Kuidas installida ja konfigureerida OpenVPN-serverit CentOS 8/7-s


Virtuaalne eravõrk on tehnoloogiline lahendus, mida kasutatakse võrkudevaheliste ühenduste privaatsuse ja turvalisuse tagamiseks. Kõige tuntum juhtum koosneb inimestest, kes ühenduvad kaugserveriga liiklusega, mis läbib avalikku või ebaturvalist võrku (näiteks Internet).

Kujutage ette järgmisi stsenaariume:

Selles artiklis selgitame, kuidas VPN-serverit RHEL/CentOS 8/7 kasti seadistada, kasutades OpenVPN-i, tugevat ja väga paindlikku tunnelirakendust, mis kasutab OpenSSL-i teegi krüpteerimist, autentimist ja sertifitseerimise funktsioone. Lihtsuse mõttes kaalume vaid juhtumit, kus OpenVPN-server toimib kliendi jaoks turvalise Interneti-lüüsina.

Selle seadistuse jaoks oleme kasutanud kolme masinat, millest esimene toimib OpenVPN-serverina ja teised kaks (Linux ja Windows) tegutsevad kliendina, et luua ühendus OpenVPN-serveri külge.

Sellel lehel

  • OpenVPN-serveri installimine CentOS 8-sse
  • OpenVPN-i kliendi konfigureerimine Linuxis
  • OpenVPN-i kliendi konfigureerimine Windowsis

Märkus. Samad juhised töötavad ka RHEL 8/7 ja Fedora süsteemides.

1. OpenVPN-i installimiseks RHEL/CentOS 8/7 serverisse peate esmalt lubama EPEL-i hoidla ja seejärel installima paketi. Sellega kaasnevad kõik OpenVPN-i paketi installimiseks vajalikud sõltuvused.

# yum update
# yum install epel-release

2. Järgmisena laadime alla OpenVPN-i installiskripti ja seadistame VPN-i. Enne skripti allalaadimist ja käitamist on oluline leida oma serveri avalik IP-aadress, sest see on OpenVPN-serveri seadistamisel mugav.

Lihtne viis selleks on käsu curl kasutamine, nagu näidatud:

$ curl ifconfig.me

Teise võimalusena võite käsu dig käivitada järgmiselt:

$ dig +short myip.opendns.com @resolver1.opendns.com

Kui satute tõrke "dig: käsku ei leitud", installige dig utiliit käsu käivitamisega:

$ sudo yum install bind-utils

See peaks probleemi lahendama.

Pilveserveritel on tavaliselt kahte tüüpi IP-aadresse:

  • Üks avalik IP-aadress: kui teil on pilveplatvormidel (näiteks Linode, Cloudcone või Digital Ocean) VPS, leiate sellele tavaliselt ühe avaliku IP-aadressi.
  • Avaliku IP-ga NAT-i taga olev privaatne IP-aadress: see kehtib AWS-i EC2-eksemplari või Google Cloudi arvutuseksemplari puhul.

Ükskõik, milline on IP-adresseerimisskeem, tuvastab OpenVPN-skript teie VPS-võrgu seadistuse automaatselt ja kõik, mida peate tegema, on anda seotud avalik või privaatne IP-aadress.

3. Nüüd jätkame ja laadime alla OpenVPN-i installiskripti, käivitage näidatud käsk.

$ wget https://raw.githubusercontent.com/Angristan/openvpn-install/master/openvpn-install.sh

4. Kui allalaadimine on lõppenud, määrake käivitamisõigused ja käivitage shelliskript nagu näidatud.

$ sudo chmod +x openvpn-install.sh
$ sudo ./openvpn-install.sh

Installer viib teid läbi viipade rea:

5. Kõigepealt palutakse teil anda oma serveri avalik IP-aadress. Seejärel on soovitatav kasutada vaikevalikuid, näiteks vaikepordi number (1194) ja kasutatav protokoll (UDP).

6. Järgmisena valige vaikimisi DNS-lahendajad ja valige nii tihendamise kui ka krüptimise sätete jaoks suvand No (n)

7. Kui see on tehtud, lähtestab skript OpenVPN-serveri seadistamise koos teiste tarkvarapakettide ja sõltuvuste installimisega.

8. Lõpuks luuakse kliendi konfiguratsioonifail, kasutades paketti easy-RSA, mis on käsurea tööriist, mida kasutatakse turvasertifikaatide haldamiseks.

Sisestage lihtsalt kliendi nimi ja minge vaikevalikutega. Kliendifail salvestatakse teie kodukataloogi .ovpn-faililaiendiga.

9. Kui skript on OpenVPN-i serveri seadistamise ja kliendi konfiguratsioonifaili loomisega valmis, tekib tunneli liides tun0 . See on virtuaalne liides, kus kogu liiklus kliendi arvutist suunatakse serverisse.

10. Nüüd saate käivitada ja kontrollida OpenVPN-serveri olekut, nagu näidatud.

$ sudo systemctl start [email protected]
$ sudo systemctl status [email protected]

11. Nüüd minge kliendisüsteemi ja installige EPEL-hoidla ja OpenVPN-i tarkvarapaketid.

$ sudo dnf install epel-release -y
$ sudo dnf install openvpn -y

12. Pärast installimist peate kopeerima kliendi konfiguratsioonifaili OpenVPN-serverist oma kliendisüsteemi. Seda saate teha käsuga scp, nagu näidatud

$ sudo scp -r [email protected]:/home/tecmint/tecmint01.ovpn .

13. Kui kliendifail on teie Linuxi süsteemi alla laaditud, saate nüüd lähtestada ühenduse VPN-serveriga, kasutades käsku:

$ sudo openvpn --config tecmint01.ovpn

Saate väljundi, mis on sarnane meil allpool olevaga.

14. Luuakse uus marsruutimistabel ja ühendus VPN-serveriga. Jällegi luuakse kliendisüsteemis virtuaalse liidese tunneli liides tun0 .

Nagu varem mainitud, tunneldab see liides kogu liiklust SSL-tunneli kaudu OpenVPN-i serverisse turvaliselt. Liidesele määratakse VPN-server dünaamiliselt IP-aadress. Nagu näete, on meie kliendi Linuxi süsteemile OpenVPN-server määranud IP-aadressi 10.8.0.2.

$ ifconfig

15. Et olla kindel, et oleme ühendatud OpenVPN-i serveriga, kontrollime avalikku IP-d.

$ curl ifconfig.me

Ja voila! meie kliendisüsteem on valinud VPN-i avaliku IP, kinnitades, et oleme tõepoolest ühendatud OpenVPN-i serveriga. Teise võimalusena võite oma brauseri ja Google'i otsingu\"Mis on minu IP-aadress" käivitada, et kinnitada, et teie avalik IP on muutunud OpenVPN-i serveri omaks.

16. Windowsis peate alla laadima GUI-ga kaasas olevad ametlikud OpenVPN Community Editioni kahendfailid.

17. Seejärel laadige oma .ovpn konfiguratsioonifail alla kataloogi C:\Program Files\OpenVPN\config ja käivitage administraatorina OpenVPN GUI menüüst Start -> Kõik programmid -> OpenVPN ja see käivitatakse taustal.

18. Nüüd käivitage brauser ja avage http://whatismyip.org/ ning peaksite oma Interneti-teenuse pakkuja pakutava avaliku IP asemel nägema oma OpenVPN-serveri IP-d:

Kokkuvõte

Selles artiklis oleme selgitanud, kuidas VPV-serverit OpenVPN-i abil seadistada ja konfigureerida ning kuidas seadistada kahte kaugklienti (Linuxi kast ja Windowsi masin). Nüüd saate seda serverit kasutada VPN-i lüüsina oma veebibrauserite turvalisuse tagamiseks. Veidi lisapingutustega (ja veel ühe serveriserveri olemasolul) saate mõne näite nimetamiseks seadistada ka turvalise faili-/andmebaasiserveri.

Ootame teid huviga, nii et andke meile alloleva vormi abil märkus alla. Selle artikli kommentaarid, ettepanekud ja küsimused on teretulnud.