolatinis –zone = patikimas –add-port = 1194 / udp

Pridėkite maskaradą, kad įgalintumėte peradresavimo nukreipimą į „openvpn“ potinklį

$ sudo firewall-cmd – nuolatinis –zone = patikimas –add-masquerade
$ PORTIN = $ (ip maršrutas gaunamas 8.8.8.8 | awk ‘NR == 1 {print $ (NF-2)}’)
$ ugniasienė-cmd – nuolatinis – tiesioginis – perėjimas per „ipv4 -t nat“ – PASKIRTIS –s 10.128.0.0/24 –o $ PORTIN –j MASQUERADE

Norėdami įvykdyti pakeitimus, paleiskite užkardą iš naujo

$ sudo užkardos cmd – iš naujo

Įgalinti IP persiuntimą, kad būtų galima leisti srautą iš kliento į serverio IP adresą, nes kliento IP adresas lieka paslėptas.

$ sudo vim /etc/sysctl.conf

Pridėti eilutę:

net.ipv4.ip_forward = 1

Tada išsaugokite failą

Konfigūruokite užkardą ir maršruto parinktį

Tada paleiskite tinklo paslaugą iš naujo

$ sudo systemctl iš naujo paleiskite tinklą

Paleiskite ir įgalinkite „openvpn“ paslaugą

$ sudo systemctl –f įgalina „openvpn @“ serverį
$ sudo systemctl paleiskite openvpn @ serverį

Patvirtinkite, kad veikia „openvpn“

$ sudo systemctl statusas openvpn @ serveris

Konfigūruokite „Windows“ klientą, kad jis galėtų prisijungti

Atsisiųskite „openvpn“ kliento „Windows“ iš https://openvpn.net/index.php/open-source/downloads.html

Konfigūruokite „Windows“ klientą, kad jis galėtų prisijungti

Sukurkite C: \ Program Files \ OpenVPN \ config \ key.txt, jei jo nėra.

Eikite į Pradėti, tada dešiniuoju pelės mygtuku spustelėkite „Sukurti statinį„ OpenVPN raktą ““. > Vykdyti kaip administratorius

pradžios meniu - ekrano kopija

Raktai generuojami ir saugomi C: \ Program Files \ OpenVPN \ config \ key.txt

Raktai generuojami ir saugomi C: \ Program Files \ OpenVPN \ config \ key.txt (ekrano kopija)

Atidarykite failą, atšaukite komentarą ir pakeiskite šiuos parametrus:

Nuotolinis
uostas 1194

Sukurkite C: \ Program Files \ OpenVPN \ log \ client.log, jei jo nėra.

Eikite į Pradėti > Visos programos > „OpenVPN“ > „OpenVPN“ vartotojo sąsaja, dešiniuoju pelės mygtuku spustelėkite ir pasirinkite „Vykdyti kaip administratorių“

pradžios meniu ekrano kopija, „OpenVPN“ vartotojo sąsaja, paslaugų programos ekrano kopija

Norite atnaujinti savo „Linux“ prieglobos sąskaitą? Raskite populiariausias „Linux“ prieglobos paslaugas, taip pat vartotojų ir ekspertų apžvalgas „HostAdvice“.

Peržiūrėkite 3 populiariausias „Linux“ prieglobos paslaugas

„FastComet“

Pradinė kaina:
2,95 USD


Patikimumas
9.7


Kainodara
9.5


Draugiškas vartotojui
9.7


Palaikymas
9.7


funkcijos
9.6

Skaitykite apžvalgas

Apsilankykite „FastComet“

„Hostinger“

Pradinė kaina:
0,99 USD


Patikimumas
9.3


Kainodara
9.3


Draugiškas vartotojui
9.4


Palaikymas
9.4


funkcijos
9.2

Skaitykite apžvalgas

Apsilankykite „Hostinger“

„ChemiCloud“

Pradinė kaina:
2,76 USD


Patikimumas
10


Kainodara
9.9


Draugiškas vartotojui
9.9


Palaikymas
10


funkcijos
9.9

Skaitykite apžvalgas

Apsilankykite „ChemiCloud“

Susiję patarimų straipsniai

  • Kaip nustatyti SSH Ubuntu 16.04 VPS arba skirtame serveryje
    tarpinis
  • Kaip įdiegti ir sukonfigūruoti „Linux“ kenkėjiškų programų aptikimą „CentOS 7“
    ekspertas
  • Kaip nustatyti SSH naudojant „Windows Client“ „CentOS 7 VPS“
    tarpinis
  • Kaip nustatyti SSH Ubuntu 16.04 VPS iš Linux kliento
    naujokas
  • Kaip nustatyti VSFTPD serverį „CentOS 7 VPS“ arba skirtame serveryje
    tarpinis
Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map