2018-01-21
378
Создаем ключи Диффи-Хелмана следующей командой:
$ cd /home/vpnoperator/easy-rsa-master/easyrsa3
$./easyrsagen-dh
Команда gen-dh работает довольно долго. Позавершенииувидимсообщение:
DH parameters of size 2048 created at /home/vpnoperator/easy-rsa-master/easyrsa3/pki/dh.pem
Скопируемфайл/home/vpnoperator/easy-rsa-master/easyrsa3/pki/dh.pemвкаталог /etc/openvpn/:
# cp /home/vpnoperator/easy-rsa-master/easyrsa3/pki/dh.pem /etc/openvpn
Создание статического ключа HMAC
Для создания ключа HMAC используем команду openvpn с опциями --genkey и --secret:
# cd /etc/openvpn
# openvpn --genkey --secret ta.key
Записываем файл ta.key на USB диск.
Ревизия файлов перед запуском OpenVPN
Итак, мы получили из удостоверяющего центра подписанный сертификат сервера OpenVPN, сертификат самого удостоверяющего центра CA, список отзыва сертификатов, создали файл Диффи-Хелмана и ключ HMAC.
Перед тем как запустить демон OpenVPN, нам нужны следующие файлы:
· openssl.cnf — файл конфигурации OpenSSL;
· server.conf — файл конфигурации сервера OpenVPN;
· ca.crt — cертификат удостоверяющего центра;
· vpn-server.crt — cертификат сервера OpenVPN;
· server.key — приватный ключ сервера OpenVPN, секретный;
· crl.pem — cписок отзыва сертификатов;
· dh.pem — файл Диффи-Хелмана для обеспечения защиты трафика от расшифровки;
· ta.key — ключ HMAC для дополнительной защиты от DoS-атак и флуда.
Добавление пользователя openvpn
Добавляем непривилегированного пользователя и группу openvpn, от имени которого будет работать демон сервера OpenVPN:
# adduser --system --no-create-home --home /nonexistent --disabled-login --group openvpn
Запуск демона OpenVPN
Запускаем демон OpenVPN следующей командой:
# /etc/init.d/openvpnstart
Проверка результата запуска демона OpenVPN
Если сервер OpenVPN стартовал без ошибок, убедимся с помощью команды ifconfig в том, что появился интерфейс TUN:
# ifconfig
...
tun0 Link encap:UNSPECHWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.15.0.1 P-t-P:10.15.0.1 Mask:255.255.255.0
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
Если все хорошо, то в интерфейсе tun появился адрес IP 10.15.0.1. Это адрес сервера OpenVPN в нашем защищенном туннеле, заданный в файле конфигурации server.conf.
После проверки наличия интерфейса TUN убедимся, что OpenVPN занял порт 1194:
# netstat -ltupn | grep 1194
Если демон запустился нормально и порт 1194 занят сервером OpenVPN, можно переходить к установке клиента OpenVPN. При возникновении ошибок необходимо проанализировать журнал /var/log/openvpn/openvpn-server.log.
УСТАНОВКА И ЗАПУСК ПО КЛИЕНТА OPENVPN.
Процедура установки клиента OpenVPN аналогична процедуре установки сервера OpenVPN. Основные отличия в файлах конфигурации. Перед установкой необходимо обновить пакеты и порты.
# apt-getinstallopenvpn
Подготовка файлов конфигурации
Файлы конфигурации, ключи и сертификаты должны находится в каталоге /etc/openvpn.
Далее подготовим файлы конфигурации openssl.cnf и server.conf.
Файл openssl.cnf, определяющий конфигурацию OpenSSL, используем точно такой же, как и для сервера OpenVPN.
Содержимое файла server.conf для клиента OpenVPN
Обращаем внимание на параметр remote, в котором указан адрес IP сервера OpenVPN:
remote 192.168.0.54 1194
Мы должны указать здесь реальный адрес IP сервера OpenVPN, чтобы клиент OpenVPN смог к нему подключиться.
Создаем каталог для журнала клиента OpenVPN:
# mkdir /var/log/openvpn/
