Einführung
OpenVPN ist eine Open-Source-VPN-Anwendung, mit der Sie sicher über das öffentliche Internet ein privates Netzwerk erstellen und sich diesem anschließen können. Kurz gesagt, dies ermöglicht es dem Endbenutzer, Verbindungen zu maskieren und sicherer in einem nicht vertrauenswürdigen Netzwerk zu navigieren.
Vor diesem Hintergrund lernen Sie in diesem Tutorial, wie Sie OpenVPN, eine Open-Source-VPN-Lösung für Secure Socket Layer (SSL), unter Debian 8 einrichten.
Voraussetzungen
In diesem Tutorial wird davon ausgegangen, dass Sie Folgendes haben:
-
Ein neues Debian 8.1-Droplet
-
Ein Root-Benutzer
-
Optional: Verwenden Sie nach Abschluss dieses Lernprogramms ein sudo-fähiges Konto ohne Rootberechtigung für die allgemeine Wartung. Sie können eine davon einrichten, indem Sie die Schritte 2 und 3 unter this tutorial ausführen.
Schritt 1 - Installieren Sie OpenVPN
Aktualisieren Sie vor der Installation von Paketen den apt-Paketindex.
apt-get update
Jetzt können wir den OpenVPN-Server zusammen mit easy-RSA für die Verschlüsselung installieren.
apt-get install openvpn easy-rsa
Schritt 2 - Konfigurieren Sie OpenVPN
Die Beispiel-VPN-Serverkonfigurationsdatei muss nach "+ / etc / openvpn +" extrahiert werden, damit wir sie in unser Setup integrieren können. Dies kann mit einem Befehl erfolgen:
gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz > /etc/openvpn/server.conf
Öffnen Sie nach dem Extrahieren die Serverkonfigurationsdatei mit nano oder Ihrem bevorzugten Texteditor.
nano /etc/openvpn/server.conf
In dieser Datei müssen wir vier Änderungen vornehmen (jede wird im Detail erklärt):
-
Sicherer Server mit höherer Verschlüsselung
-
Weiterleiten des Webverkehrs an das Ziel
-
Verhindern Sie, dass DNS-Anforderungen außerhalb der VPN-Verbindung verloren gehen
-
Setup-Berechtigungen
Zuerst verdoppeln wir die RSA-Schlüssellänge, die beim Generieren von Server- und Client-Schlüsseln verwendet wird. Suchen Sie nach dem Hauptkommentarblock und mehreren weiteren Blöcken nach der folgenden Zeile:
/etc/openvpn/server.conf
# Diffie hellman parameters.
# Generate your own with:
# openssl dhparam -out dh1024.pem 1024
# Substitute 2048 for 1024 if you are using
# 2048 bit keys.
dh
Ändern Sie + dh1024.pem +
in + dh2048.pem +
, so dass die Zeile jetzt lautet:
/etc/openvpn/server.conf
dh
Zweitens werden wir sicherstellen, dass der gesamte Datenverkehr an den richtigen Ort umgeleitet wird. Scrollen Sie noch in + server.conf +
an weiteren Kommentarblöcken vorbei und suchen Sie nach dem folgenden Abschnitt:
/etc/openvpn/server.conf
# If enabled, this directive will configure
# all clients to redirect their default
# network gateway through the VPN, causing
# all IP traffic such as web browsing and
# and DNS lookups to go through the VPN
# (The OpenVPN server machine may need to NAT
# or bridge the TUN/TAP interface to the internet
# in order for this to work properly).
push "redirect-gateway def1 bypass-dhcp"
Entfernen Sie das Kommentarzeichen "+ push" redirect-gateway def1 bypass-dhcp "+", damit der VPN-Server den Webdatenverkehr der Clients an sein Ziel weiterleitet. Es sollte dann so aussehen:
/etc/openvpn/server.conf
push "redirect-gateway def1 bypass-dhcp"
Drittens werden wir den Server anweisen, https://opendns.com [OpenDNS] für die DNS-Auflösung zu verwenden, wo dies möglich ist. Dies kann dazu beitragen, zu verhindern, dass DNS-Anforderungen außerhalb der VPN-Verbindung verloren gehen. Bearbeiten Sie unmittelbar nach dem zuvor geänderten Block Folgendes:
/etc/openvpn/server.conf
# Certain Windows-specific network settings
# can be pushed to clients, such as DNS
# or WINS server addresses. CAVEAT:
# http://openvpn.net/faq.html#dhcpcaveats
# The addresses below refer to the public
# DNS servers provided by opendns.com.
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
Entfernen Sie das Kommentarzeichen "+ push" dhcp-option DNS 208.67.222.222 "" und " push" dhcp-option DNS 208.67.220.220 "+". Es sollte dann so aussehen:
/etc/openvpn/server.conf
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
Viertens definieren wir Berechtigungen in + server.conf +
:
/etc/openvpn/server.conf
# You can uncomment this out on
# non-Windows systems.
;user nobody
;group nogroup
Kommentieren Sie sowohl + user nobody +
als auch + group nogroup +
aus. Es sollte dann so aussehen:
/etc/openvpn/server.conf
user nobody
group nogroup
Standardmäßig wird OpenVPN als * root * -Benutzer ausgeführt und hat somit vollen Root-Zugriff auf das System. Wir beschränken OpenVPN stattdessen auf den Benutzer * nobody * und die Gruppe * nogroup *. Dies ist ein nicht privilegierter Benutzer ohne Standardanmeldefunktionen, der häufig für die Ausführung nicht vertrauenswürdiger Anwendungen wie webbasierter Server reserviert ist.
Speichern Sie nun Ihre Änderungen und beenden Sie das Programm.
Schritt 3 - Paketweiterleitung aktivieren
In diesem Abschnitt weisen wir den Server-Kernel an, den Datenverkehr von Client-Diensten an das Internet weiterzuleiten. Andernfalls stoppt der Datenverkehr am Server.
Aktivieren Sie die Paketweiterleitung zur Laufzeit, indem Sie den folgenden Befehl eingeben:
echo 1 > /proc/sys/net/ipv4/ip_forward
Als Nächstes müssen wir diese Einstellung dauerhaft festlegen, damit diese Einstellung nach einem Neustart des Servers erhalten bleibt. Öffnen Sie die Konfigurationsdatei + sysctl +
mit nano oder Ihrem bevorzugten Texteditor.
nano /etc/sysctl.conf
Nahe dem oberen Rand der Datei + sysctl +
sehen Sie:
/etc/openvpn/server.conf
# Uncomment the next line to enable packet forwarding for IPv4
Kommentar "+ net.ipv4.ip_forward" entfernen. Es sollte dann so aussehen:
/etc/openvpn/server.conf
# Uncomment the next line to enable packet forwarding for IPv4
Speichern Sie Ihre Änderungen und beenden Sie das Programm.
Schritt 4 - ufw installieren und konfigurieren
UFW ist ein Frontend für IPTables. Wir müssen nur ein paar Regeln und Konfigurationsänderungen vornehmen. Dann schalten wir die Firewall ein. Eine Referenz für weitere Verwendungszwecke für UFW finden Sie unter https://www.digitalocean.com/community/articles/how-to-setup-a-firewall-with-ufw-on-an-ubuntu-and-debian-cloud- server [Einrichten einer Firewall mit UFW auf einem Ubuntu und Debian Cloud Server].
Installieren Sie zuerst das Paket + ufw +
.
apt-get install ufw
Stellen Sie zweitens UFW so ein, dass SSH zulässig ist:
ufw allow ssh
In diesem Tutorial wird OpenVPN über UDP verwendet, daher muss UFW auch UDP-Verkehr über den Port "+ 1194 +" zulassen.
ufw allow 1194/udp
Die UFW-Weiterleitungsrichtlinie muss ebenfalls festgelegt werden. Dies machen wir in der primären Konfigurationsdatei.
nano /etc/default/ufw
Suchen Sie nach der folgenden Zeile:
/ etc / default / ufw
DEFAULT_FORWARD_POLICY=""
Dies muss von "+ DROP " in " ACCEPT +" geändert werden. Es sollte dann so aussehen:
/ etc / default / ufw
DEFAULT_FORWARD_POLICY=""
Speichern und schließen.
Als Nächstes werden zusätzliche UFW-Regeln für die Netzwerkadressübersetzung und die IP-Maskierung verbundener Clients hinzugefügt.
nano /etc/ufw/before.rules
Fügen Sie als Nächstes den Bereich für * OPENVPN RULES * hinzu:
/etc/ufw/before.rules
#
# rules.before
#
# Rules that should be run before the ufw command line added rules. Custom
# rules should be added to one of these chains:
# ufw-before-input
# ufw-before-output
# ufw-before-forward
#
# Don't delete these required lines, otherwise there will be errors
*filter
Speichern und schließen.
Mit den Änderungen an UFW können wir es jetzt aktivieren. Geben Sie an der Eingabeaufforderung Folgendes ein:
ufw enable
Wenn Sie UFW aktivieren, wird die folgende Eingabeaufforderung zurückgegeben:
Command may disrupt existing ssh connections. Proceed with operation (y|n)?
Antworten Sie mit + y +
. Das Ergebnis ist diese Ausgabe:
Firewall is active and enabled on system startup
So überprüfen Sie die primären Firewall-Regeln von UFW:
ufw status
Der Statusbefehl sollte die folgenden Einträge zurückgeben:
Status: active
To Action From
-- ------ ----
22 ALLOW Anywhere
1194/udp ALLOW Anywhere
22 (v6) ALLOW Anywhere (v6)
1194/udp (v6) ALLOW Anywhere (v6)
Schritt 5 - Konfigurieren und Erstellen der Zertifizierungsstelle
OpenVPN verwendet Zertifikate zum Verschlüsseln des Datenverkehrs.
In diesem Abschnitt richten wir unsere eigene Zertifizierungsstelle (CA) in zwei Schritten ein: (1) Einrichten von Variablen und (2) Generieren der Zertifizierungsstelle.
OpenVPN unterstützt die bidirektionale Authentifizierung basierend auf Zertifikaten. Dies bedeutet, dass der Client das Serverzertifikat und der Server das Clientzertifikat authentifizieren muss, bevor die gegenseitige Vertrauenswürdigkeit hergestellt wird. Wir werden dazu die Skripte von Easy RSA verwenden.
Kopieren Sie zuerst die Easy-RSA-Generierungsskripte.
cp -r /usr/share/easy-rsa/ /etc/openvpn
Erstellen Sie dann ein Verzeichnis für den Schlüssel.
mkdir /etc/openvpn/easy-rsa/keys
Als nächstes werden wir die Parameter für unser Zertifikat festlegen. Öffnen Sie die Variablendatei mit nano oder Ihrem bevorzugten Texteditor.
nano /etc/openvpn/easy-rsa/vars
Die unten mit gekennzeichneten Variablen sollten nach Ihren Wünschen geändert werden.
/ etc / openvpn / easy-rsa / vars
export KEY_COUNTRY=""
export KEY_PROVINCE=""
export KEY_CITY=""
export KEY_ORG=""
export KEY_EMAIL=""
export KEY_OU=""
Bearbeiten Sie in der gleichen "+ vars " - Datei auch diese eine Zeile, die unten gezeigt wird. Der Einfachheit halber verwenden wir " server " als Schlüsselnamen. Wenn Sie einen anderen Namen verwenden möchten, müssen Sie auch die OpenVPN-Konfigurationsdateien aktualisieren, die auf " server.key " und " server.crt +" verweisen.
In der gleichen Datei geben wir unten das richtige Zertifikat an. Suchen Sie nach der Zeile direkt nach dem zuvor geänderten Block, der lautet
/ etc / openvpn / easy-rsa / vars
# X509 Subject Field
export KEY_NAME=""
Ändern Sie den Standardwert von "+ KEY_NAME " von " EasyRSA " in den gewünschten Servernamen. In diesem Tutorial wird der Name "+" verwendet.
/ etc / openvpn / easy-rsa / vars
# X509 Subject Field
export KEY_NAME=""
Speichern und schließen.
Als nächstes werden wir die Diffie-Hellman-Parameter mit einem integrierten OpenSSL-Tool namens "+ dhparam" generieren. das kann mehrere Minuten dauern.
Das + -out +
Flag gibt an, wo die neuen Parameter gespeichert werden sollen.
openssl dhparam -out /etc/openvpn/dh2048.pem 2048
Unser Zertifikat ist nun erstellt und es ist Zeit, einen Schlüssel zu erstellen.
Zuerst wechseln wir in das Verzeichnis "+ easy-rsa +".
cd /etc/openvpn/easy-rsa
Jetzt können wir beginnen, die Zertifizierungsstelle selbst einzurichten. Initialisieren Sie zunächst die Public Key Infrastructure (PKI).
Achten Sie auf die * Punkte (.) * Und * Leerzeichen * vor dem Befehl +. / Vars +
. Dies kennzeichnet das aktuelle Arbeitsverzeichnis (Quelle).
. ./vars
Als Nächstes löschen wir alle anderen Schlüssel, die unsere Installation beeinträchtigen könnten.
./clean-all
Zuletzt erstellen wir die CA mit einem OpenSSL-Befehl. Dieser Befehl fordert Sie zur Bestätigung der zuvor eingegebenen Variablen "Distinguished Name" auf. Drücken Sie + ENTER +
, um vorhandene Werte zu akzeptieren.
./build-ca
Drücken Sie + ENTER +
, um die einzelnen Eingabeaufforderungen zu durchlaufen, da Sie deren Werte gerade in der Datei + vars +
festgelegt haben.
Die Zertifizierungsstelle ist jetzt eingerichtet.
Schritt 6 - Generieren Sie ein Zertifikat und einen Schlüssel für den Server
In diesem Abschnitt werden wir unseren OpenVPN-Server einrichten und starten.
Wenn Sie weiterhin mit "+ / etc / openvpn / easy-rsa " arbeiten, erstellen Sie zunächst Ihren Schlüssel mit dem Servernamen. Dies wurde früher als " KEY_NAME " in Ihrer Konfigurationsdatei angegeben. Die Standardeinstellung für dieses Tutorial ist " Server +".
./build-key-server
Die Ausgabe fordert erneut zur Bestätigung des Distinguished Name auf. Drücken Sie + ENTER +
, um definierte Standardwerte zu akzeptieren. Dieses Mal gibt es zwei zusätzliche Eingabeaufforderungen.
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Beide Felder müssen leer bleiben. Drücken Sie einfach die EINGABETASTE, um die einzelnen Felder zu durchlaufen.
Zwei zusätzliche Abfragen am Ende erfordern eine positive Antwort (+ y +
):
Sign the certificate? [y/n]
1 out of 1 certificate requests certified, commit? [y/n]
Sie werden dann aufgefordert, Folgendes anzugeben, um den Erfolg anzuzeigen.
OutputWrite out database with 1 new entries
Data Base Updated
Schritt 7 - Verschieben Sie die Serverzertifikate und -schlüssel
Wir kopieren nun das Zertifikat und den Schlüssel nach "+ / etc / openvpn +", da OpenVPN in diesem Verzeichnis nach der Zertifizierungsstelle, dem Zertifikat und dem Schlüssel des Servers sucht.
cp /etc/openvpn/easy-rsa/keys/{.crt,.key,ca.crt} /etc/openvpn
Sie können überprüfen, ob die Kopie erfolgreich war mit:
ls /etc/openvpn
Sie sollten die Zertifikat- und Schlüsseldateien für den Server sehen.
Zu diesem Zeitpunkt ist der OpenVPN-Server einsatzbereit. Starten Sie es und überprüfen Sie den Status.
service openvpn start
service openvpn status
Der Statusbefehl gibt etwas mit folgendem Effekt zurück:
Output* openvpn.service - OpenVPN service
Loaded: loaded (/lib/systemd/system/openvpn.service; enabled)
Active: active (exited) since Thu 2015-06-25 02:20:18 EDT; 9s ago
Process: 2505 ExecStart=/bin/true (code=exited, status=0/SUCCESS)
Main PID: 2505 (code=exited, status=0/SUCCESS)
Am wichtigsten ist, dass Sie in der obigen Ausgabe "+ Aktiv: Aktiv (beendet) seit … " anstelle von " Aktiv: Inaktiv (tot) seit … +" finden.
Ihr OpenVPN-Server ist jetzt betriebsbereit. Wenn die Statusmeldung besagt, dass das VPN nicht ausgeführt wird, überprüfen Sie die Datei "+ / var / log / syslog +" auf Fehler wie:
Options error: --key fails with 'server.key': No such file or directory
Dieser Fehler zeigt an, dass "+ server.key" nicht korrekt nach "+ / etc / openvpn" kopiert wurde. Kopieren Sie die Datei erneut und versuchen Sie es erneut.
Schritt 8 - Zertifikate und Schlüssel für Clients generieren
Bisher haben wir den OpenVPN-Server installiert und konfiguriert, eine Zertifizierungsstelle erstellt und das eigene Zertifikat und den eigenen Schlüssel des Servers erstellt. In diesem Schritt verwenden wir die Zertifizierungsstelle des Servers, um Zertifikate und Schlüssel für jedes Clientgerät zu generieren, das eine Verbindung zum VPN herstellen soll.
Schlüssel- und Zertifikatserstellung
Idealerweise verfügt jeder Client, der sich mit dem VPN verbindet, über ein eigenes Zertifikat und einen eigenen Schlüssel. Dies ist der Generierung eines allgemeinen Zertifikats und Schlüssels vorzuziehen, die auf allen Clientgeräten verwendet werden sollen.
Um für jedes Gerät, das Sie mit dem VPN verbinden möchten, separate Authentifizierungsdaten zu erstellen, müssen Sie diesen Schritt für jedes Gerät ausführen. Ändern Sie jedoch den Namen "+ client1 " in einen anderen Namen wie " client2 " oder " iphone2 ". Mit separaten Anmeldeinformationen pro Gerät können diese später auf dem Server bei Bedarf einzeln deaktiviert werden. In den verbleibenden Beispielen in diesem Lernprogramm wird " client1 +" als Name des Beispiel-Clientgeräts verwendet.
Wie wir es mit dem Schlüssel des Servers getan haben, erstellen wir jetzt einen für unser Beispiel "+ client1 ". Sie sollten immer noch mit ` / etc / openvpn / easy-rsa` arbeiten.
./build-key client1
Erneut werden Sie aufgefordert, die Distinguished Name-Variablen und diese beiden Eingabeaufforderungen zu ändern oder zu bestätigen, die leer bleiben sollten. Drücken Sie + ENTER +
, um die Standardeinstellungen zu übernehmen.
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Nach wie vor erfordern diese beiden Bestätigungen am Ende des Erstellungsprozesses eine Antwort ("+ y +"):
Sign the certificate? [y/n]
1 out of 1 certificate requests certified, commit? [y/n]
Sie erhalten dann die folgende Ausgabe, in der die erfolgreiche Schlüsselerstellung bestätigt wird.
Write out database with 1 new entries.
Data Base Updated
Anschließend kopieren wir den generierten Schlüssel in das Easy-RSA-Verzeichnis "+ keys ", das wir zuvor erstellt haben. Beachten Sie, dass wir die Erweiterung von " .conf" in "+ .ovpn" ändern. Dies entspricht der Konvention.
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/easy-rsa/keys/client.ovpn
Sie können diesen Abschnitt für jeden Client erneut wiederholen und dabei "+ client1 +" durch den entsprechenden Clientnamen ersetzen.
-
Hinweis: * Der Name Ihres duplizierten "+ client.ovpn " muss nicht mit dem Client-Gerät verknüpft sein. Die clientseitige OpenVPN-Anwendung verwendet den Dateinamen als Kennung für die VPN-Verbindung. Stattdessen sollten Sie " client.ovpn +" duplizieren, um das VPN-Namensschild in Ihrem Betriebssystem anzuzeigen. Zum Beispiel: * work.ovpn * wird als * work *, * school.ovpn * als * school * usw. identifiziert.
Wir müssen jede Client-Datei so ändern, dass sie die IP-Adresse des OpenVPN-Servers enthält, damit dieser weiß, mit was er sich verbinden soll. Öffnen Sie + client.ovpn +
mit nano oder Ihrem bevorzugten Texteditor.
nano /etc/openvpn/easy-rsa/keys/
Bearbeiten Sie zuerst die Zeile, die mit + remote +
beginnt. Ändern Sie "+ my-server-1 " in "+".
/etc/openvpn/easy-rsa/keys/client.ovpn
# The hostname/IP and port of the server.
# You can have multiple remote entries
# to load balance between the servers.
remote 1194
Suchen Sie als nächstes den unten gezeigten Bereich und entfernen Sie das Kommentarzeichen "+ user nobody " und " group nogroup ", so wie wir es in " server.conf +" in Schritt 1 getan haben. * Hinweis: * Dies gilt nicht für Windows, sodass Sie es überspringen können. Es sollte dann so aussehen:
/etc/openvpn/easy-rsa/keys/client.ovpn
# Downgrade privileges after initialization (non-Windows only)
user nobody
group no group
Übertragen von Zertifikaten und Schlüsseln auf Clientgeräte
Erinnern Sie sich an die obigen Schritte, dass wir die Client-Zertifikate und -Schlüssel erstellt haben und dass sie auf dem OpenVPN-Server im Verzeichnis "+ / etc / openvpn / easy-rsa / keys +" gespeichert sind.
Für jeden Client müssen die Clientzertifikat-, Schlüssel- und Profilvorlagendateien in einen Ordner auf unserem lokalen Computer oder einem anderen Clientgerät übertragen werden.
In diesem Beispiel benötigt unser "+ client1 +" - Gerät sein Zertifikat und seinen Schlüssel, die sich auf dem Server befinden in:
-
+ / etc / openvpn / easy-rsa / keys / .crt +
-
+ / etc / openvpn / easy-rsa / keys / .key +
Die Dateien "+ ca.crt " und " client.ovpn " sind für alle Clients gleich. Laden Sie auch diese beiden Dateien herunter. Beachten Sie, dass sich die Datei " ca.crt +" in einem anderen Verzeichnis befindet als die anderen.
-
+ / etc / openvpn / easy-rsa / keys / client.ovpn +
-
+ / etc / openvpn / ca.crt +
Die genauen Anwendungen, die für diese Übertragung verwendet werden, hängen von Ihrer Wahl und dem Betriebssystem des Geräts ab. Sie möchten jedoch, dass die Anwendung im Backend SFTP (SSH File Transfer Protocol) oder SCP (Secure Copy) verwendet. Dadurch werden die VPN-Authentifizierungsdateien Ihres Clients über eine verschlüsselte Verbindung übertragen.
Hier ist ein Beispiel für einen SCP-Befehl anhand unseres Beispiels "+ client1 ". Es legt die Datei ` client1.key +` im Verzeichnis * Downloads * auf dem lokalen Computer ab.
scp root@your-server-ip:/etc/openvpn/easy-rsa/keys/client1.key Downloads/
Hier einige Tools und Tutorials zum sicheren Übertragen von Dateien vom Server auf einen lokalen Computer:
Stellen Sie am Ende dieses Abschnitts sicher, dass sich diese vier Dateien auf Ihrem * client * -Gerät befinden:
-
` + client1 + `.crt
-
` + client1 + `.key
-
+ client.ovpn +
-
+ ca.crt +
Schritt 9 - Erstellen eines einheitlichen OpenVPN-Profils für Clientgeräte
Es gibt verschiedene Methoden zum Verwalten der Client-Dateien, die einfachste verwendet jedoch ein unified -Profil. Dies wird durch Ändern der Vorlagendatei "+ client.ovpn " erstellt, um die Zertifizierungsstelle des Servers sowie das Zertifikat des Clients und seinen Schlüssel einzuschließen. Nach dem Zusammenführen muss nur das einzelne " client.ovpn +" - Profil in die OpenVPN-Anwendung des Clients importiert werden.
In dem unten angegebenen Bereich müssen die drei gezeigten Zeilen auskommentiert werden, damit wir stattdessen das Zertifikat und den Schlüssel direkt in die Datei + client.ovpn +
aufnehmen können. Es sollte dann so aussehen:
/etc/openvpn/easy-rsa/keys/client.ovpn
# SSL/TLS parms.
# . . .
;ca ca.crt
;cert client.crt
;key client.key
Speichern Sie die Änderungen und beenden Sie das Programm. Wir werden die Zertifikate per Code hinzufügen.
Fügen Sie zunächst die Zertifizierungsstelle hinzu.
echo '<ca>' >> /etc/openvpn/easy-rsa/keys/client.ovpn
cat /etc/openvpn/ca.crt >> /etc/openvpn/easy-rsa/keys/client.ovpn
echo '</ca>' >> /etc/openvpn/easy-rsa/keys/client.ovpn
Zweitens fügen Sie das Zertifikat hinzu.
echo '<cert>' >> /etc/openvpn/easy-rsa/keys/client.ovpn
cat /etc/openvpn/easy-rsa/keys/client1.crt >> /etc/openvpn/easy-rsa/keys/client.ovpn
echo '</cert>' >> /etc/openvpn/easy-rsa/keys/client.ovpn
Drittens und schließlich den Schlüssel hinzufügen.
echo '<key>' >> /etc/openvpn/easy-rsa/keys/client.ovpn
cat /etc/openvpn/easy-rsa/keys/client1.key >> /etc/openvpn/easy-rsa/keys/client.ovpn
echo '</key>' >> /etc/openvpn/easy-rsa/keys/client.ovpn
Wir haben jetzt ein einheitliches Kundenprofil. Mit + scp +
können Sie dann die Datei + client.ovpn +
auf Ihr zweites System kopieren.
Schritt 10 - Installieren des Client-Profils
Verschiedene Plattformen verfügen über benutzerfreundlichere Anwendungen, um eine Verbindung zu diesem OpenVPN-Server herzustellen. Eine plattformspezifische Anleitung finden Sie in Schritt 5 unter https://www.digitalocean.com/community/tutorials/how-to-set-up-an-openvpn-server-on-ubuntu-14-04#step-5-. --installing-the-client-profile [dieses Tutorial].
Fazit
Herzliche Glückwünsche! Sie haben jetzt eine funktionierende OpenVPN-Server- und -Client-Datei.
Von Ihrem OpenVPN-Client aus können Sie die Verbindung testen, indem Sie Google zum Anzeigen Ihrer öffentlichen IP verwenden. Laden Sie es auf dem Client einmal vor dem Starten der OpenVPN-Verbindung und danach. Die IP-Adresse sollte sich ändern.