Vass Károly – cvk

Openvpn szerver telepítése Ubuntu 8.10 szerver kiadásra

A következő leírásban bemutatok egy alap openvpn szerver telepítést és beállítást.

Az eltérő igények miatt a konfiguráció mindenkinél más és más lehet.

A feltelepített ubuntu szerverre telepítsük fel az openvpn kiszolgálót

apt-get install openvpn
Másoljuk át a dokumentációval mellékelt példa beállításokat és scripteket

cp -rp /usr/share/doc/openvpn/examples/easy-rsa/ /etc/openvpn/easy-rsa
cp -rp /usr/share/doc/openvpn/examples/sample-config-files/ /etc/openvpn/sample
Állítsuk be a titkosított kulcsokhoz tartozó információkat amiket legenerálunk

nano /etc/openvpn/easy-rsa/2.0/vars
Keressük meg az alábbi beállításokat, és változtassuk meg az igényeink szerint

export KEY_SIZE=2048
export KEY_COUNTRY="HU"
export KEY_PROVINCE="PEST"
export KEY_CITY="Budapest"
export KEY_ORG="cvk vpn szerver"
export KEY_EMAIL="cvk@cvk.hu"

Lépjünk be az aktuális katalógusba, és a kulcsok generálása előtt végezzünk el egy-két beállítást

cd /etc/openvpn/easy-rsa/2.0/
source ./vars
./clean-all
Generáljuk le a a gyökér tanúsítványt
Ha jól adtuk meg az előbb az adatokat, most a generálás alatt elég [Enter] -t nyomunk a kérdésekre. Amennyiben mégis változtatni szeretnénk valamin, azt a bekéréskor is megtehetjük.

./build-ca

Country Name (2 letter code) [HU]: enter
State or Province Name (full name) [PEST]: enter
Locality Name (eg, city) [Budapest]: enter
Organization Name (eg, company) [cvk vpn]: enter
Organizational Unit Name (eg, section) []: enter
Common Name (eg, your name or your server's hostname) [cvk vpn CA]: enter
Email Address [cvk@cvk.hu]: enter

Hozzuk létre a szerver oldali kulcsot

./build-key-server vpn-szerver

Country Name (2 letter code) [HU]: enter
State or Province Name (full name) [PEST]: enter
Locality Name (eg, city) [Budapest]: enter
Organization Name (eg, company) [cvk vpn]: enter
Organizational Unit Name (eg, section) []: enter
Common Name (eg, your name or your server's hostname) [vpn-szerver]: enter
Email Address [cvk@cvk.hu]: enter

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []: enter hagyjuk üresen
An optional company name []: enter hagyjuk üresen
Using configuration from /etc/openvpn/easy-rsa/2.0/openssl.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName           :PRINTABLE:'HU'
stateOrProvinceName   :PRINTABLE:'PEST'
localityName          :PRINTABLE:'Budapest'
organizationName      :PRINTABLE:'cvk vpn'
commonName            :PRINTABLE:'vpn-szerver'
emailAddress          :IA5STRING:'cvk@cvk.hu'
Certificate is to be certified until Jan 11 19:51:45 2019 GMT (3650 days)
Sign the certificate? [y/n]:  y 

1 out of 1 certificate requests certified, commit? [y/n]  y
Write out database with 1 new entries
Data Base Updated

Hozzuk létre a klienseknek kiadott kulcsokat

./build-key felhasznalo1

Country Name (2 letter code) [HU]: enter
State or Province Name (full name) [PEST]: enter
Locality Name (eg, city) [Budapest]: enter
Organization Name (eg, company) [cvk vpn]: enter
Organizational Unit Name (eg, section) []: enter
Common Name (eg, your name or your server's hostname) [felhasznalo1]: enter
Email Address [cvk@cvk.hu]: enter

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []: enter hagyjuk üresen
An optional company name []: enter hagyjuk üresen
Using configuration from /etc/openvpn/easy-rsa/2.0/openssl.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName :PRINTABLE:'HU'
stateOrProvinceName :PRINTABLE:'PEST'
localityName :PRINTABLE:'Budapest'
organizationName :PRINTABLE:'cvk vpn'
commonName :PRINTABLE:'felhasznalo1'
emailAddress :IA5STRING:'cvk@cvk.hu'
Certificate is to be certified until Jan 11 20:11:58 2019 GMT (3650 days)
Sign the certificate? [y/n]: y

1 out of 1 certificate requests certified, commit? [y/n] y
Write out database with 1 new entries
Data Base Updated

Generáljuk le a dh paraméter állományt, ez géptől és a vars-ban beállított kulcs erősségétől függően sokáig eltarthat

./build-dh
Generáljuk le a ta.key -t

cd keys
openvpn --genkey --secret ta.key
Másoljuk  a következő fájlokat a helyükre

root@ubuntu-vpn:/etc/openvpn/easy-rsa/2.0/keys# ls
01.pem  dh2048.pem        index.txt           serial       vpn-szerver.crt
02.pem  felhasznalo1.crt  index.txt.attr      serial.old   vpn-szerver.csr
ca.crt  felhasznalo1.csr  index.txt.attr.old  szerver.key  vpn-szerver.key
ca.key  felhasznalo1.key  index.txt.old       ta.key


cp vpn-szerver.key /etc/openvpn/
cp vpn-szerver.crt /etc/openvpn/
cp ta.key /etc/openvpn/
cp ca.crt /etc/openvpn/
cp dh2048.pem /etc/openvpn/

Szerkesszük meg a példa fájlból a nekünk megfelelő szerver konfigurációs állományt

cd /etc/openvpn/sample/
gunzip server.conf.gz


nano server.conf

proto tcp
cert vpn-szerver.crt
key vpn-szerver.key
dh dh2048.pem
client-to-client

Hangoljuk össze a kliensekhez kiadott konfigurációs állományt a szerver beállításaihoz, hogy a kliensek csatlakozni tudjanak ahhoz

nano client.conf

proto tcp
remote 192.168.1.100 (szerver IP címe) 1194
cert felhasznalo1.crt
key felhasznalo1.key

Másoljuk át a sample katalógusból a szerver konfigot az /etc/openvpn alá, és lépjünk bele

cp server.conf ..
cd ..
Nevezzük át a server configot egy számunkra beszédesebb állományba, és indítsuk el vele a vpn szerverünket

mv server.conf vpn-szerver.ovpn
openvpn vpn-szerver.ovpn
Mostmár csatlakozhatunk a szerverhez a kliens gépekről, amennyiben a kliensnél megvannak a fentebb említett állományok.

OpenVPN szerver oldali NAT beállítások:

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -i eth0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT

OpenVPN kliens oldali ROUTE szabályok:

route add -host <vpnserver ip cime> gw <router ip cime>
route del default gw <router ip>
route add default gw <vpn ip -1>