Как да инсталирате и конфигурирате OpenVPN на Debian

OpenVPN несъмнено е най -добрият начин за безопасно присъединяване към мрежа чрез интернет, OpenVPN е VPN ресурс с отворен код, който ни позволява като потребители да маскираме сърфирането си, за да избегнем да бъдем жертви в мрежата.

Това са много важни аспекти на ниво сигурност, които трябва да вземем предвид и този път ще анализираме процеса на Конфигурация на OpenVPN в среда Debian 8.

ЗабележкаПреди да започнете инсталационния процес е важно да отговорите на определени изисквания, това са:

• Основен потребител.

• Droplet Debian 8, в момента имаме Debian 8.1

1. Как да инсталирате OpenVPN

Първата стъпка, която ще направим, е актуализирайте всички пакети в средата използвайки команда:

 apt-get update

След като пакетите бъдат изтеглени и актуализирани нека инсталираме OpenVPN с помощта на easy-RSA за проблеми с криптирането. Ще изпълним следната команда:

 apt-get install openvpn easy-rsa

Тогава трябва да конфигурираме нашия OpenVPN, конфигурационните файлове на OpenVPN се съхраняват по следния път: / etc / openvpn и трябва да ги добавим към нашата конфигурация, ще използваме следната команда:

 gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz> /etc/openvpn/server.conf

След като извлечем тези файлове в избрания път, ще ги отворим с помощта на nano редактора, ще изпълним следната команда:

 nano /etc/openvpn/server.conf

Ще видим следния прозорец:

Щом сме там трябва да направим някои промени във файла, тези промени са основно:

• Защита на сървъра с криптиране на високо ниво

• Разрешете уеб трафика до дестинацията

• Предотвратете филтрирането на DNS заявки извън VPN връзката

• Разрешения за инсталиране

Ние ще удвоете дължината на ключа RSA който се използва, когато се генерират ключовете както на сървъра, така и на клиента, за това ще търсим във файла следните стойности и ще променим стойността dh1024.pem със стойността dh2048.pem:

 # Параметри на Diffie hellman. # Генерирайте свои собствени с: # openssl dhparam -out dh1024.pem 1024 # Заменете 2048 с 1024, ако използвате # 2048 битови ключове. dh dh1024.pem

Сега нека уверете се, че трафикът е правилно пренасочен към местоназначението, нека разкомментираме натискането на „redirect-gateway def1 bypass-dhcp“, като премахнем; в началото на него. във файла server.conf:

 # Ако е активирана, тази директива ще конфигурира # всички клиенти да пренасочат своя # мрежов шлюз по подразбиране през VPN, причинявайки # целия IP трафик, като сърфиране в мрежата и # и търсене на DNS, да преминат през VPN # (Сървърната машина на OpenVPN може да се наложи да NAT # или мост на TUN / TAP интерфейса към интернет # в *****, за да работи правилно). ; натиснете "redirect-gateway def1 bypass-dhcp"

Следващата стъпка ще бъде кажете на сървъра да използва OpenDNS за разрешаване на имена на DNS Доколкото е възможно, по този начин избягваме DNS заявките да са извън VPN връзката, трябва да намерим следния текст в нашия файл:

 # Някои специфични за Windows мрежови настройки # могат да бъдат изпратени до клиенти, като DNS # или WINS сървърни адреси. CAVEAT: # http://openvpn.net/faq.html#dhcpcaveats # Адресите по -долу се отнасят до публичните # DNS сървъри, предоставени от opendns.com. ; push "dhcp-option DNS 208.67.222.222"; push "dhcp-option DNS 208.67.220.220"

Там трябва да премахнем отметката от опцията „dhcp-option DNS 208.67.222.222“ и да натиснем „dhcp-option DNS 208.67.220.220“ коментарите, като премахнем; от началото.

Накрая ще го направим дефинирайте разрешенията В същия файл, по който работим, поставяме следния текст:

 # Можете да декомментирате това на # системи, които не са Windows. ; потребител никой; група без група

Пристъпваме към премахване на отметката премахване на знака; от началото на текстовете потребител никой Y група nogroup.

Както знаем, OpenVPN работи по подразбиране като root потребител, позволяващ редактиране на всеки параметър, като с последната промяна ще го ограничим до никой потребител и групата nogroup от съображения за сигурност.
Запазваме промените с помощта на комбинацията от клавиши:

Ctrl + O

И оставяме редактора, използвайки:

Ctrl + X

Сега отиваме да активирайте препращането на пакети към външната мрежа, за това ще изпълним следната команда:

 echo 1> / proc / sys / net / ipv4 / ip_forward

Трябва да направим тази промяна постоянна, не че трябва да го правим всеки път, когато стартираме системата, за да я направим непрекъсната, ще въведем файла systcl с помощта на нано редактора, за това ще изпълним следното:

 nano /etc/sysctl.conf

Ще се покаже следният прозорец:

Ще намерим следния ред:

 # Декомментирайте следващия ред, за да активирате препращането на пакети за IPv4 # net.ipv4.ip_forward = 1

ЗабележкаПрипомнете си, че можем да използваме редакторското търсене, като използваме комбинацията от клавиши:

Ctrl + W

Там ще демаркираме коментара net.ipv4.ip_forward = 1 премахване на символа #.

Следващата стъпка, която трябва да предприемем, е конфигуриране на UFW. UFW е конфигурация на защитна стена за ip таблици, затова ще направим някои корекции, за да променим защитата на UFW. Като първа стъпка ще инсталираме пакетите UFW, като използваме следната команда:

 apt-get install ufw

След като необходимите UFW пакети бъдат изтеглени и инсталирани, ще конфигурираме UFW да позволява SSH връзки, за това ще изпълним следното:

 ufw позволяват ssh

В нашия случай работим на порт 1194 на UDP, трябва да конфигурираме този порт за комуникация да бъде задоволителна, ще въведем следното:

 ufw позволяват 1194 / udp

ЗабележкаМожем да видим портовете на нашата конзола с помощта на командата lsof -iUDP

След това ще редактираме конфигурационния файл на UFW за това ще влезем с nano редактора по следния път:

 nano / etc / default / ufw

Ще се отвори следният прозорец:

Там ще направим някои промени, ще намерим следния ред, където ще променим DROP на ACCEPT.

 DEFAULT_FORWARD_POLICY = "ИЗПАДВАНЕ"

Следващата стъпка е добавете някои правила в UFW за превод на мрежовите адреси и правилното маскиране на IP адресите на потребителите, които се свързват. Нека отворим следния файл с помощта на nano редактора:

 nano /etc/ufw/before.rules

Ще видим, че се показва следният прозорец:

Ще добавим следния текст:

 # START OPENVPN RULES # NAT таблични правила * nat: POSTROUTING ACCEPT [0: 0] # Разрешаване на трафик от OpenVPN клиент към eth0 -A POSTROUTING -s 10.8.0.0/8 -o eth0 -j MASQUERADE COMMIT # END OPENVPN RULES

След като направим тези промени, ще продължим активирайте UFW като използвате следната команда:

 ufw активиране

Да се проверете правилата на firewalИзползвам следната команда:

 статус на ufw 

2. Създайте сертификат за правомощия на OpenVPN

Следващата стъпка в нашия процес е създайте сертификат за правомощия за вход чрез OpenVPNНека си припомним, че OpenVPN използва тези сертификати за шифроване на трафика. OpenVPN поддържа двупосочно сертифициране, тоест клиентът трябва да удостовери сертификата на сървъра и обратно.
Ще копираме скриптовете през easy-RSA, като използваме следната команда:

 cp -r / usr / share / easy -rsa / / etc / openvpn

Ние ще създайте директория за съхраняване на ключовете, ще използваме следната команда:

 mkdir / etc / openvpn / easy-rsa / keys

Следващата стъпка е редактирайте параметрите на сертификата, ще използваме следната команда:

 nano / etc / openvpn / easy-rsa / vars

Ще се покаже следният прозорец:

Ще променим следните параметри според нашите изисквания:

 export KEY_COUNTRY = "CO" експортиране KEY_PROVINCE = "BO" експортиране KEY_CITY = "Богота" износ KEY_ORG = "Solvetic" експортиране KEY_EMAIL = "[email protected]" експортиране KEY_OU = "Solvetic"

В същия файл ще редактираме следния ред:

 # X509 Експорт на поле за тема KEY_NAME = "EasyRSA"

Ние ще променете стойността на EasyRSA на името на сървъра, който искате, ще използваме името Solvetic.

Сега отиваме да конфигурирайте параметрите на Diffie-Helman използване на инструмент, интегриран с OpenSSL, който се нарича dhparam. Ще въведем и изпълним следната команда:

 openssl dhparam -out /etc/openvpn/dh2048.pem 2048

След като сертификатът бъде генериран, ние ще го направим промяна на директорията easy-RSA използвайки команда:

 cd / etc / openvpn / easy-rsa

Ние ще инициализирайте PKI, ще използваме командата:

… / Vars

Ние ще изчистете другите ключове така че те не пречат на инсталацията с помощта на командата:

 ./clean-all

Сега отиваме да изградете сертификата с помощта на следната команда OpenSSL:

 ./build-ca

Ще можем да видим поредица от въпроси, свързани с по -рано въведената информация, по този начин сертификатът е генериран. След това ще стартираме нашия OpenVPN сървър, за това Ще редактираме файла, намиращ се в пътя / etc / openvpn / easy-rsa използвайки предварително посоченото име на ключ, в нашия случай Solvetic. Ще изпълним следната команда:

 ./build-key-server Solvetic

В редовете по -долу можем да оставим празно място и да натиснем Enter:

 Моля, въведете следните „допълнителни“ атрибути, които да бъдат изпратени с вашата заявка за сертификат Парола за предизвикателство []: Незадължително име на фирма []:

Ще се покаже следният прозорец, където трябва да въведем буквата y (да), за да приемем следните два въпроса: Подпишете сертификата и поискайте сертификати.

Сега нека преместете както сертификатите, така и ключовете в / etc / openvpn пътя, ще изпълним следната команда:

 cp /etc/openvpn/easy-rsa/keys/[Solvetic.crt,Solvetic.key,ca.crt}/etc/openvpn

След като този процес приключи, ние ще го направим стартирайте услугата OpenVPN използвайки команда:

 услуга openvpn старт

Да се вижте състоянието ще използваме командата:

 услуга oopenvpn статус

Следващата ни стъпка ще бъде създаването на сертификати и ключове за клиентите, които искат да се свържат с VPN. В идеалния случай, за сигурност, всеки клиент, който се свързва със сървъра, има свой собствен сертификат и ключ, никога не го споделяйте, по подразбиране OpenVPN не позволява едновременни връзки със същия сертификат и ключ. Ще създадем ключа за нашия клиент, за това ще въведем следната команда:

 ./build-key Client_Name, в нашия пример ще използваме следната команда: ./build-key Тестове

Попълваме задължителните полета и тогава ще го направим копирайте генерирания ключ в директорията easy-RSA.

 cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/easy-rsa/keys/client.ovpn.

Сега нека изтеглете безплатно инструмента Winscp от линка по -долу. Този инструмент ще ни позволи да се свържем чрез SFTP или FTP към нашата машина Debian, за да проверим дали файловете са създадени правилно. След като сме го изтеглили и изпълнили, това ще бъде прозорецът, който можем да видим:

Там въвеждаме IP адреса на машината Debian. Не забравяйте, че IP може да бъде потвърден с помощта на командата ifconfig, въвеждаме идентификационните данни и след като щракнем върху Connect, можем да видим следното:

Увеличете

Там можем да видим от дясната страна съответните файлове на ключовете и ключовете. За достъп чрез OpenVPN ще изтеглим инструмента от следната връзка OpenVPN версия 2.3.11. След като сме го изтеглили, трябва да вземем предвид извършването на някои промени в посочения инструмент, първото нещо, което ще направим, е да копираме ключовите файлове и ключове по пътя, където обикновено се инсталира OpenVPN:

 C: \ Program Files \ OpenVPN \ config

По -късно ще създадем файл в бележника или текстовия редактор, който имаме със следната информация:

 client dev tun proto udp remote 192.168.0.12 1194 ключ client.key cert client.crt ca ca.crt auth-user-pass persist-key persist-tun comp-lzo глагол 3

ЗабележкаIP е този на нашата машина Debian и портът, както видяхме по -рано, е UDP 1194.
Този файл трябва да бъде записан с разширението .ovpn.

3. Тест за достъп до клиент на OpenVPN

Нека стартираме OPenVPN и това ще бъде средата, в която ще се окажем:

Въвеждаме идентификационните данни на потребителя за да се свържете и кликнете върху добре и можем да видим следното

ЗабележкаНие правим тази връзка от компютър с Windows 7.

Сега можем да видим в лентата за известия, че връзката е била успешна и можем да видим новия IP адрес.

Ако щракнем с десния бутон върху инструмента (икона в лентата за известия), имаме следните опции:

Оттук можем да изпълняваме задачите, които считаме за необходими. Например да избираме Показване на състоянието ще видим следното:

4. Инструменти за защита на OpenVPN ']

Няма съмнение, че Сърфирането в интернет може да доведе до проблеми със сигурността като вируси, кражба на информация, шпионски софтуер и т.н., поради тази причина има някои инструменти, които можем да приложим, за да подобрим сигурността на нашата машина, след като OpenVPN.

Нека поговорим за Кламов който е мощен антивирус, който ще ни помогне да запазим контрола върху заразените файлове или процеси в нашия Debian 8.1. Това е софтуер с отворен код, който ни позволява да откриваме троянски коне, злонамерен софтуер и други скрити заплахи на нашите компютри. Процесът на инсталиране е много прост, за това ще изпълним следната команда:

 Sudo apt-get install clamav

По -късно ще изпълним фреш така че цялата база данни на Clamav да се актуализира.
За да стартираме сканиране на машината, ще въведем следния синтаксис:

 Мида -инфектиран -премахване -рекурсивен / дома

След малко ще видим обобщение на задачата за сканиране:

Друг инструмент, който можем да използваме за подобряване на сигурността ни, е Privoxy който работи като уеб прокси и включва разширени функции за защита на поверителността, управление на бисквитки, контрол на достъпа, премахване на реклами и др. За да го инсталираме на нашата система Debian 8.1, ще изпълним следната команда:

 Sudo apt-get install privoxy

Не забравяйте, че ако сме като root потребители, sudo не е необходимо. След като всички пакети Privoxy бъдат изтеглени и инсталирани, ще променим някои параметри в конфигурационния му файл, за това ще изпълним следната команда:

 Sudo nano / etc / privoxy / config

Ще се покаже следното:

Там трябва да намерим линията адрес за слушане localhost: 8118 и трябва да добавим 2 параметъра, първо да добавим символа # в началото на този ред и да въведем под него термина слушане-адрес ip_of_nour машина: 8118, в нашия случай е:

 адрес за слушане 192.168.0.10:8118.

След като това стане, ще рестартираме услугата, като използваме:

 sudo /etc/init.d/privoxy рестартиране

След това отиваме до браузъра, който имаме в Debian и продължаваме да променяме прокси параметрите, трябва да потвърдим, че IP е този, който добавихме, а портът е 8118. В нашия пример използваме IceWeasel и трябва да въведем:

• предпочитания
• Разширено
• Нет
• Настройка на връзката
• Ръчна конфигурация на прокси сървър

След като конфигурираме, кликваме върху OK. Сега можем да видим как Privoxy ни помага със сигурността:

Има и други инструменти, които могат да ни помогнат да подобрим навигацията, използвайки нашия OpenVPN, които можем да внедрим:

DnsmasqТой ни предоставя DNS услуги по този начин, ние използваме само DNS кеша.

HAVPС този инструмент имаме прокси с антивирус, той сканира целия трафик в търсене на вируси или някакво странно поведение.

Както виждаме, много е важно да се вземат мерки, които ни помагат да запазим контрола върху навигацията си и да бъдем много ясни, че правилната работа на Debian 8.1

Нека продължим да проучваме всички големи предимства, които Debian 8.1 ни предлага, и да подобрим нашата среда, тъй като много от нас са администратори, координатори или хора, отговарящи за IT областта и тези съвети ни помагат да се справяме с ежедневието по -лесно и с възможността да няма критични проблеми в бъдеще, които могат да бъдат голямо главоболие.

Инсталирайте LAMP на Debian 8