OpenVPN-ൽ അയ്യായിരാമത്തെ കോൾ. ഡിഫി-ഹെൽമാൻ പ്രോട്ടോക്കോൾ പാരാമീറ്ററുകൾ ക്രമീകരിക്കുന്നു. പ്രാദേശിക നെറ്റ്‌വർക്ക് ഉറവിടങ്ങളിലേക്കുള്ള ക്ലയന്റ് ആക്‌സസിനായി OpenVPN കോൺഫിഗർ ചെയ്യുന്നു

ഓപ്പൺവിപിഎൻ എന്നത് ഉപയോക്താവിന്റെ ഇന്റർനെറ്റ് ട്രാഫിക്കിനെ ഒതുക്കുന്നതിൽ നിന്ന് സംരക്ഷിക്കാൻ നിങ്ങളെ അനുവദിക്കുന്ന ഒരു സോഫ്‌റ്റ്‌വെയർ പാക്കേജാണ്, ഇത് ക്ലയന്റിന്റെ ഉപകരണത്തിൽ നിന്ന് ഓപ്പൺവിപിഎൻ ഇൻസ്റ്റാൾ ചെയ്ത സെർവറിലേക്ക് എൻക്രിപ്റ്റ് ചെയ്ത ഡാറ്റ കൈമാറ്റം നൽകുന്നു. പൊതു ഉപയോഗത്തിന് മികച്ചത് വൈഫൈ പോയിന്റുകൾമൂന്നാം കക്ഷികൾക്ക് വിവരങ്ങൾ തടസ്സപ്പെടുത്താൻ കഴിയുന്ന ആക്സസ്. അല്ലെങ്കിൽ ഒരു നിശ്ചിത സൈറ്റിൽ നിങ്ങളുടെ ഐപി തടഞ്ഞിരിക്കുമ്പോൾ നിങ്ങൾ ഈ നിയന്ത്രണം സുരക്ഷിതമായി മറികടക്കേണ്ടതുണ്ട്.

സെർവറിൽ OpenVPN ഇൻസ്റ്റാൾ ചെയ്യുന്നതിനും കോൺഫിഗർ ചെയ്യുന്നതിനും പുറമേ, ഒരു കമ്പ്യൂട്ടറിൽ നിന്ന് ആക്‌സസ് ചെയ്യുന്നതിനായി ക്ലയന്റ് കോൺഫിഗർ ചെയ്യാനും നിങ്ങൾക്ക് കഴിയണം. ഓപ്പറേറ്റിംഗ് സിസ്റ്റംവിൻഡോസ് ഉപയോഗിക്കും.

ഒരു സാധാരണ പാക്കേജ് മാനേജർ ഉപയോഗിച്ച്, openvpn ഇൻസ്റ്റാൾ ചെയ്യുക.

# aptitude install openvpn

OpenVPN-ന് സെർവറിനും ക്ലയന്റുകൾക്കുമായി സർട്ടിഫിക്കറ്റുകൾ സൃഷ്ടിക്കേണ്ടതുണ്ട്. ഇത് യുക്തിസഹമാണ്, കാരണം ക്ലയന്റിൽ നിന്ന് സെർവറിലേക്കുള്ള കണക്ഷൻ എൻക്രിപ്റ്റ് ചെയ്തിരിക്കണം.

openvpn ഫോൾഡറിലേക്ക് പോകുക:

# cd /etc/openvpn

ഈസി-ആർഎസ്എ ഉപയോഗിച്ച് ഞങ്ങൾ കീകൾ ജനറേറ്റ് ചെയ്യും.

കോൺഫിഗറേഷൻ ഫയലുകളും സർട്ടിഫിക്കറ്റ് ജനറേഷൻ സ്ക്രിപ്റ്റുകളിലേക്കുള്ള ലിങ്കുകളും ഉള്ള ഒരു ഫോൾഡർ സൃഷ്‌ടിക്കുക:

# make-cadir rsa # cd rsa

കോൺഫിഗറേഷൻ ഫയൽ തുറക്കുക varsകൂടാതെ പാരാമീറ്ററുകൾ മാറ്റുക:

KEY_COUNTRY="US" കയറ്റുമതി KEY_PROVINCE="CA" കയറ്റുമതി KEY_CITY="SanFrancisco" കയറ്റുമതി KEY_ORG="Fort-Funston" കയറ്റുമതി KEY_EMAIL=" [ഇമെയിൽ പരിരക്ഷിതം]"

KEY_COUNTRY- രാജ്യത്തിന്റെ കോഡ് സൂചിപ്പിക്കുക (RU, UA, മുതലായവ);
KEY_PROVINCE- നിങ്ങൾ യുഎസ്എയിൽ താമസിക്കുന്നില്ലെങ്കിൽ ഈ പോയിന്റ് പ്രസക്തമല്ല. :) XX ഉപയോഗിച്ച് മാറ്റിസ്ഥാപിക്കാം;
KEY_CITY- നിങ്ങൾ താമസിക്കുന്ന നിങ്ങളുടെ നഗരം;
KEY_EMAIL- നിങ്ങളുടെ ഇമെയിൽ വിലാസം.

കൂടാതെ എക്‌സ്‌പോർട്ട് KEY_CN ലൈൻ അൺകമന്റ് ചെയ്യുക, സെർവറിന്റെ പേര് മൂല്യമായി വ്യക്തമാക്കുക:

KEY_CN="example.com" കയറ്റുമതി ചെയ്യുക

എല്ലാ വേരിയബിളുകളും ലാറ്റിൻ അക്ഷരങ്ങളിൽ നിറഞ്ഞിരിക്കുന്നു.

ഫയൽ സംരക്ഷിച്ച് പ്രവർത്തിപ്പിക്കുക:

#. vars

തുടർന്ന് പഴയ സർട്ടിഫിക്കറ്റുകൾ നീക്കം ചെയ്യുക:

# ./clean-all

ഒരു റൂട്ട് സർട്ടിഫിക്കറ്റ് സൃഷ്ടിക്കുക:

# ./build-ca

ഒരു റൂട്ട് സർട്ടിഫിക്കറ്റ് സൃഷ്ടിക്കുമ്പോൾ നിങ്ങൾക്ക് പിശക് ലഭിക്കുകയാണെങ്കിൽ: 0E065068: കോൺഫിഗറേഷൻ ഫയൽ ദിനചര്യകൾ:STR_COPY:വേരിയബിളിന് മൂല്യമില്ല:conf_def.c:618:ലൈൻ 198 , അത് ഫയലിലേക്ക് ചേർക്കുക varsവരി:

KEY_ALTNAMES = "എന്തെങ്കിലും" കയറ്റുമതി ചെയ്യുക

തുടർന്ന് മുമ്പത്തെ കമാൻഡുകൾ വീണ്ടും എക്സിക്യൂട്ട് ചെയ്യുക: . vars, ./clean-all, ./build-ca.

ഒരു കീയും സെർവർ സർട്ടിഫിക്കറ്റും സൃഷ്ടിക്കുക എന്നതാണ് അടുത്ത ഘട്ടം.

# ./build-key-server സെർവർ

തുടർന്ന് ക്ലയന്റിനായി ഒരു സർട്ടിഫിക്കറ്റും കീയും സൃഷ്ടിക്കുക:

# ./ബിൽഡ്-കീ ക്ലയന്റ്

ഓരോ ക്ലയന്റിനും നിങ്ങളുടേതായ സർട്ടിഫിക്കറ്റും കീയും നിങ്ങൾ സൃഷ്ടിക്കേണ്ടതുണ്ടെന്ന കാര്യം ശ്രദ്ധിക്കുക. നിങ്ങൾ വ്യത്യസ്ത പേരുകൾ (ക്ലയന്റിനു പകരം) വ്യക്തമാക്കുകയും കോൺഫിഗറേഷൻ ഫയലുകളിൽ അവയിലേക്കുള്ള പാതകൾ മാറ്റുകയും വേണം. അതേ സമയം, നിങ്ങൾക്ക് ഒരു പാസ്വേഡ് ഉപയോഗിച്ച് ക്ലയന്റ് കീകൾ സംരക്ഷിക്കാൻ കഴിയും; ഇത് ചെയ്യുന്നതിന്, കമാൻഡ് ഉപയോഗിക്കുക ബിൽഡ്-കീ-പാസ്ബിൽഡ്-കീക്ക് പകരം.

# ./build-dh

കൂടാതെ tls പ്രാമാണീകരണത്തിനുള്ള കീ:

# openvpn --genkey --secret /etc/openvpn/ta.key

ഇപ്പോൾ നിങ്ങൾ സെർവർ സർട്ടിഫിക്കറ്റുകളും കീകളും OpenVPN ക്രമീകരണ ഫോൾഡറിലേക്ക് പകർത്തേണ്ടതുണ്ട്:

# cp കീകൾ/ca.crt കീകൾ/server.crt കീകൾ/server.key keys/dh2048.pem /etc/openvpn/

കൂടാതെ അവരുടെ ഉടമസ്ഥന് മാത്രം വായനയും പരിഷ്‌ക്കരണവും അനുവദിക്കുന്ന അവകാശങ്ങളും സജ്ജീകരിക്കുക.

# chmod 0600 /etc/openvpn/ca.crt /etc/openvpn/server.crt /etc/openvpn/server.key /etc/openvpn/dh2048.pem /etc/openvpn/ta.key

ഇത് നിങ്ങളുടെ കമ്പ്യൂട്ടറിലേക്ക് പകർത്തുന്നത് ഉറപ്പാക്കുക, ഉദാഹരണത്തിന്, നിങ്ങളുടെ ഡെസ്ക്ടോപ്പിലേക്ക്, ഫോൾഡറിൽ നിന്ന് കീകൾക്ലയന്റിനെ ബന്ധിപ്പിക്കുന്നതിന് ആവശ്യമായ കീകൾ: client.crt, client.key, ca.crt, താ.കീ.

ഇത് സർട്ടിഫിക്കറ്റുകൾ തയ്യാറാക്കുന്ന പ്രക്രിയ പൂർത്തിയാക്കുന്നു.

സെർവർ ട്യൂണിംഗ്

/usr/share/doc/openvpn/ ഡയറക്ടറിയിൽ ഒരു Openvpn സെർവർ സജ്ജീകരിക്കുന്നതിനുള്ള ഒരു ഉദാഹരണ ഫയൽ അടങ്ങിയിരിക്കുന്നു. ഇത് /etc/openvpn/ ഡയറക്ടറിയിലേക്ക് പകർത്തി അൺസിപ്പ് ചെയ്യുക:

Cd /etc/openvpn;cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/;gunzip server.conf.gz

ഇപ്പോൾ openvpn പ്രവർത്തിക്കുന്നതിന് ആവശ്യമായ പരാമീറ്ററുകൾ നോക്കാം.

Openvpn കണക്ഷനുകൾ സ്വീകരിക്കുന്ന പോർട്ട്. ഡിഫോൾട്ട് 1194 ആണ്. മറയ്ക്കാൻ വേണ്ടി ഇത് മാറ്റാൻ ഞാൻ ശുപാർശ ചെയ്യുന്നു. പോർട്ട് 80 വ്യക്തമാക്കുന്നതിലൂടെ നിങ്ങൾക്ക് OpenVPN-നെ ഒരു വെബ് സെർവറായി മാറ്റാനും കഴിയും.

പോർട്ട് 20100

സർട്ടിഫിക്കറ്റിലേക്കും സെർവർ കീ ഫയലുകളിലേക്കും ഞങ്ങൾ പാതകൾ രജിസ്റ്റർ ചെയ്യുന്നു.

Ca ca.crt cert server.crt കീ server.key

ഡിഫി-ഹെൽമാൻ കീയിലേക്കുള്ള പാത.

Dh dh2048.pem

/etc/openvpn ഡയറക്‌ടറിയുമായി (ഫയലുകൾ സ്ഥിതിചെയ്യുന്നുണ്ടെങ്കിൽ) അല്ലെങ്കിൽ സമ്പൂർണ്ണമായോ പാതകൾ വ്യക്തമാക്കാം.

വരി കണ്ടെത്തി അഭിപ്രായമിടുക:

"redirect-gateway def1 bypass-dhcp" പുഷ് ചെയ്യുക

ഓപ്പൺവിപിഎൻ സെർവർ വഴി ഇന്റർനെറ്റ് ആക്‌സസ് ചെയ്യാൻ ഇത് ആവശ്യമാണ്. നിങ്ങൾ ഇത് അഭിപ്രായമിടുന്നില്ലെങ്കിൽ, നെറ്റ്‌വർക്കിനുള്ളിലെ കമ്പ്യൂട്ടറുകൾ മാത്രമേ ആക്‌സസ് ചെയ്യാനാകൂ.

ക്ലയന്റുകളെ ബന്ധിപ്പിക്കുന്നതിന് നിങ്ങൾ DNS സെർവറുകളും വ്യക്തമാക്കേണ്ടതുണ്ട്.

"dhcp-option DNS 213.183.57.55" പുഷ് "dhcp-option DNS 87.98.175.85" പുഷ് ചെയ്യുക

സെർവറിന്റെ സ്ഥാനം അനുസരിച്ച്, നിങ്ങൾക്ക് മറ്റ് DNS സെർവറുകൾ തിരഞ്ഞെടുക്കാം, ഉദാഹരണത്തിന്, OpenNIC പ്രോജക്റ്റിൽ.

Tls-auth ta.key 0

ശ്രദ്ധ!ക്ലയന്റ് ക്രമീകരണങ്ങളിൽ, ഈ പരാമീറ്ററിന്റെ അവസാന അക്കം 1 ഉപയോഗിച്ച് മാറ്റിസ്ഥാപിക്കേണ്ടതാണ് - tls-auth ta.key 1.

കോൺഫിഗറേഷൻ ഫയലിൽ താഴെ ലഭ്യമായ സൈഫറുകളുടെ ഒരു ലിസ്റ്റ് ഉണ്ട്. സൈഫർ കമന്റ് ചെയ്യാതിരിക്കുക എഇഎസ്-128-സിബിസി.

സൈഫർ AES-128-CBC#AES

ആവശ്യമെങ്കിൽ, അത് ഉപയോഗിച്ച് മാറ്റിസ്ഥാപിക്കാം എഇഎസ്-256-സിബിസി. ക്ലയന്റ് കോൺഫിഗറേഷൻ ഫയലിലെ സൈഫർ സെർവർ സൈഫറിന് സമാനമായിരിക്കണം.

ഓത്ത് പാരാമീറ്ററും ചേർക്കുക. സ്ഥിരസ്ഥിതിയായി, 160 ബിറ്റുകളുടെ ദൈർഘ്യമുള്ള sha1 കീകൾ ആധികാരികത ഉറപ്പാക്കാൻ ഉപയോഗിക്കുന്നു, എന്നാൽ sha1 അൽഗോരിതം ദുർബലമായി അംഗീകരിക്കപ്പെട്ടിരിക്കുന്നു. ഇനിപ്പറയുന്ന പാരാമീറ്റർ വ്യക്തമാക്കുന്നത് 512-ബിറ്റ് SHA512 കീകൾ ഉപയോഗിക്കും.

ഓത്ത് SHA512

കൂടാതെ ഉപയോഗിക്കേണ്ട tls പതിപ്പ് നിർണ്ണയിക്കുന്ന tls-version-min പാരാമീറ്ററും. IN ഈ സാഹചര്യത്തിൽ, പുതിയ പതിപ്പ് 1.2. ശ്രദ്ധ!നെറ്റ്‌വർക്ക് മാനേജർ (എഴുതുന്ന സമയത്ത്) ഈ ഓപ്ഷനെ പിന്തുണയ്ക്കുന്നില്ല. അതിനാൽ, നിങ്ങൾ കണക്റ്റുചെയ്യാൻ ആഗ്രഹിക്കുന്നുവെങ്കിൽ VPN സെർവർനെറ്റ്‌വർക്ക് മാനേജർ വഴി, സെർവർ ക്രമീകരണങ്ങളിൽ ഈ പരാമീറ്റർ വ്യക്തമാക്കിയിട്ടില്ല.

Tls-പതിപ്പ്-മിനിറ്റ് 1.2

OpenVPN റൂട്ടായി പ്രവർത്തിപ്പിക്കരുത്. അതിനാൽ വരികൾ അൺകമന്റ് ചെയ്യുക:

ഉപയോക്താവ് ആരും ഗ്രൂപ്പ് നോഗ്രൂപ്പ്

OpenVPN-നായി ലോഗുകൾ പ്രവർത്തനക്ഷമമാക്കുന്നത് നല്ല ആശയമായിരിക്കും. പ്രത്യേകിച്ചും ഉപയോഗത്തിന്റെ ആദ്യ ഘട്ടങ്ങളിൽ പിശകുകൾ കണ്ടെത്തുന്നതിന് സജ്ജീകരിച്ചതിനുശേഷം മുതലായവ.

ലോഗ് /var/log/openvpn.log

/etc/openvpn/server.conf എന്ന കോൺഫിഗറേഷൻ ഫയലിന്റെ മറ്റെല്ലാ പാരാമീറ്ററുകളും ഡിഫോൾട്ട് മൂല്യങ്ങളോടെ വിടുക. ഇത് OpenVPN സെർവർ സജ്ജീകരണം പൂർത്തിയാക്കുന്നു.

കമാൻഡ് ഉപയോഗിച്ച് openvpn സജീവമാക്കുക:

# systemctl openvpn പ്രവർത്തനക്ഷമമാക്കുക

ഒപ്പം പുനരാരംഭിക്കുക:

# സേവനം openvpn പുനരാരംഭിക്കുക

പിശകുകൾക്കായി ലോഗ് പരിശോധിക്കുന്നതും നല്ലതാണ്.

OpenVPN വഴി ട്രാഫിക് റീഡയറക്‌ട് ചെയ്യുക

OpenVPN സെർവർ വഴി ഇന്റർനെറ്റ് ആക്സസ് ചെയ്യാൻ, നിങ്ങൾ ഇതിനായി എന്തെങ്കിലും ചെയ്യേണ്ടതുണ്ട്.

1. sysctl കോൺഫിഗർ ചെയ്യുക

കൺസോളിൽ, കമാൻഡ് പ്രവർത്തിപ്പിക്കുക:

# sysctl net.ipv4.ip_forward

കമാൻഡ് ഔട്ട്പുട്ട് തുല്യമാണെങ്കിൽ net.ipv4.ip_forward = 1, പിന്നെ ഒന്നും മാറ്റേണ്ടതില്ല. വേരിയബിളിന്റെ മൂല്യം 0 ആണെങ്കിൽ, ഫയലിലേക്ക് /etc/sysctl.confനിങ്ങൾ വരി ചേർക്കേണ്ടതുണ്ട്:

Net.ipv4.ip_forward = 1

കമാൻഡ് ഉപയോഗിച്ച് നിയമങ്ങൾ വീണ്ടും ലോഡുചെയ്യുക:

# sysctl -p

2. iptables കോൺഫിഗർ ചെയ്യുക

കൺസോളിൽ ഇനിപ്പറയുന്ന കമാൻഡുകൾ ഓരോന്നായി പ്രവർത്തിപ്പിക്കുക:

# iptables -A FORWARD -i eth0 -o tun0 -m അവസ്ഥ --സംസ്ഥാനം സ്ഥാപിതമായി, ബന്ധപ്പെട്ട -j സ്വീകരിക്കുക # iptables -A FORWARD -s 10.8.0.0/24 -o eth0 -j സ്വീകരിക്കുക # iptables -t-nat-nat-nat-nat s 10.8.0.0/24 -o eth0 -j മാസ്ക്വെറേഡ്

അങ്ങനെ, ഇതിനകം സ്ഥാപിതമായ കണക്ഷനുകളുടെ ചട്ടക്കൂടിനുള്ളിൽ 10.8.0.0 സബ്നെറ്റിനായി ഓപ്പൺവിപിഎൻ സെർവറിലൂടെ ട്രാഫിക്ക് കടന്നുപോകാൻ ഞങ്ങൾ അനുവദിക്കും.

openvpn ക്ലയന്റിന് സെർവറിലേക്ക് ഒരു പ്രത്യേക ബാഹ്യ IP വിലാസം നൽകണമെങ്കിൽ, iptables-ന് മുമ്പുള്ളവയുടെ ലിസ്റ്റിൽ നിന്നുള്ള അവസാന കമാൻഡിന് പകരം, നിങ്ങൾ ഇത് പ്രവർത്തിപ്പിക്കേണ്ടതുണ്ട്:

A POSTROUTING -s 10.8.0.0/24 -o eth0 -j SNAT --to-source 127.0.0.1

പരാമീറ്ററിന് ശേഷം എവിടെ --ടു-ഉറവിടംസെർവറിന്റെ ബാഹ്യ IP നിങ്ങൾ വ്യക്തമാക്കണം.

വിൻഡോസിനായുള്ള OpenVPN ക്ലയന്റ്

വിൻഡോസിൽ Openvpn ക്ലയന്റ് സജ്ജീകരിക്കാൻ തുടങ്ങാം. ഇവിടെ എല്ലാം ലളിതമാണ്: ഔദ്യോഗിക വെബ്സൈറ്റിൽ നിന്ന് ഇൻസ്റ്റാൾ ചെയ്യുക, ഒരു കോൺഫിഗറേഷൻ ഫയൽ സൃഷ്ടിച്ച് സമാരംഭിക്കുക.

ഉപയോക്തൃ അക്കൗണ്ട് നിയന്ത്രണം സജീവമാണെങ്കിൽ, അഡ്മിനിസ്ട്രേറ്റർ അവകാശങ്ങളോടെ നിങ്ങൾ Windows-ൽ OpenVPN പ്രവർത്തിപ്പിക്കേണ്ടതുണ്ടെന്നത് ശ്രദ്ധിക്കേണ്ടതാണ്.

നിങ്ങൾ ഇൻസ്റ്റലേഷൻ പാത മാറ്റിയിട്ടില്ലെങ്കിൽ, നിങ്ങളുടെ പിസിയിലെ ഉദാഹരണ കോൺഫിഗറേഷൻ ഫയലുകൾ ഡയറക്ടറിയിൽ സ്ഥിതിചെയ്യുന്നു സി:\പ്രോഗ്രാം ഫയലുകൾ\ഓപ്പൺവിപിഎൻ\സാമ്പിൾ-കോൺഫിഗർ. ഇവിടെ നിന്ന് ഫയൽ പകർത്തുക client.ovpnഅത് ഒരു ഡയറക്ടറിയിൽ ഇടുക C:\Program Files\OpenVPN\config.

ക്ലയന്റിനായി സൃഷ്ടിച്ച സർട്ടിഫിക്കറ്റുകൾ ഓർക്കുന്നുണ്ടോ? അവ സെർവറിൽ നിന്ന് ഡൗൺലോഡ് ചെയ്യുകയും ഈ ഡയറക്ടറിയിലേക്ക് പകർത്തുകയും വേണം.

client.ovpn കോൺഫിഗറേഷൻ ഫയൽ തുറന്ന് പരാമീറ്റർ കണ്ടെത്തുക റിമോട്ട് മൈ-സെർവർ-1 1194. മൈ-സെർവറിന് പകരം, ip അല്ലെങ്കിൽ വ്യക്തമാക്കുക ഡൊമെയ്ൻ നാമംനിങ്ങളുടെ സെർവർ. പിന്നെ നമ്മൾ നേരത്തെ മാറ്റിയ തുറമുഖം. തൽഫലമായി, വരി ഇതുപോലെയാകാം:

Ca ca.crt cert client.crt കീ client.key

tls കീയിലേക്കുള്ള പാത വ്യക്തമാക്കുന്ന പരാമീറ്ററും നിങ്ങൾ അൺകമന്റ് ചെയ്യണം.

Tls-auth ta.key 1

സെർവറിലെ അവസാന അക്കം 0, ക്ലയന്റിൽ - 1 ആയിരിക്കണമെന്ന് നേരത്തെ പറഞ്ഞിരുന്നു.

നിങ്ങൾ സെർവറിൽ ഇൻസ്റ്റാൾ ചെയ്ത സൈഫറുകളാണ് അവസാന പാരാമീറ്ററുകൾ.

സിഫർ AES-128-CBC auth SHA512 tls-version-min 1.2

ക്ലയന്റ് കോൺഫിഗർ ചെയ്യുന്നതിന് ഇത് ആവശ്യമാണ്. OpenVPN ക്ലയന്റ് പ്രവർത്തിപ്പിച്ച് നിങ്ങളുടെ സെർവറിലേക്ക് കണക്റ്റുചെയ്യാൻ ശ്രമിക്കുക. ആവശ്യമായ കണക്ഷൻ വിവരങ്ങൾ openvpn gui വിൻഡോയിൽ പ്രദർശിപ്പിക്കും.

NetworkManager ഉള്ള OpenVPN

നെറ്റ്‌വർക്ക് മാനേജറിനായി ഒരു ഗ്രാഫിക്കൽ ഇന്റർഫേസ് ഇൻസ്റ്റോൾ ചെയ്യുന്നു.

# aptitude install network-manager-openvpn-gnome

ഞങ്ങൾ പുനരാരംഭിക്കുകയും ചെയ്യുന്നു.

# സേവന നെറ്റ്‌വർക്ക് മാനേജർ പുനരാരംഭിക്കുക

ക്ലയന്റിനായി സൃഷ്ടിച്ച സർട്ടിഫിക്കറ്റുകൾ ഞങ്ങൾ കമ്പ്യൂട്ടറിലെ ഒരു അനിയന്ത്രിതമായ ഫോൾഡറിലേക്ക് പകർത്തുന്നു. ഉദാഹരണത്തിന്, /home/user/.openvpn/ എന്നതിൽ.

ഐക്കണിൽ റൈറ്റ് ക്ലിക്ക് ചെയ്യുക നെറ്റ്വർക്ക് മാനേജർ, "കണക്ഷനുകൾ മാറ്റുക" ഇനം തിരഞ്ഞെടുക്കുക, "OpenVPN" തരത്തിന്റെ ഒരു പുതിയ കണക്ഷൻ ചേർക്കുക.

ഞങ്ങൾ സൂചിപ്പിക്കുന്നു:

കണക്ഷന്റെ പേര്
ഗേറ്റ്‌വേ (ഡൊമെയ്‌ൻ അല്ലെങ്കിൽ സെർവർ ഐപി)
തരം: സർട്ടിഫിക്കറ്റുകൾ

ഉപയോക്തൃ സർട്ടിഫിക്കറ്റ് എന്നത് ക്ലയന്റിനായി ഞങ്ങൾ തുടക്കത്തിൽ സൃഷ്ടിച്ച സർട്ടിഫിക്കറ്റാണ് (client.crt).
CA സർട്ടിഫിക്കറ്റ് - ca.crt ഫയൽ.
സ്വകാര്യ കീ ക്ലയന്റ് കീയാണ് (client.key).

"വിപുലമായ" ബട്ടണിൽ ക്ലിക്ക് ചെയ്യുക. തുറക്കുന്ന വിൻഡോയിൽ, "പൊതുവായ" ടാബിൽ നിങ്ങൾ നിരവധി ഇനങ്ങൾ മാറ്റേണ്ടതുണ്ട്.

മറ്റൊരു ഗേറ്റ്‌വേ പോർട്ട് ഉപയോഗിക്കുക (സെർവർ സജ്ജീകരിക്കുമ്പോൾ നിലവാരമില്ലാത്ത ഒന്ന് നിങ്ങൾ വ്യക്തമാക്കിയിട്ടുണ്ടെങ്കിൽ)
lzo കംപ്രഷൻ ഉപയോഗിക്കുക

"സുരക്ഷ" ടാബിലേക്ക് മാറുക. സെർവർ പാരാമീറ്ററുകളിലേതുപോലെ സൈഫർ തിരഞ്ഞെടുക്കുക. "Hmac Authentication" പാരാമീറ്ററിന്റെ മൂല്യം സെർവർ പ്രാമാണീകരണ മൂല്യത്തിലെന്നപോലെ അൽഗോരിതത്തിലേക്ക് സജ്ജീകരിക്കണം. ലേഖനത്തിൽ ഞങ്ങൾ SHA512 തിരഞ്ഞെടുത്തു.

"TLS പ്രാമാണീകരണം" ടാബ് തുറന്ന് ബോക്സുകൾ പരിശോധിക്കുക:

പിയർ പരിശോധിച്ചുറപ്പിക്കുക...
ഓപ്ഷണൽ TLS പ്രാമാണീകരണം ഉപയോഗിക്കുക

അവസാന പാരാമീറ്ററിനായി, ta.key ഫയലിലേക്കുള്ള പാത വ്യക്തമാക്കുക, ഡ്രോപ്പ്-ഡൗൺ ലിസ്റ്റിൽ നിന്ന് കീ ദിശയായി 1 തിരഞ്ഞെടുക്കുക. Windows-നുള്ള കോൺഫിഗറേഷൻ ഫയലിന് സമാനമാണ്.

ഞങ്ങൾ കണക്ഷൻ സംരക്ഷിച്ച് ബന്ധിപ്പിക്കാൻ ശ്രമിക്കുന്നു. :)

ഒരു സാഹചര്യത്തിലും, സിസ്റ്റം ലോഗിലേക്ക് കണക്റ്റുചെയ്യുമ്പോൾ NM എന്താണ് എഴുതുന്നതെന്ന് നോക്കാം:

# tail -f /var/log/syslog

എന്നിവരുമായി ബന്ധപ്പെട്ടു

ഈ കുടിൽ നിരവധി ലേഖനങ്ങളിൽ നിന്നുള്ള ഒരു ഉദ്ധരണിയാണ്, പടികളെക്കുറിച്ചും വെള്ളമില്ലാതെയും. സർട്ടിഫിക്കേഷൻ അതോറിറ്റിയും ഓപ്പൺവിപിഎൻ സെർവറും ഒരേ ഹോസ്റ്റിലാണ് സ്ഥിതി ചെയ്യുന്നതെന്ന് അനുമാനിക്കപ്പെടുന്നു. കൂടാതെ, ഓരോ തവണയും ഈ വിഷയത്തെക്കുറിച്ച് ഗൂഗിൾ ചെയ്യുന്നതിൽ ഞാൻ മടുത്തു, കാരണം... ഭൂരിഭാഗം മാനുവലുകളും കാലഹരണപ്പെട്ടതാണ്, അതായത് സേവനം നവീകരിക്കാൻ വളരെയധികം സമയമെടുക്കും.

OpenVPN സജ്ജീകരിക്കുന്നുപ്രാദേശിക നെറ്റ്‌വർക്ക് ഉറവിടങ്ങളിലേക്കുള്ള ക്ലയന്റ് ആക്‌സസിനായി

സെർവർ

സെർവർ കോൺഫിഗറേഷൻ

OpenVPN ഇൻസ്റ്റാൾ ചെയ്ത് ഡെമൺ പ്രവർത്തിപ്പിക്കുന്ന അതേ പേരിൽ ഒരു ഉപയോക്താവിനെ സൃഷ്ടിക്കുക:

Apt install openvpn adduser --system --no-create-home --disabled-login --group openvpn

ഇനിപ്പറയുന്ന ഉള്ളടക്കം ഉപയോഗിച്ച് ഒരു openvpn സെർവർ കോൺഫിഗറേഷൻ സൃഷ്ടിക്കുക:

Mcedit /etc/openvpn/server.conf പോർട്ട് 1194 പ്രോട്ടോ udp dev tun0 #user openvpn #group openvpn dh /etc/openvpn/keys/dh.pem ca /etc/openvpn/keys/ca.crt cert /etc/openvpn /vpn-server.crt കീ /etc/openvpn/keys/vpn-server.key tls-auth /etc/openvpn/keys/ta.key 0 #crl-verify /etc/openvpn/keys/crl.pem script-security 2 സൈഫർ AES-256-CBC tls-server comp-lzo mute 10 persist-key persist-tun max-clients 50 keepalive 10 900 client-config-dir /etc/openvpn/ccd ifconfig-pool-persist /etc/openvpn /ipp.txt സെർവർ 10.15.0.0 255.255.255.0 ### ഈ ഓപ്ഷനുകൾക്ക് കുറച്ച് വിശദീകരണം ആവശ്യമാണ്. # നിങ്ങളുടെ DNS സെർവർ പുഷ് "dhcp-option DNS 192.168.0.1" # പുഷ് ചെയ്യുക (ക്ലയന്റിലേക്ക് മാറ്റുക) # ഡൊമെയ്ൻ നാമം പുഷ് "dhcp-option DOMAIN mydomain.com" # പ്രാദേശിക സബ്നെറ്റ് റൂട്ട് പുഷ് ചെയ്യുക. ക്ലയന്റുകൾക്ക് അതിലേക്ക് ആക്‌സസ് ലഭിക്കുന്നതിന് "റൂട്ട് 192.168.0.0 255.255.254.0" ### സ്റ്റാറ്റസ് /var/log/openvpn/openvpn-status.log 1 സ്റ്റാറ്റസ്-പതിപ്പ് 3 ലോഗ്-അപ്പെൻഡ് /var/log/openvpn / openvpn-server.log ക്രിയ 5

ലോഗുകൾക്കായി ഡയറക്‌ടറികൾ സൃഷ്‌ടിക്കുകയും ക്ലയന്റ് ഐപി വിലാസങ്ങൾ സംഭരിക്കുകയും ചെയ്യുക:

Mkdir /var/log/openvpn/ mkdir /etc/openvpn/ccd

അംഗീകാര കേന്ദ്രവും കീകളും

പോകുക ഹോം ഡയറക്ടറി, easyrsa 3 പതിപ്പ് ഡൗൺലോഡ് ചെയ്ത് അൺപാക്ക് ചെയ്യുക:

Cd wget https://github.com/OpenVPN/easy-rsa/archive/master.zip unzip master.zip

easyrsa3 ഡയറക്ടറിയിലേക്ക് പോയി അതിനായി വേരിയബിളുകൾ പ്രഖ്യാപിക്കുക:

Cd ~/easy-rsa-master/easyrsa3 cp ~/easy-rsa-master/easyrsa3/vars.example ~/easy-rsa-master/easyrsa3/vars

PKI (പബ്ലിക് കീ ഇൻഫ്രാസ്ട്രക്ചർ) ആരംഭിക്കുക:

./easyrsa init-pki

ഒരു റൂട്ട് സർട്ടിഫിക്കറ്റ് സൃഷ്ടിക്കുക. പ്രവേശിക്കേണ്ടത് ആവശ്യമാണ് സങ്കീർണ്ണമായ പാസ്വേഡ്കൂടാതെ സെർവറിന്റെ പൊതുവായ പേര്, ഉദാഹരണത്തിന് എന്റെ vpn സെർവർ:

./easyrsa build-ca

ഡിഫി-ഹെൽമാൻ കീകൾ സൃഷ്ടിക്കുക:

./easyrsa gen-dh

OVPN സെർവറിനായി ഒരു സർട്ടിഫിക്കറ്റ് അഭ്യർത്ഥന സൃഷ്ടിക്കുക. സർട്ടിഫിക്കറ്റിന് ഒരു പാസ്‌വേഡ് (നോപാസ് പാരാമീറ്റർ) ഉണ്ടാകില്ലെന്ന കാര്യം ശ്രദ്ധിക്കുക, അല്ലാത്തപക്ഷം നിങ്ങൾ ആരംഭിക്കുമ്പോഴെല്ലാം OpenVPN ഈ പാസ്‌വേഡ് ആവശ്യപ്പെടും:

./easyrsa gen-req vpn-server nopass

OVPN സെർവർ സർട്ടിഫിക്കറ്റ് തന്നെ സൃഷ്ടിക്കുക:

./easyrsa sign-req സെർവർ vpn-server

ലഭിച്ച കീകൾ openvpn വർക്കിംഗ് ഡയറക്ടറിയിലേക്ക് പകർത്തുക:

Mkdir -p /etc/openvpn/കീകൾ cp ~/easy-rsa-master/easyrsa3/pki/ca.crt /etc/openvpn/കീകൾ cp ~/easy-rsa-master/easyrsa3/pki/issueed/vpn-server. crt /etc/openvpn/keys cp ~/easy-rsa-master/easyrsa3/pki/private/vpn-server.key /etc/openvpn/keys cp ~/easy-rsa-master/easyrsa3/pki/dh.pem / etc/openvpn/കീകൾ

DoS ആക്രമണങ്ങളിൽ നിന്നും UDP പോർട്ട് വെള്ളപ്പൊക്കത്തിൽ നിന്നും പരിരക്ഷിക്കുന്നതിന് ഒരു "HMAC ഫയർവാൾ" സൃഷ്ടിക്കുക:

Cd /etc/openvpn/keys/ openvpn --genkey --secret ta.key

openvpn സമാരംഭിക്കുക:

/etc/init.d/openvpn ആരംഭിക്കുക

കക്ഷി

കീകൾ

ഒരു ക്ലയന്റിനായി പാസ്‌വേഡ്-പരിരക്ഷിത കീക്കായി ഒരു അഭ്യർത്ഥന സൃഷ്‌ടിക്കുന്നു (നിങ്ങൾ കണക്റ്റുചെയ്യുന്ന ഓരോ തവണയും നൽകേണ്ടത് ആവശ്യമാണ്) ഉപയോക്താവ് എന്ന പേരിൽ:

Cd ~/easy-rsa-master/easyrsa3 ./easyrsa gen-req ഉപയോക്താവ്

./easyrsa gen-req യൂസർ നോപാസ്

ഒരു ഉപയോക്തൃ കീ സൃഷ്ടിക്കുന്നു (10 വർഷത്തേക്ക് vars-ൽ നിന്ന് സ്ഥിരസ്ഥിതിയായി):

./easyrsa sign-req ക്ലയന്റ് ഉപയോക്താവ്

അല്ലെങ്കിൽ 90 ദിവസത്തെ സർട്ടിഫിക്കറ്റ് സാധുത പരിധിയോടെ (കാലഹരണപ്പെട്ടതിന് ശേഷം, നിങ്ങൾക്കത് വീണ്ടും ഇഷ്യൂ ചെയ്യാൻ കഴിയും):

./easyrsa sign-req ക്ലയന്റ് ഉപയോക്താവ് -days 90

ഈ ഫയലുകൾ ക്ലയന്റിലേക്ക് കൈമാറുക:

~/easy-rsa-master/easyrsa3/pki/issued/User.crt ~/easy-rsa-master/easyrsa3/pki/private/User.key ~/easy-rsa-master/easyrsa3/pki/ca.crt / etc/openvpn/keys/ta.key

കോൺഫിഗറേഷൻ

ക്ലയന്റ് dev tun proto udp റിമോട്ട് xxx.xxx.xxx.xxx 1194 സൈഫർ AES-256-CBC tls-client ca "ca.crt" tls-auth "ta.key" 1 cert "User.crt" കീ "User.key" remote-cert-tls server comp-lzo tun-mtu 1500 mssfix 1450 ക്രിയ 3 nobind resolv-retry infinite

സൗകര്യത്തിനായി, എല്ലാ അഞ്ച് ക്ലയന്റ് ഫയലുകളും ആകാം

സർട്ടിഫിക്കറ്റുകൾ റദ്ദാക്കൽ

അസാധുവാക്കപ്പെട്ട ഒരു കീ ഫയൽ സൃഷ്ടിക്കുന്നു:

Cd ~/easy-rsa-master/easyrsa3 ./easyrsa gen-crl

Ln -s ~/easy-rsa-master/easyrsa3/pki/crl.pem /etc/openvpn/keys

/etc/openvpn/server.conf എന്നതിലേക്ക് ലൈൻ ചേർക്കുക

Crl-verify /etc/openvpn/keys/crl.pem

ഒരു ഉപയോക്തൃ സർട്ടിഫിക്കറ്റ് അസാധുവാക്കുന്നു:

./easyrsa അസാധുവാക്കുക ഉപയോക്താവ്

ഓരോ തവണയും നിങ്ങൾ ഒരു സർട്ടിഫിക്കറ്റ് അസാധുവാക്കുമ്പോൾ, അതിൽ മാറ്റങ്ങൾ വരുത്താൻ നിങ്ങൾ crl.pem അപ്ഡേറ്റ് ചെയ്യണം:

./easyrsa gen-crl

ശ്രദ്ധിക്കുക: പഴയത് അസാധുവാക്കുന്നത് വരെ അതേ പേരിൽ ഒരു കീ ഫയൽ സൃഷ്ടിക്കാൻ കഴിയില്ല. നിങ്ങൾ നിലവിലുള്ള പേരിൽ ഒരു സർട്ടിഫിക്കറ്റ് സൃഷ്ടിക്കാൻ ശ്രമിക്കുകയാണെങ്കിൽ, നിങ്ങൾക്ക് ഒരു പിശക് ലഭിക്കും:

ഡാറ്റാബേസ് അപ്ഡേറ്റ് ചെയ്യുന്നതിൽ പരാജയപ്പെട്ടു Easy-RSA പിശക്: സൈൻ ചെയ്യൽ പരാജയപ്പെട്ടു (മുകളിലുള്ള openssl ഔട്ട്പുട്ടിൽ കൂടുതൽ വിശദാംശങ്ങൾ ഉണ്ടായിരിക്കാം)

പ്രാദേശിക നെറ്റ്‌വർക്കിലേക്കുള്ള OpenVPN ക്ലയന്റ് ആക്‌സസിനായുള്ള ഏറ്റവും കുറഞ്ഞ Iptables കോൺഫിഗറേഷൻ

# കേർണൽ എക്കോ "1" ൽ ഫോർവേഡ് പ്രവർത്തനക്ഷമമാക്കുക > /proc/sys/net/ipv4/ip_forward # OVPN പോർട്ട് iptables-ലേക്ക് ഇൻകമിംഗ് കണക്ഷനുകൾ അനുവദിക്കുക -A INPUT -p UDP --dport 1194 -j ACCEPT # OVPN സബ്നെറ്റിന് ഇടയിൽ ഫോർവേഡ് അനുവദിക്കുക കൂടാതെ ലോക്കൽ # മാത്രമല്ല, iptables -A ഫോർവേഡ് -s 10.15.0.0/24 -d 192.168.0.0/24 -j iptables സ്വീകരിക്കുക -A FORWARD -d 10.15.0.0 നിയമങ്ങൾ ഉണ്ടെങ്കിൽ അവ ചെയിനിന്റെ തുടക്കത്തിൽ വയ്ക്കുക. /24 -s 192.168.0.0/ 24 -ജെ അംഗീകരിക്കുക

ഇന്റർനെറ്റ് ആക്സസ് ചെയ്യുന്നതിന് OpenVPN സജ്ജീകരിക്കുന്നു

ഞാൻ ഒരു ത്രെഡ് കണ്ടു, ചിരിച്ചു, കുറിപ്പിൽ ചേർക്കാൻ തീരുമാനിച്ചു. ഇന്റർനെറ്റ് ആക്‌സസ് ചെയ്യുന്നതിന് OpenVPN ആവശ്യമാണെങ്കിൽ, നിങ്ങൾ OpenVPN-നെ സ്ഥിരസ്ഥിതി ഗേറ്റ്‌വേ ആക്കി iptables നിയമങ്ങൾ ക്രമീകരിക്കേണ്ടതുണ്ട്.
യഥാർത്ഥത്തിൽ, സെർവറിനായുള്ള കോൺഫിഗറേഷൻ:

Port 1194 പ്രോട്ടോ udp dev tun0 dh /etc/openvpn/keys/dh.pem ca /etc/openvpn/keys/ca.crt cert /etc/openvpn/keys/vpn-server.crt കീ /etc/openvpn/keys/vpn -server.key tls-auth /etc/openvpn/keys/ta.key 0 crl-verify /etc/openvpn/keys/crl.pem script-security 2 cipher AES-256-CBC tls-server comp-lzo നിശബ്ദമാക്കുക 10 നിലനിൽക്കും -key persist-tun max-clients 50 keepalive 10 900 client-config-dir /etc/openvpn/ccd ifconfig-pool-persist /etc/openvpn/ccd/ipp.txt സെർവർ 10.15.0.0 255.250 pushre5.250 pushre5.250. def1" status /var/log/openvpn/openvpn-status.log 1 സ്റ്റാറ്റസ്-പതിപ്പ് 3 ലോഗ്-അപ്പെൻഡ് /var/log/openvpn/openvpn-server.log ക്രിയ 5

ക്ലയന്റിനായുള്ള കോൺഫിഗറേഷൻ മുകളിൽ പറഞ്ഞതിൽ നിന്ന് വ്യത്യസ്തമല്ല.

ഓപ്പൺവിപിഎൻ ക്ലയന്റുകൾക്ക് ഇന്റർനെറ്റ് ആക്സസ് ചെയ്യുന്നതിനുള്ള ഏറ്റവും കുറഞ്ഞ Iptables കോൺഫിഗറേഷൻ

iptables നിയമങ്ങൾ:

# കേർണൽ എക്കോയിൽ ഫോർവേഡ് പ്രവർത്തനക്ഷമമാക്കുക "1" > /proc/sys/net/ipv4/ip_forward # OVPN പോർട്ട് iptables-ലേക്ക് ഇൻകമിംഗ് കണക്ഷനുകൾ അനുവദിക്കുക -A INPUT -p UDP --dport 1194 -j ACCEPT # OpenVPN-നായി ട്രാൻസിറ്റ് പാക്കറ്റുകൾ അനുവദിക്കുക iptables subnet -A FORWARD -s 10.15.0.0/24 -j iptables സ്വീകരിക്കുക -A ഫോർവേഡ് -d 10.15.0.0/24 -j സ്വീകരിക്കുക # x.x.x.x - സെർവറിന്റെ ബാഹ്യ IP, അത് സ്റ്റാറ്റിക് IPtA ആണെങ്കിൽ - POST naptable - s 10.15.0.0/ 24 -j SNAT --to-source x.x.x.x # സെർവറിന്റെ ബാഹ്യ IP ചലനാത്മകമാണെങ്കിൽ, മുമ്പത്തെ നിയമത്തിന് പകരം ഇത് ഉപയോഗിക്കുക # iptables -t nat -A POSTROUTING -s 10.15.0.0/24 - j മാസ്ക്വെറേഡ്

ചില കുറിപ്പുകൾ

ഒരു mitm ആക്രമണത്തിന്റെ സാധ്യത ഒഴിവാക്കാൻ, ക്ലയന്റ് ലോഗുകളിൽ ഇതുപോലെയുള്ള പിശക്:

മുന്നറിയിപ്പ്: സെർവർ സർട്ടിഫിക്കറ്റ് സ്ഥിരീകരണ രീതിയൊന്നും പ്രവർത്തനക്ഷമമാക്കിയിട്ടില്ല. കൂടുതൽ വിവരങ്ങൾക്ക് http://openvpn.net/howto.html#mitm കാണുക.

പാരാമീറ്റർ remote-cert-tls സെർവർ ഉപയോഗിക്കുന്നു, അത് ഇതിനകം ക്ലയന്റ് കോൺഫിഗറിൽ ഉണ്ട്.

സാധുതയുള്ളതും റദ്ദാക്കിയതുമായ സർട്ടിഫിക്കറ്റുകളുടെ ലിസ്റ്റ്

സാധുവായതും അസാധുവാക്കിയതുമായ സർട്ടിഫിക്കറ്റുകളുടെ ലിസ്റ്റ് ~/easy-rsa-master/easyrsa3/pki/index.txt എന്ന ഫയലിൽ കാണാൻ കഴിയും. ഓരോ സർട്ടിഫിക്കറ്റിനുമുള്ള വിവരണ വരിയുടെ തുടക്കം V അല്ലെങ്കിൽ R അക്ഷരങ്ങളിൽ ആരംഭിക്കുന്നു, അതായത് സാധുതയുള്ളതും അസാധുവാക്കിയതും, ഉദാഹരണത്തിന്:

V 241019110411Z 01 അറിയില്ല 39Z 141 202085814Z 04 അജ്ഞാതം /CN=User2 V 141203091049Z 05 അജ്ഞാതം /CN=User3

നിങ്ങൾക്ക് കാണാനാകുന്നതുപോലെ, ഒന്നാമത്തെയും അഞ്ചാമത്തെയും സർട്ടിഫിക്കറ്റുകൾ സാധുവാണ്, 2-4 അസാധുവാണ്.

ക്ലയന്റ് വിൻഡോസിൽ ആണെങ്കിൽ

ഇവിടെ നിന്ന് ഡൗൺലോഡ് ചെയ്ത് OpenVPN GUI ഇൻസ്റ്റാൾ ചെയ്യുക. C:\Program Files\OpenVPN\config\ എന്നതിലേക്ക് ക്ലയന്റ് കീകൾ പകർത്തുക. ക്ലയന്റ് കോൺഫിഗറേഷൻ പകർത്തി അത് client.ovpn ഫയലിൽ ഒട്ടിച്ച് അവിടെ ഇടുക. ഈ ഡയറക്‌ടറിയിൽ ആകെ അഞ്ച് ഫയലുകൾ ഉണ്ടായിരിക്കണം - User.crt, User.key, ca.crt, ta.key, client.ovpn.
അഡ്മിനിസ്ട്രേറ്ററായി OpenVPN GUI പ്രവർത്തിപ്പിക്കുന്നത് ഉറപ്പാക്കുക, അല്ലാത്തപക്ഷം റൂട്ടുകൾ സിസ്റ്റത്തിൽ ഉയർത്തില്ല, ബന്ധിപ്പിക്കുക ഇരട്ട ഞെക്കിലൂടെട്രേയിലെ ഐക്കൺ വഴി (ക്ലോക്കിന് സമീപമുള്ള പ്രദേശം, സാധാരണയായി താഴെ വലത് മൂലയിൽ).

ജൂൺ 19, 2018 11:32 am 2,171 കാഴ്‌ചകൾ | അഭിപ്രായങ്ങളൊന്നും ഇല്ല

1: OpenVPN ഇൻസ്റ്റാൾ ചെയ്യുക

പാക്കേജ് സൂചിക അപ്ഡേറ്റ് ചെയ്യുക:

OpenVPN പാക്കേജ് ഡിഫോൾട്ട് റിപ്പോസിറ്ററികളിൽ ലഭ്യമാണ്, അതിനാൽ നിങ്ങൾക്ക് ഇൻസ്റ്റലേഷനായി apt ഉപയോഗിക്കാം. VPN-നായി ഒരു ഇന്റേണൽ സർട്ടിഫിക്കറ്റ് അതോറിറ്റി (CA) സൃഷ്ടിക്കാൻ നിങ്ങളെ സഹായിക്കുന്ന ഈസി-ആർഎസ്എ പാക്കേജും നിങ്ങൾക്ക് ആവശ്യമാണ്.

apt-get install openvpn easy-rsa

2: OpenVPN സജ്ജീകരിക്കുന്നു

നിങ്ങൾ /etc/openvpn-ൽ നിന്ന് സാമ്പിൾ VPN കോൺഫിഗറേഷൻ ഫയൽ എക്‌സ്‌ട്രാക്‌റ്റുചെയ്‌ത് നിങ്ങളുടെ ഇൻസ്റ്റാളേഷനിലേക്ക് ചേർക്കുക. ഇത് ചെയ്യുന്നതിന്, കമാൻഡ് ഉപയോഗിക്കുക:

gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz > /etc/openvpn/server.conf

തുടർന്ന് ഒരു ടെക്സ്റ്റ് എഡിറ്ററിൽ server.conf തുറക്കുക:

nano /etc/openvpn/server.conf

ഫയലിൽ നിങ്ങൾ വരുത്തേണ്ട ചില മാറ്റങ്ങളുണ്ട്.

സെർവറിനെ കൂടുതൽ പരിരക്ഷിക്കുക ഉയർന്ന തലംഎൻക്രിപ്ഷൻ
ലക്ഷ്യസ്ഥാനത്തേക്ക് വെബ് ട്രാഫിക് റീഡയറക്ട് ചെയ്യുക
VPN കണക്ഷനു പുറത്ത് DNS അന്വേഷണങ്ങൾ ചോരുന്നത് തടയുക
ആക്സസ് അവകാശങ്ങൾ സജ്ജമാക്കുക.

ആദ്യം, RSA കീ ദൈർഘ്യം ഇരട്ടിയാക്കുക. ഇത് ചെയ്യുന്നതിന്, ലൈൻ കണ്ടെത്തുക:

# ഡിഫി ഹെൽമാൻ പാരാമീറ്ററുകൾ.
# ഇതുപയോഗിച്ച് നിങ്ങളുടേത് സൃഷ്ടിക്കുക:
# openssl dhparam -out dh1024.pem 1024
# നിങ്ങൾ ഉപയോഗിക്കുകയാണെങ്കിൽ 2048-ന് പകരം 1024-ന് പകരം വയ്ക്കുക
#2048 ബിറ്റ് കീകൾ.
dh dh1024.pem

അതിന്റെ മൂല്യം dh2048.pem എന്നതിലേക്ക് മാറ്റുക:

dh dh2048.pem

റീഡയറക്‌ട്-ഗേറ്റ്‌വേ വിഭാഗം കണ്ടെത്തി അത് കമന്റ് ചെയ്യാതിരിക്കാൻ റീഡയറക്‌ട്-ഗേറ്റ്‌വേ ലൈനിന്റെ തുടക്കത്തിലെ അർദ്ധവിരാമം നീക്കം ചെയ്യുക. ഓപ്പൺവിപിഎൻ സെർവറിലൂടെ ക്ലയന്റ് ട്രാഫിക്ക് റീഡയറക്‌ട് ചെയ്യാൻ ഇത് അനുവദിക്കും.

# പ്രവർത്തനക്ഷമമാക്കിയാൽ, ഈ നിർദ്ദേശം കോൺഫിഗർ ചെയ്യും
# എല്ലാ ക്ലയന്റുകളും അവരുടെ ഡിഫോൾട്ട് റീഡയറക്‌ട് ചെയ്യാൻ
VPN വഴി # നെറ്റ്‌വർക്ക് ഗേറ്റ്‌വേ, കാരണമാകുന്നു
# വെബ് ബ്രൗസിംഗ് പോലുള്ള എല്ലാ ഐപി ട്രാഫിക്കും
VPN-ലൂടെ പോകാൻ #, DNS ലുക്കപ്പുകൾ
# (ഓപ്പൺവിപിഎൻ സെർവർ മെഷീന് NAT ആവശ്യമായി വന്നേക്കാം
# അല്ലെങ്കിൽ ഇന്റർനെറ്റിലേക്ക് TUN/TAP ഇന്റർഫേസ് ബ്രിഡ്ജ് ചെയ്യുക
# ഇത് ശരിയായി പ്രവർത്തിക്കുന്നതിന്).
;പുഷ് "redirect-gateway def1 bypass-dhcp"

തൽഫലമായി, ലൈൻ ഇതുപോലെയായിരിക്കണം:

"redirect-gateway def1 bypass-dhcp" പുഷ് ചെയ്യുക

സാധ്യമെങ്കിൽ ഡിഎൻഎസ് റെസല്യൂഷനുവേണ്ടി ഓപ്പൺഡിഎൻഎസ് ഉപയോഗിക്കാനും നിങ്ങൾ സെർവറിനെ അനുവദിക്കണം. VPN കണക്ഷനു പുറത്ത് DNS അന്വേഷണങ്ങൾ ചോരുന്നത് തടയാൻ ഇത് സഹായിക്കും.

# ചില വിൻഡോസ്-നിർദ്ദിഷ്ട നെറ്റ്‌വർക്ക് ക്രമീകരണങ്ങൾ
# DNS പോലുള്ള ക്ലയന്റുകളിലേക്ക് തള്ളാനാകും
# അല്ലെങ്കിൽ WINS സെർവർ വിലാസങ്ങൾ. മുന്നറിയിപ്പ്:
# http://openvpn.net/faq.html#dhcpcaveats
# താഴെയുള്ള വിലാസങ്ങൾ പൊതുജനങ്ങളെ പരാമർശിക്കുന്നു
# DNS സെർവറുകൾ opendns.com നൽകുന്നു.
;പുഷ് "dhcp-option DNS 208.67.222.222"
;പുഷ് "dhcp-option DNS 208.67.220.220"

വരികൾ "dhcp-option DNS 208.67.222.222" പുഷ് ചെയ്ത് "dhcp-option DNS 208.67.220.220" പുഷ് ചെയ്യുക.

"dhcp-option DNS 208.67.222.222" പുഷ് ചെയ്യുക
"dhcp-option DNS 208.67.220.220" പുഷ് ചെയ്യുക

ഇപ്പോൾ server.conf ലെ അനുമതികൾ നിർവചിക്കുക:

# നിങ്ങൾക്ക് കഴിയുംഇത് കമന്റ് ചെയ്യാതിരിക്കുക
# നോൺ-വിൻഡോസ് സിസ്റ്റങ്ങൾ.
;ഉപയോക്താവ് ആരും
ഗ്രൂപ്പ് നോഗ്രൂപ്പ്

രണ്ട് വരികളും അൺകമന്റ് ചെയ്യുക:

ഉപയോക്താവ് ആരും
ഗ്രൂപ്പ് നോഗ്രൂപ്പ്

സ്ഥിരസ്ഥിതിയായി, OpenVPN റൂട്ട് ഉപയോക്താവായി പ്രവർത്തിക്കുന്നു, അതിനാൽ സിസ്റ്റത്തിലേക്ക് പൂർണ്ണമായ റൂട്ട് ആക്സസ് ഉണ്ട്. ഓപ്പൺവിപിഎൻ അവകാശങ്ങളിൽ പരിമിതപ്പെടുത്തേണ്ടതുണ്ട്, ഇതിനായി നിങ്ങൾ ആരെയും നോഗ്രൂപ്പിനെയും ഉപയോഗിക്കേണ്ടതില്ല. സ്ഥിരസ്ഥിതിയായി ലോഗിൻ ചെയ്യാനുള്ള കഴിവില്ലാത്ത, പലപ്പോഴും വിശ്വാസയോഗ്യമല്ലാത്ത ആപ്ലിക്കേഷനുകൾ പ്രവർത്തിപ്പിക്കുന്നതിനായി കരുതിവച്ചിരിക്കുന്ന ഒരു പ്രത്യേകാവകാശമില്ലാത്ത ഉപയോക്താവാണിത്.

ഫയൽ സംരക്ഷിച്ച് അടയ്ക്കുക.

3: പാക്കറ്റ് റൂട്ടിംഗ്

ക്ലയന്റ് ഉപകരണങ്ങളിൽ നിന്ന് ഇന്റർനെറ്റിലേക്ക് ട്രാഫിക് ഫോർവേഡ് ചെയ്യാൻ സെർവർ കേർണലിനോട് പറയുന്ന ഒരു sysctl പാരാമീറ്ററാണിത്. അല്ലെങ്കിൽ, സെർവറിൽ ട്രാഫിക് നിർത്തും. ഈ കമാൻഡ് ഉപയോഗിച്ച് നിങ്ങൾക്ക് പാക്കറ്റ് ഫോർവേഡിംഗ് പ്രവർത്തനക്ഷമമാക്കാം:

echo 1 > /proc/sys/net/ipv4/ip_forward

ഈ മൂല്യം ശാശ്വതമാക്കുക, അതുവഴി റീബൂട്ടിന് ശേഷം ഇത് പുനഃസ്ഥാപിക്കപ്പെടും:

നാനോ /etc/sysctl.conf

net.ipv4.ip_forward എന്ന വരി കണ്ടെത്തുക.

#net.ipv4.ip_forward=1

അഭിപ്രായമിടാതിരിക്കുക:

# IPv4-നായി പാക്കറ്റ് ഫോർവേഡിംഗ് പ്രവർത്തനക്ഷമമാക്കാൻ അടുത്ത വരി അൺകമന്റ് ചെയ്യുക
net.ipv4.ip_forward=1

ഫയൽ സംരക്ഷിച്ച് അടയ്ക്കുക.

4: ufw ഫയർവാൾ കോൺഫിഗർ ചെയ്യുന്നു

ufw ഒരു iptables ഇന്റർഫേസ് ആണ്. ufw സജ്ജീകരിക്കുന്നത് വളരെ ലളിതമാണ്. നിങ്ങൾ കുറച്ച് നിയമങ്ങൾ ചേർക്കുകയും രണ്ട് കോൺഫിഗറേഷൻ മാറ്റങ്ങൾ വരുത്തുകയും തുടർന്ന് അത് പ്രവർത്തനക്ഷമമാക്കുകയും വേണം.

ufw ഇൻസ്റ്റാൾ ചെയ്യുക:

apt-get install ufw

SSH പിന്തുണ പ്രവർത്തനക്ഷമമാക്കുക:

മാനുവലിൽ, OpenVPN UDP-യിൽ പ്രവർത്തിക്കുന്നു, പോർട്ട് 1194-ൽ ഈ ട്രാഫിക് തുറക്കുക.

ufw 1194/udp അനുവദിക്കുക

നിങ്ങൾ UFW റൂട്ടിംഗ് നയവും കോൺഫിഗർ ചെയ്യണം. പ്രധാന UFW കോൺഫിഗറേഷൻ ഫയലിൽ ഞങ്ങൾ ഇത് ചെയ്യും.

നാനോ /etc/default/ufw

DEFAULT_FORWARD_POLICY="ഡ്രോപ്പ്" കണ്ടെത്തുക. ഉദ്ധരണികളിലെ മൂല്യം ACCEPT ഉപയോഗിച്ച് മാറ്റിസ്ഥാപിക്കുക.

DEFAULT_FORWARD_POLICY="അംഗീകരിക്കുക"

ഫയൽ സംരക്ഷിച്ച് അടയ്ക്കുക.

തുടർന്ന് നെറ്റ്‌വർക്ക് വിലാസ വിവർത്തനത്തിനും കണക്റ്റുചെയ്‌ത ക്ലയന്റുകളുടെ ഐപി മാസ്‌ക്വറേഡിംഗിനുമായി അധിക ufw നിയമങ്ങൾ ചേർക്കുക.

നാനോ /etc/ufw/before.rules

before.rules ഫയലിന്റെ ആരംഭം ചുവടെ കാണിച്ചിരിക്കുന്നതുപോലെ എഡിറ്റ് ചെയ്യേണ്ടതുണ്ട്. ചുവപ്പ് നിറത്തിൽ ഹൈലൈറ്റ് ചെയ്‌തിരിക്കുന്ന ഭാഗം നിങ്ങൾ ചേർക്കേണ്ടതുണ്ട്:

#നിയമങ്ങൾ.മുമ്പ്
#
# ufw കമാൻഡ് ലൈനിന് മുമ്പ് പ്രവർത്തിപ്പിക്കേണ്ട നിയമങ്ങൾ ചേർത്തു. കസ്റ്റം
ഈ ശൃംഖലകളിലൊന്നിലേക്ക് # നിയമങ്ങൾ ചേർക്കണം:
# ufw-മുമ്പ് ഇൻപുട്ട്
# ufw-befor-output
# ufw-മുമ്പ്-മുന്നോട്ട്
#
# ഓപ്പൺവിപിഎൻ നിയമങ്ങൾ ആരംഭിക്കുക

# NAT പട്ടിക നിയമങ്ങൾ

* നാറ്റ്

:പോസ്‌ട്രൗട്ടിംഗ് അംഗീകരിക്കുന്നു

# OpenVPN ക്ലയന്റിൽ നിന്ന് eth0 ലേക്ക് ട്രാഫിക് അനുവദിക്കുക

-A POSTROUTING -s 10.8.0.0/8 -o eth0 -j മാസ്ക്വെറേഡ്

കമ്മിറ്റ് ചെയ്യുക

# OPENVPN നിയമങ്ങൾ അവസാനിപ്പിക്കുക
# ഈ ആവശ്യമായ വരികൾ ഇല്ലാതാക്കരുത്, അല്ലാത്തപക്ഷം പിശകുകൾ ഉണ്ടാകും
* ഫിൽട്ടർ

ഫയൽ സംരക്ഷിച്ച് അടയ്ക്കുക.

ഇപ്പോൾ നിങ്ങൾക്ക് ഫയർവാൾ പ്രവർത്തനക്ഷമമാക്കാം:

ufw പ്രവർത്തനക്ഷമമാക്കുക
നിലവിലുള്ള ssh കണക്ഷനുകളെ കമാൻഡ് തടസ്സപ്പെടുത്തിയേക്കാം. പ്രവർത്തനവുമായി മുന്നോട്ട് പോകണോ (y|n)?

y തിരഞ്ഞെടുക്കുക:

സിസ്റ്റം സ്റ്റാർട്ടപ്പിൽ ഫയർവാൾ സജീവവും പ്രവർത്തനക്ഷമവുമാണ്

ഇപ്പോൾ ഫയർവാൾ നിയമങ്ങളും നിലയും പരിശോധിക്കുക:

ufw നില
നില: സജീവം
പ്രവർത്തനത്തിലേക്ക്
-- ------ ----
22 എവിടെയും അനുവദിക്കുക
1194/udp എവിടെയും അനുവദിക്കുക
22 (v6) എവിടെയും അനുവദിക്കുക (v6)
1194/udp (v6) എവിടെയും അനുവദിക്കുക (v6)

5: ഒരു സർട്ടിഫിക്കറ്റ് അതോറിറ്റി സൃഷ്ടിക്കുന്നു

ട്രാഫിക് എൻക്രിപ്റ്റ് ചെയ്യാൻ OpenVPN സർട്ടിഫിക്കറ്റുകൾ ഉപയോഗിക്കുന്നു.

ഈ വിഭാഗത്തിൽ, ഞങ്ങൾ രണ്ട് ഘട്ടങ്ങളിലായി ഒരു CA സൃഷ്ടിക്കും: ആദ്യത്തേത് വേരിയബിളുകൾ ക്രമീകരിക്കുന്നു, രണ്ടാമത്തേത് ഒരു CA സൃഷ്ടിക്കുന്നു.

ഓപ്പൺവിപിഎൻ ബൈഡയറക്ഷണൽ സർട്ടിഫിക്കറ്റ് അടിസ്ഥാനമാക്കിയുള്ള പ്രാമാണീകരണത്തെ പിന്തുണയ്ക്കുന്നു, അതിനർത്ഥം ക്ലയന്റ് സെർവറിന്റെ സർട്ടിഫിക്കറ്റ് ആധികാരികമാക്കുകയും പരസ്പര വിശ്വാസം സ്ഥാപിക്കുന്നതിന് സെർവർ ക്ലയന്റിന്റെ സർട്ടിഫിക്കറ്റ് പ്രാമാണീകരിക്കുകയും വേണം.

ഈസി-ആർഎസ്എ സ്ക്രിപ്റ്റുകൾ പകർത്തുക:

cp -r /usr/share/easy-rsa/ /etc/openvpn

കീകൾക്കായി ഒരു ഡയറക്ടറി സൃഷ്ടിക്കുക:

mkdir /etc/openvpn/easy-rsa/keys

Easy-RSA ഒരു വേരിയബിൾ ഫയൽ നൽകുന്നു, അത് മുൻകൂട്ടി നിർവചിച്ച ഡിഫോൾട്ട് മൂല്യങ്ങളുള്ള സർട്ടിഫിക്കറ്റുകൾ സൃഷ്ടിക്കാൻ എഡിറ്റ് ചെയ്യാവുന്നതാണ്. ഈ വിവരങ്ങൾ സർട്ടിഫിക്കറ്റുകളിലേക്കും കീകളിലേക്കും പകർത്തുകയും പിന്നീട് കീകൾ തിരിച്ചറിയാൻ സഹായിക്കുകയും ചെയ്യും.

nano /etc/openvpn/easy-rsa/vars

ചുവപ്പിൽ ഹൈലൈറ്റ് ചെയ്ത മൂല്യങ്ങൾ നിങ്ങളുടെ സ്വന്തം ഡാറ്റ ഉപയോഗിച്ച് മാറ്റിസ്ഥാപിക്കേണ്ടതാണ്:

KEY_COUNTRY="US" കയറ്റുമതി ചെയ്യുക
KEY_PROVINCE="TX" കയറ്റുമതി ചെയ്യുക
KEY_CITY="ഡാളസ്" കയറ്റുമതി ചെയ്യുക
KEY_ORG="എന്റെ കമ്പനിയുടെ പേര്" കയറ്റുമതി ചെയ്യുക
KEY_EMAIL=" കയറ്റുമതി ചെയ്യുക [ഇമെയിൽ പരിരക്ഷിതം] "
KEY_OU="MYOrganizationalUnit" കയറ്റുമതി ചെയ്യുക

അതേ vars ഫയലിൽ, താഴെയുള്ള വരി എഡിറ്റ് ചെയ്യുക. ലാളിത്യത്തിനായി, സെർവർ പേരായി ഉപയോഗിക്കാൻ ഞങ്ങൾ ശുപാർശ ചെയ്യുന്നു. നിങ്ങൾക്ക് മറ്റൊരു പേര് ഉപയോഗിക്കാൻ താൽപ്പര്യമുണ്ടെങ്കിൽ, server.key, server.crt എന്നിവയെ പരാമർശിക്കുന്ന OpenVPN കോൺഫിഗറേഷൻ ഫയലുകൾ നിങ്ങൾ അപ്‌ഡേറ്റ് ചെയ്യേണ്ടതുണ്ട്. കണ്ടെത്തുക:

#X509 വിഷയ ഫീൽഡ്
KEY_NAME="EasyRSA" കയറ്റുമതി ചെയ്യുക

അതിന്റെ മൂല്യം മാറ്റുക:

#X509 വിഷയ ഫീൽഡ്
KEY_NAME="സെർവർ" കയറ്റുമതി ചെയ്യുക

ഫയൽ സംരക്ഷിച്ച് അടയ്ക്കുക.

ഇപ്പോൾ നമ്മൾ ഒരു ഡിഫി-ഹെൽമാൻ കീ ജനറേറ്റ് ചെയ്യേണ്ടതുണ്ട്; ഇതിന് കുറച്ച് മിനിറ്റുകൾ എടുത്തേക്കാം. പുതിയ പാരാമീറ്ററുകൾ എവിടെ സംരക്ഷിക്കണമെന്ന് -ഔട്ട് ഫ്ലാഗ് വ്യക്തമാക്കുന്നു.

openssl dhparam -out /etc/openvpn/dh2048.pem 2048

ഡയറക്ടറിയിലേക്ക് പോകുക:

cd /etc/openvpn/easy-rsa

PKI (പബ്ലിക് കീ ഇൻഫ്രാസ്ട്രക്ചർ) ആരംഭിക്കുക. ./varscommand-ന് മുമ്പുള്ള കാലഘട്ടവും (.) സ്ഥലവും ശ്രദ്ധിക്കുക. ഇത് നിലവിലെ പ്രവർത്തന ഡയറക്ടറി വ്യക്തമാക്കുന്നു.

കമാൻഡ് ഇനിപ്പറയുന്ന ഫലം നൽകും. കീ ഡയറക്‌ടറിയിൽ ഇതുവരെ ഒന്നും ഇല്ലാത്തതിനാൽ, ഇത് സാധാരണ ഔട്ട്‌പുട്ട് ആണ്.

ശ്രദ്ധിക്കുക: നിങ്ങൾ ./clean-all പ്രവർത്തിപ്പിക്കുകയാണെങ്കിൽ, ഞാൻ /etc/openvpn/easy-rsa/keys-ൽ ഒരു rm -rf ചെയ്യും

പുതിയ കീകൾക്ക് ഇടം നൽകുന്നതിന് സാധ്യമായ പഴയ കീകളോ സാമ്പിൾ ഫയലുകളോ ഇപ്പോൾ നിങ്ങളുടെ വർക്കിംഗ് ഡയറക്ടറി മായ്‌ക്കേണ്ടതുണ്ട്.

ഈ അവസാന കമാൻഡ് OpenSSL ഇന്ററാക്ടീവ് കമാൻഡ് വിളിച്ച് ഒരു സർട്ടിഫിക്കറ്റ് അതോറിറ്റി (CA) സൃഷ്ടിക്കുന്നു. ഈസി-ആർഎസ്എ ഫയലിൽ (രാജ്യത്തിന്റെ പേര്, ഓർഗനൈസേഷൻ മുതലായവ) നിങ്ങൾ മുമ്പ് നിർവചിച്ച വേരിയബിളുകൾ സ്ഥിരീകരിക്കാൻ ഔട്ട്പുട്ട് നിങ്ങളോട് ആവശ്യപ്പെടും.

ഡിഫോൾട്ട് മൂല്യങ്ങൾ സ്വീകരിക്കുന്നതിന്, എന്റർ അമർത്തുക.

സിഎ തയ്യാറാണ്.

6: സെർവർ കീകളും സർട്ടിഫിക്കറ്റുകളും സൃഷ്ടിക്കുന്നു

/etc/openvpn/easy-rsa ഡയറക്‌ടറിയിൽ തുടരുക, ഇപ്പോൾ സെർവർ കീ സൃഷ്ടിക്കുന്നതിനുള്ള കമാൻഡ് നൽകുക. നിങ്ങൾ Vars Easy-RSA ഫയലിൽ സജ്ജമാക്കിയ എക്‌സ്‌പോർട്ട് KEY_NAME വേരിയബിളാണ് സെർവർ മൂല്യം.

./build-key-server സെർവർ

കമാൻഡ് ./build-ca പ്രവർത്തിപ്പിക്കുന്ന അതേ ഔട്ട്‌പുട്ട് സൃഷ്ടിക്കും, സ്ഥിരസ്ഥിതി മൂല്യങ്ങൾ സ്വീകരിക്കുന്നതിന് നിങ്ങൾക്ക് വീണ്ടും എന്റർ അമർത്താം. എന്നിരുന്നാലും, ഇത്തവണ രണ്ട് വരികൾ കൂടി ഉണ്ട്:

ഒരു വെല്ലുവിളി പാസ്‌വേഡ്:
ഒരു ഓപ്ഷണൽ കമ്പനിയുടെ പേര്:

എന്റർ അമർത്തിക്കൊണ്ട് രണ്ട് വരികളും ശൂന്യമായി വിടുക.

അവസാനം രണ്ട് വരികൾ കൂടി ഉണ്ടാകും, അതിൽ നിങ്ങൾ y എന്നതിന് ഉത്തരം നൽകേണ്ടതുണ്ട്:

സർട്ടിഫിക്കറ്റിൽ ഒപ്പിടണോ?

അവസാന വരി ഔട്ട്പുട്ട് ചെയ്യും:

ഡാറ്റാ ബേസ് അപ്ഡേറ്റ് ചെയ്തു

7: സെർവർ കീകളും സർട്ടിഫിക്കറ്റുകളും നീക്കുന്നു

OpenVPN /etc/openvpn-ൽ CA, സർട്ടിഫിക്കറ്റ്, സെർവർ കീ എന്നിവയ്ക്കായി നോക്കും. അവ ശരിയായ സ്ഥലത്തേക്ക് പകർത്തുക.

cp /etc/openvpn/easy-rsa/keys/(server.crt,server.key,ca.crt) /etc/openvpn

ഓപ്പറേഷൻ വിജയകരമാണെന്ന് നിങ്ങൾക്ക് പരിശോധിക്കാൻ കഴിയും:

നിങ്ങൾ സെർവർ സർട്ടിഫിക്കറ്റും കീ ഫയലുകളും കാണണം.

OpenVPN സെർവർ ഇപ്പോൾ ആരംഭിക്കാൻ തയ്യാറാണ്. ഇത് പ്രവർത്തിപ്പിച്ച് നില പരിശോധിക്കുക:

സേവനം openvpn ആരംഭം
സേവനം openvpn നില

അവസാന കമാൻഡ് പ്രതികരിക്കും:

* openvpn.service - OpenVPN സേവനം
ലോഡുചെയ്‌തു: ലോഡുചെയ്‌തു (/lib/systemd/system/openvpn.service; പ്രവർത്തനക്ഷമമാക്കി)
സജീവം: 2015-06-25 വ്യാഴം മുതൽ സജീവം (പുറത്തുപോയി) 02:20:18 EDT; 9 സെക്കൻഡ് മുമ്പ്
പ്രോസസ്സ്: 2505 ExecStart=/bin/true (code=exited, status=0/SUCCESS)
പ്രധാന PID: 2505 (കോഡ്=പുറത്തുപോയി, നില=0/വിജയം)

OpenVPN സെർവർ പ്രവർത്തിക്കുന്നു!

VPN പ്രവർത്തിക്കുന്നില്ലെന്ന് കമാൻഡ് റിപ്പോർട്ട് ചെയ്താൽ, /var/log/syslog പരിശോധിക്കുക:

ഓപ്‌ഷനുകളിലെ പിശക്: "server.key" ഉപയോഗിച്ച് --കീ പരാജയപ്പെടുന്നു: അത്തരം ഫയലോ ഡയറക്ടറിയോ ഇല്ല

/etc/openvpn-ലേക്ക് server.key ശരിയായി പകർത്തിയിട്ടില്ലെന്ന് ഈ പിശക് പറയുന്നു. അത് വീണ്ടും പകർത്തി സെർവർ ആരംഭിക്കാൻ ശ്രമിക്കുക.

8: ക്ലയന്റ് സർട്ടിഫിക്കറ്റുകളും കീകളും സൃഷ്ടിക്കുന്നു

മുമ്പ്, നിങ്ങൾ OpenVPN സെർവർ ഇൻസ്റ്റാൾ ചെയ്യുകയും കോൺഫിഗർ ചെയ്യുകയും ചെയ്തു, ഒരു സർട്ടിഫിക്കറ്റ് അതോറിറ്റിയും ഒരു സെർവർ സർട്ടിഫിക്കറ്റും കീയും സൃഷ്ടിച്ചു. ഈ ഘട്ടത്തിൽ, VPN-ലേക്ക് കണക്‌റ്റ് ചെയ്യുന്ന ഓരോ ക്ലയന്റ് ഉപകരണത്തിനും സർട്ടിഫിക്കറ്റുകളും കീകളും സൃഷ്‌ടിക്കാൻ നിങ്ങൾ സെർവറിന്റെ CA ഉപയോഗിക്കേണ്ടതുണ്ട്.

കീകളും സർട്ടിഫിക്കറ്റുകളും സൃഷ്ടിക്കുന്നു

കുറിപ്പ്: സ്ഥിരസ്ഥിതിയായി, ഒരേ സർട്ടിഫിക്കറ്റും കീയും ഉപയോഗിച്ച് സൃഷ്‌ടിച്ച സെർവറിലേക്കുള്ള ഒരേസമയം ക്ലയന്റ് കണക്ഷനുകളെ OpenVPN പിന്തുണയ്ക്കുന്നില്ല (duplicate-cn in /etc/openvpn/server.conf കാണുക).

നിങ്ങൾ VPN-ലേക്ക് കണക്‌റ്റ് ചെയ്യാൻ ഉദ്ദേശിക്കുന്ന ഓരോ ഉപകരണത്തിനും വ്യക്തിഗത ക്രെഡൻഷ്യലുകൾ സൃഷ്‌ടിക്കുന്നതിന്, ഓരോന്നിനും ഈ വിഭാഗം ആവർത്തിക്കണം (എന്നാൽ നിങ്ങൾ ക്ലയന്റ്2 അല്ലെങ്കിൽ iphone2 പോലുള്ള ക്ലയന്റ് നാമം മാറ്റണം). നിങ്ങൾക്ക് വ്യക്തിഗത ക്രെഡൻഷ്യലുകൾ ഉണ്ടെങ്കിൽ, ഉപകരണങ്ങൾ പിന്നീട് വ്യക്തിഗതമായി നിർജ്ജീവമാക്കാം. ഈ ട്യൂട്ടോറിയലിൽ, ഉദാഹരണങ്ങളിൽ ഉപയോഗിക്കുന്ന ക്ലയന്റ് നാമം client1 ആണ്.

/etc/openvpn/easy-rsa ഡയറക്‌ടറിയിൽ ക്ലയന്റ് ക്ലയന്റ്1-നുള്ള കീ ശേഖരിക്കുക.

./build-key client1

വേരിയബിളുകളും ഈ രണ്ട് വരികളും മാറ്റാനോ സ്ഥിരീകരിക്കാനോ നിങ്ങളോട് വീണ്ടും ആവശ്യപ്പെടും, അവ ശൂന്യമായിരിക്കണം. സ്ഥിര മൂല്യങ്ങൾ അംഗീകരിക്കാൻ എന്റർ അമർത്തുക.

ദയവായി ഇനിപ്പറയുന്ന "അധിക" ആട്രിബ്യൂട്ടുകൾ നൽകുക
നിങ്ങളുടെ സർട്ടിഫിക്കറ്റ് അഭ്യർത്ഥനയ്‌ക്കൊപ്പം അയയ്‌ക്കേണ്ടതാണ്
ഒരു വെല്ലുവിളി പാസ്‌വേഡ്:
ഒരു ഓപ്ഷണൽ കമ്പനിയുടെ പേര്:

മുമ്പത്തെപ്പോലെ, ബിൽഡ് പ്രക്രിയയുടെ അവസാനത്തിൽ അടുത്ത രണ്ട് വരികൾക്ക് ഒരു y പ്രതികരണം ആവശ്യമാണ്:

സർട്ടിഫിക്കറ്റിൽ ഒപ്പിടണോ?
1-ൽ 1 സർട്ടിഫിക്കറ്റ് അഭ്യർത്ഥനകൾ സാക്ഷ്യപ്പെടുത്തിയിട്ടുണ്ടോ?

പ്രധാന അസംബ്ലി വിജയകരമാണെങ്കിൽ, ഫലം വീണ്ടും ഇതുപോലെ കാണപ്പെടും:

1 പുതിയ എൻട്രികൾ ഉപയോഗിച്ച് ഡാറ്റാബേസ് എഴുതുക
ഡാറ്റാ ബേസ് അപ്ഡേറ്റ് ചെയ്തു

ഒരു ഉദാഹരണം ക്ലയന്റ് കോൺഫിഗറേഷൻ ഫയൽ ഈസി-ആർഎസ്എ കീ ഡയറക്ടറിയിലേക്ക് പകർത്തുകയും എഡിറ്റിംഗിനായി ക്ലയന്റ് ഉപകരണങ്ങളിലേക്ക് ഡൗൺലോഡ് ചെയ്യുന്ന ഒരു ടെംപ്ലേറ്റായി ഉപയോഗിക്കുകയും വേണം. പകർത്തൽ പ്രക്രിയയ്ക്കിടയിൽ, നിങ്ങൾ ഫയലിന്റെ പേര് client.conf എന്നതിൽ നിന്ന് client.ovpn എന്നതിലേക്ക് മാറ്റേണ്ടതുണ്ട്, കാരണം ക്ലയന്റുകൾ .ovpn എക്സ്റ്റൻഷൻ ഉപയോഗിക്കണം.

cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf

ക്ലയന്റ് നാമം മാറ്റിക്കൊണ്ട് നിങ്ങളുടെ എല്ലാ ക്ലയന്റുകൾക്കുമായി ഈ വിഭാഗം ആവർത്തിക്കുക.

കുറിപ്പ്:ഡ്യൂപ്ലിക്കേറ്റ് പേര് client.ovpn എന്നത് ക്ലയന്റ് ഉപകരണവുമായി ബന്ധപ്പെടുത്തേണ്ടതില്ല. OpenVPN ക്ലയന്റ് ആപ്ലിക്കേഷൻ VPN കണക്ഷന്റെ തന്നെ ഒരു ഐഡന്റിഫയറായി ഫയൽനാമം ഉപയോഗിക്കും. നിങ്ങളുടെ ഓപ്പറേറ്റിംഗ് സിസ്റ്റത്തിൽ VPN ഉപയോഗിക്കുന്ന പേര് ഉപയോഗിച്ച് client.ovpn പകർത്തുക. ഉദാഹരണത്തിന്: work.ovpn ഇതായി നിർവചിക്കപ്പെടും ജോലി ശൃംഖല, school.ovpn - സ്കൂൾ പോലെ, മുതലായവ.

നിങ്ങൾ ഓരോ ക്ലയന്റ് ഫയലും മാറ്റുകയും OpenVPN സെർവറിന്റെ IP വിലാസം വ്യക്തമാക്കുകയും ചെയ്യേണ്ടതുണ്ട്, അതുവഴി ക്ലയന്റ് എന്തിലേക്ക് കണക്റ്റുചെയ്യണമെന്ന് അറിയുന്നു. നാനോ അല്ലെങ്കിൽ മറ്റൊരു ടെക്സ്റ്റ് എഡിറ്റർ ഉപയോഗിച്ച് client.ovpn തുറക്കുക.

nano /etc/openvpn/easy-rsa/keys/client.ovpn

റിമോട്ട് ലൈനിലെ VPN IP വിലാസം ഉപയോഗിച്ച് my-server-1 മാറ്റിസ്ഥാപിക്കുക.

# സെർവറിന്റെ ഹോസ്റ്റ്നാമം/IP, പോർട്ട്.
# നിങ്ങൾക്ക് ഒന്നിലധികം റിമോട്ട് എൻട്രികൾ ഉണ്ടായിരിക്കാം
# സെർവറുകൾക്കിടയിൽ ബാലൻസ് ലോഡുചെയ്യാൻ.
റിമോട്ട് മൈ-സെർവർ-1 1194

തുടർന്ന് ഈ വിഭാഗം കണ്ടെത്തി, നിങ്ങൾ server.conf-ൽ ചെയ്‌തതുപോലെ ഉപയോക്താവിനെ ആരെയും ഗ്രൂപ്പ് നോഗ്രൂപ്പിനെയും കമന്റ് ചെയ്യരുത്. ഇത് Windows OS-ന് ബാധകമല്ല.

# സമാരംഭിച്ചതിന് ശേഷം പ്രത്യേകാവകാശങ്ങൾ തരംതാഴ്ത്തുക (Windows അല്ലാത്തവ മാത്രം)
ഉപയോക്താവ് ആരും
ഗ്രൂപ്പ് ഇല്ല ഗ്രൂപ്പ്

ക്ലയന്റ് ഉപകരണങ്ങളിലേക്ക് കീകളും സർട്ടിഫിക്കറ്റുകളും കൈമാറുന്നു

ക്ലയന്റ് സർട്ടിഫിക്കറ്റുകളും കീകളും OpenVPN സെർവറിൽ /etc/openvpn/easy-rsa/keys ഡയറക്‌ടറിയിൽ സംഭരിച്ചിട്ടുണ്ടെന്ന് ഓർക്കുക.

ഇപ്പോൾ നിങ്ങൾ ക്ലയന്റ് സർട്ടിഫിക്കറ്റ്, കീ, പ്രൊഫൈൽ ഫയലുകൾ എന്നിവ ഈ ക്ലയന്റ് ഉപകരണത്തിലെ ഒരു ഫോൾഡറിലേക്ക് മാറ്റേണ്ടതുണ്ട്.

ഉദാഹരണത്തിന്, ഈ സാഹചര്യത്തിൽ, ഫയലുകൾ etc/openvpn/easy-rsa/keys/client1.crt, /etc/openvpn/easy-rsa/keys/client1.key എന്നിവയിലായിരിക്കണം.

ca.crt, client.ovpn ഫയലുകൾ എല്ലാ ക്ലയന്റുകൾക്കും ഒരുപോലെയാണ്. ഈ രണ്ട് ഫയലുകൾ ഡൗൺലോഡ് ചെയ്യുക; ca.crt ഫയൽ മറ്റൊരു ഡയറക്‌ടറിയിലാണെന്ന കാര്യം ശ്രദ്ധിക്കുക.

/etc/openvpn/easy-rsa/keys/client.ovpn
/etc/openvpn/ca.crt

നിങ്ങൾ തിരഞ്ഞെടുക്കുന്ന ട്രാൻസ്ഫർ ആപ്ലിക്കേഷൻ നിങ്ങളെയും നിങ്ങളുടെ ഉപകരണത്തിന്റെ ഓപ്പറേറ്റിംഗ് സിസ്റ്റത്തെയും ആശ്രയിച്ചിരിക്കുന്നു, എന്നാൽ SFTP (SSH ഫയൽ ട്രാൻസ്ഫർ പ്രോട്ടോക്കോൾ) അല്ലെങ്കിൽ SCP (സുരക്ഷിത പകർപ്പ്) പിന്തുണയ്ക്കുന്ന ആപ്ലിക്കേഷനുകൾ തിരഞ്ഞെടുക്കാൻ ശുപാർശ ചെയ്യുന്നു. ഇത് എൻക്രിപ്റ്റ് ചെയ്ത കണക്ഷനിലൂടെ ക്ലയന്റ് ഫയലുകൾ കൈമാറും.

ഒരു SCP കമാൻഡിന്റെ ഒരു ഉദാഹരണം ചുവടെയുണ്ട്. ഇത് പ്രാദേശിക കമ്പ്യൂട്ടറിലെ ഡൗൺലോഡ് ഡയറക്‌ടറിയിൽ client1.key എന്ന ഫയൽ സ്ഥാപിക്കുന്നു.

scp root@your-server-ip:/etc/openvpn/easy-rsa/keys/client1.key ഡൗൺലോഡുകൾ/

നിങ്ങൾക്ക് ഇനിപ്പറയുന്ന ആപ്ലിക്കേഷനുകളും മാനുവലുകളും ഉപയോഗിക്കാം:

തുടർന്ന് ക്ലയന്റ് ഉപകരണത്തിൽ ഈ ഫയലുകൾ ഉണ്ടെന്ന് ഉറപ്പാക്കുക:

client1.crt
ക്ലയന്റ്1.കീ
client.ovpn
ca.crt

9: ക്ലയന്റുകൾക്കായി ഒരൊറ്റ OpenVPN പ്രൊഫൈൽ സൃഷ്‌ടിക്കുക

ക്ലയന്റ് ഫയലുകൾ നിയന്ത്രിക്കുന്നതിന് നിരവധി മാർഗങ്ങളുണ്ട്, എന്നാൽ ഏറ്റവും ലളിതമായത് ഉപയോഗിക്കുക എന്നതാണ് ഒറ്റ പ്രൊഫൈൽ. client.ovpn ടെംപ്ലേറ്റ് ഫയൽ പരിഷ്കരിച്ച് സെർവറിന്റെ CA, ക്ലയന്റ് സർട്ടിഫിക്കറ്റ്, ക്ലയന്റ് കീ എന്നിവ ചേർത്താണ് പ്രൊഫൈൽ സൃഷ്ടിക്കുന്നത്. ഇതിനുശേഷം, ക്ലയന്റിന്റെ OpenVPN ആപ്ലിക്കേഷനിലേക്ക് client.ovpn പ്രൊഫൈൽ മാത്രമേ ഇറക്കുമതി ചെയ്യാവൂ.

ചുവടെയുള്ള വിഭാഗത്തിൽ, Client.ovpn ഫയലിൽ നേരിട്ട് സർട്ടിഫിക്കറ്റും കീയും ഉൾപ്പെടുത്തുന്നതിന് നിങ്ങൾ മൂന്ന് വരികൾ കമന്റ് ചെയ്യേണ്ടതുണ്ട്. ഇത് ഇതുപോലെ ആയിരിക്കണം:

# SSL/TLS പാർമുകൾ.
# . . .
;ca ca.crt
;cert client.crt
;കീ ക്ലയന്റ്.കീ

client.ovpn ഫയൽ സംരക്ഷിച്ച് അടയ്ക്കുക.

കോഡ് ഉപയോഗിച്ച് നിങ്ങൾക്ക് സർട്ടിഫിക്കറ്റുകൾ ചേർക്കാം. ആദ്യം CA ചേർക്കുക:

പ്രതിധ്വനി " " >> /etc/openvpn/easy-rsa/keys/client.ovpn
cat /etc/openvpn/ca.crt >> /etc/openvpn/easy-rsa/keys/client.ovpn
പ്രതിധ്വനി "" >> /etc/openvpn/easy-rsa/keys/client.ovpn

തുടർന്ന് സർട്ടിഫിക്കറ്റ് ചേർക്കുക:

പ്രതിധ്വനി " " >> /etc/openvpn/easy-rsa/keys/client.ovpn
cat /etc/openvpn/easy-rsa/keys/client1.crt >> /etc/openvpn/easy-rsa/keys/client.ovpn
പ്രതിധ്വനി "" >> /etc/openvpn/easy-rsa/keys/client.ovpn

അവസാനം കീ ചേർക്കുക:

പ്രതിധ്വനി " " >> /etc/openvpn/easy-rsa/keys/client.ovpn
cat /etc/openvpn/easy-rsa/keys/client1.key >> /etc/openvpn/easy-rsa/keys/client.ovpn
പ്രതിധ്വനി "" >> /etc/openvpn/easy-rsa/keys/client.ovpn

നിങ്ങൾക്ക് ഇപ്പോൾ ക്ലയന്റ് ഉപകരണത്തിലേക്ക് പകർത്താൻ കഴിയുന്ന ഒരു പ്രൊഫൈൽ ഉണ്ട്.

10: ഒരു ക്ലയന്റ് പ്രൊഫൈൽ സജ്ജീകരിക്കുന്നു

വ്യത്യസ്ത പ്ലാറ്റ്ഫോമുകളിൽ കൂടുതൽ ഉണ്ട് സൗകര്യപ്രദമായ ആപ്ലിക്കേഷനുകൾ OpenVPN സെർവറിലേക്ക് കണക്റ്റുചെയ്യാൻ. വിവിധ പ്ലാറ്റ്‌ഫോമുകളിൽ ക്ലയന്റുകൾ ഇൻസ്റ്റാൾ ചെയ്യുന്നതിനുള്ള നിർദ്ദേശങ്ങൾ മാനുവലിന്റെ സെക്ഷൻ 5 ൽ നിങ്ങൾ കണ്ടെത്തും.

ഉപസംഹാരം

നിങ്ങൾക്ക് ഇപ്പോൾ നിങ്ങളുടെ OpenVPN സെർവറിൽ പൂർണ്ണമായി പ്രവർത്തിക്കുന്ന ഒരു വെർച്വൽ സ്വകാര്യ നെറ്റ്‌വർക്ക് ഉണ്ട്. ഹാക്കർമാർ നിങ്ങളുടെ പ്രവർത്തനങ്ങൾ ട്രാക്ക് ചെയ്യുന്നതിനെക്കുറിച്ച് ആശങ്കപ്പെടാതെ നിങ്ങൾക്ക് വെബ് ബ്രൗസ് ചെയ്യാനും ഉള്ളടക്കം ഡൗൺലോഡ് ചെയ്യാനും കഴിയും.

നിങ്ങൾ ക്ലയന്റുമായി ഒരു വിജയകരമായ കണക്ഷൻ സ്ഥാപിച്ചുകഴിഞ്ഞാൽ, ട്രാഫിക് VPN വഴിയാണ് റൂട്ട് ചെയ്യുന്നതെന്ന് നിങ്ങൾക്ക് പരിശോധിക്കാനാകും.

ഇത് എങ്ങനെ പ്രവർത്തിക്കുന്നു?

OpenVPN സജ്ജീകരണം പൂർത്തിയായിക്കഴിഞ്ഞാൽ, സെർവറിന് ബാഹ്യ SSL സുരക്ഷിതത്വം സ്വീകരിക്കാനും റീഡയറക്‌ട് ചെയ്യാനും കഴിയും നെറ്റ്‌വർക്ക് കണക്ഷനുകൾമറ്റ് ഇന്റർഫേസുകളുടെ (ബാഹ്യ ഇന്റർനെറ്റ് അഡാപ്റ്റർ മുതലായവ) ട്രാഫിക് പ്രോസസ്സ് ചെയ്യുന്നതിനുള്ള നിയമങ്ങളെ ബാധിക്കാതെ, VPN സേവനം സമാരംഭിച്ചപ്പോൾ സൃഷ്ടിച്ച വെർച്വൽ നെറ്റ്‌വർക്ക് അഡാപ്റ്ററിലേക്ക് (ടൺ/ടാപ്പ്) ഈ സാങ്കേതികവിദ്യയ്ക്ക് നന്ദി, നിങ്ങൾക്ക് സ്വയം ഒരു റിമോട്ടിലേക്കുള്ള ആക്‌സസ് നൽകാനാകും. ഈ സെർവറിന്റെ പ്രധാന ഇന്റർനെറ്റ് അഡാപ്റ്റർ പൊതു നെറ്റ്‌വർക്കുകളിൽ നിന്നുള്ള ഇൻകമിംഗ് കണക്ഷനുകൾ സ്വീകരിക്കുന്നില്ലെങ്കിലും കൂടാതെ/അല്ലെങ്കിൽ അതിന്റെ LAN നെറ്റ്‌വർക്കിൽ സ്ഥിതിചെയ്യുന്ന ആവശ്യമായ മെഷീനുകളിലേക്ക് അവയെ റൂട്ട് ചെയ്യുന്നില്ലെങ്കിലും സെർവറും അതിന്റെ പ്രാദേശിക നെറ്റ്‌വർക്ക് ഉപകരണങ്ങളിൽ സ്ഥിതിചെയ്യുന്ന ഒരു ഗ്രൂപ്പും.

ആവശ്യമെങ്കിൽ, നിങ്ങൾക്ക് VPN സെർവർ വഴി OpenVPN ക്ലയന്റുകളുടെ ഇന്റർനെറ്റ് ട്രാഫിക്കിന്റെ റൂട്ടിംഗ് ക്രമീകരിക്കാനും കഴിയും (ഇതിനുള്ള ഘട്ടങ്ങൾ ഈ മാനുവലിൽ വിവരിച്ചിരിക്കുന്നു). അത്തരം റീഡയറക്ഷൻ ഉപയോഗിച്ച്, ഹോസ്റ്റ് പ്രോസസ്സിംഗ് VPN കണക്ഷനുകൾ ഒരു പ്രോക്സി സെർവറിന്റെ (പ്രോക്സി) പ്രവർത്തനവും നിർവഹിക്കും - ഉപയോക്തൃ നെറ്റ്‌വർക്ക് പ്രവർത്തനത്തിനും ടണൽ ക്ലയന്റ് ഇന്റർനെറ്റ് ട്രാഫിക്കിനുമുള്ള നിയമങ്ങൾ അതിന്റെ പേരിൽ ഏകീകരിക്കുക.

സിസ്റ്റം ആവശ്യകതകൾ

നിങ്ങൾ OpenVPN ഇൻസ്റ്റാൾ ചെയ്യാൻ തുടങ്ങുന്നതിനുമുമ്പ്, ആവശ്യമായ ക്രമീകരണങ്ങൾ നിങ്ങളുടെ സെർവറിൽ ശരിയായി ക്രമീകരിച്ചിട്ടുണ്ടെന്ന് ഉറപ്പാക്കുക. അടിസ്ഥാന പരാമീറ്ററുകൾ, താഴെ കൊടുത്തിരിക്കുന്ന. (നിങ്ങൾ ഉപയോഗിക്കുകയാണെങ്കിൽ വെർച്വൽ സെർവർ, ഈ മൂന്ന് ഘട്ടങ്ങൾ ഇതിനകം പൂർത്തിയായി, ഒഴിവാക്കാവുന്നതാണ്):

സെർവറിന് കുറഞ്ഞത് ഒരു സ്റ്റാറ്റിക് ബാഹ്യ ഐപി വിലാസമെങ്കിലും ഉണ്ട് (പകരം, ഉപകരണത്തിന്റെ നിലവിലെ ഐപി വിലാസത്തെക്കുറിച്ചുള്ള വിവരങ്ങൾ സ്വയമേവ അപ്ഡേറ്റ് ചെയ്യുന്ന ഡൈനാമിക്ഡിഎൻഎസ് സേവനങ്ങൾ നിങ്ങൾക്ക് ഉപയോഗിക്കാം, ഉദാഹരണത്തിന്, DynDNS)
ഔദ്യോഗിക ശേഖരണങ്ങളിൽ നിന്ന് സോഫ്റ്റ്വെയർ പാക്കേജുകൾ ഡൗൺലോഡ് ചെയ്യാൻ അനുവദിച്ചിരിക്കുന്നു. ഇത് പരിശോധിക്കാൻ, സെർവറിൽ ഫയൽ തുറക്കുക /etc/apt/sources.listഅത് ഉറപ്പാക്കുകയും ചെയ്യുക നെറ്റ്‌വർക്ക് വിലാസങ്ങൾദയയുള്ള "deb http://..."നിലവിലുള്ളതും അഭിപ്രായമിടാത്തതും (ഇല്ല # റിപ്പോസിറ്ററി url ഉള്ള വരിയുടെ തുടക്കത്തിൽ). ഉദാഹരണത്തിന്, sources.list-ലേക്ക് ചേർത്ത ഉബുണ്ടു കൃത്യമായ ശേഖരണങ്ങളുടെ അമേരിക്കൻ മിറർ ഇങ്ങനെയാണ്: # എങ്ങനെ അപ്‌ഗ്രേഡ് ചെയ്യാം എന്നതിന് http://help.ubuntu.com/community/UpgradeNotes കാണുക.
വിതരണത്തിന്റെ # പുതിയ പതിപ്പുകൾ.
deb http://us.archive.ubuntu.com/ubuntu/ കൃത്യമായ പ്രധാന നിയന്ത്രണം
deb-src http://us.archive.ubuntu.com/ubuntu/ കൃത്യമായ പ്രധാന നിയന്ത്രണം
നെറ്റ്‌വർക്ക് പാരാമീറ്ററുകൾ ശരിയാണ്: ഹോസ്റ്റ്നാമം, നിങ്ങളുടെ സെർവറിന്റെ IP വിലാസം(കൾ), അതിന്റെ DNS പാരാമീറ്ററുകൾ(ക്ലയന്റ് ഇന്റർനെറ്റ് ട്രാഫിക്ക് റൂട്ടിംഗ് ചെയ്യുന്നതിന് അവസാന പാരാമീറ്റർ ആവശ്യമാണ്). പട്ടികയിൽ കണ്ടെത്തുക നെറ്റ്‌വർക്ക് ക്രമീകരണങ്ങൾഫയലിൽ സാധ്യമാണ് /etc/hosts.

മെഷീൻ സുരക്ഷയുടെ സ്വീകാര്യമായ തലം ഉറപ്പാക്കാൻ, Linux സുരക്ഷാ ഉപകരണങ്ങൾ കോൺഫിഗർ ചെയ്യുന്നതിനെക്കുറിച്ചുള്ള ഞങ്ങളുടെ ആമുഖ ലേഖനം നിങ്ങൾ ആദ്യം വായിക്കാനും ഞങ്ങൾ ശുപാർശ ചെയ്യുന്നു.

സെർവറിൽ OpenVPN ഇൻസ്റ്റാൾ ചെയ്യുന്നു

പാക്കേജ് ഇൻസ്റ്റാൾ ചെയ്യാൻ openvpnസെർവറിലേക്ക്, നിങ്ങൾ ഇനിപ്പറയുന്ന കമാൻഡുകൾ തുടർച്ചയായി പ്രവർത്തിപ്പിക്കണം:

പാക്കേജ് റിപ്പോസിറ്ററികൾ അപ്ഡേറ്റ് ചെയ്യുക:
apt-get update
ഇൻസ്റ്റാൾ ചെയ്ത പ്രോഗ്രാമുകൾക്കായി ലഭ്യമായ അപ്ഡേറ്റുകൾ ഡൗൺലോഡ് ചെയ്യുക:
apt-get upgrade
പാക്കേജ് ഇൻസ്റ്റാൾ ചെയ്യുക openvpn:
apt-get install openvpn
OpenVPN എൻക്രിപ്ഷൻ ടൂളുകളുടെ ഒരു സ്യൂട്ട് ഉൾപ്പെടുന്നു ഈസി-ആർഎസ്എ. ഡെമണിന്റെ സാധാരണ പ്രവർത്തനത്തിന്, ഈസി-ആർഎസ്എ സ്ക്രിപ്റ്റുകൾ ഡയറക്ടറിയിൽ സ്ഥാപിക്കണം /etc/openvpn:
cd /etc/openvpn/ && make-cadir easy-rsa

പൊതു കീകൾ തയ്യാറാക്കൽ (PKI - പബ്ലിക് കീ ഇൻഫ്രാസ്ട്രക്ചർ)

ഓൺ ഈ ഘട്ടത്തിൽനിങ്ങൾ ജോഡി യൂസർ ജനറേറ്റ് ചെയ്യുകയും സൈൻ ചെയ്യുകയും വേണം സെർവർ കീകൾ. സൃഷ്ടിച്ച ജോഡികൾ പരിശോധിക്കാൻ ഞങ്ങൾ ഉപയോഗിക്കും സർട്ടിഫിക്കേഷൻ അതോറിറ്റി (സിഎ - സർട്ടിഫിക്കറ്റ് അതോറിറ്റി), VPN സെർവറിൽ തന്നെ സ്ഥിതിചെയ്യുന്നു. അതിനാൽ, നമുക്ക് ഒരു CA സൃഷ്ടിക്കാം:

ഫോൾഡറിലേക്ക് പോകുക /etc/openvpn/easy-rsa: cd /etc/openvpn/easy-rsa
സൃഷ്ടിക്കാൻ പ്രതീകാത്മക ലിങ്ക് openssl-1.0.0.cnf -> openssl.cnf: ln -s openssl-1.0.0.cnf openssl.cnf
സ്ക്രിപ്റ്റ് ആരംഭിക്കുക vars:ഉറവിടം ./vars
പ്രതികരണമായി, നിങ്ങൾക്ക് ഇനിപ്പറയുന്ന അറിയിപ്പ് ലഭിക്കും: ശ്രദ്ധിക്കുക: നിങ്ങൾ ./clean-all പ്രവർത്തിപ്പിക്കുകയാണെങ്കിൽ, ഞാൻ /etc/openvpn/easy-rsa/keys-ൽ ഒരു rm -rf ചെയ്യും
സ്ക്രിപ്റ്റ് പ്രവർത്തിപ്പിക്കുക ശുദ്ധി-എല്ലാം: ./clean-all
സ്ക്രിപ്റ്റ് എക്സിക്യൂട്ട് ചെയ്യുക ബിൽഡ്-caഒരു സർട്ടിഫിക്കേഷൻ അതോറിറ്റി സൃഷ്ടിക്കാൻ. ദൃശ്യമാകുന്ന നിർദ്ദേശങ്ങൾക്ക് മറുപടിയായി, ആവശ്യമായ വിവരങ്ങൾ നൽകുക (ലാറ്റിൻ അക്ഷരങ്ങളിൽ). നിങ്ങൾ വ്യക്തമാക്കിയില്ലെങ്കിൽ ഈജൻ മൂല്യങ്ങൾആവശ്യമായ ചില ഫീൽഡുകൾക്ക്, ഡിഫോൾട്ട് മൂല്യം [ചതുര ബ്രാക്കറ്റുകളിൽ കാണിച്ചിരിക്കുന്നത്] ഉപയോഗിക്കും: ./build-ca
ഇപ്പോൾ നിങ്ങൾക്ക് VPN സെർവറിനായി ഒരു പൊതു സർട്ടിഫിക്കറ്റ്/പ്രൈവറ്റ് കീ ജോഡി സൃഷ്ടിക്കുന്നത് തുടരാം.

ഒരു സെർവർ കീ/സർട്ടിഫിക്കറ്റ് സൃഷ്ടിക്കുന്നു

ഒരു കീ സൃഷ്ടിക്കുക: ./build-key-server സെർവർ ഇതുപോലുള്ള വിവരങ്ങൾ പൂരിപ്പിക്കുക ബിൽഡ്-ca. "കമ്പനിയുടെ പേര്", "ചലഞ്ച് പാസ്‌വേഡ്" എന്നീ ഫീൽഡുകൾ ശൂന്യമായി ഇടാം.
വിജയകരമായ കീ ജനറേഷന് ശേഷം, ഒരു സർട്ടിഫിക്കേഷൻ അതോറിറ്റി ഒപ്പിടുന്നതിന് ഒരു അഭ്യർത്ഥന ദൃശ്യമാകും. നൽകുക അതെസ്ഥിരീകരണത്തിനായി.

ക്ലയന്റ് കീകളുടെ ജനറേഷൻ

ഉപയോക്താവിനായി ഒരു കീ ജോഡി സൃഷ്ടിക്കുക: ./build-key client1 കുറിപ്പ്:സൃഷ്ടിച്ച കീ ഫയൽ ക്ലയന്റ്1.കീസ്ഥിരസ്ഥിതിയായി എൻക്രിപ്റ്റ് ചെയ്തിട്ടില്ല. ഈ ഫയലിലേക്ക് ആക്‌സസ് ഉള്ള ആരെയും നിങ്ങളുടെ വെർച്വൽ സ്വകാര്യ നെറ്റ്‌വർക്കിലേക്ക് കണക്റ്റുചെയ്യാൻ ഇത് അനുവദിക്കുന്നു. ഈ സവിശേഷത ഇല്ലാതാക്കാൻ നിങ്ങൾക്ക് കമാൻഡ് ഉപയോഗിക്കാം ./build-key-pass client1ഇതിനുപകരമായി ./build-key client1. ഈ സാഹചര്യത്തിൽ, നിങ്ങൾ തിരഞ്ഞെടുക്കുന്ന പാസ്‌വേഡ് ഉപയോഗിച്ച് കീ എൻക്രിപ്റ്റ് ചെയ്യപ്പെടും.
ഭാവിയിൽ ഓരോന്നിനും ജനറേഷൻ നടപടിക്രമം ആവർത്തിക്കുക VPN ക്ലയന്റുകൾ, മാറ്റിസ്ഥാപിക്കുന്നു ക്ലയന്റ്1ആവശ്യമുള്ള പേരിലേക്ക്. ശ്രദ്ധ:പ്രധാന പേരുകൾ അദ്വിതീയമായിരിക്കണം.
നിങ്ങൾക്ക് പിന്നീട് ക്ലയന്റ് കീകൾ സൃഷ്ടിക്കാൻ കഴിയും. ഇത് ചെയ്യുന്നതിന്, നിങ്ങൾ സ്ക്രിപ്റ്റ് പുനരാരംഭിക്കേണ്ടതുണ്ട് vars(ടീം ഉറവിടം ./vars), തുടർന്ന് ആവശ്യമായ കീ സൃഷ്ടിക്കുന്നതിനുള്ള നടപടിക്രമം ആരംഭിക്കുക.

ഡിഫി-ഹെൽമാൻ പ്രോട്ടോക്കോൾ പാരാമീറ്ററുകൾ ക്രമീകരിക്കുന്നു

ഡിഫി-ഹെൽമാൻ പ്രോട്ടോക്കോൾ പാരാമീറ്ററുകൾ ഓപ്പൺവിപിഎൻ സെർവറും ക്ലയന്റും തമ്മിൽ ഡാറ്റ കൈമാറ്റം ചെയ്യുന്നതെങ്ങനെയെന്ന് നിർണ്ണയിക്കുന്നു. ഫയൽ സൃഷ്ടിച്ച ശേഷം .പെം, സെർവർ ഉപയോക്താക്കളുമായി സുരക്ഷിത കണക്ഷനുകൾ ആരംഭിക്കുന്ന പരാമീറ്ററുകൾ ഞങ്ങൾ വ്യക്തമാക്കും.

./build-dh എന്ന കമാൻഡ് ഉപയോഗിച്ചാണ് .pem ഫയൽ ജനറേറ്റ് ചെയ്യേണ്ടത്: പ്രതികരണം ഒരു സെറ്റ് പ്രദർശിപ്പിക്കും. ക്രമരഹിതമായ ചിഹ്നങ്ങൾ, ജനറേഷൻ പ്രക്രിയ നടന്നുകൊണ്ടിരിക്കുകയാണെന്ന് സൂചിപ്പിക്കുന്നു. ഡയറക്ടറിയിൽ നടപടിക്രമം പൂർത്തിയാക്കിയ ശേഷം etc/openvpn/easy-rsa/keysഫയൽ ദൃശ്യമാകും dh1024.pem.

ചലിക്കുന്ന കീകളും സർട്ടിഫിക്കറ്റുകളും

കീകൾ സൃഷ്ടിച്ച ശേഷം, നിങ്ങൾ അവയെ OpenVPN സെർവർ/ക്ലയന്റ് ആപ്ലിക്കേഷനുകൾ ഉപയോഗിക്കുന്ന ഡയറക്ടറികളിലേക്ക് മാറ്റേണ്ടതുണ്ട്.

സെർവറിൽ:

സൃഷ്ടിച്ച കീകൾ സംഭരിച്ചിരിക്കുന്ന ഡയറക്ടറിയിലേക്ക് പോകുക: cd /etc/openvpn/easy-rsa/keys
സർട്ടിഫിക്കറ്റ് അതോറിറ്റി (CA) സർട്ടിഫിക്കറ്റും കീയും, DH ക്രമീകരണ ഫയൽ, VPN സെർവർ കീ, സർട്ടിഫിക്കറ്റ് എന്നിവ ഡയറക്ടറിയിലേക്ക് പകർത്തുക /etc/openvpn: cp ca.crt ca.key dh1024.pem server.crt server.key /etc/openvpn പ്രധാനപ്പെട്ടത്: മുകളിൽ ലിസ്റ്റുചെയ്തിരിക്കുന്ന ഫയലുകൾ VPN-ന്റെ പ്രവർത്തനക്ഷമതയ്ക്കും സുരക്ഷയ്ക്കും അടിസ്ഥാനമാണ്. അവയിൽ വിട്ടുവീഴ്ച ചെയ്യുന്നത് പ്രതികൂലമായ പ്രത്യാഘാതങ്ങൾ ഉണ്ടാക്കും. അവ സുരക്ഷിത സംഭരണത്തിൽ സൂക്ഷിക്കുക, സുരക്ഷിതമല്ലാത്ത ചാനലുകളിലൂടെ ഈ ഫയലുകൾ കൈമാറരുത്.

ക്ലയന്റ് ഉപകരണത്തിൽ:

ഫയലുകൾ പകർത്തുക ca.crt, client1.crt, client1.key OpenVPN ആപ്ലിക്കേഷൻ ഉപയോഗിക്കുന്ന ക്ലയന്റ് ഉപകരണ ഫോൾഡറിലേക്ക് (ഉദാഹരണത്തിന്, Linux-ന് ഇത് /etc/openvpn ആണ്)

OpenVPN സെർവറും ക്ലയന്റ് കോൺഫിഗറേഷനും

നിർദ്ദേശങ്ങളുടെ ഈ വിഭാഗത്തിൽ ഞങ്ങൾ രണ്ട് കോൺഫിഗറേഷൻ ഫയലുകൾ സൃഷ്ടിക്കും. ആദ്യത്തേത് OpenVPN സെർവറിനായുള്ള ക്രമീകരണ ഫയലാണ്, രണ്ടാമത്തേത് ക്ലയന്റ് ഉപകരണത്തിനായുള്ള VPN കണക്ഷൻ പാരാമീറ്ററുകളാണ്. ഓരോ OpenVPN ക്ലയന്റും അതിന്റേതായ ഉപയോഗിക്കണം സ്വന്തം ഫയൽകോൺഫിഗറേഷനുകൾ (എല്ലാവർക്കും പൊതുവായ ഒരു കീ ജോഡി ഉപയോഗിച്ച് നിരവധി ഉപയോക്താക്കളെ ബന്ധിപ്പിക്കുന്നതാണ് അപവാദം).

സെർവർ ക്രമീകരണങ്ങൾ:

കോൺഫിഗറേഷന്റെ ഒരു ആരംഭ പോയിന്റായി, നിങ്ങൾക്ക് സാമ്പിൾ OpenVPN സെർവർ കോൺഫിഗറേഷൻ ഫയൽ ഉപയോഗിക്കാം, അതിൽ ലഭ്യമായ പ്രോഗ്രാം ഓപ്പറേഷൻ പാരാമീറ്ററുകളുടെ ഒരു ലിസ്റ്റും ഈ പരാമീറ്ററുകളുടെ വിശദമായ വിശദീകരണങ്ങളും അടങ്ങിയിരിക്കുന്നു. ഈ പ്രമാണം ഒരു ഡയറക്ടറിയിലേക്ക് പകർത്തുക /etc/openvpn/അത് എഡിറ്റ് ചെയ്ത് VPN സെർവർ ആരംഭിക്കുക: gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz >/etc/openvpn/server.conf
മുമ്പത്തെ ഘട്ടത്തിൽ ഫയൽ പകർത്തി server.confപൂർണ്ണമായും പ്രവർത്തനക്ഷമമായ കോൺഫിഗറേഷനാണ്. ഒരു VPN സെർവറിലൂടെയോ മറ്റ് നിർദ്ദിഷ്ട ഓപ്ഷനുകളിലൂടെയോ എല്ലാ ക്ലയന്റ് ഇന്റർനെറ്റ് ട്രാഫിക്കും തുരങ്കം വയ്ക്കേണ്ട ആവശ്യമില്ലെങ്കിൽ സാധാരണ സെർവർ പ്രവർത്തനത്തിന് ഇത് മതിയാകും.
നിങ്ങൾ തീർച്ചയായും ശ്രദ്ധിക്കേണ്ട ഒരേയൊരു കാര്യം സെർവർ സർട്ടിഫിക്കറ്റിന്റെയും (.crt) അതിന്റെ കീ (.കീ) ഫയലുകളുടെയും പേരുകളും പാതകളും, അതുപോലെ CA സർട്ടിഫിക്കറ്റും (.crt) ആണ്.
ഡയറക്ടറിയിൽ സ്ഥിതിചെയ്യുന്ന കീകളുടെ പേരുകൾ /etc/openvpnകോൺഫിഗറിലുള്ള കീകളുടെ പേരുകളുമായി പൂർണ്ണമായും പൊരുത്തപ്പെടണം server.conf. ഇനിപ്പറയുന്ന കമാൻഡുകൾ ഉപയോഗിച്ച് നിങ്ങൾക്ക് ഇത് പരിശോധിക്കാം:
- ഫോൾഡറിലെ കീ ഫയലുകളുടെ പേരുകൾ (രണ്ട് files.crt, one.key) കണ്ടെത്തുക /etc/openvpnകമാൻഡ് ഉപയോഗിച്ച്: ls /etc/openvpn
- മുകളിൽ പ്രദർശിപ്പിച്ചിരിക്കുന്ന ഫയലുകളുടെ പേരുകൾ ഫയലിലെ കീകളുടെ പേരുകളുമായി പൊരുത്തപ്പെടുന്നുണ്ടോയെന്ന് ഞങ്ങൾ പരിശോധിക്കുന്നു /etc/openvpn/server.conf(ബ്ലോക്കിന് ശേഷം # SSL/TLS റൂട്ട് സർട്ടിഫിക്കറ്റ് (ca), സർട്ടിഫിക്കറ്റ് (സർട്ട്), സ്വകാര്യ കീ (കീ)): nano /etc/server.conf പേരുകൾ വ്യത്യസ്തമാണെങ്കിൽ, കോൺഫിഗറേഷൻ ഫയലിൽ (openvpn ഫോൾഡറിലെ ഫയലുകളുടെ പേരുകളല്ല) ഉചിതമായ ക്രമീകരണങ്ങൾ വരുത്തി അത് സംരക്ഷിക്കുക. (CTRL+X).
- മാറ്റങ്ങൾ പ്രയോഗിക്കാൻ OpenVPN പുനരാരംഭിക്കുക: /etc/init.d/openvpn പുനരാരംഭിക്കുക

ക്ലയന്റ് ക്രമീകരണങ്ങൾ:

ഞങ്ങൾ സാമ്പിൾ ക്ലയന്റ് കോൺഫിഗറേഷൻ ഫയൽ ഏതെങ്കിലും സൗകര്യപ്രദമായ ഡയറക്‌ടറിയിലേക്ക് പകർത്തുന്നു (ഞങ്ങളുടെ കാര്യത്തിൽ, ഉപയോക്താവിന്റെ (ഹോം) ഹോം ഡയറക്‌ടറി, ആരുടെ പേരിൽ ഞങ്ങൾ കമാൻഡുകൾ എക്‌സിക്യൂട്ട് ചെയ്യുന്നു: gunzip -c /usr/share/doc/openvpn/examples/sample- config-files/client.conf. gz>/home/1cloud
ഫോൾഡറിലേക്ക് പോകുക കീകൾആവശ്യമായ കീ ഫയലുകൾ പകർത്തി (ഞങ്ങളുടെ കാര്യത്തിൽ: client1.key, client1.crt, ca.crt) അതേ ഡയറക്ടറിയിലേക്ക് (/home/1cloud): cd /etc/openvpn/easy-rsa/keys > cp client1.key client1.crt ca.crt /home/1cloud
ക്ലയന്റ് കോൺഫിഗറേഷൻ തുറക്കുക: nano /home/1cloud/client.conf
ഒരു ബ്ലോക്ക് കണ്ടെത്തുന്നു # സെർവറിന്റെ ഹോസ്റ്റ്നാമം/IP, പോർട്ട്പകരം example.com OpenVPN സെർവറിന്റെ IP വിലാസം വ്യക്തമാക്കുക: # സെർവറിന്റെ ഹോസ്റ്റ്നാമം/IP, പോർട്ട്.
# നിങ്ങൾക്ക് ഒന്നിലധികം റിമോട്ട് എൻട്രികൾ ഉണ്ടായിരിക്കാം
# സെർവറുകൾക്കിടയിൽ ബാലൻസ് ലോഡുചെയ്യാൻ.
റിമോട്ട് example.com 1194
അതേ ഫയലിൽ നമ്മൾ ബ്ലോക്ക് കണ്ടെത്തുന്നു #SSL/TLS പാർമുകൾ. ഉപയോക്തൃ കീ ഫയലുകളുടെ പേരുകൾ പരിശോധിക്കുക (സെർവർ കോൺഫിഗറേഷനിൽ ഞങ്ങൾ ഇത് എങ്ങനെ ചെയ്തു എന്നതിന് സമാനമാണ്): # SSL/TLS parms.
# കൂടുതലറിയാൻ സെർവർ കോൺഫിഗറേഷൻ ഫയൽ കാണുക
# വിവരണം. ഇത് ഉപയോഗിക്കുന്നതാണ് നല്ലത്
# ഒരു പ്രത്യേക .crt/.key ഫയൽ ജോടി
# ഓരോ ക്ലയന്റിനും. ഒരൊറ്റ സി.എ
എല്ലാ ക്ലയന്റുകൾക്കും # ഫയൽ ഉപയോഗിക്കാം.
caca.crt
cert client1.crt
കീ ക്ലയന്റ്1.കീ
ക്ലയന്റ് കോൺഫിഗറേഷൻ ഫയൽ സംരക്ഷിക്കുക ( CTRL+X).
ഇപ്പോൾ നിങ്ങൾ കൈമാറ്റം ചെയ്യേണ്ടതുണ്ട് ഉപയോക്തൃ ഫയലുകൾ client.conf, client1.key, client1.crt, ca.crtനിങ്ങൾ VPN സെർവറിലേക്ക് കണക്റ്റുചെയ്യുന്ന ക്ലയന്റ് ഉപകരണത്തിലേക്ക്. ഇത് FTP, SCP വഴിയോ അല്ലെങ്കിൽ ഉപയോക്തൃ ഉപകരണത്തിൽ (ലിനക്സിലെ നാനോ വഴിയോ, വിൻഡോസിലെ നോട്ട്പാഡ് വഴിയോ) സമാനമായ പേരുകളുള്ള ഫയലുകൾ സൃഷ്‌ടിക്കുകയും വിദൂര സെർവറിൽ നിന്ന് ഉറവിട പ്രമാണങ്ങളുടെ ഉള്ളടക്കം അവയിലേക്ക് പൂർണ്ണമായും പകർത്തുകയും ചെയ്യാം.
ശ്രദ്ധ!ചില OpenVPN ക്ലയന്റ് ആപ്ലിക്കേഷനുകൾ (ഉദാഹരണത്തിന് Android, iOS എന്നിവയിൽ) കോൺഫിഗറേഷൻ ഫയൽ എക്സ്റ്റൻഷനിൽ പ്രവർത്തിക്കുന്നു .ovpn, അല്ല .conf. നിങ്ങൾക്ക് ഈ പ്രശ്നം നേരിടുകയാണെങ്കിൽ, ക്ലയന്റ് ക്രമീകരണ ഫയലിന്റെ പേര് മാറ്റുക.
നിങ്ങൾ ഉപയോഗിക്കുന്ന OpenVPN ആപ്ലിക്കേഷൻ പ്രവർത്തിക്കുന്ന ഫോൾഡറിൽ ഞങ്ങൾ ട്രാൻസ്ഫർ ചെയ്ത ഫയലുകൾ സ്ഥാപിക്കുന്നു (പ്രോഗ്രാമിനായുള്ള ഡോക്യുമെന്റേഷൻ കാണുക).
സെർവറിലേക്ക് ബന്ധിപ്പിക്കുക. വിജയകരമായ കണക്ഷനുശേഷം, ക്ലയന്റ് ഉപകരണത്തിൽ വെർച്വൽ നെറ്റ്‌വർക്ക് അഡാപ്റ്റർ സജീവമാക്കുന്നു. കമാൻഡ് ഉപയോഗിച്ച് നിങ്ങൾക്ക് ഇത് Linux-ൽ പരിശോധിക്കാം ifconfig(അഡാപ്റ്റർ പ്രദർശിപ്പിക്കണം TUN), ഒരു ഗ്രാഫിക്കൽ ഇന്റർഫേസുള്ള ഒരു OS-ൽ, VPN കണക്ഷൻ പ്രോഗ്രാമിൽ നേരിട്ട് കണക്ഷന്റെ കൃത്യത നിങ്ങൾക്ക് പരിശോധിക്കാം.

ശ്രദ്ധ! VPN സെർവർ മുഖേനയുള്ള എല്ലാ ഇന്റർനെറ്റ് ട്രാഫിക്കിന്റെയും ടണലിംഗ് ഞങ്ങൾ ഇതുവരെ കോൺഫിഗർ ചെയ്തിട്ടില്ലാത്തതിനാൽ, ക്ലയന്റ് ഉപകരണത്തിലെ ഇന്റർനെറ്റ് ആക്‌സസ്സ് വെർച്വൽ പ്രൈവറ്റ് നെറ്റ്‌വർക്കിലേക്ക് കണക്റ്റുചെയ്‌തതിന് ശേഷം അതിന്റെ പ്രവർത്തനം അവസാനിപ്പിക്കും. ഒരു VPN സെർവർ വഴി ഉപയോക്താക്കളുടെ ഇന്റർനെറ്റ് ട്രാഫിക് റൂട്ട് ചെയ്യുന്നതിനുള്ള നിർദ്ദേശങ്ങൾ ചുവടെ അവതരിപ്പിച്ചിരിക്കുന്നു.B.

VPN സെർവർ വഴി എല്ലാ വെർച്വൽ പ്രൈവറ്റ് നെറ്റ്‌വർക്ക് ക്ലയന്റ് ട്രാഫിക്കും ടണൽ ചെയ്യുക

ഈ കോൺഫിഗറേഷനിൽ ഞങ്ങൾ എല്ലാ ട്രാഫിക്കിന്റെയും റൂട്ടിംഗ് ക്രമീകരിക്കും VPN ഉപയോക്താക്കൾഒരു ഓപ്പൺവിപിഎൻ സെർവർ വഴി ക്ലയന്റിൽ നിന്ന് സെർവറിലേക്കുള്ള എസ്എസ്എൽ എൻക്രിപ്ഷൻ നിലനിർത്തുന്നു.

സെർവറിൽ, OpenVPN കോൺഫിഗറേഷൻ ഫയൽ തുറക്കുക server.conf: nano /etc/openvpn/server.conf
താഴെയുള്ള കോൺഫിഗറേഷൻ ലൈൻ അൺകമന്റ് ചെയ്യുക (ചിഹ്നം നീക്കം ചെയ്യുക ; വരിയുടെ തുടക്കത്തിൽ): "redirect-gateway def1 bypass-dhcp" പുഷ് ചെയ്യുക
ഫയൽ സംരക്ഷിച്ച് അടയ്ക്കുക (CTRL+X)
ഫയൽ തുറക്കുക /etc/sysctl.conf:
നാനോ /etc/sysctl.conf
അഭിപ്രായമിടുക അല്ലെങ്കിൽ ചുവടെയുള്ള വരി ചേർക്കുക ഫയൽ തുറക്കുക IPv4 ട്രാഫിക് ഫോർവേഡിംഗ് അനുവദനീയമാണെന്ന് ഉറപ്പാക്കാൻ: net.ipv4.ip_forward=1
ഫയൽ സംരക്ഷിച്ച് അടയ്ക്കുക (CTRL+X)
നിലവിലെ സെഷനിൽ മാറ്റങ്ങൾ പ്രയോഗിക്കുന്നതിന് കമാൻഡ് നൽകുക: echo 1 > /proc/sys/net/ipv4/ip_forward
ഫയർവാൾ ക്രമീകരിക്കുന്നതിന് ഇനിപ്പറയുന്ന കമാൻഡുകൾ തുടർച്ചയായി നൽകുക (ഒരു വരി = ഒരു കമാൻഡ്). iptables VPN വഴി ട്രാഫിക്ക് കൈമാറുന്നതിന്:
ഫയലിലേക്ക് iptables നിയമങ്ങളുടെ അതേ ലിസ്റ്റ് ചേർക്കുക /etc/rc.localസിസ്റ്റം ആരംഭിക്കുമ്പോഴെല്ലാം അവ പ്രയോഗിക്കപ്പെടും: nano /etc/rc.local
ഫയൽ ഉള്ളടക്കം:
#!/bin/sh -e
#
# [...]
#
iptables -എ ഫോർവേഡ് -എം സംസ്ഥാനം --സംസ്ഥാനവുമായി ബന്ധപ്പെട്ടത്, സ്ഥാപിച്ചത് -ജെ അംഗീകരിക്കുന്നു
iptables -A ഫോർവേഡ് -s 10.8.0.0/24 -j സ്വീകരിക്കുക
iptables -എ ഫോർവേഡ് -ജെ നിരസിക്കുക
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j മാസ്ക്വെറേഡ്
iptables -A INPUT -i tun+ -j സ്വീകരിക്കുക
iptables -A ഫോർവേഡ് -i tun+ -j സ്വീകരിക്കുക
iptables -A INPUT -i tap+ -j സ്വീകരിക്കുക
iptables -എ ഫോർവേഡ് -ഐ ടാപ്പ് + -ജെ സ്വീകരിക്കുക
പുറത്തുകടക്കുക 0
പ്രമാണം സംരക്ഷിച്ച് അടയ്ക്കുക (CTRL+X)
മുകളിലെ ക്രമീകരണങ്ങൾ DNS അന്വേഷണങ്ങൾ ഒഴികെയുള്ള എല്ലാ ക്ലയന്റ് ട്രാഫിക്കും VPN സെർവർ വഴി കൈമാറാൻ പ്രാപ്തമാക്കുന്നു. DNS അഭ്യർത്ഥനകൾ കൈമാറാൻ നിങ്ങൾ പാക്കേജ് ഇൻസ്റ്റാൾ ചെയ്യേണ്ടതുണ്ട് dnsmasqഫയലിൽ മാറ്റങ്ങൾ വരുത്തുകയും ചെയ്യുക /etc/openvpn/server.conf
dnsmasq ഇൻസ്റ്റാൾ ചെയ്യുക:
നിങ്ങൾ ഉബുണ്ടു 12.04 ഉപയോഗിക്കുകയാണെങ്കിൽ: apt-get install dnsmasq && dpkg-reconfigure resolvconf ഒരു സെറ്റപ്പ് വിസാർഡ് ദൃശ്യമാകും. ആദ്യ പോയിന്റിൽ (ഡൈനാമിക് അപ്‌ഡേറ്റുകൾക്കായി /etc/resolv.conf തയ്യാറാക്കുക)ഞങ്ങൾ ഉത്തരം നൽകുന്നു അതെ, പിന്നെ ഇല്ല (യഥാർത്ഥ ഫയൽ ഡൈനാമിക് ഫയലിലേക്ക് കൂട്ടിച്ചേർക്കണോ?)
നിങ്ങൾ Debian 7 ഉപയോഗിക്കുകയാണെങ്കിൽ: apt-get install dnsmasq resolvconf
ഇപ്പോൾ നിങ്ങൾ എഡിറ്റ് ചെയ്യേണ്ടതുണ്ട് dnsmasq: nano /etc/dnsmasq.conf ഇനിപ്പറയുന്ന പാരാമീറ്ററുകൾ കമന്റ് ചെയ്തിട്ടില്ലെന്നും അല്ലെങ്കിൽ ഫയലിലേക്ക് ചേർത്തിട്ടുണ്ടെന്നും ഉറപ്പാക്കുക: listen-address=10.8.0.1
ബൈൻഡ്-ഇന്റർഫേസുകൾ
അടുത്തതായി നിങ്ങൾ ഫയലിലേക്ക് ചേർക്കേണ്ടതുണ്ട് /etc/network/interfacesഉപയോഗിച്ച DNS സെർവറുകളെക്കുറിച്ചുള്ള വിവരങ്ങൾ. ഒരുപക്ഷേ നിങ്ങളുടെ കാര്യത്തിൽ ഈ വിവരങ്ങൾ ഇതിനകം നിലവിലുണ്ട് (ഉദാഹരണത്തിന്, സൈറ്റിലേക്ക് വാടകയ്‌ക്കെടുത്ത സെർവറുകളുടെ കാര്യത്തിൽ), ഇല്ലെങ്കിൽ, അത് ഇനിപ്പറയുന്ന രീതിയിൽ ചേർക്കുക:
ഇന്റർഫേസ് കോൺഫിഗറേഷൻ ഫയൽ തുറക്കുക: nano /etc/network/interfaces നിങ്ങൾ ഉപയോഗിക്കുന്ന DNS സെർവറുകളുടെ വിലാസങ്ങൾ സൂചിപ്പിക്കുന്ന dns-nameservers ലൈൻ ചേർക്കുക (ഉദാഹരണത്തിന്, നിങ്ങളുടെ ഇന്റർനെറ്റ് ദാതാവിൽ നിന്നുള്ള ഒരു സെർവറും ഒരു പൊതു ഗൂഗിൾ സെർവറും: 8.8.8.8): # പ്രാഥമിക നെറ്റ്‌വർക്ക് ഇന്റർഫേസ്
ഓട്ടോ eth0
iface eth0 inet dhcp
dns-nameservers 77.88.8.8 8.8.8.8
ചെയ്തത് സ്റ്റാൻഡേർഡ് ക്രമീകരണങ്ങൾ OpenVPN വെർച്വൽ ടൺ അഡാപ്റ്റർ ആരംഭിക്കുന്നതിന് മുമ്പ് dnsmasq യൂട്ടിലിറ്റി പ്രവർത്തിക്കുന്നു. ഇത് പിശകുകൾക്കും dnsmasq അവസാനിപ്പിക്കുന്നതിനും കാരണമാകുന്നു. ഈ പ്രശ്നം പരിഹരിക്കാൻ, നിങ്ങൾ ഫയലിലേക്ക് ചേർക്കേണ്ടതുണ്ട് /etc/rc.local OpenVPN ആരംഭിച്ചതിന് ശേഷം dnsmasq പുനരാരംഭിക്കുന്ന ഒരു കമാൻഡ് ഉള്ള ഒരു ലൈൻ. ഈ ലൈൻ അതിനുശേഷം ഫയലിൽ സ്ഥാപിക്കണം iptables പാരാമീറ്ററുകൾ, ഞങ്ങൾ നേരത്തെ സൂചിപ്പിച്ചത്: nano /etc/rc.local
ഫയൽ ഉള്ളടക്കം:
...
iptables -A ഫോർവേഡ് -i tun+ -j സ്വീകരിക്കുക
iptables -A INPUT -i tap+ -j സ്വീകരിക്കുക
iptables -എ ഫോർവേഡ് -ഐ ടാപ്പ് + -ജെ സ്വീകരിക്കുക
/etc/init.d/dnsmasq പുനരാരംഭിക്കുക
പുറത്തുകടക്കുക 0
ഫയലിൽ ഡിഎൻഎസ് സെർവറുകൾ ഉപയോഗിക്കാൻ OpenVPN ക്ലയന്റുകളെ അനുവദിക്കുന്ന ലൈൻ അൺകമന്റ് ചെയ്യുക എന്നതാണ് അവസാനമായി ചെയ്യേണ്ടത് /etc/openvpn/server.conf:
nano /etc/openvpn/server.conf ഫയൽ ഉള്ളടക്കങ്ങൾ: ....
"dhcp-option DNS 10.8.0.1" പുഷ് ചെയ്യുക
എല്ലാ ക്രമീകരണങ്ങളും പ്രയോഗിക്കുന്നതിന് സെർവർ പുനരാരംഭിച്ച് അവയുടെ കൃത്യത പരിശോധിക്കുക: റീബൂട്ട് ചെയ്യുക