So richten Sie einen OpenVPN-Server unter Ubuntu ein 14.04

Bevor wir Pakete installieren, aktualisieren wir zuerst die Ubuntu-Repository-Listen.

Dann können wir OpenVPN und Easy-RSA installieren.

Die Beispiel-VPN-Serverkonfigurationsdatei muss nach "+ / etc / openvpn +" extrahiert werden, damit wir sie in unser Setup integrieren können. Dies kann mit einem Befehl erfolgen:

Öffnen Sie nach dem Extrahieren die Datei "+ server.conf +" in einem Texteditor. In diesem Tutorial wird Vim verwendet, Sie können jedoch den von Ihnen bevorzugten Editor verwenden.

In dieser Datei müssen mehrere Änderungen vorgenommen werden. Sie werden einen Abschnitt sehen, der so aussieht:

Bearbeiten Sie + dh1024.pem + und sagen Sie:

Dies verdoppelt die RSA-Schlüssellänge, die beim Generieren von Server- und Client-Schlüsseln verwendet wird.

Suchen Sie noch in + server.conf + nach diesem Abschnitt:

Entfernen Sie das Kommentarzeichen "+ push" redirect-gateway def1 bypass-dhcp "+", damit der VPN-Server den Webdatenverkehr der Clients an sein Ziel weiterleitet. Es sollte dann so aussehen:

Die nächste Änderung ist in diesem Bereich:

Entfernen Sie das Kommentarzeichen "+ push" dhcp-option DNS 208.67.222.222 "" und " push" dhcp-option DNS 208.67.220.220 "+". Es sollte dann so aussehen:

Dadurch wird der Server angewiesen, https://opendns.com [OpenDNS] an verbundene Clients zu senden, um eine DNS-Auflösung zu erhalten, sofern dies möglich ist. Dies kann dazu beitragen, zu verhindern, dass DNS-Anforderungen außerhalb der VPN-Verbindung verloren gehen. Es ist jedoch wichtig, die gewünschten DNS-Resolver auch auf den Client-Geräten anzugeben. Obwohl OpenDNS die Standardeinstellung von OpenVPN ist, können Sie die von Ihnen bevorzugten DNS-Dienste verwenden.

Der letzte Bereich, der in + server.conf + geändert werden muss, ist hier:

Kommentieren Sie sowohl + user nobody + als auch + group nogroup + aus. Es sollte dann so aussehen:

Standardmäßig wird OpenVPN als Benutzer * root * ausgeführt und hat daher vollen Root-Zugriff auf das System. Wir beschränken OpenVPN stattdessen auf den Benutzer * nobody * und die Gruppe * nogroup *. Dies ist ein nicht privilegierter Benutzer ohne Standardanmeldefunktionen, der häufig für die Ausführung nicht vertrauenswürdiger Anwendungen wie webbasierter Server reserviert ist.

Speichern Sie nun Ihre Änderungen und beenden Sie Vim.

Dies ist eine sysctl-Einstellung, mit der der Server-Kernel den Datenverkehr von Client-Geräten an das Internet weiterleitet. Andernfalls stoppt der Datenverkehr am Server. Aktivieren Sie die Paketweiterleitung zur Laufzeit, indem Sie den folgenden Befehl eingeben:

Wir müssen dies permanent machen, damit der Server den Datenverkehr nach dem Neustart weiterleitet.

Nahe dem oberen Rand der sysctl-Datei wird Folgendes angezeigt:

Kommentar "+ net.ipv4.ip_forward" entfernen. Es sollte dann so aussehen:

Speichern Sie Ihre Änderungen und beenden Sie das Programm.

ufw ist ein Frontend für iptables und die Einrichtung von ufw ist nicht schwierig. Es ist standardmäßig in Ubuntu 14.04 enthalten, daher müssen wir nur ein paar Regeln und Konfigurationsänderungen vornehmen und dann die Firewall einschalten. Eine Referenz für weitere Verwendungen von UFW finden Sie unter https://www.digitalocean.com/community/articles/how-to-setup-a-firewall-with-ufw-on-an-ubuntu-and-debian-cloud- server [Einrichten einer Firewall mit UFW auf einem Ubuntu und Debian Cloud Server].

Stellen Sie zuerst ufw ein, um SSH zuzulassen. In der Eingabeaufforderung "+ ENTER +":

In diesem Tutorial wird OpenVPN über UDP verwendet, daher muss ufw auch UDP-Verkehr über den Port "+ 1194 +" zulassen.

Die UFW-Weiterleitungsrichtlinie muss ebenfalls festgelegt werden. Dies tun wir in der primären Konfigurationsdatei von ufw.

Suchen Sie nach + DEFAULT_FORWARD_POLICY =" DROP "+. Dies muss von * DROP * in * ACCEPT * geändert werden. Es sollte dann so aussehen:

Als Nächstes werden zusätzliche UFW-Regeln für die Netzwerkadressübersetzung und die IP-Maskierung verbundener Clients hinzugefügt.

Stellen Sie sicher, dass das obere Ende Ihrer "+ before.rules +" - Datei wie folgt aussieht. Der Bereich in für * OPENVPN-REGELN * muss hinzugefügt werden:

Mit den Änderungen an ufw können wir es jetzt aktivieren. Geben Sie an der Eingabeaufforderung Folgendes ein:

Wenn Sie ufw aktivieren, wird die folgende Eingabeaufforderung zurückgegeben:

Antworte ++. Das Ergebnis ist diese Ausgabe:

So überprüfen Sie die primären Firewall-Regeln von ufw:

Der Statusbefehl sollte die folgenden Einträge zurückgeben:

Es ist jetzt an der Zeit, eine eigene Zertifizierungsstelle einzurichten und ein Zertifikat und einen Schlüssel für den OpenVPN-Server zu generieren. OpenVPN unterstützt die bidirektionale Authentifizierung basierend auf Zertifikaten. Dies bedeutet, dass der Client das Serverzertifikat und der Server das Clientzertifikat authentifizieren muss, bevor die gegenseitige Vertrauenswürdigkeit hergestellt wird. Dazu verwenden wir die zuvor kopierten Skripte von Easy RSA.

Kopieren Sie zuerst die Easy-RSA-Generierungsskripte.

Erstellen Sie dann das Schlüsselspeicherverzeichnis.

Easy-RSA verfügt über eine Variablendatei, die wir bearbeiten können, um Zertifikate zu erstellen, die ausschließlich unserer Person, unserem Unternehmen oder einer von uns gewählten Entität vorbehalten sind. Diese Informationen werden in die Zertifikate und Schlüssel kopiert und helfen später bei der Identifizierung der Schlüssel.

Die unten mit gekennzeichneten Variablen sollten nach Ihren Wünschen geändert werden.

Bearbeiten Sie in der gleichen "+ vars " - Datei auch diese eine Zeile, die unten gezeigt wird. Der Einfachheit halber verwenden wir " server " als Schlüsselnamen. Wenn Sie einen anderen Namen verwenden möchten, müssen Sie auch die OpenVPN-Konfigurationsdateien aktualisieren, die auf " server.key " und " server.crt +" verweisen.

Wir müssen die Diffie-Hellman-Parameter erzeugen; Dies kann einige Minuten dauern.

Wechseln wir nun die Verzeichnisse, sodass wir direkt von dem Punkt aus arbeiten, an dem wir die Skripte von Easy-RSA in Schritt 2 verschoben haben.

Initialisieren Sie die PKI (Public Key Infrastructure). Achten Sie auf die * Punkte (.) * Und * Leerzeichen * vor dem Befehl +. / Vars +. Dies kennzeichnet das aktuelle Arbeitsverzeichnis (Quelle).

Die Ausgabe des obigen Befehls ist unten dargestellt. Da wir im Verzeichnis "+ keys +" noch nichts generiert haben, ist die Warnung kein Grund zur Sorge.

Jetzt löschen wir das Arbeitsverzeichnis von allen möglichen alten Schlüsseln oder Beispielschlüsseln, um unseren neuen Platz zu machen.

Dieser abschließende Befehl erstellt die Zertifizierungsstelle durch Aufrufen eines interaktiven OpenSSL-Befehls. In der Ausgabe werden Sie aufgefordert, die zuvor in die Variablendatei von Easy-RSA eingegebenen Distinguished Name-Variablen (Ländername, Organisation usw.) zu bestätigen.

Drücken Sie einfach "+ ENTER +", um die einzelnen Eingabeaufforderungen zu durchlaufen. Wenn etwas geändert werden muss, können Sie dies über die Eingabeaufforderung tun.

Geben Sie nun den Befehl ein, um den Schlüssel des Servers zu erstellen. In der rot markierten Spalte "+" befindet sich die Variable " export KEY_NAME ", die wir in der Easy-RSA-Datei " vars +" weiter oben in Schritt 2 festgelegt haben.

Es wird eine ähnliche Ausgabe erzeugt wie bei der Ausführung von ". / Build-ca +", und Sie können erneut " ENTER +" drücken, um jede Zeile des Distinguished Name zu bestätigen. Diesmal gibt es jedoch zwei zusätzliche Eingabeaufforderungen:

Beide Felder müssen leer bleiben. Drücken Sie einfach die Eingabetaste, um die einzelnen Felder zu durchlaufen.

Zwei zusätzliche Abfragen am Ende erfordern eine positive Antwort (++):

Die letzte Eingabeaufforderung oben sollte Folgendes enthalten:

OpenVPN erwartet die CA, das Zertifikat und den Schlüssel des Servers in + / etc / openvpn +. Kopieren Sie sie an den richtigen Speicherort.

Sie können überprüfen, ob die Kopie erfolgreich war mit:

Sie sollten die Zertifikat- und Schlüsseldateien für den Server sehen.

Zu diesem Zeitpunkt ist der OpenVPN-Server einsatzbereit. Starten Sie es und überprüfen Sie den Status.

Der Statusbefehl sollte Folgendes zurückgeben:

Herzliche Glückwünsche! Ihr OpenVPN-Server ist betriebsbereit. Wenn die Statusmeldung besagt, dass das VPN nicht ausgeführt wird, überprüfen Sie die Datei "+ / var / log / syslog +" auf Fehler wie:

Dieser Fehler zeigt an, dass "+ server.key" nicht korrekt nach "+ / etc / openvpn" kopiert wurde. Kopieren Sie die Datei erneut und versuchen Sie es erneut.

Idealerweise verfügt jeder Client, der sich mit dem VPN verbindet, über ein eigenes Zertifikat und einen eigenen Schlüssel. Dies ist der Generierung eines allgemeinen Zertifikats und Schlüssels vorzuziehen, die auf allen Clientgeräten verwendet werden sollen.

_ * Hinweis: * Standardmäßig erlaubt OpenVPN keine gleichzeitigen Verbindungen zum Server von Clients, die dasselbe Zertifikat und denselben Schlüssel verwenden. (Siehe "+ duplicate-cn " in " / etc / openvpn / server.conf +".) _

Um für jedes Gerät, das Sie mit dem VPN verbinden möchten, separate Anmeldeinformationen für die Authentifizierung zu erstellen, müssen Sie diesen Schritt für jedes Gerät ausführen, den folgenden Namen jedoch in einen anderen Namen wie oder ändern. Mit separaten Anmeldeinformationen pro Gerät können diese später auf dem Server bei Bedarf einzeln deaktiviert werden. Die verbleibenden Beispiele in diesem Lernprogramm werden als Name des Beispiel-Clientgeräts verwendet.

Wie wir es mit dem Schlüssel des Servers getan haben, erstellen wir jetzt einen für unser Beispiel. Sie sollten immer noch mit + / etc / openvpn / easy-rsa arbeiten.

Erneut werden Sie aufgefordert, die Distinguished Name-Variablen und diese beiden Eingabeaufforderungen zu ändern oder zu bestätigen, die leer bleiben sollten. Drücken Sie + ENTER +, um die Standardeinstellungen zu übernehmen.

Nach wie vor erfordern diese beiden Bestätigungen am Ende des Erstellungsprozesses eine (++) Antwort:

Wenn die Schlüsselerstellung erfolgreich war, lautet die Ausgabe erneut:

Die Beispiel-Client-Konfigurationsdatei sollte ebenfalls in das Easy-RSA-Schlüsselverzeichnis kopiert werden. Wir verwenden es als Vorlage, die zur Bearbeitung auf Client-Geräte heruntergeladen wird. Während des Kopiervorgangs ändern wir den Namen der Beispieldatei von "+ client.conf " in " client.ovpn ", da die " .ovpn +" - Dateierweiterung von den Clients erwartet wird.

Sie können diesen Abschnitt für jeden Client erneut wiederholen und ihn durch den entsprechenden Clientnamen ersetzen.

Erinnern Sie sich an die obigen Schritte, dass wir die Client-Zertifikate und -Schlüssel erstellt haben und dass sie auf dem OpenVPN-Server im Verzeichnis "+ / etc / openvpn / easy-rsa / keys +" gespeichert sind.

Für jeden Client müssen die Clientzertifikat-, Schlüssel- und Profilvorlagendateien in einen Ordner auf unserem lokalen Computer oder einem anderen Clientgerät übertragen werden.

In diesem Beispiel benötigt unser Gerät sein Zertifikat und seinen Schlüssel, die sich auf dem Server befinden in:

Die Dateien "+ ca.crt " und " client.ovpn " sind für alle Clients gleich. Laden Sie auch diese beiden Dateien herunter. Beachten Sie, dass sich die Datei " ca.crt +" in einem anderen Verzeichnis befindet als die anderen.

Die genauen Anwendungen, die für diese Übertragung verwendet werden, hängen von Ihrer Wahl und dem Betriebssystem des Geräts ab. Sie möchten jedoch, dass die Anwendung im Backend SFTP (SSH File Transfer Protocol) oder SCP (Secure Copy) verwendet. Dadurch werden die VPN-Authentifizierungsdateien Ihres Clients über eine verschlüsselte Verbindung übertragen.

Hier ist ein Beispiel für einen SCP-Befehl anhand unseres Beispiels. Es legt die Datei + client1.key + im Verzeichnis * Downloads * auf dem lokalen Computer ab.

Hier einige Tools und Tutorials zum sicheren Übertragen von Dateien vom Server auf einen lokalen Computer:

Stellen Sie am Ende dieses Abschnitts sicher, dass sich diese vier Dateien auf Ihrem * client * -Gerät befinden:

Die OpenVPN-Clientanwendung für Windows finden Sie unter OpenVPN’s Downloads page. Wählen Sie die entsprechende Installationsversion für Ihre Windows-Version.

_ * Hinweis: * Für die Installation von OpenVPN sind Administratorrechte erforderlich. _

Kopieren Sie nach der Installation von OpenVPN das vereinheitlichte Profil "+ DigitalOcean.ovpn +" nach:

Wenn Sie OpenVPN starten, wird das Profil automatisch angezeigt und verfügbar gemacht.

OpenVPN muss bei jeder Verwendung als Administrator ausgeführt werden, auch von Administratorkonten. Dazu müssen Sie nicht mit der rechten Maustaste klicken und bei jeder Verwendung des VPNs * Als Administrator ausführen * auswählen. Sie können dies voreinstellen, dies muss jedoch über ein Administratorkonto erfolgen. Dies bedeutet auch, dass Standardbenutzer das Administratorkennwort eingeben müssen, um OpenVPN verwenden zu können. Auf der anderen Seite können Standardbenutzer nur dann eine ordnungsgemäße Verbindung zum Server herstellen, wenn OpenVPN auf dem Client über Administratorrechte verfügt. Daher sind erhöhte Berechtigungen erforderlich.

Um die OpenVPN-Anwendung so einzurichten, dass sie immer als Administrator ausgeführt wird, klicken Sie mit der rechten Maustaste auf das Verknüpfungssymbol und gehen Sie zu * Eigenschaften *. Klicken Sie unten auf der Registerkarte * Kompatibilität * auf die Schaltfläche * Einstellungen für alle Benutzer ändern *. Aktivieren Sie im neuen Fenster * Dieses Programm als Administrator ausführen *.

Jedes Mal, wenn Sie die OpenVPN-Benutzeroberfläche starten, werden Sie von Windows gefragt, ob Sie zulassen möchten, dass das Programm Änderungen an Ihrem Computer vornimmt. Klicken Sie auf * Ja *. Durch das Starten der OpenVPN-Clientanwendung wird das Applet nur in die Taskleiste verschoben, sodass das VPN bei Bedarf verbunden und getrennt werden kann. Die VPN-Verbindung wird nicht hergestellt.

Sobald OpenVPN gestartet ist, stellen Sie eine Verbindung her, indem Sie das Applet in der Taskleiste aufrufen und mit der rechten Maustaste auf das OpenVPN-Applet-Symbol klicken. Dies öffnet das Kontextmenü. Wählen Sie oben im Menü * DigitalOcean * aus (das ist unser "+ DigitalOcean.ovpn +" - Profil) und wählen Sie "Verbinden".

Ein Statusfenster wird geöffnet und zeigt die Protokollausgabe an, während die Verbindung hergestellt wird. Sobald der Client verbunden ist, wird eine Meldung angezeigt.

Trennen Sie die VPN-Verbindung auf die gleiche Weise: Öffnen Sie das Applet in der Taskleiste, klicken Sie mit der rechten Maustaste auf das OpenVPN-Applet-Symbol, wählen Sie das Client-Profil aus und klicken Sie auf * Trennen *.

Tunnelblick ist ein kostenloser Open-Source-OpenVPN-Client für Mac OS X. Sie können das neueste Disk-Image von der Tunnelblick-Downloadseite herunterladen. Doppelklicken Sie auf die heruntergeladene "+ .dmg +" - Datei und befolgen Sie die Installationsanweisungen.

Gegen Ende des Installationsvorgangs werden Sie von Tunnelblick gefragt, ob Sie Konfigurationsdateien haben. Es kann einfacher sein, * Nein * zu beantworten und Tunnelblick zu beenden. Öffnen Sie ein Finder-Fenster und doppelklicken Sie auf + DigitalOcean.ovpn +. Tunnelblick installiert das Client-Profil. Administratorrechte sind erforderlich.

Starten Sie Tunnelblick, indem Sie im Ordner * Programme * auf Tunnelblick doppelklicken. Nach dem Start von Tunnelblick befindet sich in der Menüleiste oben rechts auf dem Bildschirm ein Tunnelblick-Symbol zur Steuerung der Verbindungen. Klicken Sie auf das Symbol und dann auf den Menüpunkt * Verbinden *, um die VPN-Verbindung herzustellen. Wählen Sie die Verbindung * DigitalOcean *.

Suchen Sie im iTunes App Store nach OpenVPN Connect, der offiziellen iOS OpenVPN-Client-Anwendung, und installieren Sie sie. Um Ihr iOS-Client-Profil auf das Gerät zu übertragen, verbinden Sie es direkt mit einem Computer.

Der Abschluss der Übertragung mit iTunes wird hier beschrieben. Öffnen Sie iTunes auf dem Computer und klicken Sie auf * iPhone *> * apps *. Scrollen Sie nach unten zum Abschnitt * File Sharing * und klicken Sie auf die OpenVPN-App. Das leere Fenster auf der rechten Seite, * OpenVPN-Dokumente *, dient zum Freigeben von Dateien. Ziehen Sie die Datei "+ .ovpn +" in das OpenVPN-Dokumentfenster.

image: https: //assets.digitalocean.com/articles/openvpn_ubunutu/1.png [iTunes zeigt das VPN-Profil, das zum Laden auf dem iPhone bereit ist]

Starten Sie nun die OpenVPN-App auf dem iPhone. Es wird eine Benachrichtigung angezeigt, dass ein neues Profil zum Import bereit ist. Tippen Sie auf das grüne Pluszeichen, um es zu importieren.

image: https: //assets.digitalocean.com/articles/openvpn_ubunutu/2.png [Die OpenVPN iOS-App zeigt ein neues Profil an, das zum Import bereit ist.]

OpenVPN kann jetzt mit dem neuen Profil verwendet werden. Starten Sie die Verbindung, indem Sie die Taste * Connect * auf die Position * On * schieben. Trennen Sie die Verbindung, indem Sie denselben Knopf auf * Aus * schieben.

image: https: //assets.digitalocean.com/articles/openvpn_ubunutu/3.png [Die mit dem VPN verbundene OpenVPN iOS-App]

Öffnen Sie den Google Play Store. Suchen und installieren Sie Android OpenVPN Connect, die offizielle Android OpenVPN-Clientanwendung.

Das Profil "+ .ovpn +" kann übertragen werden, indem Sie das Android-Gerät über USB mit Ihrem Computer verbinden und die Datei kopieren. Wenn Sie über einen SD-Kartenleser verfügen, können Sie auch die SD-Karte des Geräts entfernen, das Profil darauf kopieren und die Karte dann wieder in das Android-Gerät einlegen.

Starten Sie die OpenVPN-App und tippen Sie auf das Menü, um das Profil zu importieren.

image: https://assets.digitalocean.com/articles/openvpn_ubunutu/4.png [Die Menüauswahl zum Importieren von OpenVPN-Android-App-Profilen]

Navigieren Sie dann zum Speicherort des gespeicherten Profils (im Screenshot wird "+ / sdcard / Download / +" verwendet) und wählen Sie die Datei aus. Die App merkt sich, dass das Profil importiert wurde.

image: https://assets.digitalocean.com/articles/openvpn_ubunutu/5.png [Die OpenVPN-Android-App, die das zu importierende VPN-Profil auswählt]

Um eine Verbindung herzustellen, tippen Sie einfach auf die Schaltfläche * Verbinden *. Sie werden gefragt, ob Sie der OpenVPN-Anwendung vertrauen. Wählen Sie * OK *, um die Verbindung herzustellen. Um die Verbindung zum VPN zu trennen, kehren Sie zur OpenVPN-App zurück und wählen Sie * Trennen *.

image: https: //assets.digitalocean.com/articles/openvpn_ubunutu/6.png [Die OpenVPN-Android-App kann eine Verbindung zum VPN herstellen]