Slik installerer og konfigurerer du OpenVPN på Debian

Slik installerer og konfigurerer du OpenVPN på Debian

OpenVPN er utvilsomt den beste måten å trygt koble seg til et nettverk via internett, OpenVPN er en åpen kildekode VPN -ressurs som lar oss som brukere maskere nettlesingen vår for å unngå å bli ofre på nettverket.

Dette er veldig viktige aspekter på sikkerhetsnivå som vi må ta hensyn til, og denne gangen skal vi analysere prosessen med OpenVPN -konfigurasjon i et miljø Debian 8.

MerkFør du starter installasjonsprosessen er det viktig å oppfylle visse krav, disse er:

  • Rotbruker.
  • Dråpe Debian 8, vi har for øyeblikket Debian 8.1

1. Slik installerer du OpenVPN


Det første trinnet vi vil ta er oppdater alle pakker i miljøet ved hjelp av kommando: 
 apt-get oppdatering

Når pakkene er lastet ned og oppdatert la oss installere OpenVPN ved hjelp av easy-RSA for krypteringsproblemer. Vi kommer til å utføre følgende kommando: 

 apt-get install openvpn easy-rsa

Deretter vi må konfigurere OpenVPN, er OpenVPN -konfigurasjonsfilene lagret i følgende bane: / etc / openvpn, og vi må legge disse til i konfigurasjonen vår, vi skal bruke følgende kommando: 

 gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz> /etc/openvpn/server.conf
Når vi har hentet ut disse filene i den valgte banen, skal vi åpne dem ved hjelp av nano -editoren, vi vil utføre følgende kommando: 
 nano /etc/openvpn/server.conf
Vi ser følgende vindu:

Når vi er der Vi må gjøre noen endringer i filen, disse endringene er i utgangspunktet:

  • Sikring av serveren med kryptering på høyt nivå
  • Tillat webtrafikk til destinasjonen
  • Forhindre at DNS -forespørsler filtreres utenfor VPN -tilkoblingen
  • Installasjonstillatelser

Vi kommer til å doble lengden på RSA -nøkkelen som brukes når nøklene til både serveren og klienten genereres, for dette skal vi søke i filen etter følgende verdier, og vi skal endre verdien dh1024.pem med verdien dh2048.pem: 

 # Diffie hellman parametere. # Generer din egen med: # openssl dhparam -out dh1024.pem 1024 # Erstatt 2048 med 1024 hvis du bruker # 2048 bitnøkler. dh dh1024.pem

La oss nå sørg for at trafikken blir riktig omdirigert til destinasjonen, la oss ikke kommentere "redirect-gateway def1 bypass-dhcp" ved å fjerne; i begynnelsen av den. i server.conf-filen: 

 # Hvis dette er aktivert, vil dette direktivet konfigurere # alle klienter til å omdirigere standard # nettverksgateway gjennom VPN, noe som får # all IP -trafikk som nettlesing og # og DNS -oppslag til å gå gjennom VPN # (OpenVPN -servermaskinen må kanskje NAT # eller bro TUN / TAP -grensesnittet til internett # i ***** for at dette skal fungere skikkelig).; push "redirect-gateway def1 bypass-dhcp"

Det neste trinnet blir be serveren om å bruke OpenDNS for oppløsning av DNS -navn Så lenge det er mulig, på denne måten unngår vi at DNS -forespørsler er utenfor VPN -tilkoblingen, må vi finne følgende tekst i filen vår: 

 # Enkelte Windows-spesifikke nettverksinnstillinger # kan skyves til klienter, for eksempel DNS # eller WINS-serveradresser. CAVEAT: # http://openvpn.net/faq.html#dhcpcaveats # Adressene nedenfor refererer til de offentlige # DNS -serverne levert av opendns.com.; push "dhcp-option DNS 208.67.222.222"; push "dhcp-option DNS 208.67.220.220"
Der må vi fjerne merket for push "dhcp-option DNS 208.67.222.222" og push "dhcp-option DNS 208.67.220.220" kommentarer ved å fjerne; fra begynnelsen.

Til slutt vil vi definere tillatelser I den samme filen som vi jobber med, plasserer vi følgende tekst: 

 # Du kan kommentere dette på # ikke-Windows-systemer.; bruker ingen; gruppe nogroup
Vi fortsetter å fjerne merket for å fjerne skiltet; fra begynnelsen av tekstene bruker ingen Y gruppe -gruppe.

Som vi vet, kjører OpenVPN som standard som root -bruker som tillater å redigere en hvilken som helst parameter, med den siste endringen kommer vi til å begrense den til ingen -brukeren og nogroup -gruppen av sikkerhetsmessige årsaker.
Vi lagrer endringene ved hjelp av tastekombinasjonen:

Ctrl + O.

Og vi forlater redaktøren ved å bruke:

Ctrl + X

Nå skal vi aktivere videresending av pakker til det eksterne nettverket, for dette vil vi utføre følgende kommando: 

 ekko 1> / proc / sys / net / ipv4 / ip_forward
Vi må gjøre denne endringen permanent, ikke at vi må gjøre det hver gang vi starter systemet, for å gjøre det kontinuerlig skal vi gå inn i systcl -filen ved hjelp av nano -editoren, for dette vil vi utføre følgende: 
 nano /etc/sysctl.conf
Følgende vindu vises:

Vi kommer til å finne følgende linje: 

 # Ikke kommenter neste linje for å aktivere videresending av pakker for IPv4 # net.ipv4.ip_forward = 1
MerkHusk at vi kan bruke redigeringssøket ved hjelp av tastekombinasjonen:

Ctrl + W.

Der vil vi fjerne merket fra kommentaren net.ipv4.ip_forward = 1 fjerne # -symbolet.

Det neste trinnet vi må ta er konfigurere UFW. UFW er en brannmurskonfigurasjon for ip -tabeller, derfor skal vi gjøre noen justeringer for å endre UFW -sikkerheten. Som et første trinn skal vi installere UFW -pakkene ved å bruke følgende kommando: 

 apt-get install ufw

Når de nødvendige UFW -pakkene er lastet ned og installert, skal vi konfigurere UFW for å tillate SSH -tilkoblinger, for dette vil vi utføre følgende: 

 ufw tillater ssh

I vårt tilfelle jobber vi med port 1194 i UDP, vi må konfigurere denne porten for at kommunikasjonen skal være tilfredsstillende. Vi skriver inn følgende: 

 ufw tillate 1194 / udp
MerkVi kan se portene på konsollen vår ved å bruke kommandoen lsof -iUDP

Deretter skal vi redigere UFW -konfigurasjonsfilen for dette, vi kommer inn med nano -editoren i følgende bane: 

 nano / etc / default / ufw
Følgende vindu åpnes:

Der skal vi gjøre noen endringer, vi vil finne følgende linje, hvor vi vil endre DROP til Aksept. 

 DEFAULT_FORWARD_POLICY = "DROP"
Det neste trinnet er legg til noen regler i UFW for oversettelse av nettverksadressene og riktig maskering av IP -adressene av brukere som kobler seg til. La oss åpne følgende fil ved hjelp av nano -editoren: 
 nano /etc/ufw/before.rules
Vi vil se at følgende vindu vises:

Vi skal legge til følgende tekst: 

 # START OPENVPN -REGLER # NAT -tabellregler * nat: POSTROUTING ACCEPT [0: 0] # Tillat trafikk fra OpenVPN -klienten til eth0 -A POSTROUTING -s 10.8.0.0/8 -o eth0 -j MASQUERADE COMMIT # END OPENVPN REGLER

Når vi har gjort disse endringene, fortsetter vi til aktiver UFW ved å bruke følgende kommando: 

 ufw aktivere

Til sjekk brannreglerJeg bruker følgende kommando: 

 ufw -status

2. Lag OpenVPN -autoritetssertifikat


Det neste trinnet i prosessen vår er opprett autorisasjonsbeviset for pålogging via OpenVPNLa oss huske at OpenVPN bruker disse sertifikatene til å kryptere trafikken. OpenVPN støtter toveis sertifisering, det vil si at klienten må autentisere serversertifikatet og omvendt.
Vi skal kopiere skriptene over easy-RSA ved å bruke følgende kommando: 
 cp -r / usr / share / easy -rsa / / etc / openvpn
Vi kommer til å opprett en katalog for å lagre nøklene, vil vi bruke følgende kommando: 
 mkdir / etc / openvpn / easy-rsa / keys
Det neste trinnet er redigere sertifikatparametere, vil vi bruke følgende kommando: 
 nano / etc / openvpn / easy-rsa / vars
Følgende vindu vises:

Vi kommer til å endre følgende parametere i henhold til våre krav: 

 eksport KEY_COUNTRY = "CO" eksport KEY_PROVINCE = "BO" eksport KEY_CITY = "Bogota" eksport KEY_ORG = "Solvetic" eksport KEY_EMAIL = "[email protected]" eksport KEY_OU = "Solvetic"

I den samme filen skal vi redigere følgende linje: 

 # X509 Emnefelteksport KEY_NAME = "EasyRSA"
Vi kommer til å endre EasyRSA -verdien til navnet på serveren du vil ha, vil vi bruke navnet Solvetic.

Nå skal vi konfigurere Diffie-Helman parametere ved hjelp av et verktøy som kommer integrert med OpenSSL som kalles dhparam. Vi kommer inn og utfører følgende kommando: 

 openssl dhparam -out /etc/openvpn/dh2048.pem 2048

Når sertifikatet er generert, gjør vi det endre lett-RSA katalog ved hjelp av kommando: 

 cd / etc / openvpn / easy-rsa
Vi kommer til å initialiser PKI, vil vi bruke kommandoen: 
… / Vars

Vi kommer til å fjern de andre tastene så de ikke forstyrrer installasjonen ved å bruke kommandoen: 

 ./clean-all
Nå skal vi bygge sertifikatet ved å bruke følgende OpenSSL -kommando: 
 ./build-ca

Vi vil kunne se en rekke spørsmål som er relatert til informasjonen du tidligere har lagt inn, på denne måten har sertifikatet blitt generert. Deretter skal vi starte vår OpenVPN -server, for dette Vi vil redigere filen som ligger i banen / etc / openvpn / easy-rsa ved hjelp av det tidligere angitte nøkkelnavnet, i vårt tilfelle Solvetic. Vi kommer til å utføre følgende kommando: 

 ./build-key-server Solvetic

I linjene nedenfor kan vi la mellomrommet stå tomt og trykke Enter: 

 Angi følgende "ekstra" -attributter som skal sendes med sertifikatforespørselen Et utfordringspassord []: Et valgfritt firmanavn []:
Følgende vindu vil vises der vi må skrive inn bokstaven y (ja) for å godta følgende to spørsmål: Signer sertifikatet og be om sertifikater.

La oss nå flytte både sertifikater og nøkler til / etc / openvpn -banen, vil vi utføre følgende kommando: 

 cp /etc/openvpn/easy-rsa/keys/[Solvetic.crt,Solvetic.key,ca.crt}/etc/openvpn
Når denne prosessen er ferdig, gjør vi det start OpenVPN -tjenesten ved hjelp av kommando: 
 service openvpn start
Til se statusen vi bruker kommandoen: 
 service oopenvpn status

Vårt neste trinn vil være å lage sertifikatene og nøklene for klientene som ønsker å koble seg til VPN. Ideelt sett, for sikkerhet, har hver klient som kobler seg til serveren sitt eget sertifikat og en nøkkel, aldri dele den, som standard tillater OpenVPN ikke samtidige tilkoblinger med samme sertifikat og nøkkel. Vi skal lage nøkkelen for vår klient, for dette skriver vi inn følgende kommando: 

 ./build-key Client_Name, i vårt eksempel skal vi bruke følgende kommando: ./build-key Tests

Vi fyller ut de nødvendige feltene, og så gjør vi det kopier den genererte nøkkelen til easy-RSA-katalogen. 

 cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/easy-rsa/keys/client.ovpn.
La oss nå Last ned Winscp -verktøyet gratis fra lenken nedenfor. Dette verktøyet vil tillate oss å koble til via vår SFTP eller FTP til vår Debian -maskin for å bekrefte at filene er opprettet riktig. Når vi har lastet ned og kjørt det, vil dette være vinduet vi kan se:

Der skriver vi inn IP -adressen til Debian -maskinen, husk at IP -en kan valideres ved hjelp av ifconfig -kommandoen, vi skriver inn legitimasjonene og når vi klikker på Koble til, kan vi se følgende:

FORSTØRRE

Der kan vi se på høyre side de respektive filene til tastene og tastene. For å få tilgang via OpenVPN skal vi laste ned verktøyet fra følgende lenke OpenVPN versjon 2.3.11. Når vi har lastet den ned, må vi ta hensyn til noen endringer i verktøyet, det første vi skal gjøre er å kopiere nøkkelfilene og nøklene i banen der OpenVPN vanligvis er installert: 

 C: \ Program Files \ OpenVPN \ config
Senere vil vi opprette en fil i notisblokk eller tekstredigerer som vi har med følgende informasjon: 
 client dev tun proto udp remote 192.168.0.12 1194 key client.key cert client.crt ca ca. crt auth-user-pass persist-key persist-tun comp-lzo verb 3
MerkIP -adressen er vår Debian -maskin og porten, som vi så tidligere, er UDP 1194.
Denne filen må lagres med filtypen .ovpn.

3. OpenVPN klienttilgangstest


La oss kjøre OPenVPN og dette vil være miljøet vi vil finne oss i:

Vi legger inn brukerens legitimasjon for å koble til og klikk på Greit og vi kan se følgende

MerkVi oppretter denne tilkoblingen fra en Windows 7 -datamaskin.

Nå kan vi se i varslingsfeltet at tilkoblingen har vært vellykket, og vi kan se den nye IP -adressen.

Hvis vi høyreklikker på verktøyet (ikonet i varslingslinjen) har vi følgende alternativer:

Herfra kan vi utføre oppgavene som vi anser nødvendige. For eksempel, ja vi velger Vis status vi vil se følgende:

4. OpenVPN sikkerhetsverktøy ']


Det er ingen tvil om at Internett -surfing kan føre til sikkerhetsproblemer som virus, informasjonstyveri, spionprogrammer, etc., av denne grunn er det noen verktøy vi kan implementere for å forbedre sikkerheten på maskinen vår når OpenVPN.

La oss snakke om Clamav som er et kraftig antivirusprogram som hjelper oss med å opprettholde kontrollen over infiserte filer eller prosesser i Debian 8.1. Det er programvare med åpen kildekode som lar oss oppdage trojanere, skadelig programvare og andre latente trusler på datamaskinene våre. Installasjonsprosessen er veldig enkel, for dette vil vi utføre følgende kommando: 

 Sudo apt-get install clamav

Senere vil vi utføre fersk musling slik at hele Clamav -databasen oppdateres.
For å kjøre en skanning på maskinen, skriver vi inn følgende syntaks: 

 Clamscan -infisert -fjerne -recursive / home
Etter et øyeblikk vil vi se en oppsummering av skanneoppgaven:

Et annet verktøy som vi kan bruke for å forbedre vår sikkerhet er Privoksy som fungerer som en webproxy og inkluderer avanserte funksjoner for å beskytte personvern, administrere informasjonskapsler, kontrollere tilgang, fjerne annonser, blant andre. For å installere det på vårt Debian 8.1 -system vil vi utføre følgende kommando: 

 Sudo apt-get install privoxy

Husk at hvis vi er som rotbrukere, er sudo ikke nødvendig. Når alle Privoxy -pakkene er lastet ned og installert, skal vi endre noen parametere i konfigurasjonsfilen, for dette utfører vi følgende kommando: 

 Sudo nano / etc / privoxy / config
Følgende vil vises:

Der må vi finne linjen lytte-adresse lokal vert: 8118 og vi må legge til 2 parametere, legg først til # -symbolet i begynnelsen av denne linjen og skriv under det begrepet lytte-adresse ip_of_nour machine: 8118, i vårt tilfelle er det: 

 lytte-adresse 192.168.0.10:8118.
Når dette er gjort, skal vi starte tjenesten på nytt ved å bruke: 
 sudo /etc/init.d/privoxy omstart

Deretter går vi til nettleseren vi har i Debian og fortsetter å endre proxy -parametrene, vi må bekrefte at IP er den vi la til og porten er 8118. I vårt eksempel bruker vi IceWeasel og vi må skrive inn:

  • preferanser
  • Avansert
  • Nett
  • Tilkoblingsoppsett
  • Manuell proxy -konfigurasjon

Etter konfigurering klikker vi OK. Nå kan vi se hvordan Privoxy hjelper oss med sikkerhet:

Det er andre verktøy som kan hjelpe oss med å forbedre navigasjonen ved hjelp av OpenVPN, vi kan implementere:

DnsmasqDet gir oss DNS -tjenester på denne måten bruker vi bare DNS -bufferen.

HAVPMed dette verktøyet har vi en proxy med antivirus, det skanner all trafikk på jakt etter virus eller merkelig oppførsel.

Som vi kan se, er det veldig viktig å iverksette tiltak som hjelper oss med å opprettholde kontrollen over navigasjonen vår og være veldig tydelig på at riktig drift av Debian 8.1

La oss fortsette å utforske alle de store fordelene som Debian 8.1 tilbyr oss og forbedre miljøet vårt, siden mange av oss er administratorer, koordinatorer eller ansvarlige for IT -området, og disse tipsene hjelper oss med å takle dagligdagen lettere og med muligheten ikke å ha kritiske problemer i fremtiden som kan være en stor hodepine.

Installer LAMP på Debian 8

Du vil bidra til utvikling av området, dele siden med vennene dine

wave wave wave wave wave

Populære Innlegg

wave
1
post-title
Slik tar du et fullstendig nettskjermbilde i Firefox Quantum
2
post-title
Facebook tilbake i forgrunnen: Appen samler inn anrops- og SMS -informasjon
3
post-title
Hvordan sette Instagram -filtre på bilder uten å måtte publisere dem
4
post-title
▷ INSTAGRAM Undersøkelse: Se svarene og del resultatene
5
post-title
Tilpass tjenestemenyen i OSX

Anbefalt

wave
- Sponsored Ad -

Redaksjonens

wave
- Sponsored Ad -