Ինչպե՞ս տեղադրել և կարգավորել OpenVPN սերվերը Zentyal 3.4 PDC-ում:
OpenVPN-ը հանրաճանաչ և լայնորեն օգտագործվող բաց կոդով VPN լուծում է, որը թույլ է տալիս անվտանգ հեռահար մուտք դեպի ձեր ցանցային ռեսուրսներ: Zentyal 3.4-ը Linux բաշխում է, որն ապահովում է ամբողջական սերվերային հարթակ փոքր և միջին բիզնեսի համար: Այս հոդվածում մենք կքննարկենք, թե ինչպես տեղադրել և կարգավորել OpenVPN սերվերը Zentyal 3.4 PDC-ում:
Քայլ 1. Տեղադրեք OpenVPN
Առաջին քայլը OpenVPN-ի տեղադրումն է ձեր Zentyal սերվերի վրա. Բացեք տերմինալը և մուտքագրեք հետևյալ հրամանը -
sudo apt-get update
sudo apt-get install openvpn
Քայլ 2. Ստեղծեք վկայագրեր և բանալիներ
OpenVPN-ն օգտագործում է վկայագրեր և բանալիներ՝ հաճախորդների և սերվերի նույնականացման համար: Այս վկայագրերն ու բանալիները ստեղծելու համար մենք կօգտագործենք OpenVPN-ով տրամադրված EasyRSA սկրիպտը:
cd /usr/share/doc/openvpn/examples/easy-rsa/2.0/
sudo ./clean-all
sudo ./build-ca
sudo ./build-key-server server
Առաջին հրամանը փոխում է գրացուցակը EasyRSA սկրիպտի գտնվելու վայրը: Երկրորդ հրամանը մաքրում է առկա ստեղները և վկայականները: Երրորդ հրամանը ստեղծում է վկայականի լիազորություն: Վերջապես, չորրորդ հրամանը առաջացնում է սերվերի վկայականը և բանալին:
Քայլ 3. Կարգավորեք OpenVPN
Հաջորդ քայլը OpenVPN-ի կազմաձևումն է: Ստեղծեք նոր կազմաձևման ֆայլ հետևյալ հրամանով −
sudo nano /etc/openvpn/server.conf
Ֆայլին ավելացրեք հետևյալ տողերը −
port 1194
proto udp
dev tun
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
Պահպանեք ֆայլը և դուրս եկեք:
Քայլ 4. Կարգավորեք Firewall-ը
Հաջորդ քայլը firewall-ի կազմաձևումն է, որպեսզի թույլ տա OpenVPN տրաֆիկը: Դուք պետք է բացեք UDP պորտը 1194: Դա անելու համար գործարկեք հետևյալ հրամանները −
sudo ufw allow 1194/udp
sudo ufw enable
Քայլ 5. Սկսեք OpenVPN
Սկսեք OpenVPN ծառայությունը հետևյալ հրամանով −
sudo service openvpn start
Քայլ 6. Կարգավորել հաճախորդը
Վերջին քայլը հաճախորդին կարգավորելն է OpenVPN սերվերին միանալու համար: Դա անելու համար դուք պետք է հաճախորդին տրամադրեք հետևյալ ֆայլերը −
ca.crt
client.crt
client.key
Սերվերին միանալու համար կարող եք օգտագործել ցանկացած OpenVPN հաճախորդի ծրագրակազմ: Պարզապես ներմուծեք ֆայլերը հաճախորդի ծրագրակազմ և միացեք սերվերին՝ օգտագործելով սերվերի IP հասցեն:
Կարգավորեք OpenVPN-ը (ավելի մանրամասն)
Եկեք մանրամասն նայենք այն տարբերակներին, որոնք ավելացրել ենք server.conf ֆայլին Քայլ 3-ում
պորտ 1194 - Սա սահմանում է այն նավահանգիստը, որը OpenVPN-ը կօգտագործի մուտքային կապերի համար: Լռելյայնորեն, OpenVPN-ն օգտագործում է UDP պորտ 1194.
proto udp - Սա սահմանում է, որ OpenVPN-ը պետք է օգտագործի UDP արձանագրությունը տվյալների փոխանցման համար: UDP-ն հաճախ նախընտրելի է TCP-ից VPN տրաֆիկի համար, քանի որ այն ունի ավելի ցածր ծախսեր և ավելի քիչ հավանական է, որ այն արգելափակվի firewalls-ով:
dev tun - Սա սահմանում է, որ OpenVPN-ը պետք է օգտագործի վիրտուալ թունելի միջերեսը ֆիզիկական ցանցային ինտերֆեյսի փոխարեն:
-
ca /etc/openvpn/keys/ca.crt - Սա սահմանում է սերտիֆիկատի մարմնի ֆայլի գտնվելու վայրը, որը մենք ստեղծեցինք Քայլ 2-ում: Վկայագրի հեղինակությունն օգտագործվում է սերվերի և հաճախորդի վկայագրերի իսկությունը ստուգելու համար: .
cert /etc/openvpn/keys/server.crt - Սա սահմանում է սերվերի վկայագրի գտնվելու վայրը, որը մենք ստեղծել ենք Քայլ 2-ում: Սերվերի վկայականն օգտագործվում է սերվերը հաճախորդներին նույնականացնելու համար:
key /etc/openvpn/keys/server.key - Սա սահմանում է սերվերի մասնավոր բանալու գտնվելու վայրը, որն օգտագործվում է մուտքային VPN տրաֆիկի վերծանման համար:
dh /etc/openvpn/keys/dh1024.pem - Սա սահմանում է Diffie-Hellman պարամետրային ֆայլի գտնվելու վայրը, որն օգտագործվում է սկզբնական միացման ընթացքում բանալիների փոխանակման համար:
server 10.8.0.0 255.255.255.0 - Սա սահմանում է վիրտուալ ցանցի IP հասցեն և ենթացանցի դիմակը, որը կօգտագործվի VPN հաճախորդների համար: Այս օրինակում մենք օգտագործում ենք 10.8.0.0/24 ենթացանցը:
ifconfig-pool-persist ipp.txt - Սա սահմանում է այն ֆայլը, որտեղ OpenVPN-ը կպահի հաճախորդների համար նշանակված IP հասցեները:
keepalive 10 120 − Սա սահմանում է այն ընդմիջումը, որով OpenVPN-ը կուղարկի պահվող փաթեթներ հաճախորդներին՝ համոզվելու համար, որ կապը դեռ ակտիվ է:
comp-lzo - Սա հնարավորություն է տալիս սեղմել VPN տրաֆիկը` թողունակության օգտագործումը նվազեցնելու համար:
persist-key - Սա OpenVPN-ին ասում է, որ պահպանի սերվերի անձնական բանալին վերագործարկման ընթացքում:
persist-tun - Սա OpenVPN-ին ասում է, որ պահպանի վիրտուալ թունելի միջերեսը վերագործարկման ընթացքում:
-
status openvpn-status.log − Սա սահմանում է այն ֆայլը, որտեղ OpenVPN-ը գրանցելու է կապի և կատարողականի մասին տեղեկությունները:
բայ 3 − Սա սահմանում է OpenVPN-ի գրանցման ելքի խոսակցականության մակարդակը: Ավելի բարձր արժեքը նշանակում է ավելի մանրամասն տեղեկամատյաններ:
Կարգավորել հաճախորդը (ավելի մանրամասն)
OpenVPN սերվերին միանալու համար հաճախորդը պետք է ներմուծի հետևյալ ֆայլերը
ca.crt − Սա վկայագրի հեղինակային ֆայլն է, որը ստեղծվել է Քայլ 2-ում: Այն օգտագործվում է սերվերի և հաճախորդի վկայագրերի իսկությունը ստուգելու համար:
client.crt - Սա հաճախորդի վկայականն է, որը ստեղծվել է Քայլ 2-ում: Այն օգտագործվում է հաճախորդը սերվերում նույնականացնելու համար:
client.key − Սա հաճախորդի անձնական բանալին է, որն օգտագործվում է ելքային VPN տրաֆիկի գաղտնագրման համար:
OpenVPN հաճախորդի ծրագրերի մեծ մասը կունենա այս ֆայլերը ներմուծելու և կապի կարգավորումները կարգավորելու միջոց: Որոշ հաճախորդներ կարող են պահանջել նաև լրացուցիչ կազմաձևման ընտրանքներ, ինչպիսիք են սերվերի IP հասցեն և պորտի համարը:
OpenVPN-ի ապահովում Firewall-ի կանոններով
Մենք կարգավորել ենք firewall-ը, որպեսզի թույլատրի մուտքային տրաֆիկը UDP 1194 նավահանգստի վրա, որն օգտագործվում է OpenVPN-ի կողմից: Այնուամենայնիվ, կարևոր է ապահովել, որ firewall-ը պատշաճ կերպով կազմաձևված է, որպեսզի սահմանափակի մուտքը միայն լիազորված օգտվողների և սարքերի համար:
Դա անելու եղանակներից մեկն է ստեղծել firewall-ի կանոններ, որոնք թույլ են տալիս մուտքային տրաֆիկը միայն հայտնի IP հասցեներից կամ ենթացանցերից: Օրինակ, դուք կարող եք ստեղծել կանոն, որը թույլ է տալիս մուտքային OpenVPN տրաֆիկը միայն ձեր ընկերության գրասենյակի IP հասցեից:
Zentyal-ում firewall-ի կանոններ կարգավորելու համար կարող եք օգտագործել վեբ վրա հիմնված ադմինիստրատորի միջերեսը: Գնացեք «Անվտանգություն» > «Firewall» և սեղմեք «Ավելացնել նոր կանոն»՝ նոր կանոն ստեղծելու համար: Դուք կարող եք նշել սկզբնաղբյուր IP հասցեն կամ ենթացանցը, նպատակակետ նավահանգիստը (1194 OpenVPN-ի համար) և կատարվող գործողությունը (թույլատրել կամ մերժել):
Կանոնը ստեղծելուց հետո համոզվեք, որ այն կիրառեք համապատասխան ցանցային ինտերֆեյսի կամ գոտու վրա (օրինակ՝ «Արտաքին», եթե մուտքային կապեր եք ընդունում ինտերնետից):
Միացնելով երկգործոն նույնականացումը
Ձեր OpenVPN կապի անվտանգությունը բարձրացնելու մեկ այլ միջոց է երկգործոն նույնականացումը (2FA) միացնելը. Սա պահանջում է, որ օգտատերերը տրամադրեն վավերացման երկրորդ ձև՝ ի լրումն իրենց օգտանունին և գաղտնաբառին, ինչպես օրինակ՝ սմարթֆոնի հավելվածի կամ ֆիզիկական նշանի կողմից ստեղծված մեկանգամյա կոդը:
Ձեր OpenVPN սերվերում 2FA-ն միացնելու համար դուք պետք է օգտագործեք հավելված կամ մոդուլ, որն աջակցում է ձեր ընտրած 2FA մեթոդին: Օրինակ, OpenVPN Access Server-ը ներառում է ներկառուցված աջակցություն Google Authenticator-ի և 2FA այլ մեթոդների համար:
2FA plugin-ը տեղադրելուց և կազմաձևելուց հետո ձեզ հարկավոր է թարմացնել OpenVPN սերվերի կազմաձևումը, որպեսզի հաճախորդի կապերի համար պահանջվի 2FA: Սա սովորաբար ներառում է server.conf ֆայլին հավելյալ կազմաձևման տարբերակ ավելացնելը, ինչպիսին − է
auth-user-pass-optional
auth-token
Սա OpenVPN-ին ասում է, որ նույնականացման համար պահանջի և՛ օգտվողի անուն/գաղտնաբառ, և՛ 2FA նշան: Դուք նաև պետք է թարմացնեք հաճախորդի կոնֆիգուրացիան՝ ներառելու համար 2FA նշանը:
OpenVPN-ի կատարողականի մոնիտորինգ
Ի վերջո, կարևոր է վերահսկել ձեր OpenVPN կապի կատարումը, որպեսզի համոզվեք, որ այն բավարարում է ձեր կարիքները և շտկելու ցանկացած խնդիր, որը ծագում է:
OpenVPN-ն ներառում է ներկառուցված մուտքի և մոնիտորինգի առանձնահատկություններ, ինչպիսիք են կարգավիճակի մատյանը և իրական ժամանակի վիճակագրությունը: Դուք կարող եք նաև օգտագործել երրորդ կողմի մոնիտորինգի գործիքներ՝ OpenVPN-ի կատարողականի չափումները հավաքելու և վերլուծելու համար:
Մոնիտորինգի համար կատարողականի որոշ օգտակար չափումներ ներառում են −
Միացման արագություն և ուշացում
Թողունակության օգտագործումը
Միաժամանակյա կապեր
Սխալների մակարդակը և սխալի հաղորդագրությունները
Սերվերի և հաճախորդի պրոցեսորի և հիշողության օգտագործումը
Մշտադիտարկելով այս չափումները՝ դուք կարող եք բացահայտել և լուծել արդյունավետության խնդիրները՝ նախքան դրանք ազդել օգտատերերի վրա կամ առաջացնել խափանումներ:
Եզրակացություն
Այս հոդվածում մենք քննարկել ենք, թե ինչպես տեղադրել և կարգավորել OpenVPN սերվերը Zentyal 3.4 PDC-ում: OpenVPN-ը հզոր և ճկուն VPN լուծում է, որն ապահովում է ձեր ցանցային ռեսուրսների անվտանգ հեռահար մուտք: Այս հոդվածում նկարագրված քայլերով դուք հեշտությամբ կարող եք տեղադրել ձեր սեփական OpenVPN սերվերը Zentyal սերվերի վրա.