🥇መጽሐፍ "Linux in Action"

ሰላም የካብሮ ነዋሪዎች! በመጽሐፉ ውስጥ ዴቪድ ክሊንተን የመጠባበቂያ እና የመልሶ ማግኛ ስርዓትን በራስ ሰር ማድረግ፣ የDropbox አይነት የግል ፋይል ደመና ማቀናበር እና የራስዎን የሚዲያ ዊኪ አገልጋይ መፍጠርን ጨምሮ 12 የእውነተኛ ህይወት ፕሮጀክቶችን ገልጿል። ቨርቹዋልላይዜሽን፣ የአደጋ ማገገም፣ ደህንነት፣ ምትኬ፣ DevOps እና የስርዓት መላ መፈለግን በሚያስደስቱ የጉዳይ ጥናቶች ያስሱታል። እያንዳንዱ ምዕራፍ በምርጥ ልምዶች፣ የአዳዲስ ቃላት መዝገበ ቃላት እና ልምምዶች በመገምገም ያበቃል።

የተቀነጨበ “10.1. የOpenVPN ዋሻ መፍጠር"

በዚህ መጽሐፍ ውስጥ ስለ ምስጠራ ብዙ ተናግሬአለሁ። ኤስኤስኤች እና ኤስሲፒ ከርቀት ግንኙነቶች (ምዕራፍ 3) የተላለፉ መረጃዎችን ሊከላከሉ ይችላሉ፣ የፋይል ምስጠራ በአገልጋዩ ላይ ሲከማች (ምዕራፍ 8) እና የTLS/SSL የምስክር ወረቀቶች በጣቢያዎች እና በደንበኛ አሳሾች መካከል የሚተላለፉ መረጃዎችን ሊከላከሉ ይችላሉ (ምዕራፍ 9) . ነገር ግን አንዳንድ ጊዜ የእርስዎ ውሂብ በተለያዩ ሰፊ የግንኙነቶች ክልል ጥበቃ ሊደረግለት ይገባል። ለምሳሌ፣ ምናልባት አንዳንድ የቡድንዎ አባላት ከWi-Fi ጋር በህዝብ መገናኛ ቦታዎች ሲገናኙ በመንገድ ላይ ይሰራሉ። በእርግጠኝነት ሁሉም እንደዚህ ያሉ የመዳረሻ ነጥቦች ደህንነታቸው የተጠበቀ ነው ብለው ማሰብ የለብዎትም፣ ነገር ግን የእርስዎ ሰዎች ከኩባንያው ሀብቶች ጋር የሚገናኙበት መንገድ ይፈልጋሉ - እና VPN ሊረዳው የሚችለው እዚህ ነው።

በትክክል የተነደፈ የቪፒኤን ዋሻ በርቀት ደንበኞች እና በአገልጋዩ መካከል ደህንነቱ ባልተጠበቀ አውታረመረብ ላይ ሲጓዝ መረጃን በሚደብቅበት መንገድ ቀጥተኛ ግንኙነትን ይሰጣል። እና ምን? ይህን በምስጠራ ሊያደርጉ የሚችሉ ብዙ መሳሪያዎችን አስቀድመው አይተሃል። የቪፒኤን ትክክለኛ ዋጋ ዋሻውን በመክፈት የርቀት ኔትወርኮችን ልክ እንደ አካባቢው ማገናኘት ይችላሉ። በሌላ መልኩ፣ ማለፊያ እየተጠቀምክ ነው።

ይህንን የተራዘመ ኔትወርክ በመጠቀም አስተዳዳሪዎች ስራቸውን ከየትኛውም ቦታ ሆነው በአገልጋዮቻቸው ላይ ማከናወን ይችላሉ። ከሁሉም በላይ ግን በበርካታ ቦታዎች ላይ የተንሰራፋ ሀብት ያለው ኩባንያ ሁሉም እንዲታዩ እና ለሚያስፈልጋቸው ቡድኖች ሁሉ የትም ሊገኙ ይችላሉ (ምሥል 10.1).

ዋሻው ራሱ የደህንነት ዋስትና አይሰጥም. ነገር ግን አንዱ የኢንክሪፕሽን መመዘኛዎች በኔትወርክ መዋቅር ውስጥ ሊካተት ይችላል, ይህም የደህንነት ደረጃን በእጅጉ ይጨምራል. ክፍት ምንጭ የተከፈተውን የቪፒኤን ጥቅል በመጠቀም የተፈጠሩ ዋሻዎች እርስዎ ያነበቡትን ተመሳሳይ TLS/SSL ምስጠራ ይጠቀማሉ። ክፍት ቪፒኤን ብቸኛው የመሿለኪያ አማራጭ አይደለም፣ ግን በጣም ከሚታወቁት ውስጥ አንዱ ነው። IPsec ምስጠራን ከሚጠቀም አማራጭ ንብርብር 2 መሿለኪያ ፕሮቶኮል በመጠኑ ፈጣን እና ደህንነቱ የተጠበቀ እንደሆነ ይታሰባል።

በመንገድ ላይ ወይም በተለያዩ ሕንፃዎች ውስጥ በሚሰሩበት ጊዜ በቡድንዎ ውስጥ ያሉ ሁሉም ሰዎች እርስ በርሳቸው ደህንነቱ በተጠበቀ ሁኔታ እንዲግባቡ ይፈልጋሉ? ይህንን ለማድረግ የመተግበሪያ መጋራትን እና የአገልጋዩን የአካባቢ አውታረ መረብ አካባቢ ለመድረስ የOpenVPN አገልጋይ መፍጠር ያስፈልግዎታል። ይህ እንዲሰራ ሁለት ቨርቹዋል ማሽኖችን ወይም ሁለት ኮንቴይነሮችን ማስኬድ ብቻ ነው፡ አንደኛው እንደ አገልጋይ/አስተናጋጅ እና አንዱ እንደ ደንበኛ ለመስራት። ቪፒኤን መገንባት ቀላል ሂደት አይደለም፣ስለዚህ ትልቁን ምስል በአእምሯችን ለማግኘት ጥቂት ደቂቃዎችን መውሰድ ጠቃሚ ሊሆን ይችላል።

10.1.1. የቪፒኤን አገልጋይ ውቅር ይክፈቱ

ከመጀመርዎ በፊት አንዳንድ ጠቃሚ ምክሮችን እሰጥዎታለሁ። እርስዎ እራስዎ እንዲያደርጉት ከፈለጉ (እና እንዲያደርጉት በጣም እመክርዎታለሁ) ምናልባት በዴስክቶፕዎ ላይ በተከፈቱ በርካታ ተርሚናል መስኮቶች እያንዳንዳቸው ከሌላ ማሽን ጋር ሲገናኙ እራስዎን ያገኛሉ። በአንድ ወቅት የተሳሳተውን ትዕዛዝ ወደ መስኮቱ ውስጥ የማስገባት አደጋ አለ. ይህንን ለማስቀረት የአስተናጋጅ ስም ትዕዛዙን በመጠቀም በትዕዛዝ መስመሩ ላይ የሚታየውን የማሽን ስም ወደ የት እንዳሉ በግልፅ ወደሚነግርዎት መለወጥ ይችላሉ። ይህንን ካደረጉ በኋላ አዲሱ መቼቶች እንዲተገበሩ ከአገልጋዩ መውጣት እና ተመልሰው መግባት ያስፈልግዎታል። ይህን ይመስላል፡-

ይህንን አሰራር በመከተል እና ለሚሰሩት እያንዳንዱ ማሽን ተገቢውን ስም በመስጠት በቀላሉ ያሉበትን ቦታ መከታተል ይችላሉ።

የአስተናጋጅ ስም ከተጠቀሙ በኋላ ተከታይ ትዕዛዞችን ሲፈጽሙ የአስተናጋጅ ክፍት ቪፒኤን-ሰርቨር መልዕክቶችን መፍታት አለመቻል የሚያበሳጭ ነገር ሊያጋጥሙዎት ይችላሉ። የ /etc/hosts ፋይልን በተገቢው አዲስ የአስተናጋጅ ስም ማዘመን ችግሩን መፍታት አለበት።

አገልጋይዎን ለOpenVPN በማዘጋጀት ላይ

በአገልጋዩ ላይ OpenVPNን ለመጫን ሁለት ፓኬጆች ያስፈልጉዎታል፡ openvpn እና easy-rsa (የምስጠራ ቁልፍ የማመንጨት ሂደትን ለመቆጣጠር)። የCentOS ተጠቃሚዎች በምዕራፍ 2 ላይ እንዳደረጉት አስፈላጊ ከሆነ የepel-release ማከማቻን መጀመሪያ መጫን አለባቸው። የአገልጋዩን አፕሊኬሽን ለመፈተሽ እንዲሁም Apache ዌብ ሰርቨርን (apache2 on Ubuntu እና httpd on CentOS) መጫን ይችላሉ።

አገልጋይዎን እያዋቀሩ ሳሉ ከ22(SSH) እና 1194(OpenVPN's default port) በስተቀር ሁሉንም ወደቦች የሚከለክል ፋየርዎል እንዲሰራ እመክራለሁ። ይህ ምሳሌ ufw በኡቡንቱ ላይ እንዴት እንደሚሰራ ያሳያል፣ ግን እርግጠኛ ነኝ የCentOS ፋየርዎልድ ፕሮግራም ከምዕራፍ 9 አሁንም እንደሚያስታውሱት እርግጠኛ ነኝ፡

# ufw enable
# ufw allow 22
# ufw allow 1194

በአገልጋዩ ላይ ባለው የአውታረ መረብ በይነገጾች መካከል የውስጥ መስመርን ለማንቃት በ /etc/sysctl.conf ፋይል ውስጥ አንድ መስመር (net.ipv4.ip_forward = 1) አለመግባባት ያስፈልግዎታል። ይህ የርቀት ደንበኞቻቸው ከተገናኙ በኋላ እንደ አስፈላጊነቱ እንዲዛወሩ ያስችላቸዋል። አዲሱ አማራጭ እንዲሰራ sysctl -pን ያሂዱ፡-

# nano /etc/sysctl.conf
# sysctl -p

የአገልጋይ አካባቢዎ አሁን ሙሉ በሙሉ ተዋቅሯል፣ ነገር ግን ከመዘጋጀትዎ በፊት አንድ ተጨማሪ ማድረግ ያለብዎት ነገር አለ፡ የሚከተሉትን ደረጃዎች ማጠናቀቅ ያስፈልግዎታል (በቀጣይ በዝርዝር እንሸፍናቸዋለን)።

በቀላል rsa ጥቅል የቀረቡትን ስክሪፕቶች በመጠቀም የህዝብ ቁልፍ መሠረተ ልማት (PKI) ምስጠራ ቁልፎችን በአገልጋዩ ላይ ይፍጠሩ። በዋናነት፣ የOpenVPN አገልጋይ እንደ የራሱ የምስክር ወረቀት ባለስልጣን (CA) ሆኖ ይሰራል።
ለደንበኛው ተስማሚ ቁልፎችን ያዘጋጁ
የአገልጋይ.conf ፋይልን ለአገልጋዩ ያዋቅሩ
የOpenVPN ደንበኛዎን ያዋቅሩ
የእርስዎን VPN ያረጋግጡ

የምስጠራ ቁልፎችን በማመንጨት ላይ

ነገሩን ቀላል ለማድረግ፣ የOpenVPN አገልጋይ በሚሰራበት ማሽን ላይ ቁልፍ መሠረተ ልማትዎን ማዋቀር ይችላሉ። ነገር ግን፣ የደህንነት ምርጥ ልምዶች ለምርት ማሰማራት የተለየ የCA አገልጋይ መጠቀምን ይጠቁማሉ። በOpenVPN ውስጥ ጥቅም ላይ የሚውሉ የኢንክሪፕሽን ቁልፍ ሀብቶችን የማመንጨት እና የማሰራጨት ሂደት በምስል ላይ ተገልጿል 10.2.

OpenVPN ን ሲጭኑ /etc/openvpn/ ማውጫው በራስ-ሰር ተፈጥሯል፣ ግን እስካሁን ምንም ነገር የለም። የ openvpn እና easy-rsa ጥቅሎች ለውቅረትዎ መሰረት ሊጠቀሙባቸው ከሚችሉት የአብነት ፋይሎች ጋር አብረው ይመጣሉ። የማረጋገጫ ሂደቱን ለመጀመር ቀላል-rsa አብነት ማውጫውን ከ/usr/share/ ወደ /etc/openvpn ይቅዱ እና ወደ ቀላል-rsa/ ማውጫ ይቀይሩ፡-

# cp -r /usr/share/easy-rsa/ /etc/openvpn
$ cd /etc/openvpn/easy-rsa

ቀላል-rsa ማውጫ አሁን በጣም ጥቂት ስክሪፕቶችን ይይዛል። በሠንጠረዥ ውስጥ 10.1 ቁልፎችን ለመፍጠር የሚጠቀሙባቸውን መሳሪያዎች ይዘረዝራል.

ከላይ ያሉት ክዋኔዎች የስር መብቶችን ይፈልጋሉ፣ ስለዚህ በ sudo su በኩል ስር መሆን ያስፈልግዎታል።

እርስዎ የሚሰሩበት የመጀመሪያው ፋይል ቫርስ ይባላል እና ቁልፎችን በሚያመነጭበት ጊዜ ቀላል-ርሳ የሚጠቀሙትን የአካባቢ ተለዋዋጮችን ይይዛል። አስቀድመው እዚያ ካሉት ነባሪ እሴቶች ይልቅ የእራስዎን እሴቶች ለመጠቀም ፋይሉን ማርትዕ ያስፈልግዎታል። የእኔ ፋይል ይህን ይመስላል (ዝርዝር 10.1)።

ዝርዝር 10.1. የፋይሉ ዋና ቁርጥራጮች /etc/openvpn/easy-rsa/vars

export KEY_COUNTRY="CA"
export KEY_PROVINCE="ON"
export KEY_CITY="Toronto"
export KEY_ORG="Bootstrap IT"
export KEY_EMAIL="[email protected]"
export KEY_OU="IT"

የቫርስ ፋይሉን ማስኬድ እሴቶቹን ወደ ሼል አካባቢ ያስተላልፋል፣ እዚያም በአዲሱ ቁልፎችዎ ይዘቶች ውስጥ ይካተታሉ። ለምን የሱዶ ትዕዛዝ በራሱ አይሰራም? ምክንያቱም በመጀመሪያ ደረጃ ቫርስ የተሰየመውን ስክሪፕት እናስተካክላለን ከዚያም እንተገብራለን። መተግበር እና ማለት የቫርስ ፋይሉ እሴቶቹን ወደ ሼል አካባቢ ያስተላልፋል ማለት ነው፣ እዚያም በአዲሱ ቁልፎችዎ ይዘቶች ውስጥ ይካተታሉ።

ያልተጠናቀቀውን ሂደት ለማጠናቀቅ አዲስ ሼል በመጠቀም ፋይሉን እንደገና ማስኬድዎን ያረጋግጡ። ይህ ሲደረግ ስክሪፕቱ በ /etc/openvpn/easy-rsa/keys/ ማውጫ ውስጥ ያለውን ማንኛውንም ይዘት ለማስወገድ ሌላ ስክሪፕት እንዲያሄዱ ይጠይቅዎታል።

በተፈጥሮ፣ የሚቀጥለው እርምጃ ንጹህ-ሁሉንም ስክሪፕት ማስኬድ ነው፣ በመቀጠል build-ca፣ ይህም የpkitool ስክሪፕት የስር ሰርተፍኬት ለመፍጠር ነው። በቫርስ የቀረበውን የማንነት ቅንብሮች እንዲያረጋግጡ ይጠየቃሉ፡-

# ./clean-all
# ./build-ca
Generating a 2048 bit RSA private key

ቀጥሎ የግንባታ ቁልፍ-አገልጋይ ስክሪፕት ይመጣል። ተመሳሳዩን የpkitool ስክሪፕት ከአዲስ ስርወ ሰርተፍኬት ጋር ስለሚጠቀም፣ የቁልፍ ጥምር መፈጠሩን ለማረጋገጥ ተመሳሳይ ጥያቄዎችን ታያለህ። በዚህ ማሽን ላይ ብዙ ቪፒኤን እየሰሩ ካልሆነ በቀር አብዛኛው ጊዜ አገልጋይ የሚሆነው እርስዎ ባለፉት ክርክር መሰረት ቁልፎቹ ይሰየማሉ፡

# ./build-key-server server
[...]
Certificate is to be certified until Aug 15 23:52:34 2027 GMT (3650 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

OpenVPN በDiffie-Hellman ስልተቀመር (Build-dh በመጠቀም) የመነጩ ግቤቶችን ለአዲስ ግንኙነቶች ማረጋገጥን ይጠቀማል። እዚህ የተፈጠረው ፋይል ሚስጥራዊ መሆን የለበትም፣ ነገር ግን በአሁኑ ጊዜ ንቁ ለሆኑ የRSA ቁልፎች የ build-dh ስክሪፕት በመጠቀም መፈጠር አለበት። ለወደፊቱ አዲስ የRSA ቁልፎችን ከፈጠሩ የDiffie-Hellman ፋይልን ማዘመን ያስፈልግዎታል፡-

# ./build-dh

የአገልጋይዎ ጎን ቁልፎች አሁን በ /etc/openvpn/easy-rsa/keys/ ማውጫ ውስጥ ያበቃል፣ ነገር ግን OpenVPN ይህን አያውቅም። በነባሪ፣ OpenVPN በ /etc/openvpn/ ውስጥ ቁልፎችን ይፈልጋል፣ ስለዚህ ይቅዱት፡-

# cp /etc/openvpn/easy-rsa/keys/server* /etc/openvpn
# cp /etc/openvpn/easy-rsa/keys/dh2048.pem /etc/openvpn
# cp /etc/openvpn/easy-rsa/keys/ca.crt /etc/openvpn

የደንበኛ ምስጠራ ቁልፎችን በማዘጋጀት ላይ

ቀደም ሲል እንዳየኸው የቲኤልኤስ ምስጠራ ጥንድ ተዛማጅ ቁልፎችን ይጠቀማል፡ አንደኛው በአገልጋዩ ላይ የተጫነ እና በርቀት ደንበኛ ላይ የተጫነ። ይህ ማለት የደንበኛ ቁልፎች ያስፈልግዎታል ማለት ነው. የድሮ ጓደኛችን pkitool በትክክል ለዚህ የሚፈልጉት ነው። በዚህ ምሳሌ፣ ፕሮግራሙን በ /etc/openvpn/easy-rsa/ directory ውስጥ ስናካሂድ ደንበኛ.crt እና client.key የሚባሉ ፋይሎችን ለመፍጠር የደንበኛ ክርክር እናስተላልፋለን።

# ./pkitool client

ሁለቱ የደንበኛ ፋይሎች፣ አሁንም በቁልፍ/ ማውጫ ውስጥ ካለው ዋናው የca.crt ፋይል ጋር፣ ደህንነቱ በተጠበቀ ሁኔታ ወደ ደንበኛዎ መተላለፍ አለባቸው። በባለቤትነት እና በመዳረሻ መብቶች ምክንያት ይህ ቀላል ላይሆን ይችላል። በጣም ቀላሉ አካሄድ የመነሻ ፋይሉን ይዘቶች በእጅ መቅዳት ነው (እና ከዚያ ይዘት በስተቀር) በኮምፒተርዎ ዴስክቶፕ ላይ ወደሚሰራ ተርሚናል (ጽሑፉን ይምረጡ ፣ በላዩ ላይ በቀኝ ጠቅ ያድርጉ እና ከምናሌው ውስጥ ቅዳ የሚለውን ይምረጡ) ። ከዚያ ይህንን ከደንበኛዎ ጋር በተገናኘ ሁለተኛ ተርሚናል ላይ በፈጠሩት ተመሳሳይ ስም ወደ አዲስ ፋይል ይለጥፉ።

ግን ማንም ሰው መቁረጥ እና መለጠፍ ይችላል. ይልቁንስ እንደ አስተዳዳሪ ያስቡ ምክንያቱም የመቁረጥ/የመለጠፍ ስራዎች የሚቻሉበት GUI ሁልጊዜ ማግኘት አይችሉም። ፋይሎቹን ወደ ተጠቃሚዎ የቤት ማውጫ ይቅዱ (ስለዚህ የርቀት scp ክወና እንዲደርስባቸው) እና በመቀጠል የፋይሎችን ባለቤትነት ከ root ወደ መደበኛ ያልሆነ ተጠቃሚ ለመቀየር ቾውን ይጠቀሙ የርቀት scp እርምጃ እንዲከናወን ያድርጉ። ሁሉም ፋይሎችዎ በአሁኑ ጊዜ መጫናቸውን እና ተደራሽ መሆናቸውን ያረጋግጡ። ትንሽ ቆይተው ወደ ደንበኛው ያንቀሳቅሷቸዋል፡-

# cp /etc/openvpn/easy-rsa/keys/client.key /home/ubuntu/
# cp /etc/openvpn/easy-rsa/keys/ca.crt /home/ubuntu/
# cp /etc/openvpn/easy-rsa/keys/client.crt /home/ubuntu/
# chown ubuntu:ubuntu /home/ubuntu/client.key
# chown ubuntu:ubuntu /home/ubuntu/client.crt
# chown ubuntu:ubuntu /home/ubuntu/ca.crt

ሙሉ የምስጠራ ቁልፎች ዝግጁ ሲሆኑ ቪፒኤን እንዴት መፍጠር እንደሚፈልጉ ለአገልጋዩ መንገር አለብዎት። ይህ የሚደረገው የአገልጋይ.conf ፋይልን በመጠቀም ነው።

የቁልፍ ጭነቶች ብዛት መቀነስ

በጣም ብዙ መተየብ አለ? በቅንፍ መስፋፋት እነዚህን ስድስት ትዕዛዞች ወደ ሁለት ለመቀነስ ይረዳል። እርግጠኛ ነኝ እነዚህን ሁለት ምሳሌዎች በማጥናት ምን እየተካሄደ እንዳለ መረዳት ትችላለህ። በይበልጥ፣ እነዚህን መርሆዎች በአስር ወይም በመቶዎች የሚቆጠሩ አካላትን በሚያካትቱ ስራዎች ላይ እንዴት እንደሚተገበሩ መረዳት ይችላሉ።
# cp /etc/openvpn/easy-rsa/keys/{ca.crt,client.{key,crt}} /home/ubuntu/
# chown ubuntu:ubuntu /home/ubuntu/{ca.crt,client.{key,crt}}

የአገልጋይ.conf ፋይልን በማዘጋጀት ላይ

የአገልጋይ.conf ፋይል ምን መምሰል እንዳለበት እንዴት ማወቅ ይችላሉ? ከ/usr/share/ የቀዱት ቀላል-rsa ማውጫ አብነት ያስታውሱ? OpenVPNን ሲጭኑ ወደ /etc/openvpn/ መቅዳት የሚችሉት የታመቀ የውቅረት አብነት ፋይል ቀርተዋል። አብነት በማህደር የተቀመጠ የመሆኑን እውነታ እገነባለሁ እና ከጠቃሚ መሳሪያ ጋር አስተዋውቃችኋለሁ፡ zcat.

የድመት ትዕዛዙን በመጠቀም የፋይሉን ጽሑፍ ይዘት ወደ ስክሪኑ ስለማተም አስቀድመው ያውቃሉ፣ ግን ፋይሉ gzip በመጠቀም ቢጨመቅስ? ፋይሉን ሁል ጊዜ መፍታት ይችላሉ እና ከዚያ ድመት በደስታ ይወጣል ፣ ግን ይህ ከሚያስፈልገው በላይ አንድ ወይም ሁለት እርምጃዎች ነው። በምትኩ፣ እርስዎ እንደገመቱት፣ ያልታሸገውን ጽሑፍ በአንድ ደረጃ ወደ ማህደረ ትውስታ ለመጫን የ zcat ትዕዛዝ መስጠት ይችላሉ። በሚከተለው ምሳሌ፣ ጽሑፍን ወደ ስክሪኑ ከማተም ይልቅ፣ ወደ አገልጋይ.conf ወደ ሚባል አዲስ ፋይል ያዞራሉ፡-

# zcat 
  /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz 
  > /etc/openvpn/server.conf
$ cd /etc/openvpn

ከፋይሉ ጋር የሚመጡትን ሰፊ እና አጋዥ ሰነዶችን ወደ ጎን እንተው እና አርትዖት ሲጨርሱ ምን ሊመስል እንደሚችል እንይ። ሴሚኮሎን (;) ቀጣዩን መስመር እንዳያነብ ወይም እንዳይሰራ (ዝርዝር 10.2) OpenVPN እንደሚነግረው ልብ ይበሉ።

ከእነዚህ ቅንብሮች ውስጥ ጥቂቶቹን እንይ።

በነባሪ፣ OpenVPN በፖርት 1194 ላይ ይሰራል።ይህን መቀየር ይችላሉ፣ለምሳሌ እንቅስቃሴዎችዎን የበለጠ ለመደበቅ ወይም ከሌሎች ንቁ ዋሻዎች ጋር ግጭቶችን ለማስወገድ። 1194 ከደንበኞች ጋር አነስተኛ ቅንጅት ስለሚያስፈልገው, በዚህ መንገድ ቢያደርጉት ጥሩ ነው.
OpenVPN ውሂብን ለማስተላለፍ የማስተላለፊያ መቆጣጠሪያ ፕሮቶኮል (TCP) ወይም የተጠቃሚ ዳታግራም ፕሮቶኮል (UDP) ይጠቀማል። TCP ትንሽ ቀርፋፋ ሊሆን ይችላል፣ ግን የበለጠ አስተማማኝ እና በዋሻው በሁለቱም ጫፎች ላይ በሚሰሩ መተግበሪያዎች የመረዳት ዕድሉ ከፍተኛ ነው።
የውሂብ ይዘት እንጂ ሌላ ምንም ነገር የሚይዝ ቀላል፣ ቀልጣፋ የአይፒ ዋሻ ለመፍጠር ሲፈልጉ dev tunን መግለጽ ይችላሉ። በሌላ በኩል ብዙ የኔትወርክ በይነገጾችን (እና የሚወክሉትን ኔትወርኮች) ማገናኘት ካለቦት የኤተርኔት ድልድይ መፍጠር ከፈለግክ ዴቭ ታፕን መምረጥ አለብህ። ይህ ሁሉ ምን ማለት እንደሆነ ካልተረዳህ የቱን ክርክር ተጠቀም።
የሚቀጥሉት አራት መስመሮች OpenVPN በአገልጋዩ ላይ ያሉትን የሶስቱ የማረጋገጫ ፋይሎች እና ቀደም ብለው የፈጠሩትን የdh2048 አማራጮች ፋይል ስም ይሰጣሉ።
የአገልጋዩ መስመር ለደንበኞች ሲገቡ የአይፒ አድራሻዎችን ለመመደብ ጥቅም ላይ የሚውለውን ክልል እና ንዑስ መረብ ጭምብል ያዘጋጃል።
የአማራጭ የግፋ መለኪያ "መንገድ 10.0.3.0 255.255.255.0" የርቀት ደንበኞች ከአገልጋዩ በስተጀርባ ያለውን የግል ሳብኔት እንዲያገኙ ያስችላቸዋል። ይህንን ስራ ለመስራት የግል ሳብኔት ስለ OpenVPN ሳብኔት (10.8.0.0) እንዲያውቅ በራሱ በአገልጋዩ ላይ ኔትወርኩን ማዋቀርን ይጠይቃል።
ወደብ-share localhost 80 መስመር ወደብ 1194 የሚመጣውን የደንበኛ ትራፊክ ወደብ 80 ወደሚሰማ የሀገር ውስጥ የድር አገልጋይ እንዲያዞሩ ያስችልዎታል። ከዚያም tcp ፕሮቶኮል ሲመረጥ.
ሴሚኮሎኖችን (;) በማስወገድ ተጠቃሚው ማንም እና የቡድን ኖግሮፕ መስመሮች መንቃት አለባቸው። የርቀት ደንበኞቻቸውን እንደማንም እና የቡድን ስብስብ እንዲያደርጉ ማስገደድ በአገልጋዩ ላይ ያሉ ክፍለ-ጊዜዎች ልዩ መብት የሌላቸው መሆናቸውን ያረጋግጣል።
ሎግ ክፍት ቪፒኤን በጀመረ ቁጥር አሁን ያሉ የምዝግብ ማስታወሻዎች የድሮ ግቤቶችን እንደሚተኩ ይገልፃል ፣ ሎግ አፕንድ ግን አሁን ባለው የምዝግብ ማስታወሻ ፋይል ላይ አዲስ ግቤቶችን ይጨምራል። የ openvpn.log ፋይል ራሱ ወደ /etc/openvpn/ ማውጫ ተጽፏል።

በተጨማሪም፣ ከOpenVPN አገልጋይ በተጨማሪ ብዙ ደንበኞች እርስበርስ እንዲተያዩ የደንበኛ-ለደንበኛ እሴት እንዲሁ ወደ ውቅር ፋይሉ ብዙ ጊዜ ይታከላል። በማዋቀርዎ ከረኩ የOpenVPN አገልጋይን መጀመር ይችላሉ፡-

# systemctl start openvpn

በOpenVPN እና systemd መካከል ያለው ግንኙነት በመቀየሩ ምክንያት አገልግሎት ለመጀመር አንዳንድ ጊዜ የሚከተለው አገባብ ሊያስፈልግ ይችላል፡ systemctl openvpn@server ጀምር።

የአገልጋይዎን አውታረ መረብ በይነገጾች ለመዘርዘር ip addr ን ማስኬድ አሁን tun0 ወደ ሚባል አዲስ በይነገጽ ማገናኘት አለበት። OpenVPN ገቢ ደንበኞችን ለማገልገል ይፈጥራል፡-

$ ip addr
[...]
4: tun0: mtu 1500 qdisc [...]
      link/none
      inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0
          valid_lft forever preferred_lft forever

ሁሉም ነገር ሙሉ በሙሉ መሥራት ከመጀመሩ በፊት አገልጋዩን እንደገና ማስጀመር ሊኖርብዎ ይችላል። የሚቀጥለው ማቆሚያ የደንበኛ ኮምፒዩተር ነው.

10.1.2. የOpenVPN ደንበኛን በማዋቀር ላይ

በተለምዶ ዋሻዎች የተገነቡት ቢያንስ ሁለት መውጫዎች (አለበለዚያ ዋሻዎች ብለን እንጠራቸዋለን)። በአገልጋዩ ላይ በትክክል የተዋቀረ OpenVPN ትራፊክ በአንድ በኩል ወደ ዋሻው ውስጥ እና ወደ ውጭ ይመራዋል። ነገር ግን ከደንበኛው ጎን ማለትም በዋሻው ሌላኛው ጫፍ ላይ አንዳንድ ሶፍትዌሮች ያስፈልግዎታል.

በዚህ ክፍል እንደ OpenVPN ደንበኛ ለመሆን አንዳንድ የሊኑክስ ኮምፒተሮችን በእጅ በማዘጋጀት ላይ አተኩራለሁ። ግን ይህ እድል የሚገኝበት ብቸኛው መንገድ ይህ አይደለም. OpenVPN ዊንዶውስ ወይም ማክሮን በሚያሄዱ ዴስክቶፖች እና ላፕቶፖች እንዲሁም አንድሮይድ እና አይኦኤስ ስማርትፎኖች እና ታብሌቶች ላይ ሊጫኑ እና ሊጠቀሙባቸው የሚችሉ የደንበኛ መተግበሪያዎችን ይደግፋል። ለዝርዝሮች openvpn.net ይመልከቱ።

የOpenVPN ጥቅል በአገልጋዩ ላይ እንደተጫነው በደንበኛው ማሽን ላይ መጫን አለበት፣ ምንም እንኳን እዚህ ቀላል-rsa አያስፈልግም ምክንያቱም የሚጠቀሙባቸው ቁልፎች ቀድሞውኑ አሉ። የደንበኛውን.conf አብነት ፋይል አሁን ወደፈጠሩት /etc/openvpn/ ማውጫ መቅዳት አለቦት። በዚህ ጊዜ ፋይሉ ዚፕ አይደረግም፣ ስለዚህ የተለመደው cp ትዕዛዝ በትክክል ስራውን ይሰራል፡-

# apt install openvpn
# cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf 
  /etc/openvpn/

በእርስዎ የደንበኛ.conf ፋይል ውስጥ ያሉ አብዛኛዎቹ ቅንብሮች ቆንጆዎች እራሳቸውን የሚገልጹ ይሆናሉ፡ በአገልጋዩ ላይ ካሉት እሴቶች ጋር መዛመድ አለባቸው። ከሚከተለው የምሳሌ ፋይል ማየት እንደምትችለው፣ ልዩ መለኪያው የርቀት 192.168.1.23 1194 ነው፣ ይህም ለደንበኛው የአገልጋዩን አይፒ አድራሻ ይነግረዋል። እንደገና፣ ይህ የእርስዎ አገልጋይ አድራሻ መሆኑን ያረጋግጡ። እንዲሁም በመሃል ላይ ሊደርስ የሚችለውን ሰው ጥቃት ለመከላከል የደንበኛውን ኮምፒዩተር የአገልጋዩን ሰርተፍኬት ትክክለኛነት እንዲያረጋግጥ ማስገደድ አለቦት። ይህንን ለማድረግ አንዱ መንገድ የርቀት-ሰርት-tls አገልጋይ (ዝርዝር 10.3) ማከል ነው።

አሁን ወደ /etc/openvpn/ ማውጫ ሄደው የማረጋገጫ ቁልፎችን ከአገልጋዩ ማውጣት ይችላሉ። በምሳሌው ውስጥ ያለውን የአገልጋይ IP አድራሻ ወይም የጎራ ስም በእሴቶቻችሁ ይተኩ፡

OpenVPN ን በደንበኛው ላይ እስኪያሄዱ ድረስ ምንም አስደሳች ነገር አይከሰትም። ሁለት ክርክሮችን ማለፍ ስለሚያስፈልግ ከትዕዛዝ መስመሩ ላይ ያደርጉታል። የ --tls-client ክርክር ለOpenVPN ይነግረዋል እንደ ደንበኛ ሆነው እንደሚሰሩ እና በTLS ምስጠራ በኩል እንደሚገናኙ እና - config ወደ ውቅር ፋይልዎ ይጠቁማል፡

# openvpn --tls-client --config /etc/openvpn/client.conf

በትክክል መገናኘትዎን ለማረጋገጥ የትእዛዝ ውጤቱን በጥንቃቄ ያንብቡ። ለመጀመሪያ ጊዜ የሆነ ችግር ከተፈጠረ፣ በአገልጋዩ እና በደንበኛ ውቅር ፋይሎች መካከል ባለው ቅንጅቶች አለመመጣጠን ወይም በኔትወርክ ግንኙነት/ፋየርዎል ችግር ምክንያት ሊሆን ይችላል። አንዳንድ የመላ መፈለጊያ ምክሮች እዚህ አሉ።

በደንበኛው ላይ የOpenVPN ኦፕሬሽን ውጤቱን በጥንቃቄ ያንብቡ። በትክክል ምን ማድረግ እንደማይቻል እና ለምን እንደሆነ ጠቃሚ ምክሮችን ይዟል።
በአገልጋዩ ላይ ባለው /etc/openvpn/ ማውጫ ውስጥ በ openvpn.log እና openvpn-status.log ፋይሎች ውስጥ ያሉትን የስህተት መልእክቶች ያረጋግጡ።
ከOpenVPN ጋር ለተያያዙ እና በጊዜ የተያዙ መልዕክቶችን ለማግኘት የስርዓት ምዝግብ ማስታወሻዎችን በአገልጋዩ እና ደንበኛ ላይ ያረጋግጡ። (journalctl -ce በጣም የቅርብ ጊዜ ግቤቶችን ያሳያል።)
በአገልጋዩ እና በደንበኛው መካከል ንቁ የአውታረ መረብ ግንኙነት እንዳለዎት ያረጋግጡ (በዚህ ላይ በምዕራፍ 14 ላይ ተጨማሪ)።

ስለ ደራሲው

ዴቪድ ክሊንተን - የስርዓት አስተዳዳሪ, አስተማሪ እና ጸሐፊ. ለብዙ ጠቃሚ ቴክኒካል ዘርፎች ትምህርታዊ ቁሳቁሶችን አስተዳድሯል፣ ጽፏል እና ፈጥሯል፣የሊኑክስ ሲስተሞችን፣ ደመና ማስላት (በተለይ AWS) እና እንደ Docker ላሉ የመያዣ ቴክኖሎጂዎች። በአንድ ወር ምሳዎች ውስጥ የአማዞን ድር አገልግሎቶችን ተማር (ማኒንግ፣ 2017) የሚለውን መጽሐፍ ጻፈ። ብዙዎቹ የቪዲዮ ማሰልጠኛ ኮርሶች በ Pluralsight.com ሊገኙ ይችላሉ፣ እና ወደ ሌሎች መጽሃፎቹ (በሊኑክስ አስተዳደር እና በአገልጋይ ቨርቹዋልላይዜሽን ላይ) አገናኞች በ ላይ ይገኛሉ። bootstrap-it.com.

» ስለ መጽሐፉ ተጨማሪ መረጃ እባክዎን ይጎብኙ የአሳታሚው ድር ጣቢያ
» ማውጫ
» የተቀነጨበ

ለ Khabrozhiteli በኩፖኑ ላይ 25% ቅናሽ - ሊኑክስ
የመጽሐፉን የወረቀት ስሪት ሲከፍሉ, ኢ-መጽሐፍ ወደ ኢሜል ይላካል.

ምንጭ: hab.com

ሊኑክስ በተግባር መጽሐፍ