Инсталация и настройка на OpenVPN стъпка по стъпка.
Здравейте,
в тази статия ще опиша стъпките по които настроих OpenVPN сървър за лични потребности.
Примера е за настройване на OpenVPN под Debian 5 и клиент под Fedora 12.
Да започнем с инсталирането на необходимите пакети:
server1:~# apt-get install openvpn
Със следващите команди ще създам директория за ключовете и ще копирам в нея скриптовете за генериране на ключове:
mkdir /etc/openvpn/easy-rsa cp /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsа
Необходимо е да бъде редактиран /etc/openvpn/easy-rsa/vars с твоите данни.
След което за да бъдат генерирани ключовете трябва да бъдат изпълнени следните команди:
cd /etc/openvpn/easy-rsa . ./vars ./clean-all ./build-ca ./build-key-server servername ./build-dh
Следва да бъде създаден конфигурационния файл за openvpn сървъра.
Файла трябва да бъде създаден в следната директория /etc/openvpn/server.conf
За шаблон можете да използвате следния адрес: http://openvpn.net/index.php/open-source/documentation/howto.html#server
Ето как изглежда моя конфигурационен файл:
#server1:~# cat /etc/openvpn/server.conf local xx.xx.xx.xx #адрес, който openvpn да "слуша" за връзки port 1724 proto tcp dev tap ca /etc/openvpn/easy-rsa/keys/ca.crt cert /etc/openvpn/easy-rsa/keys/server.crt key /etc/openvpn/easy-rsa/keys/server.key dh /etc/openvpn/easy-rsa/keys/dh1024.pem server 192.168.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt push "redirect-gateway" push "dhcp-option DNS 208.67.220.220" client-to-client keepalive 10 120 comp-lzo max-clients 10 persist-key persist-tun status openvpn-status.log verb 4
Следват инструкции за настройка на OpenVPN клиент върху Fedora ОС.
Инсталиране на OpenVPN:
yum install openvpn
Генериране на ключ за клеинт:
cd /etc/openvpn/easy-rsa ./build-key client1
След генерирането на ключовете трябва да копирате ca.crt , client1.crt и client1.key в директория /etc/openvpn/ .
Създаване на конфигурационен файл /etc/openvpn/client.conf .
За шаблон можете да използвате следния адрес: http://openvpn.net/index.php/open-source/documentation/howto.html#client
Ето как изглежда моя конфигурационен файл:
client dev tap ;dev tun proto tcp ;proto udp remote servername 1724 resolv-retry infinite nobind persist-key persist-tun ca ca.crt cert client1.crt key client1.key cipher BF-CBC comp-lzo verb 4 ;mute 20
Следва стартиране на сървъра и клиента.
Сървъра се стартира по следния начин:
/etc/init.d/openvpn start
Клиента се стартира с:
cd /etc/openvpn openvpn client.conf
Най-вероятно след като тествате свързаността си ще видите, че имате пинг до гейта ( сървъра ) и съответната мрежа, но не и на вън.
За да рутирате целия трафик през vpn-a и да имате достъп до „външни“ адреси трябва да направите следното с iptables:
iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE iptables --append FORWARD --in-interface tap0 -j ACCEPT echo 1 > /proc/sys/net/ipv4/ip_forward
Тъй като ОС е Debian за да се запомнят правилата трябва да се направи следното:
iptables-save > firewall.conf
След което в файл /etc/network/if-up.d/iptables трябва да добавите следния код:
#!/bin/sh iptables-restore < /etc/firewall.conf echo 1 > /proc/sys/net/ipv4/ip_forward
Рестартирайте сървъра и проверете дали всичко ще работи коректно.
За да изключите даден сертификат трябва да направите следното:
- Отидете в easy-rsa директорията:
cd /etc/openvpn/easy-rsa/
- Стартирайте следните команди:
. ./vars ./revoke-full client2
където „client2″ е името на клиента чиито достъп ще забраните.
- revoke-full генерира файл с име crl.pem . Необходимо е в конфогирационния файл на openvpn да посичите пътя до този файл като добавите следния ред в server.conf:
crl-verify /etc/openvpn/easy-rsa/keys/crl.pem
- Рестартирайте OpenVPN сървъра за да се приеме промяната.
/etc/inid.d/openvpn restart
Ето какво се случва вече при опит да бъде достъпен сървъра със сертификат, който е бил спрян:
server1 ovpn-server[7252]: XXX.XXX.XXX.XXX:34036 CRL CHECK FAILED: /C=BG/ST=CA/L=Sofia/O=Fort-Funston/CN=server1/emailAddress=me@myhost.mydomain is REVOKED
No comments yet.