Πώς να ρυθμίσετε ένα διακομιστή openvpn στο debian 9

Είτε θέλετε να έχετε πρόσβαση στο Internet με ασφάλεια και ασφάλεια ενώ είστε συνδεδεμένοι σε ένα αβέβαιο δημόσιο δίκτυο Wi-Fi, παρακάμψετε Geo-περιορισμένο περιεχόμενο ή επιτρέψετε στους συναδέλφους σας να συνδεθούν με ασφάλεια στο δίκτυο της επιχείρησής σας όταν εργάζεστε απομακρυσμένα, χρησιμοποιώντας το VPN είναι η καλύτερη λύση.

Ένα VPN σάς επιτρέπει να συνδεθείτε σε απομακρυσμένους διακομιστές VPN, καθιστώντας τη σύνδεσή σας κρυπτογραφημένη και ασφαλή και περιήγηση στο διαδίκτυο ανώνυμα διατηρώντας τα δεδομένα κίνησης σας ιδιωτικά.

Υπάρχουν πολλοί εμπορικοί πάροχοι VPN από τους οποίους μπορείτε να επιλέξετε, αλλά ποτέ δεν μπορείτε να είστε βέβαιοι ότι ο πάροχος δεν καταγράφει τη δραστηριότητά σας. Η ασφαλέστερη επιλογή είναι να δημιουργήσετε τον δικό σας διακομιστή VPN.

Αυτό το σεμινάριο θα σας εξηγήσει πώς να εγκαταστήσετε και να διαμορφώσετε το OpenVPN στο Debian 9. Θα σας δείξουμε επίσης πώς να δημιουργείτε πιστοποιητικά πελατών και να δημιουργείτε αρχεία ρυθμίσεων

Το OpenVPN είναι μια πλήρως εξοπλισμένη λύση ανοικτού κώδικα Secure Socket Layer (SSL) VPN. Εφαρμόζει την επεκτάσιμη επέκταση δικτύου OSI layer 2 ή 3 χρησιμοποιώντας το πρωτόκολλο SSL / TLS.

Προϋποθέσεις

Για να ολοκληρώσετε αυτό το σεμινάριο, θα χρειαστείτε:

Ανάκληση πιστοποιητικών πελάτη

Η ανάκληση ενός πιστοποιητικού σημαίνει την ακύρωση ενός υπογεγραμμένου πιστοποιητικού, ώστε να μην μπορεί πλέον να χρησιμοποιηθεί για την πρόσβαση στο διακομιστή OpenVPN.

Για να ανακαλέσετε ένα πιστοποιητικό πελάτη ακολουθήστε τα παρακάτω βήματα:

1. Συνδεθείτε στο μηχάνημα CA και μεταβείτε στον κατάλογο EasyRSA:

   cd EasyRSA-v3.0.6

   Εκτελέστε το σενάριο easyrsa χρησιμοποιώντας το όρισμα revoke, ακολουθούμενο από το όνομα του πελάτη που θέλετε να ανακαλέσετε:

   ./easyrsa revoke client1

   Θα σας ζητηθεί να επιβεβαιώσετε ότι θέλετε να ακυρώσετε το πιστοποιητικό. Πληκτρολογήστε yes και πατήστε enter για επιβεβαίωση:

   Please confirm you wish to revoke the certificate with the following subject: subject= commonName = client1 Type the word 'yes' to continue, or any other input to abort. Continue with revocation: yes…

   Εάν το κλειδί ΑΠ σας προστατεύεται με κωδικό πρόσβασης, θα σας ζητηθεί να εισαγάγετε τον κωδικό πρόσβασης. Μόλις επαληθευτεί η δέσμη ενεργειών, θα ανακληθεί το πιστοποιητικό.

   … Revocation was successful. You must run gen-crl and upload a CRL to your infrastructure in order to prevent the revoked cert from being accepted.

   Χρησιμοποιήστε την επιλογή gen-crl για να δημιουργήσετε μια λίστα ανάκλησης πιστοποιητικών (CRL):

   ./easyrsa gen-crl

   An updated CRL has been created. CRL file: /home/causer/EasyRSA-v3.0.6/pki/crl.pem

   Μεταφορτώστε το αρχείο CRL στον διακομιστή OpenVPN:

   scp ~/EasyRSA-v3.0.6/pki/crl.pem serveruser@your_server_ip:/tmp

   Συνδεθείτε στο διακομιστή διακομιστή OpenVPN και μετακινήστε το αρχείο στον κατάλογο /etc/openvpn :

   sudo mv /tmp/crl.pem /etc/openvpn

   Ανοίξτε το αρχείο διαμόρφωσης του διακομιστή OpenVPN:

   sudo nano /etc/openvpn/server1.conf

   Επικολλήστε την ακόλουθη γραμμή στο τέλος του αρχείου

   /etc/openvpn/server1.conf

   crl-verify crl.pem

   Αποθηκεύστε και κλείστε το αρχείο.

   Επανεκκινήστε την υπηρεσία OpenVPN για να τεθεί σε ισχύ η οδηγία ανάκλησης:

   sudo systemctl restart openvpn@server1

   Σε αυτό το σημείο, ο πελάτης δεν θα πρέπει πλέον να έχει πρόσβαση στον διακομιστή OpenVPN χρησιμοποιώντας το πιστοποιητικό που έχει ανακληθεί.

συμπέρασμα

Σε αυτό το σεμινάριο, μάθατε πώς να εγκαταστήσετε και να διαμορφώσετε ένα διακομιστή OpenVPN σε ένα μηχάνημα Debian 9.

vpn security debian