Как настроить сервер OpenVPN в Ubuntu 14.04

Прежде чем устанавливать какие-либо пакеты, сначала мы обновим списки репозиториев Ubuntu.

Тогда мы можем установить OpenVPN и Easy-RSA.

Пример файла конфигурации VPN-сервера необходимо извлечь в + / etc / openvpn +, чтобы мы могли включить его в нашу настройку. Это можно сделать одной командой:

После извлечения откройте + server.conf + в текстовом редакторе. Этот урок будет использовать Vim, но вы можете использовать любой редактор, который вы предпочитаете.

В этот файл нужно внести несколько изменений. Вы увидите раздел, похожий на этот:

Отредактируйте + dh1024.pem +, чтобы сказать:

Это удвоит длину ключа RSA, используемую при генерации ключей сервера и клиента.

Все еще в + server.conf +, теперь ищите этот раздел:

Раскомментируйте + push" redirect-gateway def1 bypass-dhcp "+, чтобы VPN-сервер передавал клиентский веб-трафик по назначению. Это должно выглядеть следующим образом:

Следующее редактирование в этой области:

Раскомментируйте + push" dhcp-option DNS 208.67.220.220 "+ и + push" dhcp-option DNS 208.67.220.220 "+. Это должно выглядеть следующим образом:

Это говорит серверу, чтобы он отправлял https://opendns.com [OpenDNS] подключенным клиентам для разрешения DNS, где это возможно. Это может помочь предотвратить утечку DNS-запросов за пределы VPN-соединения. Однако важно также указать желаемые преобразователи DNS на клиентских устройствах. Хотя OpenDNS по умолчанию используется OpenVPN, вы можете использовать любой DNS-сервис, который вы предпочитаете.

Последняя область для изменения в + server.conf + находится здесь:

Раскомментируйте + user nobody + и + group nogroup +. Это должно выглядеть следующим образом:

По умолчанию OpenVPN запускается как пользователь * root * и, таким образом, имеет полный root-доступ к системе. Вместо этого мы ограничим OpenVPN пользователем * nobody * и группой * nogroup *. Это непривилегированный пользователь без возможности входа в систему по умолчанию, часто зарезервированный для запуска ненадежных приложений, таких как веб-серверы.

Теперь сохраните ваши изменения и выйдите из Vim.

Это параметр sysctl, который указывает ядру сервера пересылать трафик с клиентских устройств в Интернет. В противном случае трафик остановится на сервере. Включите пересылку пакетов во время выполнения, введя эту команду:

Нам нужно сделать это постоянным, чтобы сервер по-прежнему пересылал трафик после перезагрузки.

В верхней части файла sysctl вы увидите:

Раскомментируйте + net.ipv4.ip_forward +. Это должно выглядеть следующим образом:

Сохраните изменения и выйдите.

UFW это интерфейс для iptables, и настройка UFW не сложно. Он включен по умолчанию в Ubuntu 14.04, поэтому нам нужно только сделать несколько правил и изменений конфигурации, а затем включить брандмауэр. В качестве справочного материала по дополнительному использованию ufw см. Https://www.digitalocean.com/community/articles/how-to-setup-a-firewall-with-ufw-on-an-ubuntu-and-debian-cloud- сервер [Как настроить брандмауэр с UFW на Ubuntu и Debian Cloud Server].

Сначала установите UFW, чтобы разрешить SSH. В командной строке + ENTER +:

В этом руководстве будет использоваться OpenVPN поверх UDP, поэтому ufw также должен разрешать трафик UDP через порт + 1194 +.

Политика ufw forwarding также должна быть установлена. Мы сделаем это в основном файле конфигурации ufw.

Найдите + DEFAULT_FORWARD_POLICY =" DROP "+. Это должно быть изменено с * DROP * на * ACCEPT *. Это должно выглядеть следующим образом:

Далее мы добавим дополнительные правила UFW для трансляции сетевых адресов и маскирования IP-адресов подключенных клиентов.

Сделайте верхнюю часть вашего файла + before.rules + как показано ниже. Область для * OPENVPN RULES * должна быть добавлена:

С изменениями, внесенными в ufw, теперь мы можем включить его. Введите в командной строке:

Включение ufw вернет следующее приглашение:

Ответ ++. Результатом будет такой вывод:

Чтобы проверить основные правила брандмауэра ufw:

Команда status должна вернуть эти записи:

Настало время настроить наш собственный центр сертификации (CA) и сгенерировать сертификат и ключ для сервера OpenVPN. OpenVPN поддерживает двунаправленную аутентификацию на основе сертификатов, что означает, что клиент должен аутентифицировать сертификат сервера, а сервер должен аутентифицировать сертификат клиента, прежде чем будет установлено взаимное доверие. Для этого мы будем использовать сценарии Easy RSA, которые мы скопировали ранее.

Сначала скопируйте сценарии создания Easy-RSA.

Затем создайте каталог для хранения ключей.

Easy-RSA имеет файл переменных, который мы можем редактировать, чтобы создавать сертификаты исключительно для нашего лица, бизнеса или любой другой организации, которую мы выберем. Эта информация копируется в сертификаты и ключи и поможет идентифицировать ключи позже.

Переменные, указанные ниже, должны быть изменены в соответствии с вашими предпочтениями.

В том же файле + vars + также отредактируйте эту строку, показанную ниже. Для простоты мы будем использовать + server + в качестве имени ключа. Если вы хотите использовать другое имя, вам также необходимо обновить файлы конфигурации OpenVPN, которые ссылаются на + server.key + и + server.crt +.

Нам нужно сгенерировать параметры Диффи-Хеллмана; это может занять несколько минут.

Теперь давайте изменим каталоги, чтобы мы работали напрямую с того места, куда мы переместили сценарии Easy-RSA ранее в шаге 2.

Инициализируйте PKI (инфраструктуру открытых ключей). Обратите внимание на * точка (.) * И * пробел * перед командой +. / Vars +. Это означает текущий рабочий каталог (источник).

Вывод вышеуказанной команды показан ниже. Поскольку мы еще ничего не сгенерировали в каталоге + keys +, предупреждение не о чем беспокоиться.

Теперь мы очистим рабочий каталог от любых возможных старых или примерных ключей, чтобы освободить место для наших новых.

Эта последняя команда создает центр сертификации (CA), вызывая интерактивную команду OpenSSL. Вывод предложит вам подтвердить переменные с отличительными именами, которые были введены ранее в файл переменных Easy-RSA (название страны, организация и т. Д.).

Просто нажмите + ENTER, чтобы пройти через каждый запрос. Если что-то нужно изменить, вы можете сделать это изнутри подсказки.

По-прежнему работая с + / etc / openvpn / easy-rsa +, введите команду для создания ключа сервера. Вы видите, что ++, отмеченный красным, - это переменная + export KEY_NAME +, которую мы установили в файле Easy-RSA + vars + ранее на шаге 2.

Аналогичный вывод генерируется, как когда мы запускаем +. / Build-ca +, и вы можете снова нажать + ENTER +, чтобы подтвердить каждую строку Отличительного Имени. Однако на этот раз есть две дополнительные подсказки:

Оба должны быть оставлены пустыми, поэтому просто нажмите + ENTER +, чтобы пройти через каждый из них.

Два дополнительных запроса в конце требуют положительного (++) ответа:

Последняя подсказка выше должна дополняться:

OpenVPN ожидает увидеть CA сервера, сертификат и ключ в + / etc / openvpn +. Давайте скопировать их в нужное место.

Вы можете убедиться, что копия была успешной с:

Вы должны увидеть файлы сертификатов и ключей для сервера.

На этом этапе сервер OpenVPN готов к работе. Запустите его и проверьте статус.

Команда статуса должна вернуть:

Поздравляем! Ваш OpenVPN сервер работает. Если в сообщении о состоянии говорится, что VPN не работает, посмотрите файл + / var / log / syslog + на наличие ошибок, таких как:

Эта ошибка указывает, что + server.key не был скопирован в` + / etc / openvpn` правильно. Повторно скопируйте файл и попробуйте снова.

Для каждого клиента, подключающегося к VPN, идеально иметь собственный уникальный сертификат и ключ. Это предпочтительно для генерации одного общего сертификата и ключа для использования среди всех клиентских устройств.

_ * Примечание: * По умолчанию OpenVPN не разрешает одновременные подключения к серверу от клиентов, использующих тот же сертификат и ключ. (Смотрите + duplicate-cn + в + / etc / openvpn / server.conf +.) _

Чтобы создать отдельные учетные данные для аутентификации для каждого устройства, которое вы намереваетесь подключить к VPN, вы должны выполнить этот шаг для каждого устройства, но измените приведенное ниже имя на другое, например, или. При наличии отдельных учетных данных для каждого устройства их можно впоследствии деактивировать на сервере индивидуально, если это необходимо. Остальные примеры в этом руководстве будут использоваться в качестве имени нашего примера клиентского устройства.

Как и в случае с ключом сервера, теперь мы создаем его для нашего примера. Вы все еще должны работать с + / etc / openvpn / easy-rsa.

Еще раз вас попросят изменить или подтвердить переменные Distinguished Name и эти два запроса, которые следует оставить пустыми. Нажмите + ENTER +, чтобы принять значения по умолчанию.

Как и раньше, эти два подтверждения в конце процесса сборки требуют ответа (++):

Если сборка ключа прошла успешно, результат снова будет:

Пример файла конфигурации клиента также должен быть скопирован в каталог ключей Easy-RSA. Мы будем использовать его как шаблон, который будет загружен на клиентские устройства для редактирования. В процессе копирования мы меняем имя файла примера с + client.conf + на + client.ovpn +, потому что расширение файла + .ovpn + - это то, что клиенты ожидают использовать.

Вы можете повторить этот раздел снова для каждого клиента, заменив его соответствующим именем.

Вспомните из описанных выше шагов, что мы создали клиентские сертификаты и ключи и они хранятся на сервере OpenVPN в каталоге + / etc / openvpn / easy-rsa / keys +.

Для каждого клиента нам нужно перенести файлы сертификата, ключа и шаблона клиента в папку на локальном компьютере или другом клиентском устройстве.

В этом примере нашему устройству требуются его сертификат и ключ, расположенный на сервере в:

Файлы + ca.crt + и + client.ovpn + одинаковы для всех клиентов. Скачайте также эти два файла; обратите внимание, что файл + ca.crt + находится в другом каталоге, чем другие.

Хотя точные приложения, используемые для выполнения этой передачи, будут зависеть от вашего выбора и операционной системы устройства, вы хотите, чтобы приложение использовало SFTP (протокол передачи файлов SSH) или SCP (Secure Copy) на серверной части. Это позволит транспортировать файлы аутентификации VPN вашего клиента по зашифрованному соединению.

Вот пример команды SCP, использующей наш пример. Он помещает файл + client1.key + в каталог * Downloads * на локальном компьютере.

Вот несколько инструментов и учебных пособий для безопасной передачи файлов с сервера на локальный компьютер:

В конце этого раздела убедитесь, что у вас есть следующие четыре файла на вашем * клиентском * устройстве:

Клиентское приложение OpenVPN для Windows можно найти на странице OpenVPN «Загрузки». Выберите подходящую версию установщика для вашей версии Windows.

_ * Примечание: * Для установки OpenVPN необходимы права администратора. _

После установки OpenVPN скопируйте унифицированный профиль `+ DigitalOcean.ovpn + 'в:

Когда вы запускаете OpenVPN, он автоматически видит профиль и делает его доступным.

OpenVPN должен запускаться от имени администратора каждый раз, когда он используется, даже учетными записями администратора. Чтобы сделать это без необходимости щелкать правой кнопкой мыши и выбирать * Запуск от имени администратора * каждый раз, когда вы используете VPN, вы можете сделать это предварительно, но это необходимо сделать из учетной записи администратора. Это также означает, что обычным пользователям потребуется ввести пароль администратора для использования OpenVPN. С другой стороны, обычные пользователи не могут должным образом подключиться к серверу, если OpenVPN на клиенте не имеет прав администратора, поэтому необходимы повышенные привилегии.

Чтобы приложение OpenVPN всегда запускалось от имени администратора, щелкните правой кнопкой мыши его ярлык и выберите «Свойства» *. В нижней части вкладки * Compatibility * нажмите кнопку * Изменить настройки для всех пользователей *. В новом окне установите флажок * Запустить эту программу от имени администратора *.

Каждый раз, когда вы запускаете графический интерфейс OpenVPN, Windows спросит, хотите ли вы, чтобы программа вносила изменения в ваш компьютер. Нажмите * Да *. Запуск клиентского приложения OpenVPN только помещает апплет в системный трей, так что VPN может быть подключен и отключен по мере необходимости; это фактически не делает соединение VPN.

После запуска OpenVPN инициируйте соединение, зайдя в апплет на панели задач и щелкнув правой кнопкой мыши значок апплета OpenVPN. Это открывает контекстное меню. Выберите * DigitalOcean * в верхней части меню (это наш профиль + DigitalOcean.ovpn +) и выберите * Connect *.

Откроется окно состояния, в котором будут отображаться выходные данные журнала, пока установлено соединение, и появится сообщение, как только клиент подключится.

Отключение от VPN таким же образом: зайдите в апплет в системном трее, щелкните правой кнопкой мыши значок апплета OpenVPN, выберите профиль клиента и нажмите * Отключить *.

Tunnelblick - бесплатный клиент OpenVPN с открытым исходным кодом для Mac OS X. Вы можете загрузить последний образ диска со страницы Tunnelblick Downloads. Дважды щелкните загруженный файл + .dmg + и следуйте инструкциям по установке.

В конце процесса установки Tunnelblick спросит, есть ли у вас какие-либо файлы конфигурации. Может быть проще ответить * Нет * и позволить Tunnelblick закончить. Откройте окно Finder и дважды щелкните «+ DigitalOcean.ovpn +». Tunnelblick установит профиль клиента. Требуются административные привилегии.

Запустите Tunnelblick, дважды щелкнув Tunnelblick в папке * Applications *. После запуска Tunnelblick в строке меню в правом верхнем углу экрана появится значок Tunnelblick для управления подключениями. Нажмите на значок, а затем на элемент меню * Connect *, чтобы инициировать VPN-подключение. Выберите соединение * DigitalOcean *.

В iTunes App Store найдите и установите OpenVPN Connect, официальное клиентское приложение iOS OpenVPN. Чтобы перенести свой профиль клиента iOS на устройство, подключите его напрямую к компьютеру.

Завершение передачи с помощью iTunes будет описано здесь. Откройте iTunes на компьютере и нажмите * iPhone *> * apps *. Прокрутите вниз до раздела * Общий доступ к файлам * и выберите приложение OpenVPN. Пустое окно справа, * OpenVPN Documents *, предназначено для обмена файлами. Перетащите файл + .ovpn + в окно документов OpenVPN.

изображение: https: //assets.digitalocean.com/articles/openvpn_ubunutu/1.png [iTunes показывает профиль VPN, готовый для загрузки на iPhone]

Теперь запустите приложение OpenVPN на iPhone. Появится уведомление о том, что новый профиль готов к импорту. Нажмите зеленый знак плюс, чтобы импортировать его.

изображение: https: //assets.digitalocean.com/articles/openvpn_ubunutu/2.png [Приложение OpenVPN для iOS, показывающее новый профиль, готовый к импорту]

OpenVPN теперь готов к использованию с новым профилем. Начните соединение, сдвинув кнопку * Connect * в положение * On *. Отключите, сдвинув эту же кнопку в положение * Off *.

изображение: https: //assets.digitalocean.com/articles/openvpn_ubunutu/3.png [Приложение OpenVPN iOS, подключенное к VPN]

Откройте Google Play Store. Найдите и установите Android OpenVPN Connect - официальное клиентское приложение Android OpenVPN.

Профиль + .ovpn + можно перенести, подключив устройство Android к компьютеру через USB и скопировав файл поверх. Кроме того, если у вас есть устройство для чтения карт SD, вы можете извлечь SD-карту устройства, скопировать на нее профиль и затем вставить карту обратно в устройство Android.

Запустите приложение OpenVPN и коснитесь меню, чтобы импортировать профиль.

изображение: https: //assets.digitalocean.com/articles/openvpn_ubunutu/4.png [Выбор меню импорта профиля приложения OpenVPN Android]

Затем перейдите к местоположению сохраненного профиля (на скриншоте используется + / sdcard / Download / +) и выберите файл. Приложение отметит, что профиль был импортирован.

изображение: https: //assets.digitalocean.com/articles/openvpn_ubunutu/5.png [Android-приложение OpenVPN, выбирающее профиль VPN для импорта]

Для подключения просто нажмите кнопку * Connect *. Вас спросят, доверяете ли вы приложению OpenVPN. Выберите * OK *, чтобы установить соединение. Чтобы отключиться от VPN, вернитесь в приложение OpenVPN и выберите «Отключить».

изображение: https: //assets.digitalocean.com/articles/openvpn_ubunutu/6.png [Android-приложение OpenVPN готово для подключения к VPN]