Jaringan pribadi virtual. Dengan bantuannya kita dapat:

• Ciptakan saluran komunikasi yang aman saat kita duduk di Wi-Fi gratis di kafe.
• Pertukaran file antar peserta jaringan.
• Distribusikan Internet menggunakan gateway umum.

Keuntungan utama:

• Mudah diatur.
• Keamanan.
• Tidak memerlukan peralatan tambahan.
• Kecepatan dan stabilitas tinggi.

Seperti penulis artikel tentang menginstal OpenVPN di Linux, saya tidak menemukan artikel biasa, dan bahkan artikel yang menjelaskan semuanya hingga detail terkecil. Pada artikel Habrahabr kali ini saya akan mencoba menjelaskan semuanya sejelas mungkin. Jadi, ayo pergi!

Unduh distribusinya.

Pada saat penulisan versi yang tersedia 2.3.2 . Unduh Pemasang Windows Versi 32 atau 64 bit tergantung pada ukuran bit sistem operasi Anda.

Instalasi.

Saat memasang, pastikan untuk mencentang semua kotak; kami menjawab setuju ketika diminta untuk menginstal driver. Adaptor jaringan virtual baru akan muncul di sistem.

Pembuatan sertifikat dan kunci.

Suatu ketika hal ini menghentikan saya, mereka berkata, ini kuncinya, saya akan pergi dan mencari sesuatu yang lebih sederhana. Namun sayang, saya tidak menemukan yang lebih baik. Jadi, masuk ke C:\Program files\OpenVPN\easy-rsa, jalankan init-config.bat, akan muncul vars.bat, buka di Notepad. Kami tertarik pada baris paling bawah; baris tersebut harus diisi sesuai keinginan. Misalnya:
atur KEY_COUNTRY=RU
setel KEY_PROVINCE=Baldur
atur KEY_CITY=Piter
atur KEY_ORG=OpenVPN
mengatur
atur KEY_CN=server
setel KEY_NAME=server
atur KEY_OU=kamu

Dimana itu tertulis server jangan sentuh. Disimpan.
Sekarang buka openssl-1.0.0.cnf dan cari baris default_days 365, setel ke 3650. Ini akan memperpanjang umur sertifikat kami hingga 10 tahun. Menyimpan. Selanjutnya kita buka baris perintah di baris perintah start-standard (pada Windows Vista/7/8 sebagai administrator), tulis secara berurutan:

cd C:\OpenVPN\easy-rsa
vars
bersih-semua

Responsnya harus menulis “File disalin: 1” dua kali. Jadi semuanya baik-baik saja. Di jendela yang sama kita mengetik:
membangun-dh
Akan membuat kunci Diffie-Hellman.
membangun-ca
Akan membuat sertifikat utama.
Akan ada pertanyaan yang ditanyakan, cukup tekan Enter sampai Anda melihat path C:\Program files\OpenVPN\easy-rsa. Selanjutnya kita mengetik:
build-key-server
Untuk pertanyaan, tekan juga Enter, luangkan waktu Anda! Pada akhirnya akan ada dua pertanyaan: “Tanda tangan sertifikat?” dan “1 dari 1 permintaan sertifikat tersertifikasi, berkomitmen?”, jawab Y untuk kedua pertanyaan.
klien kunci build
Di sini Anda harus lebih berhati-hati; ketika ditanya Nama Umum (misalnya nama Anda atau nama host server Anda), Anda harus memasukkan klien. Di akhir juga ada dua kali Y. Untuk setiap klien Anda perlu membuat sertifikat baru, hanya dengan nama yang berbeda, misalnya build-key client1 dan juga menunjukkannya dalam nama umum. Jika Anda melakukan semuanya dengan benar, Anda bisa bernapas! Bagian tersulit telah berakhir. Di folder C:\Program Files\OpenVPN\easy-rsa\keys kami mengambil: ca.crt, dh1024.pem, server.crt, server.key dan meletakkannya di C:\Program Files\OpenVPN\config.

Kami membuat konfigurasi.

Buka C:\Program Files\OpenVPN\config, buat dokumen teks, tempel:
# Naikkan terowongan L3
lagu dev
# Protokol
proto udp
# Port yang didengarkan VPN
pelabuhan 12345
# Kunci dan sertifikat
caca.crt
server sertifikat.crt
server kunci.kunci
dh dh1024.pem
# Secara kasar, kami menyimpan alamat
subnet topologi
# Alamat kumpulan
server 10.8.0.0 255.255.255.0
# Metode enkripsi
sandi AES-128-CBC
#Kompresi
comp-lzo
# Tingkatkan sedikit ping
perbaikan ms
# Seumur hidup klien, jika tidak ditanggapi - terputus
tetap hidup 10 120
# Tingkat debug
kata kerja 3

Simpan file sebagai server.ovpn. Ini adalah konfigurasi server kami. Sekarang mari kita coba memulai server. Akan ada pintasan ke OpenVPN Gui di desktop Anda. Setelah peluncuran, ikon merah akan muncul di baki. Kita klik dua kali, jika menyala hijau maka semuanya baik-baik saja, jika tidak lihat log di folder log.

Sekarang konfigurasi klien:
klien
lagu dev
proto udp
# Alamat dan port server
alamat jarak jauh 12345
# Kuncinya harus ada di folder config
caca.crt
klien sertifikat.crt
klien kunci.kunci
sandi AES-128-CBC
tidak terikat
comp-lzo
kunci bertahan
bertahan-tun
kata kerja 3

Simpan sebagai client.ovpn. Buat folder apa saja dan letakkan konfigurasi client.ovpn dan sertifikat ca.crt, client.crt, client.key di sana, yang terletak di C:\Program files\OpenVPN\easy-rsa. Unduh klien untuk Windows. Instal di mesin klien, transfer folder dengan konfigurasi dan sertifikat, dan jalankan client.ovpn. Jika sudah terhubung, coba ketikkan ping 10.8.0.1 pada baris perintah. Apakah paketnya sudah sampai? Selamat! Servernya sudah siap! Sekarang masuk ke panel kontrol-layanan-administrasi, cari OpenVPN di sana, klik dua kali dan atur ke otomatis. Sekarang server akan mulai dengan sendirinya setelah reboot.

Kami sedang menyelesaikan konfigurasi atau konfigurasinya masing-masing.

Sekarang saya akan memberi tahu Anda cara mendistribusikan Internet dan hal-hal kecil lainnya yang terkait dengan pengaturan. Mari kita mulai dengan hal-hal kecil. Kami akan melakukan semua manipulasi dengan konfigurasi server.
Jika Anda ingin klien Anda “bertemu” satu sama lain, mis. bisa bertukar informasi, lalu masuk di config
klien-ke-klien.
Bila perlu klien diberikan alamat statis, lalu di folder config buat file ip.txt dan masukkan di config
ifconfig-pool-bertahan ip.txt
Tidak ingin membuat sertifikat untuk semua orang? Lalu kita menulis duplikat-cn, namun perhatikan bahwa ifconfig-pool-persist tidak berfungsi dengan opsi ini.
Sekarang tentang konfigurasi klien. Anda tidak dapat mentransfer file sertifikat, tetapi memasukkannya langsung ke konfigurasi, tetapi lebih baik melakukannya bukan dari notepad, tetapi dari AkelPad atau Notepad++, misalnya. Buka ca.crt dan pilih dari ——BEGIN CERTIFICATE— hingga ——END CERTIFICATE—. Konfigurasinya akan terlihat seperti ini:

——MULAI SERTIFIKAT—
sertifikat
——SERTIFIKAT AKHIR——


——MULAI SERTIFIKAT—
sertifikat
——SERTIFIKAT AKHIR——


——MULAI KUNCI PRIBADI——
kunci
——AKHIR KUNCI PRIBADI——

Kami mendistribusikan Internet

Untuk melakukan ini, masukkan konfigurasi server:
tekan "redirect-gateway def1"
tekan "DHCP-opsi DNS 8.8.8.8"
tekan "DNS opsi dhcp 8.8.4.4"
Kami mengganti alamat DNS yang diberikan dalam pengaturan. Anda dapat melihatnya dengan masuk ke panel kontrol - koneksi jaringan, klik dua kali pada adaptor yang terhubung ke Internet. Untuk Jaringan Panel Kontrol Win7 dan Jaringan Internet dan Pusat Berbagi perubahan bersama parameter adaptor. Selanjutnya, buka properti adaptor yang sama, tab akses, centang kotak di samping "Izinkan pengguna jaringan lain..." dan di daftar tarik-turun, jika tersedia, pilih adaptor vpn virtual. Lalu pergi ke properti adaptor vpn, properti ipv4 dan atur ip penerima dan dns secara otomatis. Terima kasih atas perhatian Anda!

OpenVPN adalah aplikasi untuk membuat terowongan IP aman melalui satu UDP - atau Port TCP - port 1194. Untuk menjamin keamanan saluran kontrol dan aliran data, OpenVPN menggunakan perpustakaan OpenSSL (lebih tepatnya protokol SSLv3 / TLSv1), yaitu. Semua kemampuan enkripsi, autentikasi, dan sertifikasi perpustakaan OpenSSL tersedia (sandi apa pun, ukuran kunci). Algoritme HMAC untuk OpenVPN juga dapat digunakan untuk memberikan keamanan yang lebih baik, dan akselerasi perangkat keras untuk meningkatkan kinerja enkripsi.

OpenVPN digunakan pada Solaris, OpenBSD, FreeBSD, NetBSD, GNU/Linux, Apple Mac OS X dan Microsoft Windows.

OpenVPN menawarkan kepada pengguna beberapa jenis otentikasi:

Kunci preset adalah metode paling sederhana.

Menggunakan login dan kata sandi - dapat digunakan tanpa membuat sertifikat klien(sertifikat server masih diperlukan).

OpenVPN dapat menggunakan kunci statis, kunci yang dibagikan sebelumnya, atau pertukaran kunci dinamis berbasis TLS. Ini juga mendukung koneksi VPN dengan host jarak jauh dinamis (DHCP atau klien dial-up), terowongan melalui NAT atau melalui yang lengkap firewall(misalnya aturan Linux iptables).

Pengaturan file konfigurasi klien identik dalam sintaksis dan penulisan untuk Linux dan Windows.

Komponen Jaringan OpenVPN

Komponen utama jaringan OpenVPN dan objek

Otoritas sertifikasi CA. Menerbitkan sertifikat berdasarkan permintaan dari node jaringan VPN, ditandatangani oleh sertifikat otoritas sertifikasi. Memberikan host VPN sertifikatnya sendiri untuk memverifikasi pihak autentikasi. Mengelola daftar pencabutan sertifikat CRL.

Server OpenVPN. Perangkat lunak server OpenVPN membuat terowongan di dalamnya jaringan tidak aman, misalnya Internet. Terowongan ini menyediakan lalu lintas terenkripsi yang aman antara node yang berpartisipasi dalam jaringan OpenVPN.

klien OpenVPN. OLEH klien OpenVPN diinstal pada semua node yang memerlukan saluran transmisi aman dengan server OpenVPN. Dengan konfigurasi server OpenVPN yang sesuai, transfer data yang aman dimungkinkan antara klien OpenVPN, dan tidak hanya antara klien dan server OpenVPN.

Sertifikat (kunci publik) X.509. Sertifikat X.509 adalah kunci publik yang disertifikasi oleh CA. Mereka digunakan untuk mengenkripsi data. Fakta bahwa sertifikat tersebut disertifikasi oleh CA memungkinkan Anda mengidentifikasi pihak yang mengirimkan data terenkripsi. File permintaan sertifikat dibuat pada node jaringan, kemudian ditransfer ke node otoritas sertifikasi dan ditandatangani di sana. Sertifikat bertanda tangan yang dihasilkan ditransfer kembali ke node jaringan OpenVPN yang memintanya.

Kunci pribadi. Kunci pribadi bersifat rahasia. Mereka harus dibuat dan disimpan di setiap node jaringan OpenVPN, dimaksudkan untuk mendekripsi data, dan tidak boleh dikirimkan melalui jaringan. Kunci pribadi dibuat pada node jaringan OpenVPN secara bersamaan dengan file permintaan sertifikat.

Daftar pencabutan sertifikat CRL. Berisi daftar sertifikat yang kehilangan kepercayaan. Itu dibuat dan diedit pada node CA. Untuk memutuskan sambungan node dari jaringan, cukup tambahkan sertifikatnya ke CRL. Setelah pembuatan dan setiap perubahan, daftar CRL ditransfer ke server OpenVPN.

File Diffie-Hellman. Ini digunakan untuk mencegah dekripsi lalu lintas yang direkam sebelum pencurian jika terjadi pencurian kunci. Dibuat di server OpenVPN.

Keamanan dan Enkripsi

Keamanan dan enkripsi di OpenVPN disediakan oleh pustaka Cara Menggunakan OpenSSL dan protokol Transport Layer Security (TLS). Daripada menggunakan OpenSSL di OpenVPN versi baru, Anda dapat menggunakan pustaka PolarSSL. Protokol TLS merupakan peningkatan pada protokol transfer data aman dari lapisan Secure Socket Layers (sertifikat SSL untuk situs web, email).

OpenSSL dapat menggunakan kriptografi simetris dan asimetris.

Dalam kasus pertama, sebelum memulai transfer data, Anda perlu menempatkannya kunci rahasia. Hal ini menimbulkan masalah perpindahan yang aman kunci ini melalui Internet yang tidak aman.

Dalam kasus kedua, setiap peserta pertukaran data memiliki dua kunci - publik (terbuka) dan pribadi (rahasia).

Kunci publik digunakan untuk mengenkripsi data, dan kunci privat digunakan untuk mendekripsi. Enkripsi didasarkan pada matematika yang cukup kompleks. Algoritme enkripsi kunci publik yang dipilih dalam SSL/TLS memberikan kemampuan untuk mendekripsi hanya menggunakan kunci pribadi.

Kunci pribadi bersifat rahasia dan harus tetap berada dalam node tempat kunci tersebut dibuat. Kunci publik harus dikirimkan ke peserta pertukaran data.

Untuk transfer data yang aman, perlu dilakukan identifikasi pihak-pihak yang terlibat dalam pertukaran data. DI DALAM jika tidak Anda bisa menjadi korban dari apa yang disebut serangan “man in the middle” (MITM). Selama serangan seperti itu, penyerang terhubung ke saluran transmisi data dan mengupingnya. Itu juga dapat mengganggu, menghapus atau mengubah data.

Untuk menyediakan otentikasi (memeriksa identitas pengguna), protokol TLS menggunakan infrastruktur kunci publik(Infrastruktur Kunci Publik, PKI) dan kriptografi asimetris.

Perlu Anda sadari bahwa mendekripsi data tanpa kunci pribadi juga dapat dilakukan, misalnya dengan menggunakan brute force. Meskipun metode ini memerlukan komputasi yang intensif, hanya masalah waktu sebelum data dapat didekripsi.

Meskipun ukuran kunci mempengaruhi kesulitan dekripsi, tidak ada kunci yang menjamin keamanan data secara lengkap. Selain itu, ada kemungkinan pencurian data dan kunci yang sudah didekripsi karena kerentanan dan bookmark pada sistem operasi atau perangkat lunak aplikasi, serta perangkat keras server dan workstation.

Enkripsi data meningkatkan lalu lintas dan memperlambat komunikasi. Semakin panjang kunci yang digunakan untuk mengenkripsi data, semakin sulit menemukannya, tetapi perlambatan pertukaran data akan semakin terlihat.

OpenVPN Debian Wheezy/sid

# aptitude install openvpn # mkdir /etc/openvpn/easy-rsa # cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/

Mengubah pengaturan default untuk sertifikat

# nano /etc/openvpn/easy-rsa/vars ... ekspor KEY_COUNTRY="AS" ekspor KEY_PROVINCE="CA" ekspor KEY_CITY="SanFrancisco" ekspor KEY_ORG="Fort-Funston" ekspor KEY_EMAIL=" [dilindungi email]"

Ayo berkreasi variabel lingkungan bash , jika ini tidak dilakukan, saat membuat kunci klien, variabel akan diambil dari /etc/openvpn/easy-rsa/openssl.cnf dan bukan dari file vars

# cd /etc/openvpn/easy-rsa # source ./vars CATATAN: Jika Anda menjalankan ./clean-all, saya akan melakukan rm -rf pada /etc/openvpn/easy-rsa/keys # ./clean- semua # ./build-dh

Mari buat sertifikat untuk server bernama vpnspar

# ./pkitool --initca # ./pkitool --server vpnspar

Mari buat sertifikat untuk klien bernama farm1c. Kunci terpisah untuk setiap klien.

# ./pkitool farm1c # mkdir /etc/openvpn/keys # kunci cp/ca.crt /etc/openvpn/keys # kunci cp/dh1024.pem /etc/openvpn/keys # kunci cp/vpnspar.crt /etc/openvpn /kunci # kunci cp/vpnspar.key /etc/openvpn/keys

Direktori ccd menyimpan pengaturan individu untuk setiap klien. Nama file harus sesuai dengan nama sertifikat klien yang dihasilkan. File konfigurasi klien adalah file teks dan berisi perintah yang dijalankan server saat klien terhubung. Biasanya file klien berisi perintah berikut:

menambahkan rute ke klien ke subnet lokal kantor pusat (tekan "rute 192.168.1.0 255.255.255.0")

menentukan alamat subnet lokal yang terletak di belakang klien (misalnya, route 192.168.2.0 255.255.255.0)

mengikat ke IP statis (ifconfig-push 192.168.14.21 192.168.14.22), di mana ifconfig-push . Pasangan alamat IP yang dipilih, pertama, harus unik, kedua, harus menjadi bagian dari subnet berturut-turut yang dibatasi oleh mask /30 (255.255.255.252), dan, ketiga, harus berada dalam kumpulan alamat IP, yang didedikasikan untuk maya jaringan pribadi(bertekad parameter server file konfigurasi server OpenVPN).

server.conf

Konfigurasikan server di file server.conf

# cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/ # gunzip server.conf.gz # nano /etc/openvpn/server.conf server.conf lokal xxx.196.98.xxx # IP tempat server mendengarkan pesan masuk pelabuhan 1194 # port tempat server mendengarkan pesan masuk proto udp dev tun # Aktifkan antarmuka manajemen OpenVPN. Dapat diakses melalui telnet localhost 7505 manajemen localhost 7505 kunci ca/ca.crt # lokasi sertifikat tepercaya (CA) yang ditandatangani sendiri kunci sertifikat/vpnspar.crt # lokasi sertifikat server kunci kunci/ vpnspar.key # lokasi kunci pribadi server kunci dh/ dh1024.pem # lokasi file parameter Diffie-Halman # Mengatur mode server dan alamat jaringan VPN, # dari mana OpenVPN akan mendistribusikan alamat ke klien. # Server akan mengambil 192.168.14.1, # alamat lain akan tersedia untuk klien. # Setiap klien akan dapat menghubungi server di 192.168.14.1. server 192.168.14.0 255.255.255.0 # File ipp.txt menyimpan informasi tentang koneksi, misalnya jika terjadi kegagalan koneksi # dan restorasi selanjutnya ifconfig-pool-bertahan ipp.txt # rute yang akan dikirim ke setiap klien. # push - Perintah OpenVPN dikirim ke klien dan dijalankan oleh klien # (V dalam hal ini tambahkan dua rute ke jaringan pribadi virtual di sisi klien) dorongan "rute 192.168.1.0 255.255.255.0" dorongan "rute 192.168.35.0 255.255.255.0" # Redirect gateway default ke server VPN. Jika tidak perlu, beri komentar atau # tambahkan ke ccd untuk klien tertentu tekan "redirect-gateway def1" # menunjukkan di mana file dengan pengaturan alamat IP klien akan disimpan klien-config-dir ccd # tambahkan rute server-klien. # rute - menambahkan rute sisi server ke subnet lokal yang terletak di belakang klien rute 192.168.14.0 255.255.255.252 # mengizinkan klien yang terhubung ke server OpenVPN untuk berkomunikasi satu sama lain klien-ke-klien # Petunjuk pemeriksaan kesehatan termasuk pengiriman # pesan seperti ping bolak-balik via # koneksi sehingga masing-masing pihak mengetahui kapan # sisi yang lain tiba-tiba menghilang (turun). # Ping setiap 10 detik, dengan asumsi remote # node tidak dapat dijangkau jika tidak menerima satu ping per periode waktu # sama dengan 120 detik. keepalive 10 120 comp-lzo max-clients 10 pengguna tidak ada grup nogroup persist-key persist-tun # Isi file status kecil ditampilkan # koneksi saat ini, terpotong # dan ditulis ulang sekali per menit. status / var/ log/ openvpn-status.log log / var/ log/ openvpn.log kata kerja 3 # tingkat debug# /etc/init.d/openvpn mulai

Cabut sertifikat klien

Contoh. Mencabut sertifikat pengguna farm1c # cd /etc/openvpn/easy-rsa # source ./vars # ./revoke-full farm1c Menggunakan konfigurasi dari /etc/openvpn/easy-rsa/openssl.cnf Mencabut Sertifikat 02. Basis Data Diperbarui

Setelah perintah revoke-full, baris yang sesuai dengan sertifikat pengguna farm1c akan diubah menjadi file /etc/openvpn/easy-rsa/keys/index.txt.

Instalasi OpenVPN + OpenVZ

Instalasi VE(VPS, VDS)

Menginstal VE Ubuntu untuk OpenVZ # cd /vz/template/cache/ # wget -c http://download.openvz.org/template/precreated/ubuntu-14.04-x86_64-minimal.tar.gz # vzctl create 111 --layout simfs --ostemplate ubuntu-14.04-x86_64-konfigurasi CT minimal disimpan ke /etc/vz/conf/111.conf

Mengonfigurasi VE 111.conf.

Semua pengaturan lainnya sudah dibuat di VE #vzctl yang diinstal, masukkan 111

Membuat Kunci

Membuat kunci menggunakan utilitas Easy-RSA. Sebelumnya, utilitas ini merupakan bagian dari distribusi server OpenVPN, tetapi sekarang menjadi proyek terpisah. Versi terbaru dari utilitas ini dapat diunduh dari situs web OpenVPN, tetapi lebih tepat menggunakan versi yang disertakan dengan distribusi OS Anda. aptitude install mudah-rsa

Sebelum memulai daemon OpenVPN, kita memerlukan file konfigurasi OpenSSL di direktori /etc/openvpn/keys; server.conf - file konfigurasi server OpenVPN; ca.crt - sertifikat dari otoritas sertifikasi; vpn-server.crt - Sertifikat server OpenVPN; server.key - kunci pribadi server OpenVPN, rahasia; crl.pem - daftar pencabutan sertifikat; dh.pem - File Diffie-Hellman untuk melindungi lalu lintas dari dekripsi; ta.key - kunci HMAC untuk perlindungan tambahan dari serangan DoS dan banjir

Salin direktori easy-rsa ke tempat kita akan membuat infrastruktur kunci publik (PKI) cp -R /usr/share/easy-rsa /etc/openvpn/ cd /etc/openvpn/easy-rsa

Mengubah pengaturan default untuk sertifikat di file vars

Ekspor KEY_COUNTRY="AS" ekspor KEY_PROVINCE="CA" ekspor KEY_CITY="SanFrancisco" ekspor KEY_ORG="Fort-Funston" ekspor KEY_EMAIL=" [dilindungi email]" ekspor KEY_OU="Unit Organisasi Saya"

Mari buat variabel lingkungan.

Sumber ./vars CATATAN: Jika Anda menjalankan ./clean-all, saya akan melakukan rm -rf di /etc/openvpn/easy-rsa/keys

Mari kita perjelas dari percobaan sebelumnya. Mari kita membuat kunci Diffie-Hellman (pembuatan kunci membutuhkan waktu).

./clean-all ./build-dh Menghasilkan parameter DH, prime aman sepanjang 2048 bit, generator 2 Ini akan memakan waktu lama ...

Mari buat direktori untuk menyimpan kunci pribadi server OpenVPN. Copy file Diffie-Hellman disana (dh2048.pem) mkdir /etc/openvpn/keys cp key/dh2048.pem /etc/openvpn/keys/

Ayo berkreasi Otoritas sertifikasi CA. ca.crt dan ca.key akan dibuat. File ca.key mewakili kunci pribadi CA rahasia, dan dia tidak dapat ditransfer ke node lain di jaringan Anda. Sebaliknya, file sertifikat CA ca.crt terbuka dan diperlukan di server OpenVPN dan node klien. ./pkitool --initca

Mari kita buat sertifikat untuk server bernama vpnluxor ./pkitool --server vpnluxor

Salin file yang dibuat vpnluxor.crt dan vpnluxor.key ke direktori /etc/openvpn/keys/

Mari buat sertifikat untuk klien client1 dengan parameter CommonName dengan nama yang sama. Kunci terpisah untuk setiap klien. ./pkitool klien1

Lokasi sertifikat dan kunci

Menginstal OpenVPN

Direktori ccd menyimpan pengaturan individual untuk setiap klien. mkdir /etc/openvpn/ccd

Memperluas batas jaringan VPN

Memperluas Batasan VPN untuk Disertakan mobil tambahan dari subnet di sisi klien atau server. Aktifkan beberapa mesin di sisi server saat menggunakan VPN yang dirutekan (dev tun)

Karena VPN hanya beroperasi point-to-point, Anda mungkin ingin memperluas cakupan VPN sehingga klien dapat berkomunikasi dengan mesin lain di jaringan server, bukan hanya server itu sendiri.

Untuk mengilustrasikannya dengan sebuah contoh, asumsikan bahwa jaringan lokal sisi server menggunakan subnet 10.66.0.0/24 dan kumpulan alamat VPN menggunakan 10.8.0.0/24, seperti yang ditentukan dalam arahan server di file konfigurasi server OpenVPN.

Pertama, Anda harus memberi tahu klien VPN bahwa subnet 10.66.0.0/24 dapat diakses melalui VPN. Ini dapat dengan mudah dilakukan dengan menggunakan arahan berikut di file konfigurasi server:

Tekan "rute 10.66.0.0 255.255.255.0"

Selanjutnya, Anda perlu mengkonfigurasi rute pada gateway LAN di jaringan server untuk merutekan paket yang ditujukan untuk subnet klien VPN (10.8.0.0/24) melalui server OpenVPN (ini hanya diperlukan ketika server OpenVPN dan gateway LAN terhubung mesin yang berbeda).

Iptables -A INPUT -p udp --dport 1194 -j TERIMA iptables -A INPUT -i ketuk+ -j TERIMA atau iptables -A INPUT -i tun+ -j TERIMA

Manajemen OpenVPN

Masalah PPPoE dan OpenVPN

Masalah: Jika server terhubung ke ISP menggunakan teknologi cara kerja PPPoE, dalam hal ini OpenVPN tidak akan dapat membuat jaringan di belakang klien yang terhubung dapat diakses. Perintah iroute tidak akan berfungsi. Hal ini disebabkan oleh fakta bahwa PPP menulis rute default sebagai berikut:

# netstat -rn Tabel routing IP Kernel Gerbang Tujuan Genmask Flags MSS Window irtt Iface 0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 ppp0

Itu. antarmuka (ppp0) ditunjukkan oleh rute default, bukan alamat IP, server OpenVPN tidak memahami entri seperti itu, misalnya pengoperasian yang benar Rute server OpenVpn akan terlihat seperti:

# netstat -rn Gerbang Tujuan Genmask Bendera MSS Jendela irtt Iface 0.0.0.0 91.196.96.35 255.255.255.255 UGH 0 0 0 ppp0

Proto klien udp dev tun ca.crt dh dh2048.pem cert client.crt key client.key remote xxx.xxx.xxx.xxx 1194 tls-auth ta.key 1 cipher AES-256 -Pengguna CBC tidak ada yang mengelompokkan kata kerja nogroup 2 bisu 20 keepalive 10 120 comp-lzo persist-key persist-tun float resolv-retry tak terbatas nobind

Rotasi log OpenVPN

Di file /etc/logrotate.d/openvpn kami menulis pengaturan untuk Deskripsi dan contoh pengaturan logrotate di Linux, parameter kunci copytruncate(agar tidak membebani OpenVPN dan memaksanya untuk menulis data ke file log yang sama) openvpn dll/ openvpn/ server/ vpnluxor/ logs/ openvpn.log ( rotasi harian 8 kompres penundaankompres missingok copytruncate notifempty buat 640 root )

OpenVPN adalah salah satu opsi VPN (jaringan pribadi virtual atau jaringan virtual pribadi) yang memungkinkan transmisi data melalui saluran terenkripsi yang dibuat khusus. Dengan cara ini, Anda dapat menghubungkan dua komputer atau membangun jaringan terpusat dengan satu server dan beberapa klien. Pada artikel ini kita akan mempelajari cara membuat server seperti itu dan mengkonfigurasinya.

Seperti disebutkan di atas, menggunakan teknologi yang mana yang sedang kita bicarakan, kami dapat mengirimkan informasi melalui saluran komunikasi yang aman. Ini bisa berupa berbagi file atau mengamankan akses Internet melalui server yang berfungsi sebagai gerbang bersama. Untuk membuatnya kita tidak membutuhkannya peralatan tambahan dan pengetahuan khusus - semuanya dilakukan di komputer yang rencananya akan digunakan sebagai server VPN.

Untuk pekerjaan lebih lanjut, perlu juga mengkonfigurasi bagian klien pada mesin pengguna jaringan. Semua pekerjaan direduksi menjadi pembuatan kunci dan sertifikat, yang kemudian ditransfer ke klien. File-file ini memungkinkan Anda mendapatkan alamat IP saat menghubungkan ke server dan membuat saluran terenkripsi yang disebutkan di atas. Semua informasi yang dikirimkan melaluinya hanya dapat dibaca jika kuncinya tersedia. Fitur ini dapat meningkatkan keamanan secara signifikan dan menjamin keamanan data.

Menginstal OpenVPN pada mesin server

Instalasinya adalah prosedur standar dengan beberapa nuansa, yang akan kita bicarakan lebih detail.

Menyiapkan bagian server

Saat mengeksekusi langkah selanjutnya Anda harus berhati-hati mungkin. Kesalahan apa pun akan menyebabkan server tidak dapat dioperasikan. Satu hal lagi prasyarat– akun Anda harus memiliki hak administrator.

1. Ayo pergi ke katalog "mudah-rsa", yang dalam kasus kami berlokasi di

   C:\OpenVPN\easy-rsa

   Menemukan file vars.bat.sampel.

   

   Ubah namanya menjadi vars.bat(hilangkan kata itu "mencicipi" bersama dengan titik).

   

   Buka file ini di editor. Ini penting karena notepad inilah yang memungkinkan Anda mengedit dan menyimpan kode dengan benar, sehingga membantu menghindari kesalahan saat menjalankannya.

   

2. Pertama-tama, kami menghapus semua komentar yang disorot dengan warna hijau - itu hanya akan mengganggu kami. Kami mendapatkan yang berikut:

   

3. Selanjutnya, ubah jalur ke folder tersebut "mudah-rsa" ke yang kami tentukan saat instalasi. Dalam hal ini, kita cukup menghapus variabel tersebut %ProgramFile% dan mengubahnya menjadi C:.

   

4. Kami membiarkan empat parameter berikutnya tidak berubah.

   

5. Baris yang tersisa diisi secara acak. Contoh di tangkapan layar.

   

6. Simpan berkasnya.

   

7. Anda juga perlu mengedit file berikut:
   • build-ca.bat
   • build-dh.bat
   • build-key.bat
   • build-key-pass.bat
   • build-key-pkcs12.bat
   • build-key-server.bat

   

   Mereka perlu mengubah tim

   ke jalur absolut ke file yang sesuai openssl.exe. Jangan lupa untuk menyimpan perubahannya.

   

8. Sekarang buka foldernya "mudah-rsa", penjepit MENGGESER dan klik kanan pada ruang bebas(bukan berdasarkan file). Di menu konteks, pilih item "Buka jendela perintah".

   

   Akan dimulai "Baris perintah" dengan transisi ke direktori target telah selesai.

   

9. Masukkan perintah di bawah ini dan klik MEMASUKI.

   

10. Selanjutnya, kami meluncurkan file batch lainnya.

    

11. Kami mengulangi perintah pertama.

    

12. Langkah selanjutnya adalah membuat file yang diperlukan. Untuk melakukan ini kami menggunakan perintah

    Setelah eksekusi, sistem akan meminta Anda untuk mengkonfirmasi data yang kami masukkan ke dalam file vars.bat. Cukup tekan beberapa kali MEMASUKI sampai garis aslinya muncul.

    

13. Buat kunci DH dengan menjalankan file

    

14. Kami sedang mempersiapkan sertifikat untuk bagian server. Ada satu di sini poin penting. Itu perlu diberi nama yang kita tulis vars.bat sejalan "KEY_NAME". Dalam contoh kita ini adalah Lumpik. Perintahnya terlihat seperti ini:

    build-key-server.bat Lumpics

    Di sini Anda juga perlu mengkonfirmasi data menggunakan kunci MEMASUKI, dan masukkan juga huruf itu dua kali "kamu"(ya), jika diperlukan (lihat tangkapan layar). Anda dapat menutup baris perintah.

    

15. Di katalog kami "mudah-rsa" muncul folder baru dengan judul "kunci".

    

16. Isinya harus disalin dan ditempel ke dalam folder "ssl", yang harus dibuat di direktori root program.

    

    Tampilan folder setelah menempelkan file yang disalin:

    

17. Sekarang mari kita pergi ke katalog

    C:\OpenVPN\config

    Buat dokumen teks di sini (RMB – Baru – Dokumen Teks), ganti namanya menjadi server.ovpn dan buka di Notepad++. Kami memasukkan kode berikut:

    pelabuhan 443
    proto udp
    lagu dev
    simpul pengembang "VPN Lumpics"
    dh C:\\OpenVPN\\ssl\\dh2048.pem
    ca C:\\OpenVPN\\ssl\\ca.crt
    sertifikat C:\\OpenVPN\\ssl\\Lumpics.crt
    kunci C:\\OpenVPN\\ssl\\Lumpics.key
    server 172.16.10.0 255.255.255.0
    klien maksimal 32
    tetap hidup 10 120
    klien-ke-klien
    comp-lzo
    kunci bertahan
    bertahan-tun
    sandi DES-CBC
    status C:\\OpenVPN\\log\\status.log
    log C:\\OpenVPN\\log\\openvpn.log
    kata kerja 4
    bisu 20

    Harap dicatat bahwa nama sertifikat dan kunci harus sesuai dengan yang ada di folder "ssl".

    

18. Selanjutnya kita buka "Panel Kontrol" dan pergi ke "Pusat Kendali Jaringan".

    

19. Klik pada tautannya "Mengubah pengaturan adaptor".

    

20. Di sini kita perlu menemukan koneksi yang dibuat "TAP-Adaptor Windows V9". Ini dapat dilakukan dengan mengklik kanan pada koneksi dan membuka propertinya.

    

21. Ubah namanya menjadi "VPN Benjolan" tanpa tanda kutip. Nama ini harus sesuai dengan parameternya "simpul pengembang" dalam berkas server.ovpn.

    

22. Tahap terakhir adalah memulai layanan. Tekan kombinasi tombol Menang+R, masukkan baris di bawah dan klik MEMASUKI.

    

23. Kami menemukan layanan dengan nama tersebut "Layanan OpenVpn", klik kanan dan buka propertinya.

    

24. Ubah jenis startup menjadi "Secara otomatis", mulai layanan dan klik "Menerapkan".

    

25. Jika kami melakukan semuanya dengan benar, maka tanda silang merah di dekat adaptor akan hilang. Artinya koneksi siap digunakan.

    

Menyiapkan sisi klien

Sebelum Anda mulai menyiapkan klien, Anda perlu melakukan beberapa tindakan pada mesin server - membuat kunci dan sertifikat untuk menyiapkan koneksi.

Pekerjaan yang perlu dilakukan pada mesin klien:

Ini menyelesaikan konfigurasi server dan klien OpenVPN.

Kesimpulan

Mengatur jaringan VPN Anda sendiri akan memungkinkan Anda melindungi sebanyak mungkin informasi yang ditransmisikan, dan juga membuat penjelajahan Internet lebih aman. Hal utama adalah lebih berhati-hati saat menyiapkan bagian server dan klien; dengan tindakan yang tepat, Anda akan dapat menikmati semua manfaat dari jaringan virtual pribadi.

Router seri RTU memiliki kemampuan untuk menggunakan koneksi aman melalui pribadi jaringan maya, ditelepon OpenVPN

Proses pengaturan dan konfigurasi dari paket ini bagi rata-rata pengguna hal ini dapat disertai dengan banyak kesulitan karena kurangnya pengetahuan yang diperlukan.

Hampir semua konfigurasi dapat dilakukan melalui antarmuka WEB, tetapi beberapa elemen masih harus dilakukan melalui konsol!

Apa itu OpenVPN dan mengapa diperlukan dapat ditemukan melalui artikel Wikipedia: OpenVPN

Pada artikel ini kita akan berkenalan dengan bagian persiapan, ini adalah pembuatan sertifikat dan kunci enkripsi untuk melindungi saluran transmisi kami.

1. Menghasilkan sertifikat dan kunci di Windows

Untuk menghasilkan sertifikat dan kunci enkripsi pada OS Windows, Anda perlu menginstal aplikasi itu sendiri OpenVPN

Setelah mengunduh dan menginstalnya di folder yang Anda tentukan, itu akan berisi daftar file. Bagi saya ini adalah folder C:\Program Files\OpenVPN\

Kita harus pergi ke folder itu mudah-rsa

Anda perlu membuka konsol Windows (untuk Windows Vista/7/8/8.1/10 Anda harus menjalankannya sebagai Administrator)

Anda dapat mengetahui cara meluncurkan baris perintah (konsol) sebagai administrator dengan mengetikkan frasa di mesin pencari (Yandex, Google, Mail, dll.): " Cara menjalankan command prompt sebagai administrator"

Buka foldernya mudah-rsa sepanjang jalur instalasi dengan perintah CD

Misalnya:

cd C:\Program Files\OpenVPN\easy-rsa

1.1 Jalankan file init-config.bat

C:\Program Files\OpenVPN\easy-rsa>init-config.bat
C:\Program Files\OpenVPN\easy-rsa>salin vars.bat.sampel vars.bat
File yang disalin: 1.

File tersebut akan muncul di folder vars.bat, buka dengan editor teks, kami tertarik dengan baris paling akhir, harus diisi

Kami telah menetapkan parameter kami, parameter Anda akan berbeda.

mengatur KEY_COUNTRY= RU
setel KEY_PROVINCE= Moskow
setel KEY_CITY= Moskow
atur KEY_ORG= TELEOFIS
atur KEY_EMAIL= [dilindungi email]
atur KEY_CN= server
setel KEY_NAME= server
atur KEY_OU= server
atur PKCS11_MODULE_PATH= server
atur PKCS11_PIN= 12345

Jika tertulis server, jangan sentuh itu. Simpan berkasnya.

Temukan baris default_days 365 dan ganti angka 365 dengan 3650. Dengan melakukan hal ini, kami akan memperpanjang umur sertifikat kami sebanyak 10 tahun.

Simpan dan tutup.

1.3 Menghasilkan kunci

Kami menulis perintah ke konsol

vars

bersih-semua

Jawabannya harus datang

File yang disalin: 1.
File yang disalin: 1.

Jika kita melihat ini, maka semuanya baik-baik saja, kita lanjutkan...

Membuat kunci Diffie-Hellman

membangun-dh

Buat sertifikat utama

membangun-ca

Saat membuat sertifikat utama, pertanyaan akan ditampilkan di konsol. Cukup tekan Enter, karena... Kami memasukkan semua parameter ini ke dalam file vars.bat

Tekan Enter hingga baris prompt muncul

C:\Program Files\OpenVPN\easy-rsa

build-key-server

Untuk pertanyaan, tekan juga Enter, tetapi luangkan waktu Anda, di bagian paling akhir akan ditanyakan dua pertanyaan

Menandatangani sertifikat?

Kami menjawab Y untuk kedua pertanyaan ini.

Sekarang kita membuat sertifikat dan kunci klien:

klien kunci build

Kami juga meluangkan waktu untuk menjawab segera setelah kami melihat baris " Nama Umum (misalnya, nama Anda atau nama host server Anda)"perlu dijawab klien

Di bagian paling akhir juga akan ada dua pertanyaan, kami juga menjawab Y

Selain itu: untuk setiap klien, Anda perlu membuat kunci terpisah dan memberi nama klien1, klien2 atau dengan cara lain, itu semua tergantung imajinasi Anda. Ingatlah juga untuk memasukkan nama-nama ini ketika diminta Nama Umum

Misalnya:

klien kunci build1

build-key office1

Semua file akan ada di folder tersebut C:\Program Files\OpenVPN\easy-rsa\keys\

Dari folder ini kami mengambil:

dh1024.pem(atau dh2048.pem)

server.crt

server.kunci

2. Menghasilkan sertifikat dan kunci di Linux

Kami akan memberikan contoh pembuatan sertifikat dan kunci pada sistem operasi UbuntuLinux 16.04 LT

Untuk sistem lain aktif Berbasis Linux, beberapa perintah mungkin berbeda!

Buka konsol sistem operasi dan instal paket kecil mudah-rsa

sudo apt-get install easy-rsa

Buka direktori tempat paket pembuatan sertifikat diinstal

cd /usr/share/easy-rsa/

Satu-satunya momen folder ini hanya dapat ditulis oleh superuser, agar tidak ada masalah di kemudian hari, kami akan mengganti pemiliknya (Jangan lewatkan titik di akhir perintah!!!)

sudo chown -R teleofis:teleofis .

Sekarang mari kita konfigurasikan informasi tentang sertifikat yang akan dibuat

nano var

Kami menemukan poin-poin ini dan mengubahnya sesuai keinginan kami

ekspor KEY_SIZE=1024 // Panjang kunci
ekspor CA_EXPIRE=3650 // Masa berlaku kunci master dalam hari
ekspor KEY_EXPIRE=3650 // Masa berlaku sertifikat dalam hari
ekspor KEY_COUNTRY="RU" // Negara
ekspor KEY_PROVINCE="Moskow" // Wilayah
ekspor KEY_CITY="Moskow" // Kota
ekspor KEY_ORG="TELEOFIS" // Organisasi
ekspor KEY_EMAIL=" [dilindungi email]" // Surel
ekspor KEY_OU="server" // Departemen
ekspor KEY_NAME="server"// Nama kunci

Setelah diedit, simpan file tersebut.

Salin konfigurasi OpenSSL terbaru ke file membukasl.cnf

cp openssl-1.0.0.cnf openssl.cnf

Memuat variabel

sumber ./vars

Untuk berjaga-jaga, mari kita bersihkan sampah.

./bersihkan-semua

Buat sertifikat server

./build-ca

Untuk semua pertanyaan, tekan Enter, kami telah mengedit semua parameter ini terlebih dahulu di file vars

.........................................++++++
.......................................................................................++++++
menulis kunci pribadi baru ke "ca.key"
-----






-----





Nama Umum (misalnya, nama Anda atau nama host server Anda):
Nama:
Alamat Surel:

Buat kunci server

./build-key-server server

Kami menjawab semua pertanyaan dengan Enter, namun Anda harus berhati-hati, menjelang akhir akan ada beberapa pertanyaan tentang kata sandi dan nama opsional

Juga untuk pertanyaan

Menandatangani sertifikat?

1 dari 1 permintaan sertifikat disertifikasi, berkomitmen?

Kami menjawab Y

Menghasilkan kunci pribadi RSA 1024 bit
..............................++++++
.....................++++++
menulis kunci pribadi baru ke "server.key"
-----
Anda akan diminta memasukkan informasi yang akan dimasukkan
ke dalam permintaan sertifikat Anda.
Yang akan Anda masukkan itulah yang disebut dengan Nama Terhormat atau DN.
Ada beberapa bidang tetapi Anda dapat mengosongkan sebagian
Untuk beberapa bidang akan ada nilai default,
Jika Anda memasukkan ".", kolom tersebut akan dikosongkan.
-----
Nama Negara (kode 2 huruf) :
Nama Negara Bagian atau Provinsi (nama lengkap) :
Nama Lokalitas (misalnya, kota):
Nama Organisasi (misalnya, perusahaan):
Nama Unit Organisasi (misalnya, bagian):
Nama Umum (misalnya, nama Anda atau nama host server Anda):
Nama:
Alamat Surel:

Silakan masuk berikut ini atribut "ekstra".
untuk dikirim bersama permintaan sertifikat Anda
Kata sandi tantangan:
Nama perusahaan opsional:
Menggunakan konfigurasi dari /usr/share/easy-rsa/openssl-1.0.0.cnf
Periksa apakah permintaan tersebut cocok dengan tanda tangannya
Tanda tangan oke
Nama Yang Dibedakan Subjek adalah sebagai berikut
Nama negara:DAPAT DICETAK:"RU"
stateOrProvinceName:PRINTABLE:"Moskow"
localityName:PRINTABLE:"Moskow"
Nama organisasi: DAPAT DICETAK: "TELEOFIS"
namaUnitorganisasi: DAPAT DICETAK:"server"
Nama umum: DAPAT DICETAK: "server"
nama: DAPAT DICETAK: "server"
alamat email:IA5STRING:" [dilindungi email]"
Sertifikat harus disertifikasi hingga 20 Des 13:25:10 2026 GMT (3650 hari)
Menandatangani sertifikat? :y

1 dari 1 permintaan sertifikat disertifikasi, berkomitmen? kamu
Tulis database dengan 1 entri baru
Basis Data Diperbarui

Membuat kunci Diffie-Hellman

./build-dh

Perhatian!!! File dapat dibuat waktu yang lama, kita tunggu akhir generasi.

Menghasilkan parameter DH, prime aman sepanjang 1024 bit, generator 2
Ini akan memakan waktu lama
.......+................+.............+.............................................................................+................+........................+...........................................+...............................................................................................................................................+....................+........................................+...................................................................................+....................................................................................................................+.+...................................++*++*++*

Kami membuat kunci klien dengan cara yang sama

./build-key klien1

./build-key rtu968

Kami menjawab semua pertanyaan dengan Enter, tapi hati-hati di akhir, akan ada lebih banyak permintaan

Menandatangani sertifikat?

1 dari 1 permintaan sertifikat disertifikasi, berkomitmen?

Kami menjawabnya Y

Ini menyelesaikan pembuatan sertifikat dan file kunci.

Dalam sebuah folder /usr/share/easy-rsa/keys/ sertifikat dan kunci kami akan ada di sana

dh1024.pem(atau dh2048.pem)

server.crt

server.kunci

3. Opsi tambahan

ada juga kunci tambahan dan metode untuk meningkatkan keamanan koneksi.

3.1 Kunci untuk otentikasi TLS

Dihasilkan oleh perintah:

openvpn --genkey --rahasia %KEY_DIR%\ta.key-Jendela

Untuk Linux, Anda memerlukan paket OpenVPN lengkap, hanya paketnya saja mudah-rsa tidak akan cukup!

Anda dapat menginstal paket OpenVPN lengkap dengan perintah

sudo apt-get instal openvpn

openvpn --genkey --secret /usr/share/easy-rsa/keys/ta.key-Linux

3.2 Verifikasi dan pencabutan sertifikat

Kita juga bisa berkreasi berkas tambahan crl.pem, melalui mana sertifikat akan diperiksa dan dicabut.

Anda tidak harus menggunakan file ini, tidak ada hal buruk yang akan terjadi.

Untuk menggunakannya, buat sertifikat pengguna:

crlsert kunci build - Windows

./build-key crlsert - Linux

Kami menjawab semua pertanyaan dengan menekan Enter, kecuali Nama Umum Dan Nama

Untuk bidang ini kami menunjukkan nama sertifikat itu sendiri.

Dan terakhir, atas permintaan Tanda tangani sertifikat? , 1 dari 1 permintaan sertifikat disertifikasi, berkomitmen? Kami menjawab Y

Setelah ini kita jalankan perintahnya pencabutan penuh, dia bertanggung jawab untuk mencabut sertifikat dan pembuatan file selanjutnya crl.pem

cabut-full crlsert - Windows

./revoke-full crlsert - Linux

File sertifikat itu sendiri crlsert dapat dihapus. Setelah dicabut, mereka tidak secara otomatis dihapus dari folder.

Ini menyelesaikan pembuatan kunci.

Mari kita lanjutkan ke artikel berikutnya:

Informasi tambahan.