വെർച്വൽ സ്വകാര്യ നെറ്റ്‌വർക്ക്. അതിന്റെ സഹായത്തോടെ നമുക്ക് കഴിയും:

• ഞങ്ങൾ ഇരിക്കുമ്പോൾ ഒരു സുരക്ഷിത ആശയവിനിമയ ചാനൽ സൃഷ്ടിക്കുക സൗജന്യ വൈഫൈകഫേയിൽ.
• നെറ്റ്‌വർക്ക് പങ്കാളികൾക്കിടയിൽ ഫയലുകൾ കൈമാറുക.
• ഒരു പൊതു ഗേറ്റ്‌വേ ഉപയോഗിച്ച് ഇന്റർനെറ്റ് വിതരണം ചെയ്യുക.

പ്രധാന നേട്ടങ്ങൾ:

• സജ്ജീകരിക്കാൻ എളുപ്പമാണ്.
• സുരക്ഷ.
• അധിക ഉപകരണങ്ങൾ ആവശ്യമില്ല.
• ഉയർന്ന വേഗതയും സ്ഥിരതയും.

ലിനക്സിൽ OpenVPN ഇൻസ്റ്റാൾ ചെയ്യുന്നതിനെക്കുറിച്ചുള്ള ലേഖനത്തിന്റെ രചയിതാവിനെപ്പോലെ, ഞാൻ ഒരു സാധാരണ ലേഖനം കണ്ടെത്തിയില്ല, കൂടാതെ എല്ലാം ചെറിയ വിശദാംശങ്ങളിലേക്ക് വിവരിച്ച ഒന്ന് പോലും. ഹബ്രഹാബറിനെക്കുറിച്ചുള്ള ഈ ലേഖനത്തിൽ, എല്ലാം കഴിയുന്നത്ര വ്യക്തമായി വിശദീകരിക്കാൻ ഞാൻ ശ്രമിക്കും. അതിനാൽ, നമുക്ക് പോകാം!

വിതരണം ഡൗൺലോഡ് ചെയ്യുക.

എഴുതുമ്പോൾ, ലഭ്യമായ പതിപ്പ് 2.3.2 . ഡൗൺലോഡ് വിൻഡോസ് ഇൻസ്റ്റാളർനിങ്ങളുടെ ഓപ്പറേറ്റിംഗ് സിസ്റ്റത്തിന്റെ ബിറ്റ് വലുപ്പത്തെ ആശ്രയിച്ച് 32 അല്ലെങ്കിൽ 64 ബിറ്റ് പതിപ്പ്.

ഇൻസ്റ്റലേഷൻ.

ഇൻസ്റ്റാൾ ചെയ്യുമ്പോൾ, എല്ലാ ബോക്സുകളും പരിശോധിക്കുന്നത് ഉറപ്പാക്കുക; ഡ്രൈവർ ഇൻസ്റ്റാൾ ചെയ്യാൻ ആവശ്യപ്പെടുമ്പോൾ ഞങ്ങൾ സ്ഥിരീകരണത്തിൽ ഉത്തരം നൽകുന്നു. സിസ്റ്റത്തിൽ ഒരു പുതിയ വെർച്വൽ നെറ്റ്‌വർക്ക് അഡാപ്റ്റർ ദൃശ്യമാകും.

സർട്ടിഫിക്കറ്റുകളുടെയും കീകളുടെയും സൃഷ്ടി.

ഒരിക്കൽ ഈ പോയിന്റ് എന്നെ തടഞ്ഞു, അവർ പറയുന്നു, ശരി, ഇവയാണ് കീകൾ, ഞാൻ പോയി ലളിതമായ എന്തെങ്കിലും നോക്കാം. പക്ഷേ, അയ്യോ, ഞാൻ ഇതിലും മികച്ചതൊന്നും കണ്ടെത്തിയില്ല. അതിനാൽ, C:\Program files\OpenVPN\easy-rsa എന്നതിലേക്ക് പോകുക, init-config.bat പ്രവർത്തിപ്പിക്കുക, vars.bat ദൃശ്യമാകും, അത് നോട്ട്പാഡിൽ തുറക്കുക. ഏറ്റവും താഴെയുള്ള വരികളിൽ ഞങ്ങൾക്ക് താൽപ്പര്യമുണ്ട്; അവ ഇഷ്ടാനുസരണം പൂരിപ്പിക്കേണ്ടതുണ്ട്. ഉദാഹരണത്തിന്:
KEY_COUNTRY=RU സജ്ജമാക്കുക
സെറ്റ് KEY_PROVINCE=ബൽദുർ
സെറ്റ് KEY_CITY=പിറ്റർ
KEY_ORG=OpenVPN സജ്ജമാക്കുക
സെറ്റ്
KEY_CN=സെർവർ സജ്ജമാക്കുക
KEY_NAME=സെർവർ സജ്ജമാക്കുക
KEY_OU=ouou സജ്ജമാക്കുക

എവിടെയാണ് എഴുതിയിരിക്കുന്നത് സെർവർതൊടരുത്. സംരക്ഷിച്ചു.
ഇപ്പോൾ openssl-1.0.0.cnf തുറന്ന് default_days 365 എന്ന വരി നോക്കുക, അത് 3650 ആയി സജ്ജമാക്കുക. ഇത് ഞങ്ങളുടെ സർട്ടിഫിക്കറ്റുകളുടെ ആയുസ്സ് 10 വർഷം വർദ്ധിപ്പിക്കും. രക്ഷിക്കും. അടുത്തതായി ഞങ്ങൾ തുറക്കുന്നു കമാൻഡ് ലൈൻസ്റ്റാർട്ട്-സ്റ്റാൻഡേർഡ്-കമാൻഡ് ലൈനിൽ (വിൻഡോസ് വിസ്റ്റ/7/8 അഡ്മിനിസ്ട്രേറ്ററായി), തുടർച്ചയായി എഴുതുക:

cd C:\OpenVPN\easy-rsa
vars
ശുദ്ധി-എല്ലാം

പ്രതികരണം "ഫയലുകൾ പകർത്തി: 1" എന്ന് രണ്ടുതവണ എഴുതണം. അതിനാൽ എല്ലാം ശരിയാണ്. അതേ വിൻഡോയിൽ ഞങ്ങൾ ടൈപ്പ് ചെയ്യുന്നു:
ബിൽഡ്-ഡിഎച്ച്
ഒരു ഡിഫി-ഹെൽമാൻ കീ സൃഷ്ടിക്കും.
ബിൽഡ്-ca
ഒരു പ്രാഥമിക സർട്ടിഫിക്കറ്റ് സൃഷ്ടിക്കും.
ചോദ്യങ്ങൾ ചോദിക്കും, C:\Program files\OpenVPN\easy-rsa എന്ന പാത്ത് കാണുന്നത് വരെ എന്റർ അമർത്തുക. അടുത്തതായി ഞങ്ങൾ ടൈപ്പ് ചെയ്യുന്നു:
ബിൽഡ്-കീ-സെർവർ സെർവർ
ചോദ്യങ്ങൾക്ക്, എന്റർ അമർത്തുക, നിങ്ങളുടെ സമയമെടുക്കൂ! അവസാനം രണ്ട് ചോദ്യങ്ങൾ ഉണ്ടാകും: "സർട്ടിഫിക്കറ്റിൽ ഒപ്പിടണോ?" കൂടാതെ "1-ൽ 1 സർട്ടിഫിക്കറ്റ് അഭ്യർത്ഥനകൾ സാക്ഷ്യപ്പെടുത്തി, കമ്മിറ്റ്?", രണ്ട് ചോദ്യങ്ങൾക്കും Y ഉത്തരം നൽകുക. ഇപ്പോൾ നമുക്ക് ഒരു ക്ലയന്റ് സർട്ടിഫിക്കറ്റ് സൃഷ്ടിക്കാം:
ബിൽഡ്-കീ ക്ലയന്റ്
ഇവിടെ നിങ്ങൾ കൂടുതൽ ശ്രദ്ധിക്കേണ്ടതുണ്ട്; പൊതുവായ പേര് (ഉദാ, നിങ്ങളുടെ പേര് അല്ലെങ്കിൽ നിങ്ങളുടെ സെർവറിന്റെ ഹോസ്റ്റ്നാമം) ചോദിക്കുമ്പോൾ, നിങ്ങൾ ക്ലയന്റ് നൽകേണ്ടതുണ്ട്. അവസാനം രണ്ട് തവണ Y ഉണ്ട്. ഓരോ ക്ലയന്റിനും നിങ്ങൾ ഒരു പുതിയ സർട്ടിഫിക്കറ്റ് സൃഷ്ടിക്കേണ്ടതുണ്ട്, മറ്റൊരു പേരിൽ മാത്രം, ഉദാഹരണത്തിന്, ബിൽഡ്-കീ ക്ലയന്റ്1 കൂടാതെ അത് പൊതുവായ പേരിൽ സൂചിപ്പിക്കുക. നിങ്ങൾ എല്ലാം ശരിയായി ചെയ്തുവെങ്കിൽ, നിങ്ങൾക്ക് ശ്വസിക്കാൻ കഴിയും! ഏറ്റവും കഠിനമായ ഭാഗം അവസാനിച്ചു. C:\Program Files\OpenVPN\easy-rsa\keys എന്ന ഫോൾഡറിൽ നമ്മൾ എടുക്കുന്നു: ca.crt, dh1024.pem, server.crt, server.key, C:\Program Files\OpenVPN\config-ൽ ഇടുക.

ഞങ്ങൾ കോൺഫിഗറേഷനുകൾ സൃഷ്ടിക്കുന്നു.

C:\Program Files\OpenVPN\config എന്നതിലേക്ക് പോകുക, സൃഷ്ടിക്കുക ടെക്സ്റ്റ് ഡോക്യുമെന്റ്, തിരുകുക:
# L3 ടണൽ ഉയർത്തുക
ദേവ് ട്യൂൺ
# പ്രോട്ടോക്കോൾ
പ്രോട്ടോ യുഡിപി
VPN ശ്രദ്ധിക്കുന്ന # പോർട്ട്
പോർട്ട് 12345
# കീകളും സർട്ടിഫിക്കറ്റുകളും
caca.crt
cert server.crt
കീ സെർവർ.കീ
dh dh1024.pem
# ഏകദേശം പറഞ്ഞാൽ, ഞങ്ങൾ വിലാസങ്ങൾ സംരക്ഷിക്കുന്നു
ടോപ്പോളജി സബ്നെറ്റ്
# വിലാസ കുളം
സെർവർ 10.8.0.0 255.255.255.0
# എൻക്രിപ്ഷൻ രീതി
സൈഫർ AES-128-CBC
# കംപ്രഷൻ
comp-lzo
# പിംഗ് ചെറുതായി മെച്ചപ്പെടുത്തുക
mssfix
# ക്ലയന്റുകളുടെ ആജീവനാന്തം, പ്രതികരിച്ചില്ലെങ്കിൽ - വിച്ഛേദിക്കുന്നു
Keepalive 10 120
# ഡീബഗ് ലെവൽ
ക്രിയ 3

ഫയൽ server.ovpn ആയി സേവ് ചെയ്യുക. ഇതാണ് ഞങ്ങളുടെ സെർവർ കോൺഫിഗറേഷൻ. ഇനി നമുക്ക് സെർവർ ആരംഭിക്കാൻ ശ്രമിക്കാം. ഡെസ്ക്ടോപ്പിൽ ഒരു കുറുക്കുവഴി ഉണ്ടാകും OpenVPN Gui. ലോഞ്ച് ചെയ്ത ശേഷം, ട്രേയിൽ ഒരു ചുവന്ന ഐക്കൺ ദൃശ്യമാകും. ഞങ്ങൾ അതിൽ രണ്ടുതവണ ക്ലിക്കുചെയ്യുക, അത് പച്ചയായി പ്രകാശിക്കുകയാണെങ്കിൽ, എല്ലാം ശരിയാണ്, ഇല്ലെങ്കിൽ, ലോഗ് ഫോൾഡറിലെ ലോഗ് നോക്കുക.

ഇപ്പോൾ ക്ലയന്റ് കോൺഫിഗറേഷൻ:
കക്ഷി
ദേവ് ട്യൂൺ
പ്രോട്ടോ യുഡിപി
# സെർവർ വിലാസവും പോർട്ടും
വിദൂര വിലാസം 12345
# കീകൾ കോൺഫിഗറേഷൻ ഫോൾഡറിലായിരിക്കണം
caca.crt
cert client.crt
കീ client.key
സൈഫർ AES-128-CBC
nobind
comp-lzo
പെർസിസ്റ്റ്-കീ
പെർസിസ്റ്റ്-ടൺ
ക്രിയ 3

ഇത് client.ovpn ആയി സേവ് ചെയ്യുക. ഏതെങ്കിലും ഫോൾഡർ സൃഷ്‌ടിച്ച് C:\Program ഫയലുകൾ\OpenVPN\easy-rsa എന്നതിൽ സ്ഥിതി ചെയ്യുന്ന, client.ovpn കോൺഫിഗറും ca.crt, client.crt, client.key സർട്ടിഫിക്കറ്റുകളും അവിടെ ഇടുക. വിൻഡോസിനായി ക്ലയന്റ് ഡൗൺലോഡ് ചെയ്യുക ക്ലയന്റ് മെഷീൻഇൻസ്റ്റോൾ ചെയ്യുക, കോൺഫിഗറും സർട്ടിഫിക്കറ്റും ഉള്ള ഫോൾഡർ ട്രാൻസ്ഫർ ചെയ്ത് client.ovpn പ്രവർത്തിപ്പിക്കുക. നിങ്ങൾ കണക്റ്റുചെയ്‌തിട്ടുണ്ടെങ്കിൽ, കമാൻഡ് ലൈനിൽ പിംഗ് 10.8.0.1 ടൈപ്പ് ചെയ്യാൻ ശ്രമിക്കുക. പാക്കേജുകൾ എത്തിയോ? അഭിനന്ദനങ്ങൾ! സെർവർ തയ്യാറാണ്! ഇപ്പോൾ കൺട്രോൾ പാനൽ-അഡ്‌മിനിസ്‌ട്രേഷൻ-സർവീസുകളിലേക്ക് പോകുക, അവിടെ ഓപ്പൺവിപിഎൻ നോക്കുക, ഇരട്ട-ക്ലിക്കുചെയ്‌ത് യാന്ത്രികമായി സജ്ജമാക്കുക. ഇപ്പോൾ ഒരു റീബൂട്ടിന് ശേഷം സെർവർ സ്വന്തമായി ആരംഭിക്കും.

ഞങ്ങൾ കോൺഫിഗറേഷൻ പൂർത്തിയാക്കുകയാണ് അല്ലെങ്കിൽ ഓരോരുത്തർക്കും അവരുടേതാണ്.

ഇന്റർനെറ്റും സജ്ജീകരണവുമായി ബന്ധപ്പെട്ട മറ്റ് ചെറിയ കാര്യങ്ങളും എങ്ങനെ വിതരണം ചെയ്യാമെന്ന് ഇപ്പോൾ ഞാൻ നിങ്ങളോട് പറയും. ചെറിയ കാര്യങ്ങളിൽ നിന്ന് തുടങ്ങാം. സെർവർ കോൺഫിഗറേഷൻ ഉപയോഗിച്ച് ഞങ്ങൾ എല്ലാ കൃത്രിമത്വങ്ങളും നടത്തും.
നിങ്ങളുടെ ക്ലയന്റുകൾ പരസ്പരം "കാണാൻ" നിങ്ങൾ ആഗ്രഹിക്കുന്നുവെങ്കിൽ, അതായത്. വിവരങ്ങൾ കൈമാറാം, തുടർന്ന് കോൺഫിഗറിൽ നൽകുക
ക്ലയന്റ്-ടു-ക്ലയന്റ്.
ക്ലയന്റുകൾക്ക് സ്റ്റാറ്റിക് വിലാസങ്ങൾ നൽകണമെങ്കിൽ, കോൺഫിഗറേഷൻ ഫോൾഡറിൽ ip.txt ഫയൽ സൃഷ്ടിച്ച് കോൺഫിഗറിൽ നൽകുക
ifconfig-pool-persist ip.txt
എല്ലാവർക്കും സർട്ടിഫിക്കറ്റുകൾ സൃഷ്ടിക്കാൻ താൽപ്പര്യമില്ലേ? അപ്പോൾ ഞങ്ങൾ എഴുതുന്നു തനിപ്പകർപ്പ്-cn, എന്നാൽ ifconfig-pool-persist ഈ ഓപ്ഷനിൽ പ്രവർത്തിക്കുന്നില്ല എന്നത് ശ്രദ്ധിക്കുക.
ഇപ്പോൾ ക്ലയന്റ് കോൺഫിഗറേഷനെക്കുറിച്ച്. നിങ്ങൾക്ക് സർട്ടിഫിക്കറ്റ് ഫയലുകൾ കൈമാറാൻ കഴിയില്ല, പക്ഷേ അവ നേരിട്ട് കോൺഫിഗറിലേക്ക് നൽകുക, പക്ഷേ ഇത് ഒരു നോട്ട്പാഡിൽ നിന്നല്ല, അകെൽപാഡ് അല്ലെങ്കിൽ നോട്ട്പാഡ് ++ ൽ നിന്ന് ചെയ്യുന്നതാണ് നല്ലത്. ca.crt തുറന്ന് —— BEGIN CERTIFICATE—— to —— END CERTIFICATE—— എന്നതിൽ നിന്ന് തിരഞ്ഞെടുക്കുക. കോൺഫിഗറേഷൻ ഇതുപോലെ കാണപ്പെടും:

——സർട്ടിഫിക്കറ്റ് ആരംഭിക്കുക——
സർട്ടിഫിക്കറ്റ്
——എൻഡ് സർട്ടിഫിക്കറ്റ്——


——സർട്ടിഫിക്കറ്റ് ആരംഭിക്കുക——
സർട്ടിഫിക്കറ്റ്
——എൻഡ് സർട്ടിഫിക്കറ്റ്——


——പ്രൈവറ്റ് കീ ആരംഭിക്കുക——
താക്കോൽ
——അവസാനം സ്വകാര്യ കീ——

ഞങ്ങൾ ഇന്റർനെറ്റ് വിതരണം ചെയ്യുന്നു

ഇത് ചെയ്യുന്നതിന്, സെർവർ കോൺഫിഗറേഷനിൽ നൽകുക:
"redirect-gateway def1" പുഷ് ചെയ്യുക
"dhcp-option DNS 8.8.8.8" പുഷ് ചെയ്യുക
"dhcp-option DNS 8.8.4.4" പുഷ് ചെയ്യുക
ക്രമീകരണങ്ങളിൽ നൽകിയിരിക്കുന്ന DNS വിലാസങ്ങൾ ഞങ്ങൾ മാറ്റിസ്ഥാപിക്കുന്നു. പാനലിലേക്ക് പോയി നിങ്ങൾക്ക് ഇത് കാണാൻ കഴിയും മാനേജ്മെന്റ്-നെറ്റ്വർക്ക് കണക്ഷനുകൾ, ഇന്റർനെറ്റിലേക്ക് നോക്കുന്ന അഡാപ്റ്ററിൽ ഇരട്ട-ക്ലിക്കുചെയ്യുന്നതിലൂടെ. Win7 നിയന്ത്രണ പാനലിനായി - നെറ്റ്‌വർക്കും ഇന്റർനെറ്റ് നെറ്റ്‌വർക്കും പങ്കിടൽ കേന്ദ്രവും - അഡാപ്റ്റർ ക്രമീകരണങ്ങൾ മാറ്റുക. അടുത്തതായി, അതേ അഡാപ്റ്ററിന്റെ പ്രോപ്പർട്ടികളിലേക്ക് പോകുക, ടാബ് ആക്സസ് ചെയ്യുക, "മറ്റ് നെറ്റ്‌വർക്ക് ഉപയോക്താക്കളെ അനുവദിക്കുക..." എന്നതിന് അടുത്തുള്ള ബോക്സ് ചെക്ക് ചെയ്യുക, ഡ്രോപ്പ്-ഡൗൺ ലിസ്റ്റിൽ, ലഭ്യമാണെങ്കിൽ, വെർച്വൽ vpn അഡാപ്റ്റർ തിരഞ്ഞെടുക്കുക. തുടർന്ന് vpn അഡാപ്റ്ററിന്റെ പ്രോപ്പർട്ടികൾ, ipv4 ന്റെ പ്രോപ്പർട്ടികൾ എന്നിവയിലേക്ക് പോയി സ്വീകരിക്കുന്ന ip, dns എന്നിവ സ്വയമേവ സജ്ജമാക്കുക. നിങ്ങളുടെ ശ്രദ്ധയ്ക്ക് നന്ദി!

RTU സീരീസ് റൂട്ടറുകൾക്ക് സ്വകാര്യം വഴി ഒരു സുരക്ഷിത കണക്ഷൻ ഉപയോഗിക്കാനുള്ള കഴിവുണ്ട് വെർച്വൽ നെറ്റ്‌വർക്ക്, തലക്കെട്ട് ഓപ്പൺവിപിഎൻ

സജ്ജീകരണവും കോൺഫിഗറേഷൻ പ്രക്രിയയും ഈ പാക്കേജിന്റെഒരു സാധാരണ ഉപയോക്താവിന് ആവശ്യമായ അറിവിന്റെ അഭാവം മൂലം ധാരാളം ബുദ്ധിമുട്ടുകൾ ഉണ്ടാകാം.

മിക്കവാറും എല്ലാ കോൺഫിഗറേഷനും ഇതുവഴി ചെയ്യാൻ കഴിയും വെബ് ഇന്റർഫേസ്, എന്നാൽ ചില ഘടകങ്ങൾ ഇപ്പോഴും കൺസോൾ വഴി ചെയ്യേണ്ടതുണ്ട്!

എന്താണ് ഓപ്പൺവിപിഎൻ, എന്തുകൊണ്ട് അത് ആവശ്യമാണെന്ന് വിക്കിപീഡിയ ലേഖനത്തിലൂടെ കണ്ടെത്താനാകും: OpenVPN

ഈ ലേഖനത്തിൽ ഞങ്ങൾ പ്രിപ്പറേറ്ററി ഭാഗവുമായി പരിചയപ്പെടും, ഇത് ഞങ്ങളുടെ ട്രാൻസ്മിഷൻ ചാനൽ പരിരക്ഷിക്കുന്നതിനുള്ള സർട്ടിഫിക്കറ്റുകളുടെയും എൻക്രിപ്ഷൻ കീകളുടെയും തലമുറയാണ്.

1. വിൻഡോസിൽ സർട്ടിഫിക്കറ്റുകളും കീകളും സൃഷ്ടിക്കുന്നു

Windows OS-ൽ സർട്ടിഫിക്കറ്റുകളും എൻക്രിപ്ഷൻ കീകളും സൃഷ്ടിക്കുന്നതിന്, നിങ്ങൾ ആപ്ലിക്കേഷൻ തന്നെ ഇൻസ്റ്റാൾ ചെയ്യേണ്ടതുണ്ട് ഓപ്പൺവിപിഎൻ

നിങ്ങൾ വ്യക്തമാക്കിയ ഫോൾഡറിൽ ഇത് ഡൗൺലോഡ് ചെയ്ത് ഇൻസ്റ്റാൾ ചെയ്ത ശേഷം, അതിൽ ഫയലുകളുടെ ഒരു ലിസ്റ്റ് അടങ്ങിയിരിക്കും. എന്നെ സംബന്ധിച്ചിടത്തോളം ഇതാണ് C:\Program Files\OpenVPN\ എന്ന ഫോൾഡർ

നമുക്ക് ഫോൾഡറിലേക്ക് പോകേണ്ടതുണ്ട് ഈസി-ആർഎസ്എ

തുറക്കേണ്ടതുണ്ട് വിൻഡോസ് കൺസോൾ(Windows Vista/7/8/8.1/10-ന് നിങ്ങൾ അഡ്മിനിസ്ട്രേറ്ററായി പ്രവർത്തിക്കേണ്ടതുണ്ട്)

ഒരു സെർച്ച് എഞ്ചിനിൽ (Yandex, Google, Mail, etc.) എന്ന വാചകം ടൈപ്പുചെയ്യുന്നതിലൂടെ ഒരു അഡ്മിനിസ്ട്രേറ്ററായി കമാൻഡ് ലൈൻ (കൺസോൾ) എങ്ങനെ സമാരംഭിക്കാമെന്ന് നിങ്ങൾക്ക് കണ്ടെത്താനാകും: " അഡ്മിനിസ്ട്രേറ്ററായി കമാൻഡ് പ്രോംപ്റ്റ് എങ്ങനെ പ്രവർത്തിപ്പിക്കാം"

ഫോൾഡറിലേക്ക് പോകുക ഈസി-ആർഎസ്എകമാൻഡ് ഉപയോഗിച്ച് ഇൻസ്റ്റലേഷൻ പാതയിൽ സി.ഡി

ഉദാഹരണത്തിന്:

cd C:\Program Files\OpenVPN\easy-rsa

1.1 init-config.bat ഫയൽ പ്രവർത്തിപ്പിക്കുക

C:\Program Files\OpenVPN\easy-rsa>init-config.bat
C:\Program Files\OpenVPN\easy-rsa>പകർപ്പ് vars.bat.sample vars.bat
പകർത്തിയ ഫയലുകൾ: 1.

ഫയൽ ഫോൾഡറിൽ ദൃശ്യമാകും vars.bat, തുറക്കുക ടെക്സ്റ്റ് എഡിറ്റർ, അവസാനം വരികളിൽ ഞങ്ങൾക്ക് താൽപ്പര്യമുണ്ട്, അവ പൂരിപ്പിക്കേണ്ടതുണ്ട്

ഞങ്ങൾ ഞങ്ങളുടെ പാരാമീറ്ററുകൾ സജ്ജമാക്കി, നിങ്ങളുടെ പാരാമീറ്ററുകൾ വ്യത്യസ്തമായിരിക്കും.

സെറ്റ് KEY_COUNTRY= RU
KEY_PROVINCE= മോസ്കോ സജ്ജമാക്കുക
KEY_CITY= മോസ്കോ സജ്ജമാക്കുക
KEY_ORG= TELEOFIS സജ്ജമാക്കുക
KEY_EMAIL= സജ്ജമാക്കുക [ഇമെയിൽ പരിരക്ഷിതം]
KEY_CN= സെർവർ സജ്ജമാക്കുക
KEY_NAME= സെർവർ സജ്ജമാക്കുക
KEY_OU= സെർവർ സജ്ജമാക്കുക
PKCS11_MODULE_PATH= സെർവർ സജ്ജമാക്കുക
PKCS11_PIN= 12345 സജ്ജമാക്കുക

സെർവർ എന്ന് പറയുന്നിടത്ത് തൊടരുത്. ഫയൽ സേവ് ചെയ്യുക.

default_days 365 എന്ന വരി കണ്ടെത്തി 365 എന്ന സംഖ്യ 3650 ഉപയോഗിച്ച് മാറ്റിസ്ഥാപിക്കുക. അങ്ങനെ ചെയ്യുന്നതിലൂടെ, ഞങ്ങളുടെ സർട്ടിഫിക്കറ്റുകളുടെ ആയുസ്സ് 10 വർഷം വർദ്ധിപ്പിക്കും.

സംരക്ഷിച്ച് അടയ്ക്കുക.

1.3 കീകൾ സൃഷ്ടിക്കുന്നു

ഞങ്ങൾ കൺസോളിലേക്ക് കമാൻഡുകൾ എഴുതുന്നു

vars

ശുദ്ധി-എല്ലാം

ഉത്തരം വരണം

പകർത്തിയ ഫയലുകൾ: 1.
പകർത്തിയ ഫയലുകൾ: 1.

ഇത് കണ്ടാൽ എല്ലാം ശരിയാണ്, തുടരും...

ഒരു ഡിഫി-ഹെൽമാൻ കീ സൃഷ്ടിക്കുന്നു

ബിൽഡ്-ഡിഎച്ച്

ഒരു പ്രാഥമിക സർട്ടിഫിക്കറ്റ് സൃഷ്ടിക്കുക

ബിൽഡ്-ca

പ്രധാന സർട്ടിഫിക്കറ്റ് സൃഷ്ടിക്കുമ്പോൾ, ചോദ്യങ്ങൾ കൺസോളിൽ പ്രദർശിപ്പിക്കും. എന്റർ അമർത്തുക, കാരണം... ഈ എല്ലാ പാരാമീറ്ററുകളും ഞങ്ങൾ ഫയലിൽ നൽകി vars.bat

പ്രോംപ്റ്റ് ലൈൻ ദൃശ്യമാകുന്നതുവരെ എന്റർ അമർത്തുക

C:\Program Files\OpenVPN\easy-rsa

ബിൽഡ്-കീ-സെർവർ സെർവർ

ചോദ്യങ്ങൾക്ക്, എന്റർ അമർത്തുക, എന്നാൽ നിങ്ങളുടെ സമയം എടുക്കുക, അവസാനം രണ്ട് ചോദ്യങ്ങൾ ചോദിക്കും

സർട്ടിഫിക്കറ്റിൽ ഒപ്പിടണോ?

ഈ രണ്ട് ചോദ്യങ്ങൾക്കും ഞങ്ങൾ Y ഉത്തരം നൽകുന്നു.

ഇപ്പോൾ ഞങ്ങൾ സർട്ടിഫിക്കറ്റും ക്ലയന്റ് കീയും സൃഷ്ടിക്കുന്നു:

ബിൽഡ്-കീ ക്ലയന്റ്

" എന്ന വരി കണ്ടയുടനെ ഉത്തരങ്ങളുമായി ഞങ്ങളും സമയമെടുക്കുന്നു പൊതുവായ പേര് (ഉദാ, നിങ്ങളുടെ പേര് അല്ലെങ്കിൽ നിങ്ങളുടെ സെർവറിന്റെ ഹോസ്റ്റ് നാമം)"ഉത്തരം നൽകേണ്ടതുണ്ട് കക്ഷി

അവസാനം രണ്ട് ചോദ്യങ്ങളും ഉണ്ടാകും, ഞങ്ങൾ Y എന്നതിന് ഉത്തരം നൽകുന്നു

മാത്രമല്ല: ഓരോ ക്ലയന്റിനും, നിങ്ങൾ പ്രത്യേക കീകൾ സൃഷ്ടിച്ച് അവയ്ക്ക് പേരിടേണ്ടതുണ്ട് ക്ലയന്റ്1, ക്ലയന്റ്2അല്ലെങ്കിൽ മറ്റേതെങ്കിലും വിധത്തിൽ, ഇതെല്ലാം നിങ്ങളുടെ ഭാവനയെ ആശ്രയിച്ചിരിക്കുന്നു. ആവശ്യപ്പെടുമ്പോൾ ഈ പേരുകൾ നൽകാനും ഓർക്കുക പൊതുവായ പേര്

ഉദാഹരണത്തിന്:

ബിൽഡ്-കീ ക്ലയന്റ്1

ബിൽഡ്-കീ ഓഫീസ്1

എല്ലാ ഫയലുകളും ഫോൾഡറിലായിരിക്കും സി:\പ്രോഗ്രാം ഫയലുകൾ\ഓപ്പൺവിപിഎൻ\എസി-ആർഎസ്എ\കീകൾ\

ഈ ഫോൾഡറിൽ നിന്ന് ഞങ്ങൾ എടുക്കുന്നു:

dh1024.pem(അഥവാ dh2048.pem)

server.crt

server.key

2. Linux-ൽ സർട്ടിഫിക്കറ്റുകളും കീകളും സൃഷ്ടിക്കുന്നു

സർട്ടിഫിക്കറ്റുകളും കീകളും സൃഷ്ടിക്കുന്നതിനുള്ള ഒരു ഉദാഹരണം ഞങ്ങൾ നിർമ്മിക്കും ഓപ്പറേറ്റിംഗ് സിസ്റ്റം ഉബുണ്ടു ലിനക്സ് 16.04 LTS

മറ്റ് ലിനക്സ് അധിഷ്ഠിത സിസ്റ്റങ്ങൾക്ക്, ചില കമാൻഡുകൾ വ്യത്യസ്തമായിരിക്കാം!

ഓപ്പറേറ്റിംഗ് സിസ്റ്റം കൺസോൾ തുറന്ന് ഒരു ചെറിയ പാക്കേജ് ഇൻസ്റ്റാൾ ചെയ്യുക ഈസി-ആർഎസ്എ

sudo apt-get install easy-rsa

സർട്ടിഫിക്കറ്റ് ജനറേഷൻ പാക്കേജ് ഇൻസ്റ്റാൾ ചെയ്ത ഡയറക്ടറിയിലേക്ക് പോകുക

cd /usr/share/easy-rsa/

ഒരേയൊരു നിമിഷം ഈ ഫോൾഡർസൂപ്പർഉപയോക്താവിന് മാത്രം എഴുതാം, അതിനാൽ ഭാവിയിൽ ഞങ്ങൾക്ക് പ്രശ്‌നങ്ങൾ ഉണ്ടാകാതിരിക്കാൻ, ഞങ്ങൾ ഉടമയെ മാറ്റും (കമാൻഡിന്റെ അവസാനത്തെ ഡോട്ട് നഷ്ടപ്പെടുത്തരുത്!!!)

sudo chown -R teleofis:teleofis .

ഇപ്പോൾ സൃഷ്ടിക്കേണ്ട സർട്ടിഫിക്കറ്റുകളെക്കുറിച്ചുള്ള വിവരങ്ങൾ ക്രമീകരിക്കാം

നാനോ vars

ഞങ്ങൾ ഈ പോയിന്റുകൾ കണ്ടെത്തി അവ നമുക്ക് അനുയോജ്യമായ രീതിയിൽ മാറ്റുന്നു

കയറ്റുമതി KEY_SIZE=1024 // കീ ദൈർഘ്യം
കയറ്റുമതി CA_EXPIRE=3650 // ദിവസങ്ങളിൽ പ്രധാന കീ സാധുത കാലയളവ്
കയറ്റുമതി KEY_EXPIRE=3650 // ദിവസങ്ങളിൽ സർട്ടിഫിക്കറ്റ് സാധുത കാലയളവ്
KEY_COUNTRY="RU" // രാജ്യം കയറ്റുമതി ചെയ്യുക
KEY_PROVINCE="മോസ്കോ" // മേഖല കയറ്റുമതി ചെയ്യുക
KEY_CITY="മോസ്കോ" // സിറ്റി കയറ്റുമതി
KEY_ORG="TELEOFIS" // ഓർഗനൈസേഷൻ കയറ്റുമതി ചെയ്യുക
KEY_EMAIL=" കയറ്റുമതി ചെയ്യുക [ഇമെയിൽ പരിരക്ഷിതം]" // ഇമെയിൽ
കയറ്റുമതി KEY_OU="സെർവർ" // വകുപ്പ്
KEY_NAME="സെർവർ" കയറ്റുമതി ചെയ്യുക// പ്രധാന നാമം

എഡിറ്റ് ചെയ്ത ശേഷം ഫയൽ സേവ് ചെയ്യുക.

ഏറ്റവും പുതിയ OpenSSL കോൺഫിഗറേഷൻ ഒരു ഫയലിലേക്ക് പകർത്തുക openssl.cnf

cp openssl-1.0.0.cnf openssl.cnf

വേരിയബിളുകൾ ലോഡുചെയ്യുന്നു

ഉറവിടം ./vars

അങ്ങനെയെങ്കിൽ, നമുക്ക് മാലിന്യം വൃത്തിയാക്കാം.

./ക്ലീൻ-എല്ലാം

ഒരു സെർവർ സർട്ടിഫിക്കറ്റ് സൃഷ്ടിക്കുക

./build-ca

എല്ലാ ചോദ്യങ്ങൾക്കും, എന്റർ അമർത്തുക, ഈ എല്ലാ പാരാമീറ്ററുകളും ഞങ്ങൾ ഫയലിൽ മുൻകൂട്ടി എഡിറ്റ് ചെയ്തു vars

.........................................++++++
.......................................................................................++++++
"ca.key" ലേക്ക് പുതിയ സ്വകാര്യ കീ എഴുതുന്നു
-----






-----





പൊതുവായ പേര് (ഉദാ, നിങ്ങളുടെ പേര് അല്ലെങ്കിൽ നിങ്ങളുടെ സെർവറിന്റെ ഹോസ്റ്റ് നാമം):
പേര്:
ഇമെയിൽ വിലാസം:

ഒരു സെർവർ കീ സൃഷ്ടിക്കുക

./build-key-server സെർവർ

എല്ലാ ചോദ്യങ്ങൾക്കും ഞങ്ങൾ എന്റർ ഉപയോഗിച്ച് ഉത്തരം നൽകുന്നു, പക്ഷേ നിങ്ങൾ ശ്രദ്ധിക്കേണ്ടതുണ്ട്, അവസാനം പാസ്‌വേഡിനെയും ഓപ്‌ഷണൽ നാമത്തെയും കുറിച്ച് നിരവധി ചോദ്യങ്ങൾ ഉണ്ടാകും

അന്വേഷണങ്ങൾക്കും

സർട്ടിഫിക്കറ്റിൽ ഒപ്പിടണോ?

1-ൽ 1 സർട്ടിഫിക്കറ്റ് അഭ്യർത്ഥനകൾ സാക്ഷ്യപ്പെടുത്തിയിട്ടുണ്ടോ?

Y എന്ന് ഞങ്ങൾ ഉത്തരം നൽകുന്നു

1024 ബിറ്റ് RSA സ്വകാര്യ കീ സൃഷ്ടിക്കുന്നു
..............................++++++
.....................++++++
"server.key" ലേക്ക് പുതിയ സ്വകാര്യ കീ എഴുതുന്നു
-----
സംയോജിപ്പിക്കപ്പെടുന്ന വിവരങ്ങൾ നൽകാൻ നിങ്ങളോട് ആവശ്യപ്പെടാൻ പോകുകയാണ്
നിങ്ങളുടെ സർട്ടിഫിക്കറ്റ് അഭ്യർത്ഥനയിലേക്ക്.
നിങ്ങൾ നൽകാൻ പോകുന്നത് ഒരു വിശിഷ്ട നാമം അല്ലെങ്കിൽ DN എന്നാണ്.
വളരെ കുറച്ച് ഫീൽഡുകൾ ഉണ്ട്, പക്ഷേ നിങ്ങൾക്ക് കഴിയുംകുറച്ച് ശൂന്യമായി വിടുക
ചില ഫീൽഡുകൾക്ക് ഒരു ഡിഫോൾട്ട് മൂല്യം ഉണ്ടാകും,
നിങ്ങൾ "." എന്ന് നൽകിയാൽ, ഫീൽഡ് ശൂന്യമായിരിക്കും.
-----
രാജ്യത്തിന്റെ പേര് (2 അക്ഷര കോഡ്):
സംസ്ഥാനം അല്ലെങ്കിൽ പ്രവിശ്യയുടെ പേര് (മുഴുവൻ പേര്):
പ്രദേശത്തിന്റെ പേര് (ഉദാ, നഗരം):
സ്ഥാപനത്തിന്റെ പേര് (ഉദാ, കമ്പനി):
ഓർഗനൈസേഷണൽ യൂണിറ്റിന്റെ പേര് (ഉദാ, വിഭാഗം):
പൊതുവായ പേര് (ഉദാ, നിങ്ങളുടെ പേര് അല്ലെങ്കിൽ നിങ്ങളുടെ സെർവറിന്റെ ഹോസ്റ്റ് നാമം):
പേര്:
ഇമെയിൽ വിലാസം:

ദയവായി ഇനിപ്പറയുന്ന "അധിക" ആട്രിബ്യൂട്ടുകൾ നൽകുക
നിങ്ങളുടെ സർട്ടിഫിക്കറ്റ് അഭ്യർത്ഥനയ്‌ക്കൊപ്പം അയയ്‌ക്കേണ്ടതാണ്
ഒരു വെല്ലുവിളി പാസ്‌വേഡ്:
ഒരു ഓപ്ഷണൽ കമ്പനിയുടെ പേര്:
/usr/share/easy-rsa/openssl-1.0.0.cnf-ൽ നിന്നുള്ള കോൺഫിഗറേഷൻ ഉപയോഗിക്കുന്നു
അഭ്യർത്ഥന ഒപ്പുമായി പൊരുത്തപ്പെടുന്നുണ്ടോയെന്ന് പരിശോധിക്കുക
ഒപ്പ് ശരി
വിഷയത്തിന്റെ വിശിഷ്ട നാമം ഇപ്രകാരമാണ്
രാജ്യത്തിന്റെ പേര്: അച്ചടിക്കാവുന്നത്:"RU"
സംസ്ഥാനമോ പ്രവിശ്യയുടെ പേര്: അച്ചടിക്കാവുന്നത്: "മോസ്കോ"
പ്രദേശത്തിന്റെ പേര്: അച്ചടിക്കാവുന്നത്: "മോസ്കോ"
ഓർഗനൈസേഷന്റെ പേര്: അച്ചടിക്കാവുന്നത്: "TELEOFIS"
ഓർഗനൈസേഷണൽ യൂണിറ്റിന്റെ പേര്: അച്ചടിക്കാവുന്നത്:"സെർവർ"
പൊതുവായ പേര്:അച്ചടക്കാവുന്ന:"സെർവർ"
പേര്:പ്രിന്റബിൾ:"സെർവർ"
ഇമെയിൽ വിലാസം:IA5STRING:" [ഇമെയിൽ പരിരക്ഷിതം]"
ഡിസംബർ 20 13:25:10 2026 GMT (3650 ദിവസം) വരെ സർട്ടിഫിക്കറ്റ് സാക്ഷ്യപ്പെടുത്തിയിരിക്കണം
സർട്ടിഫിക്കറ്റിൽ ഒപ്പിടണോ? :y

1-ൽ 1 സർട്ടിഫിക്കറ്റ് അഭ്യർത്ഥനകൾ സാക്ഷ്യപ്പെടുത്തിയിട്ടുണ്ടോ? വൈ
1 പുതിയ എൻട്രികൾ ഉപയോഗിച്ച് ഡാറ്റാബേസ് എഴുതുക
ഡാറ്റാ ബേസ് അപ്ഡേറ്റ് ചെയ്തു

ഒരു ഡിഫി-ഹെൽമാൻ കീ സൃഷ്ടിക്കുന്നു

./build-dh

ശ്രദ്ധ!!! ഫയൽ സൃഷ്ടിക്കാൻ കഴിയും നീണ്ട കാലംതലമുറയുടെ അവസാനത്തിനായി ഞങ്ങൾ കാത്തിരിക്കുന്നു.

ഡിഎച്ച് പാരാമീറ്ററുകൾ സൃഷ്ടിക്കുന്നു, 1024 ബിറ്റ് നീളമുള്ള സുരക്ഷിത പ്രൈം, ജനറേറ്റർ 2
ഇതിന് ഏറെ സമയമെടുക്കും
.......+................+.............+.............................................................................+................+........................+...........................................+...............................................................................................................................................+....................+........................................+...................................................................................+....................................................................................................................+.+...................................++*++*++*

ഞങ്ങൾ ക്ലയന്റ് കീകൾ അതേ രീതിയിൽ സൃഷ്ടിക്കുന്നു

./build-key client1

./ബിൽഡ്-കീ rtu968

ഞങ്ങൾ എല്ലാ ചോദ്യങ്ങൾക്കും എന്റർ ഉപയോഗിച്ച് ഉത്തരം നൽകുന്നു, എന്നാൽ അവസാനം ശ്രദ്ധിക്കുക, കൂടുതൽ അഭ്യർത്ഥനകൾ ഉണ്ടാകും

സർട്ടിഫിക്കറ്റിൽ ഒപ്പിടണോ?

1-ൽ 1 സർട്ടിഫിക്കറ്റ് അഭ്യർത്ഥനകൾ സാക്ഷ്യപ്പെടുത്തിയിട്ടുണ്ടോ?

ഞങ്ങൾ അവർക്ക് ഉത്തരം നൽകുന്നു Y

ഇത് സർട്ടിഫിക്കറ്റിന്റെയും പ്രധാന ഫയലുകളുടെയും നിർമ്മാണം പൂർത്തിയാക്കുന്നു.

ഫോൾഡറിൽ /usr/share/easy-rsa/keys/ഞങ്ങളുടെ സർട്ടിഫിക്കറ്റുകളും കീകളും അവിടെ ഉണ്ടാകും

dh1024.pem(അഥവാ dh2048.pem)

server.crt

server.key

3. അധിക ഓപ്ഷനുകൾ

കണക്ഷന്റെ സുരക്ഷ വർദ്ധിപ്പിക്കുന്നതിനുള്ള അധിക കീകളും രീതികളും ഉണ്ട്.

3.1 TLS പ്രാമാണീകരണത്തിനുള്ള കീ

കമാൻഡ് വഴി സൃഷ്ടിച്ചത്:

openvpn --genkey --secret %KEY_DIR%\ta.key- വിൻഡോസ്

Linux-ന്, നിങ്ങൾക്ക് പൂർണ്ണ OpenVPN പാക്കേജ് ആവശ്യമാണ്, പാക്കേജ് മാത്രം ഈസി-ആർഎസ്എമതിയാകില്ല!

ഇൻസ്റ്റാൾ ചെയ്യുക മുഴുവൻ പാക്കേജ്കമാൻഡ് ഉപയോഗിച്ച് OpenVPN ചെയ്യാൻ കഴിയും

sudo apt-get install openvpn

openvpn --genkey --secret /usr/share/easy-rsa/keys/ta.key- ലിനക്സ്

3.2 സർട്ടിഫിക്കറ്റുകളുടെ പരിശോധനയും അസാധുവാക്കലും

നമുക്കും സൃഷ്ടിക്കാം അധിക ഫയൽ crl.pem, അതിലൂടെ സർട്ടിഫിക്കറ്റുകൾ പരിശോധിക്കുകയും അസാധുവാക്കുകയും ചെയ്യും.

നിങ്ങൾ ഈ ഫയൽ ഉപയോഗിക്കേണ്ടതില്ല, മോശമായ ഒന്നും സംഭവിക്കില്ല.

ഇത് ഉപയോഗിക്കുന്നതിന്, ഒരു ഉപയോക്തൃ സർട്ടിഫിക്കറ്റ് സൃഷ്ടിക്കുക:

ബിൽഡ്-കീ crlsert - വിൻഡോസ്

./build-key crlsert - Linux

ഒഴികെയുള്ള എല്ലാ ചോദ്യങ്ങൾക്കും എന്റർ അമർത്തി ഞങ്ങൾ ഉത്തരം നൽകുന്നു പൊതുവായ പേര്ഒപ്പം പേര്

ഈ ഫീൽഡുകൾക്കായി ഞങ്ങൾ സർട്ടിഫിക്കറ്റിന്റെ പേര് തന്നെ സൂചിപ്പിക്കുന്നു.

ഒടുവിൽ, അഭ്യർത്ഥനകൾക്ക് സർട്ടിഫിക്കറ്റിൽ ഒപ്പിടണോ? , 1-ൽ 1 സർട്ടിഫിക്കറ്റ് അഭ്യർത്ഥനകൾ സാക്ഷ്യപ്പെടുത്തിയിട്ടുണ്ടോ? Y എന്ന് ഞങ്ങൾ ഉത്തരം നൽകുന്നു

ഇതിനുശേഷം ഞങ്ങൾ കമാൻഡ് പ്രവർത്തിപ്പിക്കുന്നു അസാധുവാക്കൽ-പൂർണ്ണം, സർട്ടിഫിക്കറ്റ് അസാധുവാക്കുന്നതിനും തുടർന്നുള്ള ഫയൽ സൃഷ്ടിക്കുന്നതിനും അവൾ ഉത്തരവാദിയാണ് crl.pem

revoke-full crlsert - വിൻഡോസ്

./revoke-full crlsert - Linux

സർട്ടിഫിക്കറ്റ് ഫയലുകൾ സ്വയം crlsertഇല്ലാതാക്കാൻ കഴിയും. ഒരിക്കൽ അസാധുവാക്കിയാൽ, അവ സ്വയമേവ ഫോൾഡറിൽ നിന്ന് നീക്കംചെയ്യില്ല.

ഇത് കീകളുടെ സൃഷ്ടി പൂർത്തിയാക്കുന്നു.

നമുക്ക് അടുത്ത ലേഖനത്തിലേക്ക് പോകാം:

അധിക വിവരം.

ഓപ്പൺവിപിഎൻഒരൊറ്റ UDP - അല്ലെങ്കിൽ TCP പോർട്ടുകൾ - പോർട്ട് 1194 വഴി ഒരു സുരക്ഷിത IP ടണൽ സൃഷ്ടിക്കുന്നതിനുള്ള ഒരു ആപ്ലിക്കേഷനാണ്. നിയന്ത്രണ ചാനലിന്റെയും ഡാറ്റാ ഫ്ലോയുടെയും സുരക്ഷ ഉറപ്പാക്കാൻ, OpenVPN OpenSSL ലൈബ്രറി ഉപയോഗിക്കുന്നു (കൂടുതൽ കൃത്യമായി SSLv3 / TLSv1 പ്രോട്ടോക്കോളുകൾ) അതായത്. ഓപ്പൺഎസ്എസ്എൽ ലൈബ്രറിയുടെ എല്ലാ എൻക്രിപ്ഷൻ, ആധികാരികത, സർട്ടിഫിക്കേഷൻ കഴിവുകൾ ലഭ്യമാണ് (ഏതെങ്കിലും സൈഫർ, കീ വലുപ്പം). OpenVPN-നുള്ള പാക്കറ്റ് അംഗീകാരം HMAC അൽഗോരിതം ഉറപ്പാക്കാനും ഉപയോഗിക്കാം കൂടുതൽ സുരക്ഷ, ഒപ്പം ഹാർഡ്‌വെയർ ത്വരണം എൻക്രിപ്ഷൻ പ്രകടനം മെച്ചപ്പെടുത്താൻ.

Solaris, OpenBSD, FreeBSD, NetBSD, GNU/Linux എന്നിവയിൽ OpenVPN ഉപയോഗിക്കുന്നു, ആപ്പിൾ മാക് OS X, Microsoft Windows എന്നിവ.

OpenVPN ഉപയോക്താവിന് നിരവധി തരം പ്രാമാണീകരണം വാഗ്ദാനം ചെയ്യുന്നു:

ഒരു പ്രീസെറ്റ് കീ ആണ് ഏറ്റവും ലളിതമായ രീതി.

ഒരു ലോഗിൻ, പാസ്‌വേഡ് എന്നിവ ഉപയോഗിച്ച്, ഒരു ക്ലയന്റ് സർട്ടിഫിക്കറ്റ് സൃഷ്ടിക്കാതെ തന്നെ ഇത് ഉപയോഗിക്കാൻ കഴിയും ( സെർവർ സർട്ടിഫിക്കറ്റ്ഇപ്പോഴും ആവശ്യമാണ്).

OpenVPN-ന് സ്റ്റാറ്റിക്, പ്രീ-ഷെയർഡ് കീകൾ അല്ലെങ്കിൽ TLS അടിസ്ഥാനമാക്കിയുള്ള ഡൈനാമിക് കീ എക്സ്ചേഞ്ച് ഉപയോഗിക്കാം. ഇത് പിന്തുണയ്ക്കുകയും ചെയ്യുന്നു VPN കണക്ഷനുകൾഡൈനാമിക് റിമോട്ട് ഹോസ്റ്റുകൾ (DHCP അല്ലെങ്കിൽ ഡയൽ-അപ്പ് ക്ലയന്റ്സ്), NAT-ലൂടെ അല്ലെങ്കിൽ പൂർണ്ണമായ ഒരു തുരങ്കം വഴി ഫയർവാൾ(ഉദാ: Linux iptables നിയമങ്ങൾ).

ലിനക്സിനും വിൻഡോസിനും വേണ്ടിയുള്ള വാക്യഘടനയിലും എഴുത്തിലും ക്ലയന്റ് കോൺഫിഗറേഷൻ ഫയൽ ക്രമീകരണങ്ങൾ സമാനമാണ്.

OpenVPN നെറ്റ്‌വർക്ക് ഘടകങ്ങൾ

പ്രധാന OpenVPN നെറ്റ്‌വർക്ക് ഘടകങ്ങളും വസ്തുക്കളും

CA സർട്ടിഫിക്കേഷൻ അതോറിറ്റി. ഒരു സർട്ടിഫിക്കറ്റ് അതോറിറ്റി സർട്ടിഫിക്കറ്റ് ഒപ്പിട്ട VPN നെറ്റ്‌വർക്ക് നോഡുകളിൽ നിന്നുള്ള അഭ്യർത്ഥന പ്രകാരം സർട്ടിഫിക്കറ്റുകൾ നൽകുന്നു. പ്രാമാണീകരണ കക്ഷി സ്ഥിരീകരിക്കുന്നതിന് VPN ഹോസ്റ്റുകൾക്ക് അവരുടെ സ്വന്തം സർട്ടിഫിക്കറ്റ് നൽകുന്നു. CRL സർട്ടിഫിക്കറ്റ് അസാധുവാക്കൽ ലിസ്റ്റ് നിയന്ത്രിക്കുന്നു.

OpenVPN സെർവർ. OpenVPN സെർവർ സോഫ്റ്റ്‌വെയർ ഉള്ളിൽ ഒരു തുരങ്കം സൃഷ്ടിക്കുന്നു സുരക്ഷിതമല്ലാത്ത നെറ്റ്‌വർക്ക്, ഉദാഹരണത്തിന്, ഇന്റർനെറ്റ്. OpenVPN നെറ്റ്‌വർക്കിലെ പങ്കാളിത്ത നോഡുകൾക്കിടയിൽ സുരക്ഷിതമായ എൻക്രിപ്റ്റ് ചെയ്ത ട്രാഫിക് ഈ ടണൽ നൽകുന്നു.

OpenVPN ക്ലയന്റ്. OpenVPN സെർവറുമായി ഒരു സുരക്ഷിത ആശയവിനിമയ ചാനൽ ആവശ്യമുള്ള എല്ലാ നോഡുകളിലും OpenVPN ക്ലയന്റ് സോഫ്റ്റ്‌വെയർ ഇൻസ്റ്റാൾ ചെയ്തിട്ടുണ്ട്. OpenVPN സെർവറിന്റെ ഉചിതമായ കോൺഫിഗറേഷൻ ഉപയോഗിച്ച്, OpenVPN ക്ലയന്റുകൾക്കിടയിൽ സുരക്ഷിത ഡാറ്റ കൈമാറ്റം സാധ്യമാണ്, മാത്രമല്ല ക്ലയന്റുകൾക്കും OpenVPN സെർവറിനുമിടയിൽ മാത്രമല്ല.

സർട്ടിഫിക്കറ്റുകൾ (പബ്ലിക് കീകൾ) X.509. X.509 സർട്ടിഫിക്കറ്റുകൾ ഒരു CA സാക്ഷ്യപ്പെടുത്തിയ പൊതു കീകളാണ്. ഡാറ്റ എൻക്രിപ്റ്റ് ചെയ്യാൻ അവ ഉപയോഗിക്കുന്നു. സർട്ടിഫിക്കറ്റ് ഒരു CA സാക്ഷ്യപ്പെടുത്തിയ വസ്തുത, എൻക്രിപ്റ്റ് ചെയ്ത ഡാറ്റ കൈമാറുന്ന കക്ഷിയെ തിരിച്ചറിയാൻ നിങ്ങളെ അനുവദിക്കുന്നു. നെറ്റ്‌വർക്ക് നോഡുകളിൽ ഒരു സർട്ടിഫിക്കറ്റ് അഭ്യർത്ഥന ഫയൽ സൃഷ്ടിക്കപ്പെടുന്നു, തുടർന്ന് അത് സർട്ടിഫിക്കേഷൻ അതോറിറ്റി നോഡിലേക്ക് മാറ്റുകയും അവിടെ ഒപ്പിടുകയും ചെയ്യുന്നു. തത്ഫലമായുണ്ടാകുന്ന ഒപ്പിട്ട സർട്ടിഫിക്കറ്റ് അത് ആവശ്യപ്പെട്ട OpenVPN നെറ്റ്‌വർക്ക് നോഡിലേക്ക് തിരികെ മാറ്റുന്നു.

സ്വകാര്യ കീകൾ. സ്വകാര്യ കീകൾ രഹസ്യമാണ്. അവ ഓപ്പൺവിപിഎൻ നെറ്റ്‌വർക്കിന്റെ ഓരോ നോഡിലും സൃഷ്‌ടിക്കുകയും സംഭരിക്കുകയും വേണം, ഡാറ്റ ഡീക്രിപ്റ്റ് ചെയ്യാൻ ഉദ്ദേശിച്ചുള്ളതാണ്, മാത്രമല്ല നെറ്റ്‌വർക്കിലൂടെ ഒരിക്കലും കൈമാറാൻ പാടില്ല. സർട്ടിഫിക്കറ്റ് അഭ്യർത്ഥന ഫയലിനൊപ്പം ഒരേസമയം OpenVPN നെറ്റ്‌വർക്ക് നോഡുകളിൽ സ്വകാര്യ കീകൾ സൃഷ്ടിക്കപ്പെടുന്നു.

CRL സർട്ടിഫിക്കറ്റ് അസാധുവാക്കൽ ലിസ്റ്റ്. വിശ്വാസം നഷ്ടപ്പെട്ട സർട്ടിഫിക്കറ്റുകളുടെ ഒരു ലിസ്റ്റ് അടങ്ങിയിരിക്കുന്നു. ഇത് CA നോഡിൽ സൃഷ്ടിക്കുകയും എഡിറ്റ് ചെയ്യുകയും ചെയ്യുന്നു. നെറ്റ്‌വർക്കിൽ നിന്ന് ഒരു നോഡ് വിച്ഛേദിക്കുന്നതിന്, അതിന്റെ സർട്ടിഫിക്കറ്റ് CRL-ലേക്ക് ചേർക്കുക. സൃഷ്ടിക്കുന്നതിനും ഓരോ മാറ്റത്തിനും ശേഷം, CRL ലിസ്റ്റ് OpenVPN സെർവറുകളിലേക്ക് മാറ്റുന്നു.

ഡിഫി-ഹെൽമാൻ ഫയൽ. പ്രധാന മോഷണം നടന്നാൽ മോഷണത്തിന് മുമ്പ് രേഖപ്പെടുത്തിയ ട്രാഫിക്കിന്റെ ഡീക്രിപ്ഷൻ തടയാൻ ഇത് ഉപയോഗിക്കുന്നു. OpenVPN സെർവറിൽ സൃഷ്‌ടിച്ചത്.

സുരക്ഷയും എൻക്രിപ്ഷനും

OpenSSL ലൈബ്രറിയും ട്രാൻസ്‌പോർട്ട് ലെയർ സെക്യൂരിറ്റി (TLS) പ്രോട്ടോക്കോളും എങ്ങനെ ഉപയോഗിക്കാം എന്നതാണ് OpenVPN-ൽ സുരക്ഷയും എൻക്രിപ്ഷനും നൽകുന്നത്. OpenVPN-ന്റെ പുതിയ പതിപ്പുകളിൽ OpenSSL-ന് പകരം, നിങ്ങൾക്ക് PolarSSL ലൈബ്രറി ഉപയോഗിക്കാം. സെക്യുർ സോക്കറ്റ് ലെയേഴ്സ് ലെയറിന്റെ (വെബ്സൈറ്റുകൾക്കുള്ള എസ്എസ്എൽ സർട്ടിഫിക്കറ്റുകൾ, മെയിൽ) സുരക്ഷിതമായ ഡാറ്റാ ട്രാൻസ്ഫർ പ്രോട്ടോക്കോളിന്റെ മെച്ചപ്പെടുത്തലാണ് TLS പ്രോട്ടോക്കോൾ.

OpenSSL-ന് സിമ്മട്രിക്, അസമമിതി ക്രിപ്റ്റോഗ്രഫി ഉപയോഗിക്കാം.

ആദ്യ സന്ദർഭത്തിൽ, ഡാറ്റ കൈമാറ്റം ആരംഭിക്കുന്നതിന് മുമ്പ്, അത് തന്നെ സ്ഥാപിക്കേണ്ടത് ആവശ്യമാണ് രഹസ്യ താക്കോൽ. ഇത് ഒരു പ്രശ്നം ഉയർത്തുന്നു സുരക്ഷിതമായ കൈമാറ്റംഒരു സുരക്ഷിത ഇന്റർനെറ്റ് വഴി ഈ കീ.

രണ്ടാമത്തെ കേസിൽ, ഡാറ്റാ എക്സ്ചേഞ്ചിലെ ഓരോ പങ്കാളിക്കും രണ്ട് കീകൾ ഉണ്ട് - പൊതു (ഓപ്പൺ), സ്വകാര്യ (രഹസ്യം).

ഡാറ്റ എൻക്രിപ്റ്റ് ചെയ്യാൻ പബ്ലിക് കീയും ഡീക്രിപ്റ്റ് ചെയ്യാൻ പ്രൈവറ്റ് കീയും ഉപയോഗിക്കുന്നു. എൻക്രിപ്ഷൻ തികച്ചും സങ്കീർണ്ണമായ ഗണിതത്തെ അടിസ്ഥാനമാക്കിയുള്ളതാണ്. SSL/TLS-ൽ തിരഞ്ഞെടുത്ത പൊതു കീ എൻക്രിപ്ഷൻ അൽഗോരിതം ഒരു സ്വകാര്യ കീ ഉപയോഗിച്ച് മാത്രം ഡീക്രിപ്റ്റ് ചെയ്യാനുള്ള കഴിവ് നൽകുന്നു.

സ്വകാര്യ കീ രഹസ്യമാണ്, അത് സൃഷ്ടിച്ച നോഡിൽ തന്നെ നിലനിൽക്കണം. ഡാറ്റാ എക്സ്ചേഞ്ചിൽ പങ്കെടുക്കുന്നവർക്ക് പൊതു കീ കൈമാറണം.

സുരക്ഷിതമായ ഡാറ്റ കൈമാറ്റത്തിനായി, ഡാറ്റാ എക്സ്ചേഞ്ചിൽ ഉൾപ്പെട്ടിരിക്കുന്ന കക്ഷികളെ തിരിച്ചറിയേണ്ടത് ആവശ്യമാണ്. അല്ലെങ്കിൽ, "മാൻ-ഇൻ-ദി-മിഡിൽ അറ്റാക്ക്" (മാൻ ഇൻ) എന്ന് വിളിക്കപ്പെടുന്നതിന്റെ ഇരയാകാൻ നിങ്ങൾക്ക് കഴിയും. മധ്യഭാഗം, MITM). അത്തരമൊരു ആക്രമണ സമയത്ത്, ഒരു ആക്രമണകാരി ഒരു ഡാറ്റാ ട്രാൻസ്മിഷൻ ചാനലുമായി ബന്ധിപ്പിക്കുകയും അത് ചോർത്തുകയും ചെയ്യുന്നു. ഇതിന് ഡാറ്റയിൽ ഇടപെടാനോ ഇല്ലാതാക്കാനോ മാറ്റാനോ കഴിയും.

ആധികാരികത നൽകുന്നതിന് (ഉപയോക്താവിന്റെ ഐഡന്റിറ്റി പരിശോധിക്കുന്നു), TLS പ്രോട്ടോക്കോൾ ഇൻഫ്രാസ്ട്രക്ചർ ഉപയോഗിക്കുന്നു പൊതു കീകൾ(പബ്ലിക് കീ ഇൻഫ്രാസ്ട്രക്ചർ, PKI) കൂടാതെ അസമമായ ക്രിപ്റ്റോഗ്രഫി.

ഒരു സ്വകാര്യ കീ ഇല്ലാതെ ഡാറ്റ ഡീക്രിപ്റ്റ് ചെയ്യുന്നത് സാധ്യമാണെന്ന് നിങ്ങൾ മനസ്സിലാക്കേണ്ടതുണ്ട്, ഉദാഹരണത്തിന്, ബ്രൂട്ട്-ഫോഴ്സ് രീതി ഉപയോഗിച്ച്. ഈ രീതി കമ്പ്യൂട്ടേഷണൽ തീവ്രമാണെങ്കിലും, ഡാറ്റ ഡീക്രിപ്റ്റ് ചെയ്യാൻ കുറച്ച് സമയമേയുള്ളൂ.

കീയുടെ വലുപ്പം ഡീക്രിപ്ഷന്റെ ബുദ്ധിമുട്ടിനെ ബാധിക്കുന്നുണ്ടെങ്കിലും, ഒരു കീയും പൂർണ്ണമായ ഡാറ്റ സുരക്ഷ ഉറപ്പുനൽകുന്നില്ല. കൂടാതെ, ഓപ്പറേറ്റിംഗ് സിസ്റ്റത്തിലോ ആപ്ലിക്കേഷൻ സോഫ്‌റ്റ്‌വെയറിലോ ഉള്ള കേടുപാടുകളും ബുക്ക്‌മാർക്കുകളും കാരണം ഇതിനകം ഡീക്രിപ്റ്റ് ചെയ്ത ഡാറ്റയും കീകളും മോഷ്ടിക്കപ്പെടാനുള്ള സാധ്യതയുണ്ട്. ഹാർഡ്വെയർസെർവറുകളും വർക്ക് സ്റ്റേഷനുകളും.

ഡാറ്റ എൻക്രിപ്ഷൻ ട്രാഫിക് വർദ്ധിപ്പിക്കുകയും ആശയവിനിമയം മന്ദഗതിയിലാക്കുകയും ചെയ്യുന്നു. ഡാറ്റ എൻക്രിപ്റ്റ് ചെയ്യാൻ ഉപയോഗിക്കുന്ന കീയുടെ ദൈർഘ്യം, അത് കണ്ടെത്തുന്നത് കൂടുതൽ ബുദ്ധിമുട്ടായിരിക്കും, എന്നാൽ ഡാറ്റാ എക്സ്ചേഞ്ചിലെ മാന്ദ്യം കൂടുതൽ ശ്രദ്ധേയമാകും.

OpenVPN Debian Wheezy/sid

# aptitude install openvpn # mkdir /etc/openvpn/easy-rsa # cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/

സർട്ടിഫിക്കറ്റുകൾക്കായുള്ള സ്ഥിരസ്ഥിതി ക്രമീകരണങ്ങൾ മാറ്റുന്നു

# nano /etc/openvpn/easy-rsa/vars ... KEY_COUNTRY="US" കയറ്റുമതി KEY_PROVINCE="CA" കയറ്റുമതി KEY_CITY="SanFrancisco" കയറ്റുമതി KEY_ORG="Fort-Funston" കയറ്റുമതി KEY_EMAIL=" [ഇമെയിൽ പരിരക്ഷിതം]"

നമുക്ക് സൃഷ്ടിക്കാം പരിസ്ഥിതി വേരിയബിളുകൾ bash , ഇത് ചെയ്തില്ലെങ്കിൽ, ക്ലയന്റ് കീകൾ സൃഷ്ടിക്കുമ്പോൾ, വേരിയബിളുകൾ /etc/openvpn/easy-rsa/openssl.cnf-ൽ നിന്ന് എടുക്കും, vars ഫയലിൽ നിന്നല്ല.

# cd /etc/openvpn/easy-rsa # source ./vars ശ്രദ്ധിക്കുക: നിങ്ങൾ ./clean-all പ്രവർത്തിപ്പിക്കുകയാണെങ്കിൽ, /etc/openvpn/easy-rsa/keys # ./clean--ൽ ഞാൻ ഒരു rm -rf ചെയ്യും. എല്ലാം # ./build-dh

vpnspar എന്ന സെർവറിനായി നമുക്ക് ഒരു സർട്ടിഫിക്കറ്റ് ഉണ്ടാക്കാം

# ./pkitool --initca # ./pkitool --server vpnspar

ഫാം1സി എന്ന് പേരുള്ള ഒരു ക്ലയന്റിനായി നമുക്ക് ഒരു സർട്ടിഫിക്കറ്റ് ഉണ്ടാക്കാം. ഓരോ ക്ലയന്റിനും ഒരു പ്രത്യേക കീ.

# ./pkitool farm1c # mkdir /etc/openvpn/keys # cp keys/ca.crt /etc/openvpn/keys # cp keys/dh1024.pem /etc/openvpn/keys # cp കീകൾ/vpnspar.crt /etc/openvpnvpnvpn /കീകൾ # cp കീകൾ/vpnspar.key /etc/openvpn/keys

ccd ഡയറക്ടറി സ്റ്റോറുകൾ വ്യക്തിഗത ക്രമീകരണങ്ങൾഓരോ ക്ലയന്റിനും. സൃഷ്ടിച്ച ക്ലയന്റ് സർട്ടിഫിക്കറ്റിന്റെ പേരുമായി ഫയലിന്റെ പേര് പൊരുത്തപ്പെടണം. ക്ലയന്റ് കോൺഫിഗറേഷൻ ഫയലുകളാണ് ടെക്സ്റ്റ് ഫയലുകൾക്ലയന്റുകൾ കണക്റ്റുചെയ്യുമ്പോൾ സെർവർ നടപ്പിലാക്കുന്ന കമാൻഡുകൾ അടങ്ങിയിരിക്കുന്നു. സാധാരണയായി ക്ലയന്റ് ഫയലിൽ ഇനിപ്പറയുന്ന കമാൻഡുകൾ അടങ്ങിയിരിക്കുന്നു:

കേന്ദ്ര ഓഫീസിന്റെ പ്രാദേശിക സബ്നെറ്റിലേക്ക് ക്ലയന്റിലേക്ക് ഒരു റൂട്ട് ചേർക്കുന്നു (പുഷ് "റൂട്ട് 192.168.1.0 255.255.255.0")

ക്ലയന്റിനു പിന്നിൽ സ്ഥിതിചെയ്യുന്ന പ്രാദേശിക സബ്നെറ്റിന്റെ വിലാസം നിർണ്ണയിക്കുന്നു (ഉദാഹരണത്തിന്, iroute 192.168.2.0 255.255.255.0)

ഒരു സ്റ്റാറ്റിക് ഐപിയുമായി ബന്ധിപ്പിക്കുന്നു (ifconfig-push 192.168.14.21 192.168.14.22), ഇവിടെ ifconfig-push . തിരഞ്ഞെടുത്ത ജോഡി IP വിലാസങ്ങൾ, ഒന്നാമതായി, അദ്വിതീയമായിരിക്കണം, രണ്ടാമതായി, അവ /30 മാസ്കിൽ (255.255.255.252) പരിമിതപ്പെടുത്തിയിരിക്കുന്ന തുടർച്ചയായ സബ്‌നെറ്റുകളുടെ ഭാഗമായിരിക്കണം, മൂന്നാമതായി, അവ സമർപ്പിതമായ IP വിലാസങ്ങളുടെ ഒരു പൂളിനുള്ളിലായിരിക്കണം. വെർച്വൽ സ്വകാര്യ നെറ്റ്വർക്ക്(നിർണ്ണയിച്ചു സെർവർ പാരാമീറ്റർ OpenVPN സെർവർ കോൺഫിഗറേഷൻ ഫയൽ).

# mkdir /etc/openvpn/ccd # nano ccd/farm1c പുഷ് "റൂട്ട് 192.168.1.0 255.255.255.0" #പുഷ് "റൂട്ട് 192.168.35.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 conf 68.1 4.22 #ഇറൗട്ട് 192.168 2.0 255.255.255.0

server.conf

server.conf ഫയലിൽ സെർവർ കോൺഫിഗർ ചെയ്യുക

# cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/ # gunzip server.conf.gz # nano /etc/openvpn/server.conf server.conf ലോക്കൽ xxx.196.98.xxx ഇൻകമിംഗ് സന്ദേശങ്ങൾക്കായി സെർവർ ശ്രദ്ധിക്കുന്ന # IPപോർട്ട് 1194 ഇൻകമിംഗ് സന്ദേശങ്ങൾക്കായി സെർവർ ശ്രദ്ധിക്കുന്ന # പോർട്ട്പ്രോട്ടോ യുഡിപി ദേവ് ടൺ # OpenVPN മാനേജ്മെന്റ് ഇന്റർഫേസ് പ്രവർത്തനക്ഷമമാക്കുക. ടെൽനെറ്റ് ലോക്കൽ ഹോസ്റ്റ് 7505 വഴി ആക്സസ് ചെയ്യാവുന്നതാണ്മാനേജ്മെന്റ് ലോക്കൽഹോസ്റ്റ് 7505 ca കീകൾ/ca.crt സ്വയം ഒപ്പിട്ട വിശ്വസ്ത സർട്ടിഫിക്കറ്റിന്റെ # സ്ഥാനം (CA)സർട്ടിഫിക്കറ്റ് കീകൾ/vpnspar.crt # സെർവർ സർട്ടിഫിക്കറ്റ് ലൊക്കേഷൻകീ കീകൾ/ vpnspar.key സെർവറിന്റെ സ്വകാര്യ കീയുടെ # സ്ഥാനം dh കീകൾ/ dh1024.pem # Diffie-Halman പാരാമീറ്റർ ഫയലിന്റെ സ്ഥാനം # സെർവർ മോഡും VPN നെറ്റ്‌വർക്ക് വിലാസവും സജ്ജമാക്കുന്നു, # ഇതിൽ നിന്ന് OpenVPN ക്ലയന്റുകൾക്ക് വിലാസങ്ങൾ വിതരണം ചെയ്യും. # സെർവർ 192.168.14.1 എടുക്കും, മറ്റ് # വിലാസങ്ങൾ ക്ലയന്റുകൾക്ക് ലഭ്യമാകും. # ഓരോ ക്ലയന്റിനും 192.168.14.1 എന്നതിൽ സെർവറുമായി ബന്ധപ്പെടാൻ കഴിയും.സെർവർ 192.168.14.0 255.255.255.0 # ipp.txt ഫയൽ കണക്ഷനെക്കുറിച്ചുള്ള വിവരങ്ങൾ സംഭരിക്കുന്നു, ഉദാഹരണത്തിന്, കണക്ഷൻ പരാജയപ്പെടുമ്പോൾ # അതിന്റെ കൂടുതൽ പുനഃസ്ഥാപനവും ifconfig-pool-persist ipp.txt ഓരോ ക്ലയന്റിനും അയയ്‌ക്കുന്ന # റൂട്ടുകൾ. # പുഷ് - OpenVPN കമാൻഡ് ക്ലയന്റിലേക്ക് അയയ്ക്കുകയും ക്ലയന്റ് നടപ്പിലാക്കുകയും ചെയ്യുന്നു # (വി ഈ സാഹചര്യത്തിൽക്ലയന്റ് വശത്തുള്ള വെർച്വൽ പ്രൈവറ്റ് നെറ്റ്‌വർക്കിലേക്ക് രണ്ട് റൂട്ടുകൾ ചേർക്കുക)തള്ളുക "റൂട്ട് 192.168.1.0 255.255.255.0"തള്ളുക "റൂട്ട് 192.168.35.0 255.255.255.0" # VPN സെർവറിലേക്ക് സ്ഥിരസ്ഥിതി ഗേറ്റ്‌വേ റീഡയറക്‌ട് ചെയ്യുക. ആവശ്യമില്ലെങ്കിൽ, അഭിപ്രായം പറയുക അല്ലെങ്കിൽ ഒരു നിർദ്ദിഷ്‌ട ക്ലയന്റിനായി ccd-ലേക്ക് # ചേർക്കുക"redirect-gateway def1" പുഷ് ചെയ്യുക # ക്ലയന്റ് ഐപി വിലാസ ക്രമീകരണങ്ങളുള്ള ഫയലുകൾ എവിടെയാണ് സംഭരിക്കപ്പെടുന്നതെന്ന് സൂചിപ്പിക്കുക client-config-dir ccd # ഒരു സെർവർ-ക്ലയന്റ് റൂട്ട് ചേർക്കുക. # റൂട്ട് - ക്ലയന്റുകൾക്ക് പിന്നിലുള്ള പ്രാദേശിക സബ്‌നെറ്റുകളിലേക്ക് സെർവർ വശത്തുള്ള റൂട്ടുകൾ ചേർക്കുന്നുറൂട്ട് 192.168.14.0 255.255.255.252 # ഓപ്പൺവിപിഎൻ സെർവറിലേക്ക് കണക്റ്റുചെയ്തിരിക്കുന്ന ക്ലയന്റുകളെ പരസ്പരം ആശയവിനിമയം നടത്താൻ അനുവദിക്കുകക്ലയന്റ്-ടു-ക്ലയന്റ് # അയയ്ക്കുന്നത് ഉൾപ്പെടെയുള്ള ആരോഗ്യ പരിശോധന നിർദ്ദേശം # പിംഗ് പോലുള്ള സന്ദേശങ്ങൾ വഴി അങ്ങോട്ടും ഇങ്ങോട്ടും # കണക്ഷൻ അതുവഴി ഓരോ വശവും എപ്പോഴാണെന്ന് അറിയാൻ കഴിയും # മറുവശം പെട്ടെന്ന് അപ്രത്യക്ഷമാകും (താഴേക്ക് പോയി). # റിമോട്ട് അനുമാനിച്ച് ഓരോ 10 സെക്കൻഡിലും പിംഗ് ചെയ്യുക ഓരോ കാലയളവിലും ഒരു പിംഗ് ലഭിച്ചില്ലെങ്കിൽ # നോഡ് ലഭ്യമല്ല # 120 സെക്കൻഡിന് തുല്യം. Keepalive 10 120 comp-lzo max-clients 10 ഉപയോക്താക്കൾ ആരും ഗ്രൂപ്പ് nogroup persist-key persist-tun # ഒരു ചെറിയ സ്റ്റാറ്റസ് ഫയലിന്റെ ഉള്ളടക്കം കാണിക്കുന്നു # നിലവിലെ കണക്ഷനുകൾ, വെട്ടിച്ചുരുക്കി # മിനിറ്റിൽ ഒരിക്കൽ മാറ്റിയെഴുതുന്നു.നില / var/ log/ openvpn-status.log ലോഗ് / var/ log/ openvpn.log ക്രിയ 3 # ഡീബഗ് ലെവൽ# /etc/init.d/openvpn ആരംഭം

ഒരു ക്ലയന്റ് സർട്ടിഫിക്കറ്റ് റദ്ദാക്കുക

ഉദാഹരണം. /etc/openvpn/easy-rsa/openssl.cnf എന്നതിൽ നിന്നുള്ള കോൺഫിഗറേഷൻ ഉപയോഗിച്ച് ഉപയോക്തൃ സർട്ടിഫിക്കറ്റ് farm1c # cd /etc/openvpn/easy-rsa # ഉറവിടം ./vars # ./revoke-full farm1c അസാധുവാക്കുന്നു.

revoke-full കമാൻഡിന് ശേഷം, farm1c ഉപയോക്തൃ സർട്ടിഫിക്കറ്റുമായി ബന്ധപ്പെട്ട ലൈൻ /etc/openvpn/easy-rsa/keys/index.txt എന്ന ഫയലിലേക്ക് മാറും.

OpenVPN + OpenVZ ന്റെ ഇൻസ്റ്റാളേഷൻ

ഇൻസ്റ്റലേഷൻ VE(VPS, VDS)

OpenVZ # cd /vz/template/cache/ # wget -c നായി VE ഉബുണ്ടു ഇൻസ്റ്റാൾ ചെയ്യുന്നു http://download.openvz.org/template/precreated/ubuntu-14.04-x86_64-minimal.tar.gz # vzctl 111 --ലേഔട്ട് സൃഷ്ടിക്കുക simfs --ostemplate ubuntu-14.04-x86_64-കുറഞ്ഞ CT കോൺഫിഗറേഷൻ /etc/vz/conf/111.conf എന്നതിലേക്ക് സംരക്ഷിച്ചു

VE 111.conf കോൺഫിഗർ ചെയ്യുന്നു.

മറ്റെല്ലാ ക്രമീകരണങ്ങളും ഇതിനകം ഇൻസ്റ്റാൾ ചെയ്ത VE # vzctl എന്റർ 111-ൽ ചെയ്തിട്ടുണ്ട്

കീകൾ സൃഷ്ടിക്കുന്നു

ഈസി-ആർഎസ്എ യൂട്ടിലിറ്റി ഉപയോഗിച്ച് കീകൾ സൃഷ്ടിക്കുന്നു. മുമ്പ്, ഈ യൂട്ടിലിറ്റി OpenVPN സെർവർ വിതരണത്തിന്റെ ഭാഗമായിരുന്നു, എന്നാൽ ഇപ്പോൾ ഇത് ഒരു പ്രത്യേക പ്രോജക്റ്റാണ്. യൂട്ടിലിറ്റിയുടെ ഏറ്റവും പുതിയ പതിപ്പ് OpenVPN വെബ്‌സൈറ്റിൽ നിന്ന് ഡൗൺലോഡ് ചെയ്യാൻ കഴിയും, എന്നാൽ നിങ്ങളുടെ OS വിതരണത്തിനൊപ്പം വിതരണം ചെയ്ത പതിപ്പ് ഉപയോഗിക്കുന്നത് കൂടുതൽ ശരിയാണ്. aptitude install easy-rsa

OpenVPN ഡെമൺ ആരംഭിക്കുന്നതിന് മുമ്പ്, നമുക്ക് /etc/openvpn/keys ഡയറക്ടറിയിൽ ഒരു OpenSSL കോൺഫിഗറേഷൻ ഫയൽ ആവശ്യമാണ്; server.conf - OpenVPN സെർവർ കോൺഫിഗറേഷൻ ഫയൽ; ca.crt - സർട്ടിഫിക്കേഷൻ അതോറിറ്റിയുടെ സർട്ടിഫിക്കറ്റ്; vpn-server.crt - OpenVPN സെർവർ സർട്ടിഫിക്കറ്റ്; server.key - OpenVPN സെർവറിന്റെ സ്വകാര്യ കീ, രഹസ്യം; crl.pem - സർട്ടിഫിക്കറ്റ് അസാധുവാക്കൽ പട്ടിക; dh.pem - ഡീക്രിപ്ഷനിൽ നിന്ന് ട്രാഫിക്കിനെ സംരക്ഷിക്കുന്നതിനുള്ള Diffie-Hellman ഫയൽ; ta.key - ഇതിനായി HMAC കീ അധിക സംരക്ഷണം DoS ആക്രമണങ്ങളിൽ നിന്നും വെള്ളപ്പൊക്കത്തിൽ നിന്നും

ഞങ്ങൾ പബ്ലിക് കീ ഇൻഫ്രാസ്ട്രക്ചർ (പികെഐ) സൃഷ്ടിക്കുന്ന സ്ഥലത്തേക്ക് ഈസി-ആർഎസ്എ ഡയറക്‌ടറി പകർത്തുക.

vars ഫയലിലെ സർട്ടിഫിക്കറ്റുകൾക്കായുള്ള സ്ഥിരസ്ഥിതി ക്രമീകരണങ്ങൾ മാറ്റുന്നു

KEY_COUNTRY="US" കയറ്റുമതി KEY_PROVINCE="CA" കയറ്റുമതി KEY_CITY="SanFrancisco" കയറ്റുമതി KEY_ORG="Fort-Funston" കയറ്റുമതി KEY_EMAIL=" [ഇമെയിൽ പരിരക്ഷിതം]" കയറ്റുമതി KEY_OU="MyOrganizationalUnit"

നമുക്ക് പരിസ്ഥിതി വേരിയബിളുകൾ സൃഷ്ടിക്കാം.

ഉറവിടം ./vars ശ്രദ്ധിക്കുക: നിങ്ങൾ ./clean-all പ്രവർത്തിപ്പിക്കുകയാണെങ്കിൽ, ഞാൻ /etc/openvpn/easy-rsa/keys-ൽ ഒരു rm -rf ചെയ്യും

മുമ്പത്തെ പരീക്ഷണങ്ങളിൽ നിന്ന് വ്യക്തമാക്കാം. നമുക്ക് ഒരു ഡിഫി-ഹെൽമാൻ കീ സൃഷ്ടിക്കാം (കീ സൃഷ്ടിക്കാൻ കുറച്ച് സമയമെടുക്കും).

./clean-all ./build-dh ജനറേറ്റിംഗ് ഡിഎച്ച് പാരാമീറ്ററുകൾ, 2048 ബിറ്റ് നീളമുള്ള സുരക്ഷിത പ്രൈം, ജനറേറ്റർ 2 ഇതിന് വളരെയധികം സമയമെടുക്കും ...

OpenVPN സെർവർ സ്വകാര്യ കീകൾ സംഭരിക്കുന്നതിന് നമുക്ക് ഒരു ഡയറക്ടറി സൃഷ്ടിക്കാം. Diffie-Hellman ഫയൽ അവിടെ പകർത്തുക (dh2048.pem) mkdir /etc/openvpn/keys cp keys/dh2048.pem /etc/openvpn/keys/

നമുക്ക് സൃഷ്ടിക്കാം CA സർട്ടിഫിക്കേഷൻ അതോറിറ്റി. ca.crt, ca.key എന്നിവ സൃഷ്ടിക്കപ്പെടും. ca.key ഫയൽ CA-യുടെ സ്വകാര്യ കീയെ പ്രതിനിധീകരിക്കുന്നു രഹസ്യം, അവനെയും കൈമാറാൻ കഴിയില്ലനിങ്ങളുടെ നെറ്റ്‌വർക്കിലെ മറ്റ് നോഡുകളിലേക്ക്. മറുവശത്ത്, CA സർട്ടിഫിക്കറ്റ് ഫയൽ ca.crt തുറന്നിരിക്കുന്നു, അത് OpenVPN സെർവറിലും ക്ലയന്റ് നോഡുകളിലും ആവശ്യമാണ്. ./pkitool --initca

vpnluxor ./pkitool --server vpnluxor എന്ന പേരിലുള്ള സെർവറിനായി നമുക്ക് ഒരു സർട്ടിഫിക്കറ്റ് ഉണ്ടാക്കാം

സൃഷ്ടിച്ച ഫയലുകൾ vpnluxor.crt, vpnluxor.key എന്നിവ /etc/openvpn/keys/ ഡയറക്ടറിയിലേക്ക് പകർത്തുക

അതേ പേരിലുള്ള CommonName പാരാമീറ്റർ ഉപയോഗിച്ച് ക്ലയന്റ് ക്ലയന്റ്1 നായി നമുക്ക് ഒരു സർട്ടിഫിക്കറ്റ് സൃഷ്ടിക്കാം. ഓരോ ക്ലയന്റിനും ഒരു പ്രത്യേക കീ. ./pkitool ക്ലയന്റ്1

സർട്ടിഫിക്കറ്റുകളുടെയും കീകളുടെയും സ്ഥാനം

ഫയൽ	കാർ	ഉദ്ദേശ്യം	പ്രവേശനം
ca.crt	സെർവറും ക്ലയന്റുകളും	റൂട്ട് സിഎ സർട്ടിഫിക്കറ്റ്	പൊതു
ca.key	സെർവറിൽ മാത്രം	മറ്റ് സർട്ടിഫിക്കറ്റുകളിൽ ഒപ്പിടുന്നതിന് ആവശ്യമാണ്	രഹസ്യം
dh(n).pem	സെർവറിൽ മാത്രം	ഡിഫി ഹെൽമാൻ പാരാമീറ്ററുകൾ	പൊതു
vpnspar.crt	സെർവറിൽ മാത്രം	സെർവർ സർട്ടിഫിക്കറ്റ്	പൊതു
vpnspar.key	സെർവറിൽ മാത്രം	സെർവർ കീ	രഹസ്യം
darkfire.crt	ക്ലയന്റിൽ മാത്രം	ക്ലയന്റ് സർട്ടിഫിക്കറ്റ്	പൊതു
ഇരുണ്ട തീ.താക്കോൽ	ക്ലയന്റിൽ മാത്രം	ക്ലയന്റ് കീ	രഹസ്യം

OpenVPN ഇൻസ്റ്റാൾ ചെയ്യുന്നു

ccd ഡയറക്ടറി ഓരോ ക്ലയന്റിനുമുള്ള വ്യക്തിഗത ക്രമീകരണങ്ങൾ സംഭരിക്കുന്നു. mkdir /etc/openvpn/ccd

VPN നെറ്റ്‌വർക്ക് അതിരുകൾ വിപുലീകരിക്കുന്നു

ഉൾപ്പെടുത്താൻ VPN അതിരുകൾ വിപുലീകരിക്കുന്നു അധിക കാറുകൾക്ലയന്റ് അല്ലെങ്കിൽ സെർവർ ഭാഗത്തുള്ള സബ്നെറ്റുകളിൽ നിന്ന്. റൂട്ട് ചെയ്ത VPN (dev tun) ഉപയോഗിക്കുമ്പോൾ സെർവർ വശത്ത് ഒന്നിലധികം മെഷീനുകൾ പ്രവർത്തനക്ഷമമാക്കുക

ഒരു VPN പോയിന്റ്-ടു-പോയിന്റ് മാത്രം പ്രവർത്തിപ്പിക്കുന്നതിനാൽ, നിങ്ങൾ VPN-ന്റെ വ്യാപ്തി വിപുലീകരിക്കാൻ താൽപ്പര്യപ്പെട്ടേക്കാം, അതുവഴി ക്ലയന്റുകൾക്ക് സെർവറിന്റെ നെറ്റ്‌വർക്കിലെ മറ്റ് മെഷീനുകളുമായി ആശയവിനിമയം നടത്താനാകും, സെർവറുമായി മാത്രമല്ല.

ഒരു ഉദാഹരണത്തിലൂടെ ഇത് വ്യക്തമാക്കുന്നതിന്, അത് ഇൻ എന്ന് കരുതുക പ്രാദേശിക നെറ്റ്വർക്ക്സെർവർ വശത്ത് സബ്‌നെറ്റ് 10.66.0.0/24 ആണ്, കൂടാതെ OpenVPN സെർവർ കോൺഫിഗറേഷൻ ഫയലിലെ സെർവർ നിർദ്ദേശത്തിൽ പറഞ്ഞിരിക്കുന്നതുപോലെ VPN വിലാസ പൂളിനായി 10.8.0.0/24 ഉപയോഗിക്കുന്നു.

ആദ്യം, 10.66.0.0/24 സബ്‌നെറ്റ് VPN വഴി ആക്‌സസ് ചെയ്യാനാകുമെന്ന് നിങ്ങൾ VPN ക്ലയന്റുകളോട് പറയണം. ഇനിപ്പറയുന്ന നിർദ്ദേശങ്ങൾ ഉപയോഗിച്ച് ഇത് എളുപ്പത്തിൽ ചെയ്യാൻ കഴിയും കോൺഫിഗറേഷൻ ഫയൽസെർവറുകൾ:

പുഷ് "റൂട്ട് 10.66.0.0 255.255.255.0"

അടുത്തതായി, OpenVPN സെർവർ വഴി VPN ക്ലയന്റ് സബ്‌നെറ്റിന് (10.8.0.0/24) നിശ്ചയിച്ചിട്ടുള്ള പാക്കറ്റുകൾ റൂട്ട് ചെയ്യുന്നതിന് സെർവർ നെറ്റ്‌വർക്കിലെ LAN ഗേറ്റ്‌വേയിൽ നിങ്ങൾ ഒരു റൂട്ട് കോൺഫിഗർ ചെയ്യേണ്ടതുണ്ട് (OpenVPN സെർവറും LAN ഗേറ്റ്‌വേയും ഉള്ളപ്പോൾ മാത്രമേ ഇത് ആവശ്യമുള്ളൂ. വ്യത്യസ്ത യന്ത്രങ്ങൾ).

Iptables -A INPUT -p udp --dport 1194 -j iptables സ്വീകരിക്കുക -A INPUT -i tap+ -j സ്വീകരിക്കുക അല്ലെങ്കിൽ iptables -A INPUT -i tun+ -j സ്വീകരിക്കുക

OpenVPN മാനേജ്മെന്റ്

PPPoE, OpenVPN പ്രശ്നം

പ്രശ്നം: PPPoE എങ്ങനെ പ്രവർത്തിക്കുന്നു എന്ന സാങ്കേതികവിദ്യ ഉപയോഗിച്ച് സെർവർ ISP-യുമായി ബന്ധിപ്പിച്ചിട്ടുണ്ടെങ്കിൽ, ഈ സാഹചര്യത്തിൽ OpenVPN-ന് ചെയ്യാൻ കഴിയില്ല ആക്സസ് ചെയ്യാവുന്ന നെറ്റ്വർക്കുകൾബന്ധിപ്പിച്ച ക്ലയന്റിനു പിന്നിൽ. iroute കമാൻഡ് പ്രവർത്തിക്കില്ല. പിപിപി ഡിഫോൾട്ട് റൂട്ട് ഇനിപ്പറയുന്ന രീതിയിൽ എഴുതുന്നു എന്നതാണ് ഇതിന് കാരണം:

# netstat -rn കേർണൽ ഐപി റൂട്ടിംഗ് ടേബിൾ ഡെസ്റ്റിനേഷൻ ഗേറ്റ്‌വേ ജെൻമാസ്ക് ഫ്ലാഗുകൾ MSS വിൻഡോ irtt Iface 0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 ppp0

ആ. ഇന്റർഫേസ് (ppp0) സൂചിപ്പിക്കുന്നത് ഡിഫോൾട്ട് റൂട്ടാണ്, ഐപി വിലാസമല്ല, ഓപ്പൺവിപിഎൻ സെർവറിന് അത്തരമൊരു എൻട്രി മനസ്സിലാകുന്നില്ല. ശരിയായ പ്രവർത്തനം OpenVPN സെർവറുകൾറൂട്ട് ഇതുപോലെ ആയിരിക്കണം:

# netstat -rn ഡെസ്റ്റിനേഷൻ ഗേറ്റ്‌വേ ജെൻമാസ്ക് ഫ്ലാഗുകൾ MSS വിൻഡോ irtt Iface 0.0.0.0 91.196.96.35 255.255.255.255 UGH 0 0 0 ppp0

ക്ലയന്റ് പ്രോട്ടോ udp dev tun ca ca.crt dh dh2048.pem cert client.crt കീ ക്ലയന്റ്.കീ റിമോട്ട് xxx.xxx.xxx.xxx 1194 tls-auth ta.key 1 cipher AES-256 -CBC ഉപയോക്താക്കൾ ആരും ഗ്രൂപ്പില്ലാത്ത ഗ്രൂപ്പ് no2groupte 20 Keepalive 10 120 comp-lzo persist-key persist-tun float resolv-retry infinite nobind

OpenVPN ലോഗ് റൊട്ടേഷൻ

/etc/logrotate.d/openvpn ഫയലിൽ വിവരണത്തിനായുള്ള ക്രമീകരണങ്ങളും ലിനക്സിൽ ലോഗ്രോട്ടേറ്റ് കോൺഫിഗർ ചെയ്യുന്നതിനുള്ള ഉദാഹരണങ്ങളും ഞങ്ങൾ എഴുതുന്നു, കീ പരാമീറ്റർ പകർപ്പ് വെട്ടിച്ചുരുക്കുക(ഓപ്പൺവിപിഎൻ ഓവർലോഡ് ചെയ്യാതിരിക്കാനും അതേ ലോഗ് ഫയലിലേക്ക് ഡാറ്റ എഴുതാൻ നിർബന്ധിക്കാതിരിക്കാനും) openvpn etc/ openvpn/ servers/ vpnluxor/ logs/ openvpn.log (പ്രതിദിന റൊട്ടേറ്റ് 8 കംപ്രസ് ഡിലേകംപ്രസ്സ് missingok copytruncate notifempty create 640 root )