Ինչպե՞ս տեղադրել և կարգավորել OpenVPN սերվերը Zentyal 3.4 PDC-ում:


OpenVPN-ը հանրաճանաչ և լայնորեն օգտագործվող բաց կոդով VPN լուծում է, որը թույլ է տալիս անվտանգ հեռահար մուտք դեպի ձեր ցանցային ռեսուրսներ: Zentyal 3.4-ը Linux բաշխում է, որն ապահովում է ամբողջական սերվերային հարթակ փոքր և միջին բիզնեսի համար: Այս հոդվածում մենք կքննարկենք, թե ինչպես տեղադրել և կարգավորել OpenVPN սերվերը Zentyal 3.4 PDC-ում:

Քայլ 1. Տեղադրեք OpenVPN

Առաջին քայլը OpenVPN-ի տեղադրումն է ձեր Zentyal սերվերի վրա. Բացեք տերմինալը և մուտքագրեք հետևյալ հրամանը -

sudo apt-get update
sudo apt-get install openvpn

Քայլ 2. Ստեղծեք վկայագրեր և բանալիներ

OpenVPN-ն օգտագործում է վկայագրեր և բանալիներ՝ հաճախորդների և սերվերի նույնականացման համար: Այս վկայագրերն ու բանալիները ստեղծելու համար մենք կօգտագործենք OpenVPN-ով տրամադրված EasyRSA սկրիպտը:

cd /usr/share/doc/openvpn/examples/easy-rsa/2.0/
sudo ./clean-all
sudo ./build-ca
sudo ./build-key-server server

Առաջին հրամանը փոխում է գրացուցակը EasyRSA սկրիպտի գտնվելու վայրը: Երկրորդ հրամանը մաքրում է առկա ստեղները և վկայականները: Երրորդ հրամանը ստեղծում է վկայականի լիազորություն: Վերջապես, չորրորդ հրամանը առաջացնում է սերվերի վկայականը և բանալին:

Քայլ 3. Կարգավորեք OpenVPN

Հաջորդ քայլը OpenVPN-ի կազմաձևումն է: Ստեղծեք նոր կազմաձևման ֆայլ հետևյալ հրամանով −

sudo nano /etc/openvpn/server.conf

Ֆայլին ավելացրեք հետևյալ տողերը −

port 1194
proto udp
dev tun
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3

Պահպանեք ֆայլը և դուրս եկեք:

Քայլ 4. Կարգավորեք Firewall-ը

Հաջորդ քայլը firewall-ի կազմաձևումն է, որպեսզի թույլ տա OpenVPN տրաֆիկը: Դուք պետք է բացեք UDP պորտը 1194: Դա անելու համար գործարկեք հետևյալ հրամանները −

sudo ufw allow 1194/udp
sudo ufw enable

Քայլ 5. Սկսեք OpenVPN

Սկսեք OpenVPN ծառայությունը հետևյալ հրամանով −

sudo service openvpn start

Քայլ 6. Կարգավորել հաճախորդը

Վերջին քայլը հաճախորդին կարգավորելն է OpenVPN սերվերին միանալու համար: Դա անելու համար դուք պետք է հաճախորդին տրամադրեք հետևյալ ֆայլերը −

ca.crt
client.crt
client.key

Սերվերին միանալու համար կարող եք օգտագործել ցանկացած OpenVPN հաճախորդի ծրագրակազմ: Պարզապես ներմուծեք ֆայլերը հաճախորդի ծրագրակազմ և միացեք սերվերին՝ օգտագործելով սերվերի IP հասցեն:

Կարգավորեք OpenVPN-ը (ավելի մանրամասն)

Եկեք մանրամասն նայենք այն տարբերակներին, որոնք ավելացրել ենք server.conf ֆայլին Քայլ 3-ում

  • պորտ 1194 - Սա սահմանում է այն նավահանգիստը, որը OpenVPN-ը կօգտագործի մուտքային կապերի համար: Լռելյայնորեն, OpenVPN-ն օգտագործում է UDP պորտ 1194.

  • proto udp - Սա սահմանում է, որ OpenVPN-ը պետք է օգտագործի UDP արձանագրությունը տվյալների փոխանցման համար: UDP-ն հաճախ նախընտրելի է TCP-ից VPN տրաֆիկի համար, քանի որ այն ունի ավելի ցածր ծախսեր և ավելի քիչ հավանական է, որ այն արգելափակվի firewalls-ով:

  • dev tun - Սա սահմանում է, որ OpenVPN-ը պետք է օգտագործի վիրտուալ թունելի միջերեսը ֆիզիկական ցանցային ինտերֆեյսի փոխարեն:

  • ca /etc/openvpn/keys/ca.crt - Սա սահմանում է սերտիֆիկատի մարմնի ֆայլի գտնվելու վայրը, որը մենք ստեղծեցինք Քայլ 2-ում: Վկայագրի հեղինակությունն օգտագործվում է սերվերի և հաճախորդի վկայագրերի իսկությունը ստուգելու համար: .

  • cert /etc/openvpn/keys/server.crt - Սա սահմանում է սերվերի վկայագրի գտնվելու վայրը, որը մենք ստեղծել ենք Քայլ 2-ում: Սերվերի վկայականն օգտագործվում է սերվերը հաճախորդներին նույնականացնելու համար:

  • key /etc/openvpn/keys/server.key - Սա սահմանում է սերվերի մասնավոր բանալու գտնվելու վայրը, որն օգտագործվում է մուտքային VPN տրաֆիկի վերծանման համար:

  • dh /etc/openvpn/keys/dh1024.pem - Սա սահմանում է Diffie-Hellman պարամետրային ֆայլի գտնվելու վայրը, որն օգտագործվում է սկզբնական միացման ընթացքում բանալիների փոխանակման համար:

  • server 10.8.0.0 255.255.255.0 - Սա սահմանում է վիրտուալ ցանցի IP հասցեն և ենթացանցի դիմակը, որը կօգտագործվի VPN հաճախորդների համար: Այս օրինակում մենք օգտագործում ենք 10.8.0.0/24 ենթացանցը:

  • ifconfig-pool-persist ipp.txt - Սա սահմանում է այն ֆայլը, որտեղ OpenVPN-ը կպահի հաճախորդների համար նշանակված IP հասցեները:

  • keepalive 10 120 − Սա սահմանում է այն ընդմիջումը, որով OpenVPN-ը կուղարկի պահվող փաթեթներ հաճախորդներին՝ համոզվելու համար, որ կապը դեռ ակտիվ է:

  • comp-lzo - Սա հնարավորություն է տալիս սեղմել VPN տրաֆիկը` թողունակության օգտագործումը նվազեցնելու համար:

  • persist-key - Սա OpenVPN-ին ասում է, որ պահպանի սերվերի անձնական բանալին վերագործարկման ընթացքում:

  • persist-tun - Սա OpenVPN-ին ասում է, որ պահպանի վիրտուալ թունելի միջերեսը վերագործարկման ընթացքում:

  • status openvpn-status.log − Սա սահմանում է այն ֆայլը, որտեղ OpenVPN-ը գրանցելու է կապի և կատարողականի մասին տեղեկությունները:

  • բայ 3 − Սա սահմանում է OpenVPN-ի գրանցման ելքի խոսակցականության մակարդակը: Ավելի բարձր արժեքը նշանակում է ավելի մանրամասն տեղեկամատյաններ:

Կարգավորել հաճախորդը (ավելի մանրամասն)

OpenVPN սերվերին միանալու համար հաճախորդը պետք է ներմուծի հետևյալ ֆայլերը

  • ca.crt − Սա վկայագրի հեղինակային ֆայլն է, որը ստեղծվել է Քայլ 2-ում: Այն օգտագործվում է սերվերի և հաճախորդի վկայագրերի իսկությունը ստուգելու համար:

  • client.crt - Սա հաճախորդի վկայականն է, որը ստեղծվել է Քայլ 2-ում: Այն օգտագործվում է հաճախորդը սերվերում նույնականացնելու համար:

  • client.key − Սա հաճախորդի անձնական բանալին է, որն օգտագործվում է ելքային VPN տրաֆիկի գաղտնագրման համար:

OpenVPN հաճախորդի ծրագրերի մեծ մասը կունենա այս ֆայլերը ներմուծելու և կապի կարգավորումները կարգավորելու միջոց: Որոշ հաճախորդներ կարող են պահանջել նաև լրացուցիչ կազմաձևման ընտրանքներ, ինչպիսիք են սերվերի IP հասցեն և պորտի համարը:

OpenVPN-ի ապահովում Firewall-ի կանոններով

Մենք կարգավորել ենք firewall-ը, որպեսզի թույլատրի մուտքային տրաֆիկը UDP 1194 նավահանգստի վրա, որն օգտագործվում է OpenVPN-ի կողմից: Այնուամենայնիվ, կարևոր է ապահովել, որ firewall-ը պատշաճ կերպով կազմաձևված է, որպեսզի սահմանափակի մուտքը միայն լիազորված օգտվողների և սարքերի համար:

Դա անելու եղանակներից մեկն է ստեղծել firewall-ի կանոններ, որոնք թույլ են տալիս մուտքային տրաֆիկը միայն հայտնի IP հասցեներից կամ ենթացանցերից: Օրինակ, դուք կարող եք ստեղծել կանոն, որը թույլ է տալիս մուտքային OpenVPN տրաֆիկը միայն ձեր ընկերության գրասենյակի IP հասցեից:

Zentyal-ում firewall-ի կանոններ կարգավորելու համար կարող եք օգտագործել վեբ վրա հիմնված ադմինիստրատորի միջերեսը: Գնացեք «Անվտանգություն» > «Firewall» և սեղմեք «Ավելացնել նոր կանոն»՝ նոր կանոն ստեղծելու համար: Դուք կարող եք նշել սկզբնաղբյուր IP հասցեն կամ ենթացանցը, նպատակակետ նավահանգիստը (1194 OpenVPN-ի համար) և կատարվող գործողությունը (թույլատրել կամ մերժել):

Կանոնը ստեղծելուց հետո համոզվեք, որ այն կիրառեք համապատասխան ցանցային ինտերֆեյսի կամ գոտու վրա (օրինակ՝ «Արտաքին», եթե մուտքային կապեր եք ընդունում ինտերնետից):

Միացնելով երկգործոն նույնականացումը

Ձեր OpenVPN կապի անվտանգությունը բարձրացնելու մեկ այլ միջոց է երկգործոն նույնականացումը (2FA) միացնելը. Սա պահանջում է, որ օգտատերերը տրամադրեն վավերացման երկրորդ ձև՝ ի լրումն իրենց օգտանունին և գաղտնաբառին, ինչպես օրինակ՝ սմարթֆոնի հավելվածի կամ ֆիզիկական նշանի կողմից ստեղծված մեկանգամյա կոդը:

Ձեր OpenVPN սերվերում 2FA-ն միացնելու համար դուք պետք է օգտագործեք հավելված կամ մոդուլ, որն աջակցում է ձեր ընտրած 2FA մեթոդին: Օրինակ, OpenVPN Access Server-ը ներառում է ներկառուցված աջակցություն Google Authenticator-ի և 2FA այլ մեթոդների համար:

2FA plugin-ը տեղադրելուց և կազմաձևելուց հետո ձեզ հարկավոր է թարմացնել OpenVPN սերվերի կազմաձևումը, որպեսզի հաճախորդի կապերի համար պահանջվի 2FA: Սա սովորաբար ներառում է server.conf ֆայլին հավելյալ կազմաձևման տարբերակ ավելացնելը, ինչպիսին − է

auth-user-pass-optional
auth-token

Սա OpenVPN-ին ասում է, որ նույնականացման համար պահանջի և՛ օգտվողի անուն/գաղտնաբառ, և՛ 2FA նշան: Դուք նաև պետք է թարմացնեք հաճախորդի կոնֆիգուրացիան՝ ներառելու համար 2FA նշանը:

OpenVPN-ի կատարողականի մոնիտորինգ

Ի վերջո, կարևոր է վերահսկել ձեր OpenVPN կապի կատարումը, որպեսզի համոզվեք, որ այն բավարարում է ձեր կարիքները և շտկելու ցանկացած խնդիր, որը ծագում է:

OpenVPN-ն ներառում է ներկառուցված մուտքի և մոնիտորինգի առանձնահատկություններ, ինչպիսիք են կարգավիճակի մատյանը և իրական ժամանակի վիճակագրությունը: Դուք կարող եք նաև օգտագործել երրորդ կողմի մոնիտորինգի գործիքներ՝ OpenVPN-ի կատարողականի չափումները հավաքելու և վերլուծելու համար:

Մոնիտորինգի համար կատարողականի որոշ օգտակար չափումներ ներառում են −

  • Միացման արագություն և ուշացում

  • Թողունակության օգտագործումը

  • Միաժամանակյա կապեր

  • Սխալների մակարդակը և սխալի հաղորդագրությունները

  • Սերվերի և հաճախորդի պրոցեսորի և հիշողության օգտագործումը

Մշտադիտարկելով այս չափումները՝ դուք կարող եք բացահայտել և լուծել արդյունավետության խնդիրները՝ նախքան դրանք ազդել օգտատերերի վրա կամ առաջացնել խափանումներ:

Եզրակացություն

Այս հոդվածում մենք քննարկել ենք, թե ինչպես տեղադրել և կարգավորել OpenVPN սերվերը Zentyal 3.4 PDC-ում: OpenVPN-ը հզոր և ճկուն VPN լուծում է, որն ապահովում է ձեր ցանցային ռեսուրսների անվտանգ հեռահար մուտք: Այս հոդվածում նկարագրված քայլերով դուք հեշտությամբ կարող եք տեղադրել ձեր սեփական OpenVPN սերվերը Zentyal սերվերի վրա.