Jak skonfigurować serwer OpenVPN na Debianie 9

Niezależnie od tego, czy chcesz mieć bezpieczny i bezpieczny dostęp do Internetu, gdy jesteś połączony z niezaufaną publiczną siecią Wi-Fi, omiń treści ograniczone geograficznie lub pozwól swoim współpracownikom na bezpieczne połączenie z siecią firmową podczas pracy zdalnej, korzystanie z VPN jest najlepszym rozwiązaniem.

VPN pozwala łączyć się ze zdalnymi serwerami VPN, dzięki czemu twoje połączenie jest szyfrowane i bezpieczne, a także surfować po Internecie anonimowo, zachowując prywatność danych o ruchu.

Istnieje wielu komercyjnych dostawców VPN, z których możesz wybierać, ale nigdy nie możesz być całkowicie pewien, że dostawca nie rejestruje Twojej aktywności. Najbezpieczniejszą opcją jest skonfigurowanie własnego serwera VPN.

W tym samouczku wyjaśnimy, jak zainstalować i skonfigurować OpenVPN w Debianie 9. Pokażemy także, jak generować certyfikaty klientów i tworzyć pliki konfiguracyjne

OpenVPN to w pełni funkcjonalne, otwarte rozwiązanie Secure Socket Layer (SSL) VPN. Implementuje bezpieczne rozszerzenie warstwy 2 lub 3 OSI za pomocą protokołu SSL / TLS.

Wymagania wstępne

Aby ukończyć ten samouczek, potrzebujesz:

Odwoływanie certyfikatów klienta

Odwołanie certyfikatu oznacza unieważnienie podpisanego certyfikatu, aby nie można go było już używać do uzyskiwania dostępu do serwera OpenVPN.

Aby odwołać certyfikat klienta, wykonaj następujące czynności:

1. Zaloguj się do komputera CA i przejdź do katalogu EasyRSA:

   cd EasyRSA-v3.0.6

   Uruchom skrypt easyrsa, używając argumentu revoke, a następnie nazwy klienta, który chcesz odwołać:

   ./easyrsa revoke client1

   Zostaniesz poproszony o sprawdzenie, czy chcesz unieważnić certyfikat. Wpisz yes i naciśnij klawisz enter aby potwierdzić:

   Please confirm you wish to revoke the certificate with the following subject: subject= commonName = client1 Type the word 'yes' to continue, or any other input to abort. Continue with revocation: yes…

   Jeśli Twój klucz CA jest chroniony hasłem, zostaniesz poproszony o podanie hasła. Po zweryfikowaniu skrypt skasuje certyfikat.

   … Revocation was successful. You must run gen-crl and upload a CRL to your infrastructure in order to prevent the revoked cert from being accepted.

   Użyj opcji gen-crl , aby wygenerować listę odwołania certyfikatów (CRL):

   ./easyrsa gen-crl

   An updated CRL has been created. CRL file: /home/causer/EasyRSA-v3.0.6/pki/crl.pem

   Prześlij plik CRL na serwer OpenVPN:

   scp ~/EasyRSA-v3.0.6/pki/crl.pem serveruser@your_server_ip:/tmp

   Zaloguj się do serwera OpenVPN i przenieś plik do katalogu /etc/openvpn :

   sudo mv /tmp/crl.pem /etc/openvpn

   Otwórz plik konfiguracyjny serwera OpenVPN:

   sudo nano /etc/openvpn/server1.conf

   Wklej następujący wiersz na końcu pliku

   /etc/openvpn/server1.conf

   crl-verify crl.pem

   Zapisz i zamknij plik.

   Zrestartuj usługę OpenVPN, aby dyrektywa w sprawie unieważnień stała się skuteczna:

   sudo systemctl restart openvpn@server1

   W tym momencie klient nie powinien już mieć dostępu do serwera OpenVPN przy użyciu unieważnionego certyfikatu.

Wniosek

W tym samouczku nauczyłeś się, jak zainstalować i skonfigurować serwer OpenVPN na komputerze z systemem Debian 9.

Debian bezpieczeństwa VPN