লিনাক্স ইন অ্যাকশন বই

হ্যালো, খবর বাসিন্দারা! বইটিতে, ডেভিড ক্লিনটন আপনার ব্যাকআপ এবং পুনরুদ্ধার সিস্টেম স্বয়ংক্রিয়করণ, ড্রপবক্স-স্টাইলের ব্যক্তিগত ফাইল ক্লাউড সেট আপ করা এবং আপনার নিজস্ব মিডিয়াউইকি সার্ভার তৈরি সহ 12টি বাস্তব-জীবনের প্রকল্পের বর্ণনা করেছেন। আপনি আকর্ষণীয় কেস স্টাডির মাধ্যমে ভার্চুয়ালাইজেশন, দুর্যোগ পুনরুদ্ধার, নিরাপত্তা, ব্যাকআপ, DevOps এবং সিস্টেম সমস্যা সমাধানের অন্বেষণ করবেন। প্রতিটি অধ্যায় সেরা অনুশীলনের পর্যালোচনা, নতুন পদের একটি শব্দকোষ এবং অনুশীলনের সাথে শেষ হয়।

উদ্ধৃতি "10.1. একটি OpenVPN টানেল তৈরি করা হচ্ছে"

আমি ইতিমধ্যে এই বইটিতে এনক্রিপশন সম্পর্কে অনেক কথা বলেছি। SSH এবং SCP দূরবর্তী সংযোগের মাধ্যমে স্থানান্তরিত ডেটা রক্ষা করতে পারে (অধ্যায় 3), ফাইল এনক্রিপশন ডেটা সুরক্ষিত করতে পারে যখন এটি সার্ভারে সংরক্ষণ করা হয় (অধ্যায় 8), এবং TLS/SSL শংসাপত্রগুলি সাইট এবং ক্লায়েন্ট ব্রাউজারগুলির মধ্যে স্থানান্তরিত ডেটা রক্ষা করতে পারে (অধ্যায় 9) . কিন্তু কখনও কখনও আপনার ডেটাকে সংযোগের বিস্তৃত পরিসরে সুরক্ষিত করতে হবে। উদাহরণস্বরূপ, হতে পারে আপনার দলের কিছু সদস্য পাবলিক হটস্পটের মাধ্যমে Wi-Fi এর সাথে সংযোগ করার সময় রাস্তায় কাজ করে৷ আপনার অবশ্যই অনুমান করা উচিত নয় যে এই ধরনের সমস্ত অ্যাক্সেস পয়েন্টগুলি সুরক্ষিত, তবে আপনার লোকেদের কোম্পানির সংস্থানগুলির সাথে সংযোগ করার জন্য একটি উপায় প্রয়োজন - এবং সেখানেই একটি VPN সাহায্য করতে পারে৷

একটি সঠিকভাবে ডিজাইন করা VPN টানেল দূরবর্তী ক্লায়েন্ট এবং সার্ভারের মধ্যে এমনভাবে একটি সরাসরি সংযোগ প্রদান করে যা একটি অনিরাপদ নেটওয়ার্কে ভ্রমণ করার সময় ডেটা লুকিয়ে রাখে। তাতে কি? আপনি ইতিমধ্যে অনেক টুল দেখেছেন যা এনক্রিপশনের মাধ্যমে এটি করতে পারে। একটি VPN এর আসল মান হল যে একটি টানেল খোলার মাধ্যমে আপনি দূরবর্তী নেটওয়ার্কগুলিকে এমনভাবে সংযুক্ত করতে পারেন যেন সেগুলি সমস্ত স্থানীয়। এক অর্থে, আপনি একটি বাইপাস ব্যবহার করছেন।

এই বর্ধিত নেটওয়ার্ক ব্যবহার করে, প্রশাসকরা যেকোন জায়গা থেকে তাদের সার্ভারে তাদের কাজ সম্পাদন করতে পারেন। কিন্তু আরও গুরুত্বপূর্ণ, একাধিক অবস্থানে ছড়িয়ে থাকা সংস্থানগুলি সেগুলিকে দৃশ্যমান এবং সমস্ত গোষ্ঠীর কাছে অ্যাক্সেসযোগ্য করে তুলতে পারে যেগুলি তাদের প্রয়োজন, তারা যেখানেই থাকুন না কেন (চিত্র 10.1)।

টানেল নিজেই নিরাপত্তার নিশ্চয়তা দেয় না। কিন্তু এনক্রিপশন মানগুলির মধ্যে একটি নেটওয়ার্ক কাঠামোতে অন্তর্ভুক্ত করা যেতে পারে, যা উল্লেখযোগ্যভাবে নিরাপত্তার স্তর বৃদ্ধি করে। ওপেন সোর্স OpenVPN প্যাকেজ ব্যবহার করে তৈরি করা টানেল একই TLS/SSL এনক্রিপশন ব্যবহার করে যা আপনি ইতিমধ্যেই পড়েছেন। OpenVPN একমাত্র টানেলিং বিকল্প উপলব্ধ নয়, তবে এটি সবচেয়ে পরিচিত একটি। এটিকে IPsec এনক্রিপশন ব্যবহার করে বিকল্প লেয়ার 2 টানেল প্রোটোকলের তুলনায় কিছুটা দ্রুত এবং আরও নিরাপদ বলে মনে করা হয়।

আপনি কি চান যে আপনার দলের সবাই রাস্তায় চলাকালীন বা বিভিন্ন বিল্ডিংয়ে কাজ করার সময় একে অপরের সাথে নিরাপদে যোগাযোগ করুক? এটি করার জন্য, আপনাকে একটি OpenVPN সার্ভার তৈরি করতে হবে যাতে অ্যাপ্লিকেশন শেয়ারিং এবং সার্ভারের স্থানীয় নেটওয়ার্ক পরিবেশে অ্যাক্সেসের অনুমতি দেওয়া যায়। এটি কাজ করার জন্য, আপনাকে যা করতে হবে তা হল দুটি ভার্চুয়াল মেশিন বা দুটি কন্টেইনার: একটি সার্ভার/হোস্ট হিসাবে কাজ করার জন্য এবং একটি ক্লায়েন্ট হিসাবে কাজ করার জন্য। একটি VPN তৈরি করা একটি সহজ প্রক্রিয়া নয়, তাই মনের মধ্যে বড় ছবি পেতে কয়েক মিনিট সময় লাগানো উচিত।

10.1.1। OpenVPN সার্ভার কনফিগারেশন

আপনি শুরু করার আগে, আমি আপনাকে কিছু সহায়ক পরামর্শ দেব। আপনি যদি এটি নিজে করতে যাচ্ছেন (এবং আমি আপনাকে সুপারিশ করছি), আপনি সম্ভবত আপনার ডেস্কটপে একাধিক টার্মিনাল উইন্ডো খোলার সাথে কাজ করছেন, প্রতিটি একটি ভিন্ন মেশিনের সাথে সংযুক্ত। একটি ঝুঁকি আছে যে কিছু সময়ে আপনি উইন্ডোতে ভুল কমান্ড প্রবেশ করবেন। এটি এড়াতে, আপনি কমান্ড লাইনে প্রদর্শিত মেশিনের নাম পরিবর্তন করতে হোস্টনাম কমান্ড ব্যবহার করতে পারেন যা আপনাকে স্পষ্টভাবে বলে যে আপনি কোথায় আছেন। একবার আপনি এটি করার পরে, আপনাকে সার্ভার থেকে লগ আউট করতে হবে এবং নতুন সেটিংস কার্যকর করার জন্য আবার লগ ইন করতে হবে৷ এটি দেখতে এটির মতো:

এই পদ্ধতি অনুসরণ করে এবং আপনি যে মেশিনগুলির সাথে কাজ করেন তার প্রতিটির উপযুক্ত নাম দেওয়ার মাধ্যমে, আপনি কোথায় আছেন তা সহজেই ট্র্যাক করতে পারেন।

হোস্টনাম ব্যবহার করার পরে, পরবর্তী কমান্ডগুলি চালানোর সময় আপনি হোস্ট OpenVPN-সার্ভার বার্তাগুলি সমাধান করতে অক্ষম বিরক্তিকর সম্মুখীন হতে পারেন৷ উপযুক্ত নতুন হোস্টনাম সহ /etc/hosts ফাইল আপডেট করলে সমস্যাটি সমাধান করা উচিত।

OpenVPN এর জন্য আপনার সার্ভার প্রস্তুত করা হচ্ছে

আপনার সার্ভারে OpenVPN ইনস্টল করতে, আপনার দুটি প্যাকেজ প্রয়োজন: openvpn এবং easy-rsa (এনক্রিপশন কী প্রজন্মের প্রক্রিয়া পরিচালনা করতে)। সেন্টোস ব্যবহারকারীদের প্রথমে প্রয়োজন হলে ইপেল-রিলিজ রিপোজিটরি ইনস্টল করা উচিত, যেমন আপনি অধ্যায় 2 এ করেছিলেন। সার্ভার অ্যাপ্লিকেশনে অ্যাক্সেস পরীক্ষা করতে সক্ষম হওয়ার জন্য, আপনি অ্যাপাচি ওয়েব সার্ভার (উবুন্টুতে apache2 এবং CentOS-এ httpd) ইনস্টল করতে পারেন।

আপনি যখন আপনার সার্ভার সেট আপ করছেন, আমি একটি ফায়ারওয়াল সক্রিয় করার পরামর্শ দিচ্ছি যা 22 (SSH) এবং 1194 (OpenVPN এর ডিফল্ট পোর্ট) ছাড়া সমস্ত পোর্ট ব্লক করে। এই উদাহরণটি ব্যাখ্যা করে কিভাবে ufw উবুন্টুতে কাজ করবে, কিন্তু আমি নিশ্চিত যে আপনি এখনও অধ্যায় 9 থেকে CentOS ফায়ারওয়ালড প্রোগ্রামটি মনে রাখবেন:

# ufw enable
# ufw allow 22
# ufw allow 1194

সার্ভারে নেটওয়ার্ক ইন্টারফেসের মধ্যে অভ্যন্তরীণ রাউটিং সক্রিয় করতে, আপনাকে /etc/sysctl.conf ফাইলে একটি লাইন (net.ipv4.ip_forward = 1) আনকমেন্ট করতে হবে। এটি দূরবর্তী ক্লায়েন্টদের সংযোগ করার পরে প্রয়োজন অনুসারে পুনঃনির্দেশিত করার অনুমতি দেবে। নতুন বিকল্পটি কাজ করতে, sysctl -p চালান:

# nano /etc/sysctl.conf
# sysctl -p

আপনার সার্ভারের পরিবেশ এখন সম্পূর্ণরূপে কনফিগার করা হয়েছে, কিন্তু আপনি প্রস্তুত হওয়ার আগে আরও একটি জিনিস করতে হবে: আপনাকে নিম্নলিখিত পদক্ষেপগুলি সম্পূর্ণ করতে হবে (আমরা পরবর্তীতে সেগুলিকে বিস্তারিতভাবে কভার করব)৷

1. সহজ-আরএসএ প্যাকেজের সাথে প্রদত্ত স্ক্রিপ্টগুলি ব্যবহার করে সার্ভারে পাবলিক কী অবকাঠামো (PKI) এনক্রিপশন কীগুলির একটি সেট তৈরি করুন। মূলত, OpenVPN সার্ভার তার নিজস্ব শংসাপত্র কর্তৃপক্ষ (CA) হিসাবেও কাজ করে।
2. ক্লায়েন্টের জন্য উপযুক্ত কী প্রস্তুত করুন
3. সার্ভারের জন্য server.conf ফাইলটি কনফিগার করুন
4. আপনার OpenVPN ক্লায়েন্ট সেট আপ করুন
5. আপনার VPN চেক করুন

এনক্রিপশন কী তৈরি করা হচ্ছে

জিনিসগুলি সহজ রাখতে, আপনি একই মেশিনে আপনার মূল অবকাঠামো সেট আপ করতে পারেন যেখানে OpenVPN সার্ভার চলছে। যাইহোক, নিরাপত্তার সর্বোত্তম অনুশীলনগুলি সাধারণত উত্পাদন স্থাপনার জন্য একটি পৃথক CA সার্ভার ব্যবহার করার পরামর্শ দেয়। OpenVPN-এ ব্যবহারের জন্য এনক্রিপশন কী রিসোর্স তৈরি ও বিতরণ করার প্রক্রিয়া চিত্রে চিত্রিত করা হয়েছে। 10.2।

যখন আপনি OpenVPN ইন্সটল করেন, তখন /etc/openvpn/ ডিরেক্টরিটি স্বয়ংক্রিয়ভাবে তৈরি হয়ে যায়, কিন্তু এতে এখনও কিছুই নেই। openvpn এবং সহজ-আরএসএ প্যাকেজগুলি উদাহরণ টেমপ্লেট ফাইলগুলির সাথে আসে যা আপনি আপনার কনফিগারেশনের ভিত্তি হিসাবে ব্যবহার করতে পারেন। সার্টিফিকেশন প্রক্রিয়া শুরু করতে, সহজ-আরএসএ টেমপ্লেট ডিরেক্টরিটি /usr/share/ থেকে /etc/openvpn-এ কপি করুন এবং easy-rsa/ ডিরেক্টরিতে পরিবর্তন করুন:

# cp -r /usr/share/easy-rsa/ /etc/openvpn
$ cd /etc/openvpn/easy-rsa

সহজ-আরএসএ ডিরেক্টরিতে এখন বেশ কয়েকটি স্ক্রিপ্ট থাকবে। টেবিলে 10.1 আপনি কী তৈরি করতে ব্যবহার করবেন এমন সরঞ্জামগুলির তালিকা করে।

উপরের ক্রিয়াকলাপগুলির জন্য রুট সুবিধার প্রয়োজন, তাই আপনাকে sudo su এর মাধ্যমে রুট হতে হবে।

আপনি যে প্রথম ফাইলটির সাথে কাজ করবেন সেটিকে vars বলা হয় এবং এতে এনভায়রনমেন্ট ভেরিয়েবল রয়েছে যা সহজ-আরএসএ কী তৈরি করার সময় ব্যবহার করে। ইতিমধ্যে সেখানে থাকা ডিফল্ট মানগুলির পরিবর্তে আপনার নিজস্ব মানগুলি ব্যবহার করতে আপনাকে ফাইলটি সম্পাদনা করতে হবে। এটি আমার ফাইলের মত হবে (তালিকা 10.1)।

তালিকা 10.1. ফাইলের প্রধান অংশগুলি /etc/openvpn/easy-rsa/vars

export KEY_COUNTRY="CA"
export KEY_PROVINCE="ON"
export KEY_CITY="Toronto"
export KEY_ORG="Bootstrap IT"
export KEY_EMAIL="[email protected]"
export KEY_OU="IT"

vars ফাইলটি চালানোর ফলে এর মানগুলি শেল পরিবেশে প্রেরণ করা হবে, যেখানে সেগুলি আপনার নতুন কীগুলির বিষয়বস্তুতে অন্তর্ভুক্ত করা হবে। কেন sudo কমান্ড নিজেই কাজ করে না? কারণ প্রথম ধাপে আমরা vars নামের স্ক্রিপ্টটি সম্পাদনা করি এবং তারপর এটি প্রয়োগ করি। প্রয়োগ করা এবং এর অর্থ হল vars ফাইলটি তার মানগুলি শেল পরিবেশে প্রেরণ করে, যেখানে সেগুলি আপনার নতুন কীগুলির বিষয়বস্তুতে অন্তর্ভুক্ত করা হবে।

অসমাপ্ত প্রক্রিয়াটি সম্পূর্ণ করতে একটি নতুন শেল ব্যবহার করে ফাইলটি পুনরায় চালানোর বিষয়ে নিশ্চিত হন। এটি হয়ে গেলে, /etc/openvpn/easy-rsa/keys/ ডিরেক্টরির যেকোনো বিষয়বস্তু মুছে ফেলার জন্য স্ক্রিপ্টটি আপনাকে অন্য একটি স্ক্রিপ্ট, ক্লিন-অল চালানোর জন্য অনুরোধ করবে:

স্বাভাবিকভাবেই, পরবর্তী ধাপ হল ক্লিন-অল স্ক্রিপ্ট চালানো, তারপরে build-ca, যা রুট সার্টিফিকেট তৈরি করতে pkitool স্ক্রিপ্ট ব্যবহার করে। আপনাকে vars দ্বারা প্রদত্ত পরিচয় সেটিংস নিশ্চিত করতে বলা হবে:

# ./clean-all
# ./build-ca
Generating a 2048 bit RSA private key

এরপর আসে বিল্ড-কী-সার্ভার স্ক্রিপ্ট। যেহেতু এটি নতুন রুট শংসাপত্রের সাথে একই pkitool স্ক্রিপ্ট ব্যবহার করে, আপনি কী জোড়া তৈরির বিষয়টি নিশ্চিত করতে একই প্রশ্নগুলি দেখতে পাবেন। আপনি পাস করা আর্গুমেন্টের উপর ভিত্তি করে কীগুলির নামকরণ করা হবে, যা, আপনি যদি এই মেশিনে একাধিক VPN চালান না, সাধারণত সার্ভার হবে, যেমন উদাহরণে:

# ./build-key-server server
[...]
Certificate is to be certified until Aug 15 23:52:34 2027 GMT (3650 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

OpenVPN ডিফি-হেলম্যান অ্যালগরিদম (বিল্ড-ডিএইচ ব্যবহার করে) দ্বারা উত্পন্ন পরামিতিগুলি ব্যবহার করে নতুন সংযোগের জন্য প্রমাণীকরণের জন্য আলোচনার জন্য। এখানে তৈরি করা ফাইলটি গোপন হওয়ার দরকার নেই, তবে বর্তমানে সক্রিয় RSA কীগুলির জন্য বিল্ড-ডিএইচ স্ক্রিপ্ট ব্যবহার করে তৈরি করা আবশ্যক। আপনি যদি ভবিষ্যতে নতুন আরএসএ কী তৈরি করেন তবে আপনাকে ডিফি-হেলম্যান ফাইলটিও আপডেট করতে হবে:

# ./build-dh

আপনার সার্ভার সাইড কীগুলি এখন /etc/openvpn/easy-rsa/keys/ ডিরেক্টরিতে শেষ হবে, কিন্তু OpenVPN এটি জানে না। ডিফল্টরূপে, OpenVPN /etc/openvpn/-এ কীগুলি সন্ধান করবে, তাই তাদের অনুলিপি করুন:

# cp /etc/openvpn/easy-rsa/keys/server* /etc/openvpn
# cp /etc/openvpn/easy-rsa/keys/dh2048.pem /etc/openvpn
# cp /etc/openvpn/easy-rsa/keys/ca.crt /etc/openvpn

ক্লায়েন্ট এনক্রিপশন কী প্রস্তুত করা হচ্ছে

আপনি ইতিমধ্যেই দেখেছেন, TLS এনক্রিপশন মিলিত কীগুলির জোড়া ব্যবহার করে: একটি সার্ভারে ইনস্টল করা এবং একটি দূরবর্তী ক্লায়েন্টে ইনস্টল করা। এর মানে আপনার ক্লায়েন্ট কী লাগবে। আমাদের পুরানো বন্ধু pkitool ঠিক এই জন্য আপনার কি প্রয়োজন. এই উদাহরণে, যখন আমরা প্রোগ্রামটি /etc/openvpn/easy-rsa/ ডিরেক্টরিতে চালাই, তখন আমরা এটিকে client.crt এবং client.key নামক ফাইল তৈরি করতে একটি ক্লায়েন্ট আর্গুমেন্ট পাস করি:

# ./pkitool client

দুটি ক্লায়েন্ট ফাইল, মূল ca.crt ফাইলের সাথে যা এখনও key/ ডিরেক্টরিতে রয়েছে, এখন নিরাপদে আপনার ক্লায়েন্টে স্থানান্তর করা উচিত। তাদের মালিকানা এবং অ্যাক্সেসের অধিকারের কারণে, এটি এত সহজ নাও হতে পারে। সবচেয়ে সহজ পদ্ধতি হল আপনার পিসির ডেস্কটপে চলমান একটি টার্মিনালে সোর্স ফাইলের বিষয়বস্তু (এবং সেই বিষয়বস্তু ছাড়া কিছুই নয়) ম্যানুয়ালি কপি করা (পাঠ্যটি নির্বাচন করুন, এতে ডান-ক্লিক করুন এবং মেনু থেকে অনুলিপি নির্বাচন করুন)। তারপর আপনার ক্লায়েন্টের সাথে সংযুক্ত একটি দ্বিতীয় টার্মিনালে আপনি যে নামে তৈরি করেন সেই একই নামের একটি নতুন ফাইলে এটি পেস্ট করুন।

তবে যে কেউ কাট এবং পেস্ট করতে পারেন। পরিবর্তে, একজন প্রশাসকের মত চিন্তা করুন কারণ আপনি সবসময় GUI-তে অ্যাক্সেস পাবেন না যেখানে কাট/পেস্ট অপারেশন সম্ভব। আপনার ব্যবহারকারীর হোম ডিরেক্টরিতে ফাইলগুলি অনুলিপি করুন (যাতে দূরবর্তী scp অপারেশন তাদের অ্যাক্সেস করতে পারে), এবং তারপরে ফাইলগুলির মালিকানা রুট থেকে একটি নিয়মিত নন-রুট ব্যবহারকারীতে পরিবর্তন করতে chown ব্যবহার করুন যাতে দূরবর্তী scp ক্রিয়া সম্পাদন করা যায়। নিশ্চিত করুন যে আপনার সমস্ত ফাইল বর্তমানে ইনস্টল এবং অ্যাক্সেসযোগ্য। আপনি সেগুলিকে একটু পরে ক্লায়েন্টের কাছে নিয়ে যাবেন:

# cp /etc/openvpn/easy-rsa/keys/client.key /home/ubuntu/
# cp /etc/openvpn/easy-rsa/keys/ca.crt /home/ubuntu/
# cp /etc/openvpn/easy-rsa/keys/client.crt /home/ubuntu/
# chown ubuntu:ubuntu /home/ubuntu/client.key
# chown ubuntu:ubuntu /home/ubuntu/client.crt
# chown ubuntu:ubuntu /home/ubuntu/ca.crt

যাওয়ার জন্য প্রস্তুত এনক্রিপশন কীগুলির সম্পূর্ণ সেট সহ, আপনাকে সার্ভারকে বলতে হবে আপনি কীভাবে VPN তৈরি করতে চান৷ এটি server.conf ফাইল ব্যবহার করে করা হয়।

কীস্ট্রোকের সংখ্যা কমানো

খুব বেশী টাইপিং আছে? বন্ধনী সহ সম্প্রসারণ এই ছয়টি কমান্ডকে দুটিতে কমাতে সাহায্য করবে। আমি নিশ্চিত যে আপনি এই দুটি উদাহরণ অধ্যয়ন করতে পারেন এবং বুঝতে পারেন কি হচ্ছে। আরও গুরুত্বপূর্ণভাবে, আপনি বুঝতে সক্ষম হবেন কীভাবে এই নীতিগুলি দশ বা এমনকি শত শত উপাদান জড়িত অপারেশনগুলিতে প্রয়োগ করতে হয়:

# cp /etc/openvpn/easy-rsa/keys/{ca.crt,client.{key,crt}} /home/ubuntu/
# chown ubuntu:ubuntu /home/ubuntu/{ca.crt,client.{key,crt}}

server.conf ফাইল সেট আপ করা হচ্ছে

কিভাবে আপনি জানতে পারেন যে server.conf ফাইলটি কেমন হওয়া উচিত? আপনি /usr/share/ থেকে কপি করা সহজ-আরএসএ ডিরেক্টরি টেমপ্লেটটি মনে রাখবেন? যখন আপনি OpenVPN ইনস্টল করেন, তখন আপনার কাছে একটি সংকুচিত কনফিগারেশন টেমপ্লেট ফাইল থাকে যা আপনি /etc/openvpn/ এ কপি করতে পারেন। আমি টেমপ্লেটটি আর্কাইভ করা হয়েছে তার উপর ভিত্তি করে তৈরি করব এবং আপনাকে একটি দরকারী টুলের সাথে পরিচয় করিয়ে দেব: zcat।

আপনি ইতিমধ্যে cat কমান্ড ব্যবহার করে একটি ফাইলের পাঠ্য বিষয়বস্তু পর্দায় মুদ্রণ সম্পর্কে জানেন, কিন্তু যদি ফাইলটি gzip ব্যবহার করে সংকুচিত হয়? আপনি সর্বদা ফাইলটি আনজিপ করতে পারেন এবং তারপরে বিড়াল আনন্দের সাথে এটি আউটপুট করবে, তবে এটি প্রয়োজনের চেয়ে আরও এক বা দুটি পদক্ষেপ। পরিবর্তে, আপনি অনুমান করতে পারেন, আপনি এক ধাপে আনপ্যাক করা পাঠ্যটিকে মেমরিতে লোড করতে zcat কমান্ড ইস্যু করতে পারেন। নিচের উদাহরণে, স্ক্রীনে টেক্সট প্রিন্ট করার পরিবর্তে, আপনি এটিকে server.conf নামে একটি নতুন ফাইলে রিডাইরেক্ট করবেন:

# zcat 
  /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz 
  > /etc/openvpn/server.conf
$ cd /etc/openvpn

আসুন ফাইলের সাথে আসা বিস্তৃত এবং সহায়ক ডকুমেন্টেশনগুলিকে একপাশে রাখি এবং আপনার সম্পাদনা শেষ হলে এটি দেখতে কেমন হতে পারে তা দেখুন। মনে রাখবেন যে সেমিকোলন (;) OpenVPN কে পরের লাইনটি পড়তে বা কার্যকর না করতে বলে (লিস্টিং 10.2)।

এর কিছু সেটিংস মাধ্যমে যান.

• ডিফল্টরূপে, OpenVPN পোর্ট 1194 এ চলে। আপনি এটি পরিবর্তন করতে পারেন, উদাহরণস্বরূপ, আপনার ক্রিয়াকলাপগুলিকে আরও আড়াল করতে বা অন্যান্য সক্রিয় টানেলের সাথে দ্বন্দ্ব এড়াতে। যেহেতু 1194 এর জন্য ক্লায়েন্টদের সাথে ন্যূনতম সমন্বয় প্রয়োজন, তাই এটি এইভাবে করা ভাল।
• OpenVPN ডেটা প্রেরণের জন্য ট্রান্সমিশন কন্ট্রোল প্রোটোকল (TCP) বা ব্যবহারকারী ডেটাগ্রাম প্রোটোকল (UDP) ব্যবহার করে। TCP একটু ধীর হতে পারে, কিন্তু এটি আরো নির্ভরযোগ্য এবং টানেলের উভয় প্রান্তে চলমান অ্যাপ্লিকেশন দ্বারা বোঝার সম্ভাবনা বেশি।
• আপনি যখন একটি সহজ, আরও দক্ষ আইপি টানেল তৈরি করতে চান যেটি ডেটা সামগ্রী বহন করে এবং অন্য কিছুই না তৈরি করতে চান তখন আপনি dev tun নির্দিষ্ট করতে পারেন। যদি, অন্য দিকে, আপনাকে একাধিক নেটওয়ার্ক ইন্টারফেস (এবং তারা যে নেটওয়ার্কগুলি প্রতিনিধিত্ব করে) সংযোগ করতে হবে, একটি ইথারনেট সেতু তৈরি করতে হবে, আপনাকে dev ট্যাপ বেছে নিতে হবে। আপনি এই সব মানে কি বুঝতে না হলে, টিউন আর্গুমেন্ট ব্যবহার করুন.
• পরের চারটি লাইন OpenVPN-কে সার্ভারে থাকা তিনটি প্রমাণীকরণ ফাইলের নাম এবং dh2048 বিকল্প ফাইলের নাম দেয় যা আপনি আগে তৈরি করেছেন।
• সার্ভার লাইন রেঞ্জ এবং সাবনেট মাস্ক সেট করে যা লগইন করার সময় ক্লায়েন্টদের আইপি ঠিকানা বরাদ্দ করতে ব্যবহার করা হবে।
• ঐচ্ছিক পুশ প্যারামিটার "রুট 10.0.3.0 255.255.255.0" দূরবর্তী ক্লায়েন্টদের সার্ভারের পিছনে ব্যক্তিগত সাবনেট অ্যাক্সেস করতে দেয়। এই কাজটি করার জন্য সার্ভারেই নেটওয়ার্ক সেট আপ করতে হবে যাতে ব্যক্তিগত সাবনেট OpenVPN সাবনেট (10.8.0.0) সম্পর্কে জানে৷
• পোর্ট-শেয়ার লোকালহোস্ট 80 লাইন আপনাকে 1194 পোর্টে আসা ক্লায়েন্ট ট্র্যাফিককে পোর্ট 80-এ শোনা স্থানীয় ওয়েব সার্ভারে পুনঃনির্দেশ করতে দেয়। তারপর যখন tcp প্রোটোকল নির্বাচন করা হয়।
• সেমিকোলন (;) সরিয়ে ব্যবহারকারীর কেউ নয় এবং গ্রুপ নোগ্রুপ লাইন অবশ্যই সক্রিয় করতে হবে। দূরবর্তী ক্লায়েন্টদের কেউ এবং নোগ্রুপ হিসাবে চালানোর জন্য বাধ্য করা নিশ্চিত করে যে সার্ভারে সেশনগুলি সুবিধাহীন।
• log নির্দিষ্ট করে যে বর্তমান লগ এন্ট্রিগুলি প্রতিবার OpenVPN শুরু করার সময় পুরানো এন্ট্রিগুলিকে ওভাররাইট করবে, যেখানে log-append বিদ্যমান লগ ফাইলে নতুন এন্ট্রি যুক্ত করে। openvpn.log ফাইলটি নিজেই /etc/openvpn/ ডিরেক্টরিতে লেখা হয়।

উপরন্তু, একটি ক্লায়েন্ট থেকে ক্লায়েন্ট মান প্রায়ই কনফিগারেশন ফাইলে যোগ করা হয় যাতে একাধিক ক্লায়েন্ট OpenVPN সার্ভার ছাড়াও একে অপরকে দেখতে পারে। আপনি যদি আপনার কনফিগারেশনে সন্তুষ্ট হন, আপনি OpenVPN সার্ভার শুরু করতে পারেন:

# systemctl start openvpn

OpenVPN এবং systemd-এর মধ্যে সম্পর্কের পরিবর্তিত প্রকৃতির কারণে, কখনও কখনও একটি পরিষেবা শুরু করার জন্য নিম্নলিখিত সিনট্যাক্সের প্রয়োজন হতে পারে: systemctl start openvpn@server।

আপনার সার্ভারের নেটওয়ার্ক ইন্টারফেস তালিকাভুক্ত করতে ip addr চালানোর ফলে এখন tun0 নামক একটি নতুন ইন্টারফেসের একটি লিঙ্ক আউটপুট করা উচিত। OpenVPN আগত ক্লায়েন্টদের পরিবেশন করার জন্য এটি তৈরি করবে:

$ ip addr
[...]
4: tun0: mtu 1500 qdisc [...]
      link/none
      inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0
          valid_lft forever preferred_lft forever

সবকিছু সম্পূর্ণরূপে কাজ শুরু করার আগে আপনাকে সার্ভারটি পুনরায় বুট করতে হতে পারে। পরবর্তী স্টপ হল ক্লায়েন্ট কম্পিউটার।

10.1.2। OpenVPN ক্লায়েন্ট কনফিগার করা হচ্ছে

ঐতিহ্যগতভাবে, টানেল কমপক্ষে দুটি প্রস্থান সহ নির্মিত হয় (অন্যথায় আমরা তাদের গুহা বলব)। সার্ভারে একটি সঠিকভাবে কনফিগার করা OpenVPN একদিকে সুড়ঙ্গের ভিতরে এবং বাইরে ট্র্যাফিক পরিচালনা করে। তবে আপনার ক্লায়েন্ট সাইডে, অর্থাৎ টানেলের অন্য প্রান্তে চলমান কিছু সফ্টওয়্যার প্রয়োজন হবে।

এই বিভাগে, আমি একটি OpenVPN ক্লায়েন্ট হিসাবে কাজ করার জন্য কিছু ধরণের লিনাক্স কম্পিউটার ম্যানুয়ালি সেট আপ করার উপর ফোকাস করতে যাচ্ছি। তবে এই সুযোগটি একমাত্র উপায় নয়। ওপেনভিপিএন ক্লায়েন্ট অ্যাপ্লিকেশনগুলিকে সমর্থন করে যেগুলি উইন্ডোজ বা ম্যাকওএস চালিত ডেস্কটপ এবং ল্যাপটপের পাশাপাশি অ্যান্ড্রয়েড এবং আইওএস স্মার্টফোন এবং ট্যাবলেটগুলিতে ইনস্টল এবং ব্যবহার করা যেতে পারে। বিস্তারিত জানার জন্য openvpn.net দেখুন।

OpenVPN প্যাকেজটিকে ক্লায়েন্ট মেশিনে ইনস্টল করতে হবে যেভাবে এটি সার্ভারে ইনস্টল করা হয়েছিল, যদিও এখানে সহজ-আরএসএর কোন প্রয়োজন নেই যেহেতু আপনি যে কীগুলি ব্যবহার করছেন তা ইতিমধ্যেই বিদ্যমান। আপনার তৈরি করা /etc/openvpn/ ডিরেক্টরিতে client.conf টেমপ্লেট ফাইলটি কপি করতে হবে। এইবার ফাইলটি জিপ করা হবে না, তাই নিয়মিত cp কমান্ডটি ঠিক কাজটি করবে:

# apt install openvpn
# cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf 
  /etc/openvpn/

আপনার client.conf ফাইলের বেশিরভাগ সেটিংস বেশ স্ব-ব্যাখ্যামূলক হবে: সেগুলি সার্ভারের মানগুলির সাথে মেলে। আপনি নিম্নলিখিত উদাহরণ ফাইল থেকে দেখতে পাচ্ছেন, অনন্য প্যারামিটার হল দূরবর্তী 192.168.1.23 1194, যা ক্লায়েন্টকে সার্ভারের IP ঠিকানা বলে। আবার, নিশ্চিত করুন যে এটি আপনার সার্ভার ঠিকানা। একটি সম্ভাব্য ম্যান-ইন-দ্য-মিডল আক্রমণ প্রতিরোধ করতে আপনার ক্লায়েন্ট কম্পিউটারকে সার্ভার শংসাপত্রের সত্যতা যাচাই করতে বাধ্য করা উচিত। এটি করার একটি উপায় হল লাইন remote-cert-tls সার্ভার যোগ করা (লিস্টিং 10.3)।

আপনি এখন /etc/openvpn/ ডিরেক্টরিতে যেতে পারেন এবং সার্ভার থেকে সার্টিফিকেশন কীগুলি বের করতে পারেন। আপনার মানগুলির সাথে উদাহরণে সার্ভারের আইপি ঠিকানা বা ডোমেন নাম প্রতিস্থাপন করুন:

আপনি ক্লায়েন্টে OpenVPN না চালানো পর্যন্ত উত্তেজনাপূর্ণ কিছু ঘটবে না। যেহেতু আপনাকে কয়েকটি আর্গুমেন্ট পাস করতে হবে, আপনি কমান্ড লাইন থেকে এটি করবেন। --tls-ক্লায়েন্ট আর্গুমেন্ট OpenVPN কে বলে যে আপনি একজন ক্লায়েন্ট হিসাবে কাজ করবেন এবং TLS এনক্রিপশনের মাধ্যমে সংযোগ করবেন এবং --config আপনার কনফিগারেশন ফাইলে পয়েন্ট করবে:

# openvpn --tls-client --config /etc/openvpn/client.conf

আপনি সঠিকভাবে সংযুক্ত আছেন তা নিশ্চিত করতে কমান্ড আউটপুটটি সাবধানে পড়ুন। যদি প্রথমবার কিছু ভুল হয়ে যায়, তবে এটি সার্ভার এবং ক্লায়েন্ট কনফিগারেশন ফাইলের মধ্যে সেটিংসে অমিল বা নেটওয়ার্ক সংযোগ/ফায়ারওয়াল সমস্যার কারণে হতে পারে। এখানে কিছু সমস্যা সমাধানের টিপস আছে।

• ক্লায়েন্টে OpenVPN অপারেশনের আউটপুট সাবধানে পড়ুন। এতে প্রায়ই মূল্যবান পরামর্শ থাকে যে ঠিক কী করা যাবে না এবং কেন।
• সার্ভারের /etc/openvpn/ ডিরেক্টরিতে openvpn.log এবং openvpn-status.log ফাইলগুলিতে ত্রুটি বার্তাগুলি পরীক্ষা করুন।
• OpenVPN-সম্পর্কিত এবং সময়মতো বার্তাগুলির জন্য সার্ভার এবং ক্লায়েন্টে সিস্টেম লগগুলি পরীক্ষা করুন৷ (journalctl -ce সাম্প্রতিকতম এন্ট্রি প্রদর্শন করবে।)
• সার্ভার এবং ক্লায়েন্টের মধ্যে আপনার একটি সক্রিয় নেটওয়ার্ক সংযোগ রয়েছে তা নিশ্চিত করুন (অধ্যায় 14 এ এই বিষয়ে আরও)।

লেখক সম্পর্কে

ডেভিড ক্লিনটন - সিস্টেম অ্যাডমিনিস্ট্রেটর, শিক্ষক এবং লেখক। তিনি লিনাক্স সিস্টেম, ক্লাউড কম্পিউটিং (বিশেষ করে এডব্লিউএস) এবং ডকারের মতো কনটেইনার প্রযুক্তি সহ অনেক গুরুত্বপূর্ণ প্রযুক্তিগত বিষয়গুলির জন্য পরিচালনা করেছেন, লিখেছেন এবং শিক্ষাগত উপকরণ তৈরি করেছেন। তিনি লার্ন অ্যামাজন ওয়েব সার্ভিসেস ইন এ মান্থ অব লাঞ্চ (ম্যানিং, 2017) বইটি লিখেছেন। তার অনেক ভিডিও প্রশিক্ষণ কোর্স Pluralsight.com এ পাওয়া যাবে, এবং তার অন্যান্য বইয়ের লিঙ্ক (লিনাক্স প্রশাসন এবং সার্ভার ভার্চুয়ালাইজেশন) এখানে পাওয়া যাবে bootstrap-it.com.

» বইটি সম্পর্কে আরও বিস্তারিত এখানে পাওয়া যাবে প্রকাশকের ওয়েবসাইট
» বিষয়বস্তু সূচি
» উদ্ধৃতি

Khabrozhiteley জন্য কুপন ব্যবহার করে 25% ছাড় - লিনাক্স
বইটির কাগজের সংস্করণের অর্থ প্রদানের পরে, একটি ইলেকট্রনিক বই ই-মেইলে পাঠানো হবে।

উত্স: www.habr.com