Ubuntu 8.10 szerver openvpn telepítés
Openvpn szerver telepítése Ubuntu 8.10 szerver kiadásra
A következő leírásban bemutatok egy alap openvpn szerver telepítést és beállítást.
Az eltérő igények miatt a konfiguráció mindenkinél más és más lehet.
A feltelepített ubuntu szerverre telepítsük fel az openvpn kiszolgálót
apt-get install openvpn
Másoljuk át a dokumentációval mellékelt példa beállításokat és scripteket
cp -rp /usr/share/doc/openvpn/examples/easy-rsa/ /etc/openvpn/easy-rsa cp -rp /usr/share/doc/openvpn/examples/sample-config-files/ /etc/openvpn/sample
Állítsuk be a titkosított kulcsokhoz tartozó információkat amiket legenerálunk
nano /etc/openvpn/easy-rsa/2.0/vars
Keressük meg az alábbi beállításokat, és változtassuk meg az igényeink szerint
export KEY_SIZE=2048 export KEY_COUNTRY="HU" export KEY_PROVINCE="PEST" export KEY_CITY="Budapest" export KEY_ORG="cvk vpn szerver" export KEY_EMAIL="[email protected]"
Lépjünk be az aktuális katalógusba, és a kulcsok generálása előtt végezzünk el egy-két beállítást
cd /etc/openvpn/easy-rsa/2.0/ source ./vars ./clean-all
Generáljuk le a a gyökér tanúsítványt
Ha jól adtuk meg az előbb az adatokat, most a generálás alatt elég [Enter] -t nyomunk a kérdésekre. Amennyiben mégis változtatni szeretnénk valamin, azt a bekéréskor is megtehetjük.
./build-ca
Country Name (2 letter code) [HU]: enter State or Province Name (full name) [PEST]: enter Locality Name (eg, city) [Budapest]: enter Organization Name (eg, company) [cvk vpn]: enter Organizational Unit Name (eg, section) []: enter Common Name (eg, your name or your server's hostname) [cvk vpn CA]: enter Email Address [[email protected]]: enter
Hozzuk létre a szerver oldali kulcsot
./build-key-server vpn-szerver
Country Name (2 letter code) [HU]: enter State or Province Name (full name) [PEST]: enter Locality Name (eg, city) [Budapest]: enter Organization Name (eg, company) [cvk vpn]: enter Organizational Unit Name (eg, section) []: enter Common Name (eg, your name or your server's hostname) [vpn-szerver]: enter Email Address [[email protected]]: enter Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: enter hagyjuk üresen An optional company name []: enter hagyjuk üresen Using configuration from /etc/openvpn/easy-rsa/2.0/openssl.cnf Check that the request matches the signature Signature ok The Subject's Distinguished Name is as follows countryName :PRINTABLE:'HU' stateOrProvinceName :PRINTABLE:'PEST' localityName :PRINTABLE:'Budapest' organizationName :PRINTABLE:'cvk vpn' commonName :PRINTABLE:'vpn-szerver' emailAddress :IA5STRING:'[email protected]' Certificate is to be certified until Jan 11 19:51:45 2019 GMT (3650 days) Sign the certificate? [y/n]: y 1 out of 1 certificate requests certified, commit? [y/n] y Write out database with 1 new entries Data Base Updated
Hozzuk létre a klienseknek kiadott kulcsokat
./build-key felhasznalo1
Country Name (2 letter code) [HU]: enter State or Province Name (full name) [PEST]: enter Locality Name (eg, city) [Budapest]: enter Organization Name (eg, company) [cvk vpn]: enter Organizational Unit Name (eg, section) []: enter Common Name (eg, your name or your server's hostname) [felhasznalo1]: enter Email Address [[email protected]]: enter Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: enter hagyjuk üresen An optional company name []: enter hagyjuk üresen Using configuration from /etc/openvpn/easy-rsa/2.0/openssl.cnf Check that the request matches the signature Signature ok The Subject's Distinguished Name is as follows countryName :PRINTABLE:'HU' stateOrProvinceName :PRINTABLE:'PEST' localityName :PRINTABLE:'Budapest' organizationName :PRINTABLE:'cvk vpn' commonName :PRINTABLE:'felhasznalo1' emailAddress :IA5STRING:'[email protected]' Certificate is to be certified until Jan 11 20:11:58 2019 GMT (3650 days) Sign the certificate? [y/n]: y 1 out of 1 certificate requests certified, commit? [y/n] y Write out database with 1 new entries Data Base Updated
Generáljuk le a dh paraméter állományt, ez géptől és a vars-ban beállított kulcs erősségétől függően sokáig eltarthat
./build-dh
Generáljuk le a ta.key -t
cd keys openvpn --genkey --secret ta.key
Másoljuk a következő fájlokat a helyükre
root@ubuntu-vpn:/etc/openvpn/easy-rsa/2.0/keys# ls 01.pem dh2048.pem index.txt serial vpn-szerver.crt 02.pem felhasznalo1.crt index.txt.attr serial.old vpn-szerver.csr ca.crt felhasznalo1.csr index.txt.attr.old szerver.key vpn-szerver.key ca.key felhasznalo1.key index.txt.old ta.key
| Gép | Fájl | Fájl | Fájl | Fájl | Fájl |
| OpenVPN szerver | ca.crt | vpn-szerver.key | vpn-szerver.crt | ta.key | dh2048.pem |
| OpenVPN kliens | ca.crt | felhasznalo1.key | felhasznalo1.crt | ta.key |
cp vpn-szerver.key /etc/openvpn/ cp vpn-szerver.crt /etc/openvpn/ cp ta.key /etc/openvpn/ cp ca.crt /etc/openvpn/ cp dh2048.pem /etc/openvpn/
Szerkesszük meg a példa fájlból a nekünk megfelelő szerver konfigurációs állományt
cd /etc/openvpn/sample/ gunzip server.conf.gz
nano server.conf
proto tcp cert vpn-szerver.crt key vpn-szerver.key dh dh2048.pem client-to-client
Hangoljuk össze a kliensekhez kiadott konfigurációs állományt a szerver beállításaihoz, hogy a kliensek csatlakozni tudjanak ahhoz
nano client.conf
proto tcp remote 192.168.1.100 (szerver IP címe) 1194 cert felhasznalo1.crt key felhasznalo1.key
Másoljuk át a sample katalógusból a szerver konfigot az /etc/openvpn alá, és lépjünk bele
cp server.conf .. cd ..
Nevezzük át a server configot egy számunkra beszédesebb állományba, és indítsuk el vele a vpn szerverünket
mv server.conf vpn-szerver.ovpn openvpn vpn-szerver.ovpn
Mostmár csatlakozhatunk a szerverhez a kliens gépekről, amennyiben a kliensnél megvannak a fentebb említett állományok.
OpenVPN szerver oldali NAT beállítások:
echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE iptables -A FORWARD -i eth0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
OpenVPN kliens oldali ROUTE szabályok:
route add -host <vpnserver ip cime> gw <router ip cime> route del default gw <router ip> route add default gw <vpn ip -1>