TOC

So richten Sie einen OpenVPN-Server unter Debian 8 ein

Einführung

OpenVPN ist eine Open-Source-VPN-Anwendung, mit der Sie sicher über das öffentliche Internet ein privates Netzwerk erstellen und sich diesem anschließen können. Kurz gesagt, dies ermöglicht es dem Endbenutzer, Verbindungen zu maskieren und sicherer in einem nicht vertrauenswürdigen Netzwerk zu navigieren.

Vor diesem Hintergrund lernen Sie in diesem Tutorial, wie Sie OpenVPN, eine Open-Source-VPN-Lösung für Secure Socket Layer (SSL), unter Debian 8 einrichten.

Voraussetzungen

In diesem Tutorial wird davon ausgegangen, dass Sie Folgendes haben:

  • Ein neues Debian 8.1-Droplet

  • Ein Root-Benutzer

  • Optional: Verwenden Sie nach Abschluss dieses Lernprogramms ein sudo-fähiges Konto ohne Rootberechtigung für die allgemeine Wartung. Sie können eine davon einrichten, indem Sie die Schritte 2 und 3 unter this tutorial ausführen.

Schritt 1 - Installieren Sie OpenVPN

Aktualisieren Sie vor der Installation von Paketen den apt-Paketindex.

apt-get update

Jetzt können wir den OpenVPN-Server zusammen mit easy-RSA für die Verschlüsselung installieren.

apt-get install openvpn easy-rsa

Schritt 2 - Konfigurieren Sie OpenVPN

Die Beispiel-VPN-Serverkonfigurationsdatei muss nach "+ / etc / openvpn +" extrahiert werden, damit wir sie in unser Setup integrieren können. Dies kann mit einem Befehl erfolgen:

gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz > /etc/openvpn/server.conf

Öffnen Sie nach dem Extrahieren die Serverkonfigurationsdatei mit nano oder Ihrem bevorzugten Texteditor.

nano /etc/openvpn/server.conf

In dieser Datei müssen wir vier Änderungen vornehmen (jede wird im Detail erklärt):

  1. Sicherer Server mit höherer Verschlüsselung

  2. Weiterleiten des Webverkehrs an das Ziel

  3. Verhindern Sie, dass DNS-Anforderungen außerhalb der VPN-Verbindung verloren gehen

  4. Setup-Berechtigungen

Zuerst verdoppeln wir die RSA-Schlüssellänge, die beim Generieren von Server- und Client-Schlüsseln verwendet wird. Suchen Sie nach dem Hauptkommentarblock und mehreren weiteren Blöcken nach der folgenden Zeile:

/etc/openvpn/server.conf

# Diffie hellman parameters.
# Generate your own with:
#   openssl dhparam -out dh1024.pem 1024
# Substitute 2048 for 1024 if you are using
# 2048 bit keys.
dh

Ändern Sie + dh1024.pem + in + dh2048.pem +, so dass die Zeile jetzt lautet:

/etc/openvpn/server.conf

dh

Zweitens werden wir sicherstellen, dass der gesamte Datenverkehr an den richtigen Ort umgeleitet wird. Scrollen Sie noch in + server.conf + an weiteren Kommentarblöcken vorbei und suchen Sie nach dem folgenden Abschnitt:

/etc/openvpn/server.conf

# If enabled, this directive will configure
# all clients to redirect their default
# network gateway through the VPN, causing
# all IP traffic such as web browsing and
# and DNS lookups to go through the VPN
# (The OpenVPN server machine may need to NAT
# or bridge the TUN/TAP interface to the internet
# in order for this to work properly).
push "redirect-gateway def1 bypass-dhcp"

Entfernen Sie das Kommentarzeichen "+ push" redirect-gateway def1 bypass-dhcp "+", damit der VPN-Server den Webdatenverkehr der Clients an sein Ziel weiterleitet. Es sollte dann so aussehen:

/etc/openvpn/server.conf

push "redirect-gateway def1 bypass-dhcp"

Drittens werden wir den Server anweisen, https://opendns.com [OpenDNS] für die DNS-Auflösung zu verwenden, wo dies möglich ist. Dies kann dazu beitragen, zu verhindern, dass DNS-Anforderungen außerhalb der VPN-Verbindung verloren gehen. Bearbeiten Sie unmittelbar nach dem zuvor geänderten Block Folgendes:

/etc/openvpn/server.conf

# Certain Windows-specific network settings
# can be pushed to clients, such as DNS
# or WINS server addresses.  CAVEAT:
# http://openvpn.net/faq.html#dhcpcaveats
# The addresses below refer to the public
# DNS servers provided by opendns.com.
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"

Entfernen Sie das Kommentarzeichen "+ push" dhcp-option DNS 208.67.222.222 "" und " push" dhcp-option DNS 208.67.220.220 "+". Es sollte dann so aussehen:

/etc/openvpn/server.conf

push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"

Viertens definieren wir Berechtigungen in + server.conf +:

/etc/openvpn/server.conf

# You can uncomment this out on
# non-Windows systems.
;user nobody
;group nogroup

Kommentieren Sie sowohl + user nobody + als auch + group nogroup + aus. Es sollte dann so aussehen:

/etc/openvpn/server.conf

user nobody
group nogroup

Standardmäßig wird OpenVPN als * root * -Benutzer ausgeführt und hat somit vollen Root-Zugriff auf das System. Wir beschränken OpenVPN stattdessen auf den Benutzer * nobody * und die Gruppe * nogroup *. Dies ist ein nicht privilegierter Benutzer ohne Standardanmeldefunktionen, der häufig für die Ausführung nicht vertrauenswürdiger Anwendungen wie webbasierter Server reserviert ist.

Speichern Sie nun Ihre Änderungen und beenden Sie das Programm.

Schritt 3 - Paketweiterleitung aktivieren

In diesem Abschnitt weisen wir den Server-Kernel an, den Datenverkehr von Client-Diensten an das Internet weiterzuleiten. Andernfalls stoppt der Datenverkehr am Server.

Aktivieren Sie die Paketweiterleitung zur Laufzeit, indem Sie den folgenden Befehl eingeben:

echo 1 > /proc/sys/net/ipv4/ip_forward

Als Nächstes müssen wir diese Einstellung dauerhaft festlegen, damit diese Einstellung nach einem Neustart des Servers erhalten bleibt. Öffnen Sie die Konfigurationsdatei + sysctl + mit nano oder Ihrem bevorzugten Texteditor.

nano /etc/sysctl.conf

Nahe dem oberen Rand der Datei + sysctl + sehen Sie:

/etc/openvpn/server.conf

# Uncomment the next line to enable packet forwarding for IPv4

Kommentar "+ net.ipv4.ip_forward" entfernen. Es sollte dann so aussehen:

/etc/openvpn/server.conf

# Uncomment the next line to enable packet forwarding for IPv4

Speichern Sie Ihre Änderungen und beenden Sie das Programm.

Schritt 4 - ufw installieren und konfigurieren

UFW ist ein Frontend für IPTables. Wir müssen nur ein paar Regeln und Konfigurationsänderungen vornehmen. Dann schalten wir die Firewall ein. Eine Referenz für weitere Verwendungszwecke für UFW finden Sie unter https://www.digitalocean.com/community/articles/how-to-setup-a-firewall-with-ufw-on-an-ubuntu-and-debian-cloud- server [Einrichten einer Firewall mit UFW auf einem Ubuntu und Debian Cloud Server].

Installieren Sie zuerst das Paket + ufw +.

apt-get install ufw

Stellen Sie zweitens UFW so ein, dass SSH zulässig ist:

ufw allow ssh

In diesem Tutorial wird OpenVPN über UDP verwendet, daher muss UFW auch UDP-Verkehr über den Port "+ 1194 +" zulassen.

ufw allow 1194/udp

Die UFW-Weiterleitungsrichtlinie muss ebenfalls festgelegt werden. Dies machen wir in der primären Konfigurationsdatei.

nano /etc/default/ufw

Suchen Sie nach der folgenden Zeile:

/ etc / default / ufw

DEFAULT_FORWARD_POLICY=""

Dies muss von "+ DROP " in " ACCEPT +" geändert werden. Es sollte dann so aussehen:

/ etc / default / ufw

DEFAULT_FORWARD_POLICY=""

Speichern und schließen.

Als Nächstes werden zusätzliche UFW-Regeln für die Netzwerkadressübersetzung und die IP-Maskierung verbundener Clients hinzugefügt.

nano /etc/ufw/before.rules

Fügen Sie als Nächstes den Bereich für * OPENVPN RULES * hinzu:

/etc/ufw/before.rules

#
# rules.before
#
# Rules that should be run before the ufw command line added rules. Custom
# rules should be added to one of these chains:
#   ufw-before-input
#   ufw-before-output
#   ufw-before-forward
#










# Don't delete these required lines, otherwise there will be errors
*filter

Speichern und schließen.

Mit den Änderungen an UFW können wir es jetzt aktivieren. Geben Sie an der Eingabeaufforderung Folgendes ein:

ufw enable

Wenn Sie UFW aktivieren, wird die folgende Eingabeaufforderung zurückgegeben:

Command may disrupt existing ssh connections. Proceed with operation (y|n)?

Antworten Sie mit + y +. Das Ergebnis ist diese Ausgabe:

Firewall is active and enabled on system startup

So überprüfen Sie die primären Firewall-Regeln von UFW:

ufw status

Der Statusbefehl sollte die folgenden Einträge zurückgeben:

Status: active

To                         Action      From
--                         ------      ----
22                         ALLOW       Anywhere
1194/udp                   ALLOW       Anywhere
22 (v6)                    ALLOW       Anywhere (v6)
1194/udp (v6)              ALLOW       Anywhere (v6)

Schritt 5 - Konfigurieren und Erstellen der Zertifizierungsstelle

OpenVPN verwendet Zertifikate zum Verschlüsseln des Datenverkehrs.

In diesem Abschnitt richten wir unsere eigene Zertifizierungsstelle (CA) in zwei Schritten ein: (1) Einrichten von Variablen und (2) Generieren der Zertifizierungsstelle.

OpenVPN unterstützt die bidirektionale Authentifizierung basierend auf Zertifikaten. Dies bedeutet, dass der Client das Serverzertifikat und der Server das Clientzertifikat authentifizieren muss, bevor die gegenseitige Vertrauenswürdigkeit hergestellt wird. Wir werden dazu die Skripte von Easy RSA verwenden.

Kopieren Sie zuerst die Easy-RSA-Generierungsskripte.

cp -r /usr/share/easy-rsa/ /etc/openvpn

Erstellen Sie dann ein Verzeichnis für den Schlüssel.

mkdir /etc/openvpn/easy-rsa/keys

Als nächstes werden wir die Parameter für unser Zertifikat festlegen. Öffnen Sie die Variablendatei mit nano oder Ihrem bevorzugten Texteditor.

nano /etc/openvpn/easy-rsa/vars

Die unten mit gekennzeichneten Variablen sollten nach Ihren Wünschen geändert werden.

/ etc / openvpn / easy-rsa / vars

export KEY_COUNTRY=""
export KEY_PROVINCE=""
export KEY_CITY=""
export KEY_ORG=""
export KEY_EMAIL=""
export KEY_OU=""

Bearbeiten Sie in der gleichen "+ vars " - Datei auch diese eine Zeile, die unten gezeigt wird. Der Einfachheit halber verwenden wir " server " als Schlüsselnamen. Wenn Sie einen anderen Namen verwenden möchten, müssen Sie auch die OpenVPN-Konfigurationsdateien aktualisieren, die auf " server.key " und " server.crt +" verweisen.

In der gleichen Datei geben wir unten das richtige Zertifikat an. Suchen Sie nach der Zeile direkt nach dem zuvor geänderten Block, der lautet

/ etc / openvpn / easy-rsa / vars

# X509 Subject Field
export KEY_NAME=""

Ändern Sie den Standardwert von "+ KEY_NAME " von " EasyRSA " in den gewünschten Servernamen. In diesem Tutorial wird der Name "+" verwendet.

/ etc / openvpn / easy-rsa / vars

# X509 Subject Field
export KEY_NAME=""

Speichern und schließen.

Als nächstes werden wir die Diffie-Hellman-Parameter mit einem integrierten OpenSSL-Tool namens "+ dhparam" generieren. das kann mehrere Minuten dauern.

Das + -out + Flag gibt an, wo die neuen Parameter gespeichert werden sollen.

openssl dhparam -out /etc/openvpn/dh2048.pem 2048

Unser Zertifikat ist nun erstellt und es ist Zeit, einen Schlüssel zu erstellen.

Zuerst wechseln wir in das Verzeichnis "+ easy-rsa +".

cd /etc/openvpn/easy-rsa

Jetzt können wir beginnen, die Zertifizierungsstelle selbst einzurichten. Initialisieren Sie zunächst die Public Key Infrastructure (PKI).

Achten Sie auf die * Punkte (.) * Und * Leerzeichen * vor dem Befehl +. / Vars +. Dies kennzeichnet das aktuelle Arbeitsverzeichnis (Quelle).

. ./vars

Als Nächstes löschen wir alle anderen Schlüssel, die unsere Installation beeinträchtigen könnten.

./clean-all

Zuletzt erstellen wir die CA mit einem OpenSSL-Befehl. Dieser Befehl fordert Sie zur Bestätigung der zuvor eingegebenen Variablen "Distinguished Name" auf. Drücken Sie + ENTER +, um vorhandene Werte zu akzeptieren.

./build-ca

Drücken Sie + ENTER +, um die einzelnen Eingabeaufforderungen zu durchlaufen, da Sie deren Werte gerade in der Datei + vars + festgelegt haben.

Die Zertifizierungsstelle ist jetzt eingerichtet.

Schritt 6 - Generieren Sie ein Zertifikat und einen Schlüssel für den Server

In diesem Abschnitt werden wir unseren OpenVPN-Server einrichten und starten.

Wenn Sie weiterhin mit "+ / etc / openvpn / easy-rsa " arbeiten, erstellen Sie zunächst Ihren Schlüssel mit dem Servernamen. Dies wurde früher als " KEY_NAME " in Ihrer Konfigurationsdatei angegeben. Die Standardeinstellung für dieses Tutorial ist " Server +".

./build-key-server

Die Ausgabe fordert erneut zur Bestätigung des Distinguished Name auf. Drücken Sie + ENTER +, um definierte Standardwerte zu akzeptieren. Dieses Mal gibt es zwei zusätzliche Eingabeaufforderungen.

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Beide Felder müssen leer bleiben. Drücken Sie einfach die EINGABETASTE, um die einzelnen Felder zu durchlaufen.

Zwei zusätzliche Abfragen am Ende erfordern eine positive Antwort (+ y +):

Sign the certificate? [y/n]
1 out of 1 certificate requests certified, commit? [y/n]

Sie werden dann aufgefordert, Folgendes anzugeben, um den Erfolg anzuzeigen.

OutputWrite out database with 1 new entries
Data Base Updated

Schritt 7 - Verschieben Sie die Serverzertifikate und -schlüssel

Wir kopieren nun das Zertifikat und den Schlüssel nach "+ / etc / openvpn +", da OpenVPN in diesem Verzeichnis nach der Zertifizierungsstelle, dem Zertifikat und dem Schlüssel des Servers sucht.

cp /etc/openvpn/easy-rsa/keys/{.crt,.key,ca.crt} /etc/openvpn

Sie können überprüfen, ob die Kopie erfolgreich war mit:

ls /etc/openvpn

Sie sollten die Zertifikat- und Schlüsseldateien für den Server sehen.

Zu diesem Zeitpunkt ist der OpenVPN-Server einsatzbereit. Starten Sie es und überprüfen Sie den Status.

service openvpn start
service openvpn status

Der Statusbefehl gibt etwas mit folgendem Effekt zurück:

Output* openvpn.service - OpenVPN service
  Loaded: loaded (/lib/systemd/system/openvpn.service; enabled)
  Active: active (exited) since Thu 2015-06-25 02:20:18 EDT; 9s ago
 Process: 2505 ExecStart=/bin/true (code=exited, status=0/SUCCESS)
Main PID: 2505 (code=exited, status=0/SUCCESS)

Am wichtigsten ist, dass Sie in der obigen Ausgabe "+ Aktiv: Aktiv (beendet) seit …​ " anstelle von " Aktiv: Inaktiv (tot) seit …​ +" finden.

Ihr OpenVPN-Server ist jetzt betriebsbereit. Wenn die Statusmeldung besagt, dass das VPN nicht ausgeführt wird, überprüfen Sie die Datei "+ / var / log / syslog +" auf Fehler wie:

Options error: --key fails with 'server.key': No such file or directory

Dieser Fehler zeigt an, dass "+ server.key" nicht korrekt nach "+ / etc / openvpn" kopiert wurde. Kopieren Sie die Datei erneut und versuchen Sie es erneut.

Schritt 8 - Zertifikate und Schlüssel für Clients generieren

Bisher haben wir den OpenVPN-Server installiert und konfiguriert, eine Zertifizierungsstelle erstellt und das eigene Zertifikat und den eigenen Schlüssel des Servers erstellt. In diesem Schritt verwenden wir die Zertifizierungsstelle des Servers, um Zertifikate und Schlüssel für jedes Clientgerät zu generieren, das eine Verbindung zum VPN herstellen soll.

Schlüssel- und Zertifikatserstellung

Idealerweise verfügt jeder Client, der sich mit dem VPN verbindet, über ein eigenes Zertifikat und einen eigenen Schlüssel. Dies ist der Generierung eines allgemeinen Zertifikats und Schlüssels vorzuziehen, die auf allen Clientgeräten verwendet werden sollen.

Um für jedes Gerät, das Sie mit dem VPN verbinden möchten, separate Authentifizierungsdaten zu erstellen, müssen Sie diesen Schritt für jedes Gerät ausführen. Ändern Sie jedoch den Namen "+ client1 " in einen anderen Namen wie " client2 " oder " iphone2 ". Mit separaten Anmeldeinformationen pro Gerät können diese später auf dem Server bei Bedarf einzeln deaktiviert werden. In den verbleibenden Beispielen in diesem Lernprogramm wird " client1 +" als Name des Beispiel-Clientgeräts verwendet.

Wie wir es mit dem Schlüssel des Servers getan haben, erstellen wir jetzt einen für unser Beispiel "+ client1 ". Sie sollten immer noch mit ` / etc / openvpn / easy-rsa` arbeiten.

./build-key client1

Erneut werden Sie aufgefordert, die Distinguished Name-Variablen und diese beiden Eingabeaufforderungen zu ändern oder zu bestätigen, die leer bleiben sollten. Drücken Sie + ENTER +, um die Standardeinstellungen zu übernehmen.

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Nach wie vor erfordern diese beiden Bestätigungen am Ende des Erstellungsprozesses eine Antwort ("+ y +"):

Sign the certificate? [y/n]
1 out of 1 certificate requests certified, commit? [y/n]

Sie erhalten dann die folgende Ausgabe, in der die erfolgreiche Schlüsselerstellung bestätigt wird.

Write out database with 1 new entries.
Data Base Updated

Anschließend kopieren wir den generierten Schlüssel in das Easy-RSA-Verzeichnis "+ keys ", das wir zuvor erstellt haben. Beachten Sie, dass wir die Erweiterung von " .conf" in "+ .ovpn" ändern. Dies entspricht der Konvention.

cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/easy-rsa/keys/client.ovpn

Sie können diesen Abschnitt für jeden Client erneut wiederholen und dabei "+ client1 +" durch den entsprechenden Clientnamen ersetzen.

  • Hinweis: * Der Name Ihres duplizierten "+ client.ovpn " muss nicht mit dem Client-Gerät verknüpft sein. Die clientseitige OpenVPN-Anwendung verwendet den Dateinamen als Kennung für die VPN-Verbindung. Stattdessen sollten Sie " client.ovpn +" duplizieren, um das VPN-Namensschild in Ihrem Betriebssystem anzuzeigen. Zum Beispiel: * work.ovpn * wird als * work *, * school.ovpn * als * school * usw. identifiziert.

Wir müssen jede Client-Datei so ändern, dass sie die IP-Adresse des OpenVPN-Servers enthält, damit dieser weiß, mit was er sich verbinden soll. Öffnen Sie + client.ovpn + mit nano oder Ihrem bevorzugten Texteditor.

nano /etc/openvpn/easy-rsa/keys/

Bearbeiten Sie zuerst die Zeile, die mit + remote + beginnt. Ändern Sie "+ my-server-1 " in "+".

/etc/openvpn/easy-rsa/keys/client.ovpn

# The hostname/IP and port of the server.
# You can have multiple remote entries
# to load balance between the servers.
remote  1194

Suchen Sie als nächstes den unten gezeigten Bereich und entfernen Sie das Kommentarzeichen "+ user nobody " und " group nogroup ", so wie wir es in " server.conf +" in Schritt 1 getan haben. * Hinweis: * Dies gilt nicht für Windows, sodass Sie es überspringen können. Es sollte dann so aussehen:

/etc/openvpn/easy-rsa/keys/client.ovpn

# Downgrade privileges after initialization (non-Windows only)
user nobody
group no group

Übertragen von Zertifikaten und Schlüsseln auf Clientgeräte

Erinnern Sie sich an die obigen Schritte, dass wir die Client-Zertifikate und -Schlüssel erstellt haben und dass sie auf dem OpenVPN-Server im Verzeichnis "+ / etc / openvpn / easy-rsa / keys +" gespeichert sind.

Für jeden Client müssen die Clientzertifikat-, Schlüssel- und Profilvorlagendateien in einen Ordner auf unserem lokalen Computer oder einem anderen Clientgerät übertragen werden.

In diesem Beispiel benötigt unser "+ client1 +" - Gerät sein Zertifikat und seinen Schlüssel, die sich auf dem Server befinden in:

  • + / etc / openvpn / easy-rsa / keys / .crt +

  • + / etc / openvpn / easy-rsa / keys / .key +

Die Dateien "+ ca.crt " und " client.ovpn " sind für alle Clients gleich. Laden Sie auch diese beiden Dateien herunter. Beachten Sie, dass sich die Datei " ca.crt +" in einem anderen Verzeichnis befindet als die anderen.

  • + / etc / openvpn / easy-rsa / keys / client.ovpn +

  • + / etc / openvpn / ca.crt +

Die genauen Anwendungen, die für diese Übertragung verwendet werden, hängen von Ihrer Wahl und dem Betriebssystem des Geräts ab. Sie möchten jedoch, dass die Anwendung im Backend SFTP (SSH File Transfer Protocol) oder SCP (Secure Copy) verwendet. Dadurch werden die VPN-Authentifizierungsdateien Ihres Clients über eine verschlüsselte Verbindung übertragen.

Hier ist ein Beispiel für einen SCP-Befehl anhand unseres Beispiels "+ client1 ". Es legt die Datei ` client1.key +` im Verzeichnis * Downloads * auf dem lokalen Computer ab.

scp root@your-server-ip:/etc/openvpn/easy-rsa/keys/client1.key Downloads/

Hier einige Tools und Tutorials zum sicheren Übertragen von Dateien vom Server auf einen lokalen Computer:

Stellen Sie am Ende dieses Abschnitts sicher, dass sich diese vier Dateien auf Ihrem * client * -Gerät befinden:

  • ` + client1 + `.crt

  • ` + client1 + `.key

  • + client.ovpn +

  • + ca.crt +

Schritt 9 - Erstellen eines einheitlichen OpenVPN-Profils für Clientgeräte

Es gibt verschiedene Methoden zum Verwalten der Client-Dateien, die einfachste verwendet jedoch ein unified -Profil. Dies wird durch Ändern der Vorlagendatei "+ client.ovpn " erstellt, um die Zertifizierungsstelle des Servers sowie das Zertifikat des Clients und seinen Schlüssel einzuschließen. Nach dem Zusammenführen muss nur das einzelne " client.ovpn +" - Profil in die OpenVPN-Anwendung des Clients importiert werden.

In dem unten angegebenen Bereich müssen die drei gezeigten Zeilen auskommentiert werden, damit wir stattdessen das Zertifikat und den Schlüssel direkt in die Datei + client.ovpn + aufnehmen können. Es sollte dann so aussehen:

/etc/openvpn/easy-rsa/keys/client.ovpn

# SSL/TLS parms.
# . . .
;ca ca.crt
;cert client.crt
;key client.key

Speichern Sie die Änderungen und beenden Sie das Programm. Wir werden die Zertifikate per Code hinzufügen.

Fügen Sie zunächst die Zertifizierungsstelle hinzu.

echo '<ca>' >> /etc/openvpn/easy-rsa/keys/client.ovpn
cat /etc/openvpn/ca.crt >> /etc/openvpn/easy-rsa/keys/client.ovpn
echo '</ca>' >> /etc/openvpn/easy-rsa/keys/client.ovpn

Zweitens fügen Sie das Zertifikat hinzu.

echo '<cert>' >> /etc/openvpn/easy-rsa/keys/client.ovpn
cat /etc/openvpn/easy-rsa/keys/client1.crt >> /etc/openvpn/easy-rsa/keys/client.ovpn
echo '</cert>' >> /etc/openvpn/easy-rsa/keys/client.ovpn

Drittens und schließlich den Schlüssel hinzufügen.

echo '<key>' >> /etc/openvpn/easy-rsa/keys/client.ovpn
cat /etc/openvpn/easy-rsa/keys/client1.key >> /etc/openvpn/easy-rsa/keys/client.ovpn
echo '</key>' >> /etc/openvpn/easy-rsa/keys/client.ovpn

Wir haben jetzt ein einheitliches Kundenprofil. Mit + scp + können Sie dann die Datei + client.ovpn + auf Ihr zweites System kopieren.

Schritt 10 - Installieren des Client-Profils

Verschiedene Plattformen verfügen über benutzerfreundlichere Anwendungen, um eine Verbindung zu diesem OpenVPN-Server herzustellen. Eine plattformspezifische Anleitung finden Sie in Schritt 5 unter https://www.digitalocean.com/community/tutorials/how-to-set-up-an-openvpn-server-on-ubuntu-14-04#step-5-. --installing-the-client-profile [dieses Tutorial].

Fazit

Herzliche Glückwünsche! Sie haben jetzt eine funktionierende OpenVPN-Server- und -Client-Datei.

Von Ihrem OpenVPN-Client aus können Sie die Verbindung testen, indem Sie Google zum Anzeigen Ihrer öffentlichen IP verwenden. Laden Sie es auf dem Client einmal vor dem Starten der OpenVPN-Verbindung und danach. Die IP-Adresse sollte sich ändern.

Related