Einführung
Über ein Virtual Private Network (VPN) können Sie nicht vertrauenswürdige Netzwerke wie in einem privaten Netzwerk durchqueren. Es gibt Ihnen die Freiheit, sicher und sicher von Ihrem Smartphone oder Laptop aus auf das Internet zuzugreifen, wenn Sie mit einem nicht vertrauenswürdigen Netzwerk verbunden sind, wie z. B. dem WiFi in einem Hotel oder einem Café.
In Verbindung mit HTTPS connections können Sie mit diesem Setup Ihre drahtlosen Anmeldungen und Transaktionen sichern. Sie können geografische Beschränkungen und Zensur umgehen und Ihren Standort sowie den unverschlüsselten HTTP-Datenverkehr vor dem nicht vertrauenswürdigen Netzwerk schützen.
https://openvpn.net [OpenVPN] ist eine Open-Source-VPN-Lösung mit vollem Funktionsumfang und SSL (Secure Socket Layer), die eine Vielzahl von Konfigurationen ermöglicht. In diesem Lernprogramm richten Sie OpenVPN auf einem CentOS 7-Server ein und konfigurieren es dann so, dass von einem Client-Computer aus darauf zugegriffen werden kann.
Voraussetzungen
Um diesem Tutorial zu folgen, benötigen Sie:
-
Ein CentOS 7-Server mit einem sudo-Benutzer ohne Rootberechtigung und einer Firewall, die mit firewalld eingerichtet wurde. Dies erreichen Sie mit https://www.digitalocean.com/community/tutorials/initial-server-setup-with-centos-7 Handbuch [Erstes Server-Setup mit CentOS 7] und Additional Recommended Steps for New CentOS 7 Servers .
-
Eine Domäne oder Unterdomäne, die auf Ihren Server aufgelöst wird und die Sie für die Zertifikate verwenden können. Um dies einzurichten, müssen Sie zuerst Registrieren eines Domainnamens und dann add a DNS record via DigitalOcean Control Panel. Beachten Sie, dass nur das Hinzufügen eines A-Datensatzes die Anforderungen dieses Lernprogramms erfüllt.
-
Ein Client-Computer, mit dem Sie eine Verbindung zu Ihrem OpenVPN-Server herstellen. Für die Zwecke dieses Lernprogramms wird empfohlen, dass Sie Ihren lokalen Computer als OpenVPN-Client verwenden.
Mit diesen Voraussetzungen können Sie beginnen, einen OpenVPN-Server unter CentOS 7 einzurichten und zu konfigurieren.
Schritt 1 - Installieren von OpenVPN
Zunächst installieren wir OpenVPN auf dem Server. Außerdem installieren wir Easy RSA, ein Tool zur Verwaltung der Infrastruktur öffentlicher Schlüssel, mit dessen Hilfe wir eine interne Zertifizierungsstelle (CA) für die Verwendung mit unserem VPN einrichten können. Wir werden auch Easy RSA verwenden, um später unsere SSL-Schlüsselpaare zu generieren und die VPN-Verbindungen zu sichern.
Melden Sie sich als Benutzer ohne Rootberechtigung bei dem Server an, und aktualisieren Sie die Paketlisten, um sicherzustellen, dass Sie über die neuesten Versionen verfügen.
sudo yum update -yDas EPEL-Repository (Extra Packages for Enterprise Linux) ist ein zusätzliches Repository, das vom Fedora-Projekt verwaltet wird und nicht standardmäßige, aber beliebte Pakete enthält. OpenVPN ist in den CentOS-Standardrepositorys nicht verfügbar, jedoch in EPEL. Installieren Sie EPEL:
sudo yum install epel-release -yDann aktualisieren Sie Ihre Paketlisten noch einmal:
sudo yum update -yAls nächstes installieren Sie OpenVPN und + wget +, mit denen wir Easy RSA installieren:
sudo yum install -y openvpn wgetLaden Sie mit + wget + Easy RSA herunter. Für die Zwecke dieses Lernprogramms empfehlen wir die Verwendung von easy-rsa-2, da für diese Version mehr Dokumentation verfügbar ist. Den Download-Link für die neueste Version von easy-rsa-2 finden Sie auf der Releases-Seite des Projekts:
wget -O /tmp/easyrsa https://github.com/OpenVPN/easy-rsa-old/archive/.tar.gzAls nächstes extrahieren Sie die komprimierte Datei mit + tar +:
tar xfz /tmp/easyrsaDadurch wird auf Ihrem Server ein neues Verzeichnis mit dem Namen "+ easy-rsa-old- " erstellt. Erstellen Sie ein neues Unterverzeichnis unter " / etc / openvpn" und nennen Sie es "+ easy-rsa":
sudo mkdir /etc/openvpn/easy-rsaKopieren Sie die extrahierten Easy RSA-Dateien in das neue Verzeichnis:
sudo cp -rf easy-rsa-old-/easy-rsa//* /etc/openvpn/easy-rsaÄndern Sie dann den Eigentümer des Verzeichnisses in Ihren Nicht-Root-Benutzer sudo:
sudo chown /etc/openvpn/easy-rsa/Nachdem diese Programme installiert und an die richtigen Positionen auf Ihrem System verschoben wurden, müssen Sie im nächsten Schritt die serverseitige Konfiguration von OpenVPN anpassen.
Schritt 2 - OpenVPN konfigurieren
Wie bei vielen anderen weit verbreiteten Open-Source-Tools stehen Ihnen Dutzende Konfigurationsoptionen zur Verfügung. In diesem Abschnitt finden Sie Anweisungen zum Einrichten einer grundlegenden OpenVPN-Serverkonfiguration.
OpenVPN hat mehrere Beispielkonfigurationsdateien in seinem Dokumentationsverzeichnis. Kopieren Sie zunächst die Beispieldatei + server.conf + als Ausgangspunkt für Ihre eigene Konfigurationsdatei.
sudo cp /usr/share/doc/openvpn-/sample/sample-config-files/server.conf /etc/openvpnÖffnen Sie die neue Datei zum Bearbeiten mit dem Texteditor Ihrer Wahl. In unserem Beispiel verwenden wir nano, das Sie mit dem Befehl "+ yum install nano +" herunterladen können, wenn Sie es noch nicht auf Ihrem Server haben:
sudo nano /etc/openvpn/server.confIn dieser Datei müssen einige Zeilen geändert werden. Die meisten müssen nur durch Entfernen des Semikolons "+; +" am Anfang der Zeile aus dem Kommentar entfernt werden. Die Funktionen dieser Zeilen und der anderen in diesem Lernprogramm nicht erwähnten Zeilen werden in den Kommentaren über den einzelnen Zeilen ausführlich erläutert.
Suchen Sie zunächst die Zeile mit "+ push" redirect-gateway def1 bypass-dhcp "+" und kommentieren Sie sie aus. Dadurch wird Ihr Client angewiesen, den gesamten Datenverkehr über Ihren OpenVPN-Server umzuleiten. Beachten Sie, dass das Aktivieren dieser Funktion zu Verbindungsproblemen mit anderen Netzwerkdiensten wie SSH führen kann:
/etc/openvpn/server.conf
push "redirect-gateway def1 bypass-dhcp"Da Ihr Client die von Ihrem Internetdienstanbieter bereitgestellten Standard-DNS-Server nicht verwenden kann (da der Datenverkehr umgeleitet wird), müssen Sie ihm mitteilen, welche DNS-Server für die Verbindung mit OpenVPN verwendet werden können. Sie können verschiedene DNS-Server auswählen. Hier verwenden wir jedoch die öffentlichen DNS-Server von Google mit den IP-Adressen "+ 8.8.8.8 " und " 8.8.4.4 +".
Stellen Sie dies ein, indem Sie die beiden + Push" dhcp-Option DNS … "+ Zeilen auskommentieren und die IP-Adressen aktualisieren:
/etc/openvpn/server.conf
push "dhcp-option DNS "
push "dhcp-option DNS "Wir möchten, dass OpenVPN nach dem Start ohne Berechtigungen ausgeführt wird. Deshalb müssen wir festlegen, dass es mit einem Benutzer und einer Gruppe von * nobody * ausgeführt werden soll. Um dies zu aktivieren, kommentieren Sie die Zeilen + user nobody + und + group nobody +:
/etc/openvpn/server.conf
user nobody
group nobodyKommentieren Sie als Nächstes die Zeile "+ Topologie-Subnetz " aus. Dies konfiguriert zusammen mit der Zeile " server 10.8.0.0 255.255.255.0 " darunter Ihre OpenVPN-Installation so, dass sie als Subnetz fungiert, und teilt dem Clientcomputer mit, welche IP-Adresse er verwenden soll. In diesem Fall wird der Server zu " 10.8.0.1 " und der erste Client wird zu " 10.8.0.2 +":
/etc/openvpn/server.conf
topology subnetEs wird außerdem empfohlen, der Serverkonfigurationsdatei die folgende Zeile hinzuzufügen. Dadurch wird doppelt geprüft, ob eingehende Client-Zertifikate wirklich von einem Client stammen, und die Sicherheitsparameter, die wir in späteren Schritten festlegen werden, werden gestärkt:
/etc/openvpn/server.conf
remote-cert-eku "TLS Web Client Authentication"Schließlich empfiehlt OpenVPN den Benutzern nachdrücklich, die TLS-Authentifizierung zu aktivieren, ein kryptografisches Protokoll, das eine sichere Kommunikation über ein Computernetzwerk gewährleistet. Dazu müssen Sie einen statischen Verschlüsselungsschlüssel generieren (in unserem Beispiel "+ .tlsauth "), obwohl Sie einen beliebigen Namen auswählen können. Kommentieren Sie vor dem Erstellen dieses Schlüssels die Zeile in der Konfigurationsdatei, die " tls-auth ta.key 0 " enthält, indem Sie ein Semikolon voranstellen. Fügen Sie dann " tls-crypt .tlsauth +" in die Zeile darunter ein:
/etc/openvpn/server.conf
tls-auth ta.key 0
tls-crypt .tlsauthSpeichern und beenden Sie die OpenVPN-Serverkonfigurationsdatei (drücken Sie in nano die Tastenkombination STRG - X +, Y + und anschließend die Tastenkombination EINGABETASTE, um dies zu tun) und generieren Sie den statischen Verschlüsselungsschlüssel mit dem folgenden Befehl:
sudo openvpn --genkey --secret /etc/openvpn/.tlsauthNachdem Ihr Server konfiguriert ist, können Sie die SSL-Schlüssel und -Zertifikate einrichten, die für eine sichere Verbindung zu Ihrer VPN-Verbindung erforderlich sind.
Schritt 3 - Generieren von Schlüsseln und Zertifikaten
Easy RSA verwendet eine Reihe von Skripten, die mit dem Programm installiert werden, um Schlüssel und Zertifikate zu generieren. Um zu vermeiden, dass Sie jedes Mal neu konfigurieren, wenn Sie ein Zertifikat erstellen müssen, können Sie die Konfiguration von Easy RSA ändern, um die Standardwerte zu definieren, die für die Zertifikatfelder verwendet werden, einschließlich Ihres Landes, Ihrer Stadt und der bevorzugten E-Mail-Adresse.
Wir beginnen mit dem Generieren von Schlüsseln und Zertifikaten, indem wir ein Verzeichnis erstellen, in dem Easy RSA alle von Ihnen generierten Schlüssel und Zertifikate speichert:
sudo mkdirDie voreingestellten Zertifikatsvariablen werden in der Datei + vars + in + / etc / openvpn / easy-rsa + festgelegt. Öffnen Sie diese Datei zum Bearbeiten:
sudo nano /etc/openvpn/easy-rsa/varsScrollen Sie zum Ende der Datei und ändern Sie die Werte, die mit "+ export KEY_ +" beginnen, so, dass sie Ihren Informationen entsprechen. Die wichtigsten sind:
-
+ KEY_CN +: Geben Sie hier die Domain oder Subdomain ein, die auf Ihren Server aufgelöst wird. -
+ KEY_NAME +: Geben Sie hier+ server +ein. Wenn Sie etwas anderes eingeben, müssen Sie auch die Konfigurationsdateien aktualisieren, die auf "+ server.key " und " server.crt +" verweisen.
Die anderen Variablen in dieser Datei, die Sie möglicherweise ändern möchten, sind:
-
+ KEY_COUNTRY +: Geben Sie für diese Variable die aus zwei Buchstaben bestehende Abkürzung des Landes Ihres Wohnsitzes ein. -
+ KEY_PROVINCE +: Dies sollte der Name oder die Abkürzung des Staates Ihres Wohnsitzes sein. -
+ KEY_CITY +: Geben Sie hier den Namen der Stadt ein, in der Sie leben. -
+ KEY_ORG +: Dies sollte der Name Ihrer Organisation oder Firma sein. -
+ KEY_EMAIL +: Geben Sie die E-Mail-Adresse ein, mit der Sie mit dem Sicherheitszertifikat verbunden werden möchten. -
+ KEY_OU +: Dies sollte der Name der „Organisationseinheit“ sein, zu der Sie gehören, normalerweise entweder der Name Ihrer Abteilung oder Ihres Teams.
Die restlichen Variablen können außerhalb bestimmter Anwendungsfälle ignoriert werden. Nachdem Sie Ihre Änderungen vorgenommen haben, sollte die Datei folgendermaßen aussehen:
/ etc / openvpn / easy-rsa / vars
. . .
# These are the default values for fields
# which will be placed in the certificate.
# Don't leave any of these fields blank.
export KEY_COUNTRY=""
export KEY_PROVINCE=""
export KEY_CITY=""
export KEY_ORG=""
export KEY_EMAIL=""
export KEY_EMAIL=
export KEY_CN=
export KEY_NAME=""
export KEY_OU=""
. . .Speichern und schließen Sie die Datei.
Um mit der Generierung der Schlüssel und Zertifikate zu beginnen, wechseln Sie in das Verzeichnis "+ easy-rsa " und in " source" in den neuen Variablen, die Sie in der Datei "+ vars" festgelegt haben:
cd /etc/openvpn/easy-rsa
source ./varsFühren Sie das "+ clean-all +" - Skript von Easy RSA aus, um alle bereits im Ordner enthaltenen Schlüssel und Zertifikate zu entfernen und die Zertifizierungsstelle zu generieren:
./clean-allErstellen Sie als Nächstes die Zertifizierungsstelle mit dem Skript "+ build-ca ". Sie werden aufgefordert, Werte für die Zertifikatfelder einzugeben. Wenn Sie die Variablen jedoch zuvor in der Datei " vars " festgelegt haben, sind alle Ihre Optionen bereits als Standardeinstellungen festgelegt. Sie können ` ENTER +` drücken, um die Standardeinstellungen für jeden einzelnen zu übernehmen:
./build-caDieses Skript generiert eine Datei mit dem Namen "+ ca.key ". Dies ist der private Schlüssel, mit dem Sie die Zertifikate Ihres Servers und Ihrer Clients signieren. Wenn es verloren geht, können Sie Zertifikaten dieser Zertifizierungsstelle nicht mehr vertrauen. Wenn jemand auf diese Datei zugreifen kann, kann er neue Zertifikate signieren und ohne Ihr Wissen auf Ihr VPN zugreifen. Aus diesem Grund empfiehlt OpenVPN, ` ca.key +` an einem Ort zu speichern, der so weit wie möglich offline sein kann, und sollte nur beim Erstellen neuer Zertifikate aktiviert werden.
Als nächstes erstellen Sie einen Schlüssel und ein Zertifikat für den Server mit dem Skript + build-key-server +:
./build-key-server serverWie beim Erstellen der Zertifizierungsstelle werden die von Ihnen als Standard festgelegten Werte angezeigt, sodass Sie bei diesen Eingabeaufforderungen die Tastenkombination "+ ENTER " drücken können. Außerdem werden Sie aufgefordert, ein Kennwort für die Sicherheitsabfrage und einen optionalen Firmennamen einzugeben. Wenn Sie ein Abfragekennwort eingeben, werden Sie beim Herstellen einer VPN-Verbindung von Ihrem Client dazu aufgefordert. Wenn Sie kein Passwort für die Sicherheitsabfrage festlegen möchten, lassen Sie diese Zeile leer und drücken Sie " ENTER ". Geben Sie am Ende " Y +" ein, um die Änderungen zu übernehmen.
Der letzte Teil der Erstellung der Serverschlüssel und Zertifikate besteht in der Generierung einer Diffie-Hellman-Schlüsselaustauschdatei. Verwenden Sie dazu das Skript + build-dh +:
./build-dhDies kann einige Minuten dauern.
Wenn Ihr Server die Schlüsselaustauschdatei erstellt hat, kopieren Sie die Serverschlüssel und Zertifikate aus dem Verzeichnis + keys + in das Verzeichnis + openvpn +:
cd /etc/openvpn/easy-rsa/keys
sudo cp dh2048.pem ca.crt server.crt server.key /etc/openvpnJeder Client benötigt auch ein Zertifikat, damit sich der OpenVPN-Server authentifizieren kann. Diese Schlüssel und Zertifikate werden auf dem Server erstellt und müssen dann auf Ihre Clients kopiert werden, was wir in einem späteren Schritt tun werden. Es wird empfohlen, dass Sie für jeden Client, den Sie mit Ihrem VPN verbinden möchten, separate Schlüssel und Zertifikate generieren.
Da wir hier nur einen Client einrichten, haben wir ihn "+ client +" genannt. Sie können ihn jedoch in einen aussagekräftigeren Namen ändern, wenn Sie möchten:
cd /etc/openvpn/easy-rsa
./build-keyKopieren Sie abschließend die versionierte OpenSSL-Konfigurationsdatei "+ openssl-1.0.0.cnf " in einen versionslosen Namen " openssl.cnf +". Andernfalls kann ein Fehler auftreten, bei dem OpenSSL die Konfiguration nicht laden kann, da die Version nicht erkannt wird:
cp /etc/openvpn/easy-rsa/openssl-1.0.0.cnf /etc/openvpn/easy-rsa/openssl.cnfNachdem alle erforderlichen Schlüssel und Zertifikate für Ihren Server und Ihren Client generiert wurden, können Sie mit dem Einrichten des Routings zwischen den beiden Computern fortfahren.
Schritt 4 - Routing
Bisher haben Sie OpenVPN auf Ihrem Server installiert, konfiguriert und die Schlüssel und Zertifikate generiert, die Ihr Client für den Zugriff auf das VPN benötigt. Sie haben OpenVPN jedoch noch keine Anweisungen zum Senden des eingehenden Webdatenverkehrs von Clients bereitgestellt. Sie können festlegen, wie der Server mit dem Client-Datenverkehr umgehen soll, indem Sie einige Firewall-Regeln und Routing-Konfigurationen festlegen.
Vorausgesetzt, Sie haben die Voraussetzungen zu Beginn dieses Lernprogramms erfüllt, sollte auf Ihrem Server bereits eine Firewall installiert sein und ausgeführt werden. Um OpenVPN durch die Firewall zuzulassen, müssen Sie Ihre aktive Firewall-Zone kennen. Finden Sie dies mit dem folgenden Befehl:
sudo firewall-cmd --get-active-zonesOutputtrusted
Interfaces: tun0Fügen Sie als Nächstes den Dienst "+ openvpn " zur Liste der Dienste hinzu, die von firewalld in Ihrer aktiven Zone zugelassen werden, und machen Sie diese Einstellung dauerhaft, indem Sie den Befehl erneut ausführen, wobei die Option " - permanent +" hinzugefügt wird:
sudo firewall-cmd --zone=trusted --add-service openvpn
sudo firewall-cmd --zone=trusted --add-service openvpn --permanentMit dem folgenden Befehl können Sie überprüfen, ob der Dienst korrekt hinzugefügt wurde:
sudo firewall-cmd --list-services --zone=trustedOutputopenvpnFügen Sie als Nächstes der aktuellen Laufzeitinstanz eine Maskerade hinzu und fügen Sie sie dann mit der Option "+ - permanent +" erneut hinzu, um die Maskerade allen zukünftigen Instanzen hinzuzufügen:
sudo firewall-cmd --add-masquerade
sudo firewall-cmd --permanent --add-masqueradeMit diesem Befehl können Sie überprüfen, ob die Maskerade korrekt hinzugefügt wurde:
sudo firewall-cmd --query-masqueradeOutputyesWeiterleiten Sie das Routing an Ihr OpenVPN-Subnetz. Sie können dies tun, indem Sie zunächst eine Variable erstellen (in unserem Beispiel "++"), die die von Ihrem Server verwendete primäre Netzwerkschnittstelle darstellt, und dann mit dieser Variablen die Routing-Regel dauerhaft hinzufügen:
=$(ip route get 8.8.8.8 | awk 'NR==1 {print $(NF-2)}')
sudo firewall-cmd --permanent --direct --passthrough ipv4 -t nat -A POSTROUTING -s 10.8.0.0/24 -o $ -j MASQUERADEStellen Sie sicher, dass Sie diese Änderungen an Ihren Firewall-Regeln implementieren, indem Sie firewalld neu laden:
sudo firewall-cmd --reloadAktivieren Sie als Nächstes die IP-Weiterleitung. Dadurch wird der gesamte Webdatenverkehr von Ihrem Client an die IP-Adresse Ihres Servers weitergeleitet, und die öffentliche IP-Adresse Ihres Clients wird effektiv ausgeblendet.
Öffne + sysctl.conf + zum Bearbeiten:
sudo nano /etc/sysctl.confFügen Sie dann die folgende Zeile oben in die Datei ein:
/etc/sysctl.conf
net.ipv4.ip_forward = 1Starten Sie abschließend den Netzwerkdienst neu, damit die IP-Weiterleitung wirksam wird:
sudo systemctl restart network.serviceMit den vorhandenen Routing- und Firewall-Regeln können wir den OpenVPN-Dienst auf dem Server starten.
Schritt 5 - OpenVPN starten
OpenVPN wird als Systemdienst mit + systemctl + verwaltet. Wir werden OpenVPN so konfigurieren, dass es beim Booten gestartet wird, so dass Sie jederzeit eine Verbindung zu Ihrem VPN herstellen können, solange Ihr Server läuft. Aktivieren Sie dazu den OpenVPN-Server, indem Sie ihn zu "+ systemctl +" hinzufügen:
sudo systemctl -f enable [email protected]Starten Sie dann den OpenVPN-Dienst:
sudo systemctl start [email protected]Überprüfen Sie mit dem folgenden Befehl, ob der OpenVPN-Dienst aktiv ist. Sie sollten "+ active (running) +" in der Ausgabe sehen:
sudo systemctl status [email protected]Output● [email protected] - OpenVPN Robust And Highly Flexible Tunneling Application On server
Loaded: loaded (/usr/lib/systemd/system/[email protected]; enabled; vendor preset: disabled)
Active: **active (running)** since Wed 2018-03-14 15:20:11 EDT; 7s ago
Main PID: 2824 (openvpn)
Status: "Initialization Sequence Completed"
CGroup: /system.slice/system-openvpn.slice/[email protected]
└─2824 /usr/sbin/openvpn --cd /etc/openvpn/ --config server.conf
. . .Wir haben jetzt die serverseitige Konfiguration für OpenVPN abgeschlossen. Als Nächstes konfigurieren Sie Ihren Client-Computer und stellen eine Verbindung zum OpenVPN-Server her.
Schritt 6 - Konfigurieren eines Clients
Unabhängig vom Betriebssystem Ihres Client-Computers ist eine lokal gespeicherte Kopie des CA-Zertifikats und des in Schritt 3 generierten Client-Schlüssels und -Zertifikats sowie des statischen Verschlüsselungsschlüssels erforderlich, den Sie am Ende von Schritt 2 generiert haben.
Suchen Sie die folgenden Dateien * auf Ihrem Server *. Wenn Sie mehrere Client-Schlüssel mit eindeutigen, beschreibenden Namen generiert haben, unterscheiden sich die Namen der Schlüssel und Zertifikate. In diesem Artikel haben wir ++ verwendet.
/etc/openvpn/easy-rsa/keys/ca.crt
/etc/openvpn/easy-rsa/keys/.crt
/etc/openvpn/easy-rsa/keys/.key
/etc/openvpn/.tlsauthKopieren Sie diese Dateien auf Ihren * Client-Rechner *. Sie können SFTP oder Ihre bevorzugte Methode verwenden. Sie können die Dateien auch einfach in Ihrem Texteditor öffnen und den Inhalt kopieren und in neue Dateien auf Ihrem Client-Computer einfügen. Unabhängig davon, welche Methode Sie verwenden, notieren Sie sich, wo Sie diese Dateien speichern.
Erstellen Sie als Nächstes eine Datei mit dem Namen "+ client.ovpn +" * auf Ihrem Client-Computer *. Dies ist eine Konfigurationsdatei für einen OpenVPN-Client, in der erklärt wird, wie eine Verbindung zum Server hergestellt wird:
sudo nano client.ovpnFügen Sie dann die folgenden Zeilen zu + client.ovpn + hinzu. Beachten Sie, dass viele dieser Zeilen die Zeilen wiedergeben, die wir nicht kommentiert oder der Datei "+ server.conf +" hinzugefügt haben oder die standardmäßig bereits enthalten sind:
client.ovpn
tls-client
ca ca.crt
cert .crt
key .key
tls-crypt tlsauth
remote-cert-eku "TLS Web Client Authentication"
proto udp
remote 1194 udp
dev tun
topology subnet
pull
user nobody
group nobodyBeachten Sie beim Hinzufügen dieser Zeilen Folgendes:
-
Sie müssen die erste Zeile ändern, um den Namen wiederzugeben, den Sie dem Client in Ihrem Schlüssel und Zertifikat gegeben haben. in unserem Fall ist das nur "++"
-
Sie müssen auch die IP-Adresse von "+" auf die IP-Adresse Ihres Servers aktualisieren. port ` 1194 +` kann gleich bleiben
-
Stellen Sie sicher, dass die Pfade zu Ihren Schlüssel- und Zertifikatdateien korrekt sind
Diese Datei kann nun von jedem OpenVPN-Client verwendet werden, um eine Verbindung zu Ihrem Server herzustellen. Im Folgenden finden Sie betriebssystemspezifische Anweisungen zum Herstellen einer Verbindung mit Ihrem Client:
-
Windows: *
Unter Windows benötigen Sie die offiziellen OpenVPN Community Edition-Binärdateien, die mit einer GUI geliefert werden. Legen Sie Ihre "+ .ovpn " - Konfigurationsdatei in das richtige Verzeichnis " C: \ Programme \ OpenVPN \ config +" und klicken Sie in der GUI auf "Verbinden". OpenVPN GUI unter Windows muss mit Administratorrechten ausgeführt werden.
Mac OS:
Unter macOS bietet die Open Source-Anwendung Tunnelblick eine Oberfläche ähnlich der OpenVPN-Benutzeroberfläche unter Windows und wird mit OpenVPN und den erforderlichen TUN / TAP-Treibern geliefert. Wie bei Windows müssen Sie nur die Konfigurationsdatei "+ .ovpn " in das Verzeichnis " ~ / Library / Application Support / Tunnelblick / Configurations " kopieren. Alternativ können Sie auch auf Ihre " .ovpn +" - Datei doppelklicken.
-
Linux: *
Unter Linux sollten Sie OpenVPN von den offiziellen Repositorys Ihrer Distribution installieren. Sie können OpenVPN dann aufrufen, indem Sie Folgendes ausführen:
sudo openvpn --configNachdem Sie eine erfolgreiche Client-Verbindung hergestellt haben, können Sie überprüfen, ob Ihr Datenverkehr über das VPN geleitet wird, indem Sie Überprüfen, ob Google Ihre öffentliche IP-Adresse anzeigt .
Fazit
Sie sollten jetzt ein voll funktionsfähiges virtuelles privates Netzwerk auf Ihrem OpenVPN-Server haben. Sie können im Internet surfen und Inhalte herunterladen, ohne sich Gedanken über böswillige Akteure machen zu müssen, die Ihre Aktivitäten verfolgen.
Sie können Ihre OpenVPN-Installation in mehreren Schritten noch weiter anpassen, z. B. Ihren Client so konfigurieren, dass er automatisch eine Verbindung zum VPN herstellt, oder clientspezifische Regeln und Zugriffsrichtlinien konfigurieren. Informationen zu diesen und anderen OpenVPN-Anpassungen finden Sie in der offiziellen OpenVPN-Dokumentation unter https://openvpn.net/index.php/open-source/documentation.html. Wenn Sie sich für andere Möglichkeiten interessieren, sich und Ihre Maschinen im Internet zu schützen, lesen Sie unseren Artikel unter https://www.digitalocean.com/community/tutorials/7-security-measures-to-protect-your- servers [7 Sicherheitsmaßnahmen zum Schutz Ihrer Server].