Linux sa Aksyon nga libro

Kumusta, mga residente sa Khabro! Sa libro, si David Clinton naghulagway sa 12 ka tinuod nga kinabuhi nga mga proyekto, lakip ang pag-automate sa imong backup ug recovery system, pag-set up sa Dropbox-style nga personal nga file cloud, ug paghimo sa imong kaugalingong MediaWiki server. Susihon nimo ang virtualization, pagbawi sa katalagman, seguridad, backup, DevOps, ug pag-troubleshoot sa sistema pinaagi sa makapaikag nga mga pagtuon sa kaso. Ang matag kapitulo matapos sa usa ka pagrepaso sa labing maayo nga mga gawi, usa ka glossary sa bag-ong mga termino, ug mga ehersisyo.

Kinutlo "10.1. Paghimo og OpenVPN tunnel"

Daghan na kog nahisgotan bahin sa encryption niining libroha. Ang SSH ug SCP makapanalipod sa datos nga gibalhin sa layo nga mga koneksyon (Kapitulo 3), ang file encryption makapanalipod sa datos samtang kini gitipigan sa server (Kapitulo 8), ug ang TLS/SSL nga mga sertipiko makapanalipod sa datos nga gibalhin tali sa mga site ug mga browser sa kliyente (Kapitulo 9) . Apan usahay ang imong data kinahanglan nga protektahan sa daghang mga koneksyon. Pananglitan, tingali ang pipila sa imong mga miyembro sa team nagtrabaho sa dalan samtang nagkonektar sa Wi-Fi pinaagi sa mga publikong hotspot. Dili gyud nimo kinahanglan nga hunahunaon nga ang tanan nga ingon nga mga access point luwas, apan ang imong mga tawo nanginahanglan usa ka paagi aron makonektar sa mga kapanguhaan sa kompanya-ug kana kung diin makatabang ang usa ka VPN.

Ang usa ka husto nga gidisenyo nga VPN tunnel naghatag usa ka direkta nga koneksyon tali sa hilit nga mga kliyente ug sa server sa paagi nga nagtago sa datos samtang nagbiyahe kini sa usa ka dili sigurado nga network. Unya? Nakita na nimo ang daghang mga himan nga makahimo niini gamit ang pag-encrypt. Ang tinuud nga kantidad sa usa ka VPN mao nga pinaagi sa pag-abli sa usa ka tunel, mahimo nimong makonektar ang mga hilit nga network nga ingon sila tanan lokal. Sa usa ka diwa, naggamit ka ug bypass.

Gamit kining gipalapdan nga network, ang mga administrador makahimo sa ilang trabaho sa ilang mga server gikan sa bisan asa. Apan labaw sa tanan, ang usa ka kompanya nga adunay mga kapanguhaan nga mikaylap sa daghang mga lokasyon makahimo silang tanan nga makita ug ma-access sa tanan nga mga grupo nga nanginahanglan kanila, bisan asa sila (Figure 10.1).

Ang tunel mismo dili garantiya sa seguridad. Apan ang usa sa mga sumbanan sa pag-encrypt mahimong maapil sa istruktura sa network, nga labi nga nagdugang ang lebel sa seguridad. Ang mga tunel nga gihimo gamit ang open source nga OpenVPN package naggamit sa samang TLS/SSL encryption nga nabasa na nimo. Ang OpenVPN dili lamang ang kapilian sa tunneling nga magamit, apan kini usa sa labing nailhan. Giisip kini nga mas paspas ug mas luwas kay sa alternatibong Layer 2 tunnel protocol nga naggamit sa IPsec encryption.

Gusto ba nimo nga ang tanan sa imong team magkomunikar nga luwas sa usag usa samtang naa sa dalan o nagtrabaho sa lainlaing mga bilding? Aron mahimo kini, kinahanglan nimo nga maghimo usa ka OpenVPN server aron tugutan ang pagpaambit sa aplikasyon ug pag-access sa lokal nga palibot sa network sa server. Aron kini molihok, ang kinahanglan nimong buhaton mao ang pagpadagan sa duha ka virtual nga makina o duha ka sulud: usa nga molihok ingon server / host ug ang usa molihok ingon kliyente. Ang pagtukod sa usa ka VPN dili usa ka yano nga proseso, mao nga kinahanglan nga mogahin og pipila ka minuto aron makuha ang dako nga litrato sa hunahuna.

10.1.1. OpenVPN Server Configuration

Sa dili ka pa magsugod, hatagan ko ikaw pipila ka makatabang nga tambag. Kung buhaton nimo kini sa imong kaugalingon (ug girekomenda ko nga buhaton nimo), tingali makit-an nimo ang imong kaugalingon nga nagtrabaho sa daghang mga terminal windows nga bukas sa imong Desktop, ang matag usa konektado sa lainlaing makina. Adunay usa ka risgo nga sa usa ka punto ikaw mosulod sa sayop nga sugo ngadto sa bintana. Aron malikayan kini, mahimo nimong gamiton ang hostname command aron usbon ang ngalan sa makina nga gipakita sa command line ngadto sa usa ka butang nga klaro nga nagsulti kanimo kung asa ka. Kung buhaton nimo kini, kinahanglan nimo nga mag-log out sa server ug mag-log in alang sa mga bag-ong setting nga magamit. Mao kini ang hitsura niini:

Pinaagi sa pagsunod niini nga pamaagi ug paghatag ug tukma nga mga ngalan sa matag usa sa mga makina nga imong gitrabahoan, dali nimong masubay kung asa ka.

Human sa paggamit sa hostname, mahimo nimong masugatan ang makalagot nga Dili Masulbad ang mga mensahe sa Host OpenVPN-Server sa dihang magpatuman sa sunod nga mga sugo. Ang pag-update sa /etc/hosts file nga adunay tukma nga bag-ong hostname kinahanglan nga masulbad ang isyu.

Pag-andam sa imong server alang sa OpenVPN

Aron ma-install ang OpenVPN sa imong server, kinahanglan nimo ang duha ka pakete: openvpn ug easy-rsa (aron madumala ang proseso sa paghimo sa yawe sa pag-encrypt). Ang mga tiggamit sa CentOS kinahanglan una nga mag-install sa epel-release repository kung gikinahanglan, sama sa imong gibuhat sa Kapitulo 2. Aron masulayan ang pag-access sa aplikasyon sa server, mahimo usab nimo i-install ang Apache web server (apache2 sa Ubuntu ug httpd sa CentOS).

Samtang nag-set up ka sa imong server, girekomendar nako ang pagpaaktibo sa firewall nga nagbabag sa tanang port gawas sa 22 (SSH) ug 1194 (Default nga port sa OpenVPN). Kini nga pananglitan nag-ilustrar kung giunsa ang ufw molihok sa Ubuntu, apan sigurado ako nga nahinumduman pa nimo ang programa sa CentOS firewalld gikan sa Kapitulo 9:

# ufw enable
# ufw allow 22
# ufw allow 1194

Aron mahimo ang internal routing tali sa mga interface sa network sa server, kinahanglan nimo nga i-uncomment ang usa ka linya (net.ipv4.ip_forward = 1) sa /etc/sysctl.conf file. Kini magtugot sa mga hilit nga kliyente nga ma-redirect kung gikinahanglan kung sila konektado. Aron mahimo ang bag-ong opsyon nga magamit, pagdagan sysctl -p:

# nano /etc/sysctl.conf
# sysctl -p

Ang imong server environment hingpit na nga na-configure, apan aduna pay usa ka butang nga buhaton sa dili pa ikaw andam: kinahanglan nimo nga kompletohon ang mosunod nga mga lakang (atong hisgotan kini sa sunod nga detalye).

1. Paghimo ug set sa public key infrastructure (PKI) encryption keys sa server gamit ang mga script nga gihatag sa easy-rsa package. Sa tinuud, ang OpenVPN server naglihok usab ingon kaugalingon nga awtoridad sa sertipiko (CA).
2. Pag-andam og angay nga mga yawe alang sa kliyente
3. I-configure ang server.conf file para sa server
4. I-set up ang imong OpenVPN nga kliyente
5. Susiha ang imong VPN

Paghimo sa mga yawe sa pag-encrypt

Aron mapasimple ang mga butang, mahimo nimong i-set up ang imong yawe nga imprastraktura sa parehas nga makina diin nagdagan ang server sa OpenVPN. Bisan pa, ang labing kaayo nga mga gawi sa seguridad kasagaran nagsugyot sa paggamit sa usa ka bulag nga server sa CA alang sa mga pag-deploy sa produksiyon. Ang proseso sa pagmugna ug pag-apod-apod sa encryption key resources para magamit sa OpenVPN gihulagway sa Fig. 10.2.

Sa dihang imong gi-install ang OpenVPN, ang /etc/openvpn/ directory awtomatik nga gihimo, apan wala pa kini. Ang openvpn ug easy-rsa nga mga pakete adunay mga pananglitan nga template file nga mahimo nimong gamiton isip basehan sa imong configuration. Aron masugdan ang proseso sa sertipikasyon, kopyaha ang easy-rsa template directory gikan sa /usr/share/ ngadto sa /etc/openvpn ug usba ang easy-rsa/ directory:

# cp -r /usr/share/easy-rsa/ /etc/openvpn
$ cd /etc/openvpn/easy-rsa

Ang dali-rsa nga direktoryo karon adunay daghang mga script. Sa lamesa 10.1 naglista sa mga himan nga imong gamiton sa paghimo og mga yawe.

Ang mga operasyon sa ibabaw nanginahanglan mga pribilehiyo sa gamut, busa kinahanglan nimo nga mahimong gamut pinaagi sa sudo su.

Ang una nga file nga imong buhaton mao ang gitawag nga vars ug naglangkob sa mga variable sa palibot nga dali nga gigamit sa rsa sa paghimo og mga yawe. Kinahanglan nimo nga i-edit ang file aron magamit ang imong kaugalingon nga mga kantidad imbis nga mga default nga kantidad nga naa na. Kini ang hitsura sa akong file (Listahan 10.1).

Paglista 10.1. Pangunang mga tipik sa file /etc/openvpn/easy-rsa/vars

export KEY_COUNTRY="CA"
export KEY_PROVINCE="ON"
export KEY_CITY="Toronto"
export KEY_ORG="Bootstrap IT"
export KEY_EMAIL="[email protected]"
export KEY_OU="IT"

Ang pagpadagan sa vars file ipasa ang mga kantidad niini sa palibot sa kabhang, diin kini iapil sa sulud sa imong bag-ong mga yawe. Ngano nga ang sudo nga mando sa iyang kaugalingon dili molihok? Tungod kay sa unang lakang atong gi-edit ang script nga ginganlag vars ug dayon i-apply kini. Ang pag-aplay ug nagpasabut nga ang vars file nagpasa sa mga kantidad niini sa palibot sa kabhang, diin kini ilakip sa sulud sa imong bag-ong mga yawe.

Siguruha nga ipadagan pag-usab ang file gamit ang usa ka bag-ong kabhang aron makompleto ang wala pa nahuman nga proseso. Kung nahuman na kini, ang script mag-aghat kanimo sa pagpadagan sa lain nga script, limpyo-tanan, aron makuha ang bisan unsang sulud sa /etc/openvpn/easy-rsa/keys/ direktoryo:

Natural, ang sunod nga lakang mao ang pagpadagan sa clean-all nga script, gisundan sa build-ca, nga naggamit sa pkitool script sa paghimo sa root certificate. Pangutan-on ka sa pagkumpirma sa mga setting sa pagkatawo nga gihatag sa mga vars:

# ./clean-all
# ./build-ca
Generating a 2048 bit RSA private key

Sunod moabut ang build-key-server script. Tungod kay gigamit niini ang parehas nga script sa pkitool kauban ang bag-ong sertipiko sa ugat, makita nimo ang parehas nga mga pangutana aron makumpirma ang paghimo sa yawe nga pares. Ang mga yawe paganganlan pinasukad sa mga argumento nga imong gipasa, nga, gawas kung nagdagan ka daghang mga VPN sa kini nga makina, kasagaran server, sama sa pananglitan:

# ./build-key-server server
[...]
Certificate is to be certified until Aug 15 23:52:34 2027 GMT (3650 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

Ang OpenVPN naggamit sa mga parameter nga gihimo sa Diffie-Hellman algorithm (gamit ang build-dh) aron makigsabot sa pag-authenticate alang sa bag-ong mga koneksyon. Ang file nga gihimo dinhi dili kinahanglan nga sekreto, apan kinahanglan nga mamugna gamit ang build-dh script alang sa RSA nga mga yawe nga aktibo karon. Kung maghimo ka bag-ong mga yawe sa RSA sa umaabot, kinahanglan nimo usab nga i-update ang Diffie-Hellman file:

# ./build-dh

Ang imong mga yawe sa kilid sa server mahiadto na sa /etc/openvpn/easy-rsa/keys/ direktoryo, apan ang OpenVPN wala mahibalo niini. Sa kasagaran, ang OpenVPN mangita alang sa mga yawe sa /etc/openvpn/, busa kopyaha kini:

# cp /etc/openvpn/easy-rsa/keys/server* /etc/openvpn
# cp /etc/openvpn/easy-rsa/keys/dh2048.pem /etc/openvpn
# cp /etc/openvpn/easy-rsa/keys/ca.crt /etc/openvpn

Pag-andam sa Client Encryption Keys

Sama sa imong nakita na, ang TLS encryption naggamit sa mga pares nga magkaparehas nga mga yawe: usa nga na-install sa server ug usa nga na-install sa layo nga kliyente. Kini nagpasabut nga kinahanglan nimo ang mga yawe sa kliyente. Ang among daan nga higala nga pkitool mao gyud ang imong kinahanglan alang niini. Sa kini nga pananglitan, kung gipadagan namon ang programa sa /etc/openvpn/easy-rsa/ direktoryo, gipasa namon kini usa ka argumento sa kliyente aron makamugna og mga file nga gitawag client.crt ug client.key:

# ./pkitool client

Ang duha ka mga file sa kliyente, uban sa orihinal nga ca.crt file nga anaa pa sa mga yawe/ direktoryo, kinahanglan nga luwas nga ibalhin ngadto sa imong kliyente. Tungod sa ilang pagpanag-iya ug mga katungod sa pag-access, dili kini kadali. Ang pinakasimple nga pamaagi mao ang pagkopya sa mga sulod sa source file (ug walay lain gawas sa sulod) ngadto sa terminal nga nagdagan sa desktop sa imong PC (pilia ang teksto, i-right-click kini ug pilia ang Kopyaha gikan sa menu). Dayon i-paste kini sa usa ka bag-ong file nga adunay parehas nga ngalan nga imong gihimo sa usa ka ikaduha nga terminal nga konektado sa imong kliyente.

Apan bisan kinsa mahimong magputol ug magdikit. Hinunoa, hunahunaa sama sa usa ka administrador tungod kay dili ka kanunay adunay access sa GUI diin ang cut/paste nga mga operasyon posible. Kopyaha ang mga file ngadto sa home directory sa imong user (aron ma-access kini sa remote scp operation), ug dayon gamita ang chown aron usbon ang pagpanag-iya sa mga file gikan sa root ngadto sa usa ka regular nga non-root user aron ang remote scp nga aksyon mahimo. Siguroha nga ang tanan nimong mga file kasamtangang na-install ug ma-access. Imong ibalhin sila sa kliyente sa ulahi:

# cp /etc/openvpn/easy-rsa/keys/client.key /home/ubuntu/
# cp /etc/openvpn/easy-rsa/keys/ca.crt /home/ubuntu/
# cp /etc/openvpn/easy-rsa/keys/client.crt /home/ubuntu/
# chown ubuntu:ubuntu /home/ubuntu/client.key
# chown ubuntu:ubuntu /home/ubuntu/client.crt
# chown ubuntu:ubuntu /home/ubuntu/ca.crt

Uban sa usa ka bug-os nga hugpong sa mga yawe sa pag-encrypt nga andam na, kinahanglan nimo nga isulti sa server kung giunsa nimo paghimo ang VPN. Gihimo kini gamit ang server.conf file.

Pagpakunhod sa gidaghanon sa mga keystroke

Naa bay sobra nga pag-type? Ang pagpalapad sa mga bracket makatabang sa pagpakunhod niining unom ka mga sugo ngadto sa duha. Sigurado ko nga mahimo nimong tun-an kining duha ka pananglitan ug masabtan kung unsa ang nahitabo. Labaw sa tanan, masabtan nimo kung giunsa paggamit kini nga mga prinsipyo sa mga operasyon nga naglambigit sa napulo o bisan gatosan nga mga elemento:

# cp /etc/openvpn/easy-rsa/keys/{ca.crt,client.{key,crt}} /home/ubuntu/
# chown ubuntu:ubuntu /home/ubuntu/{ca.crt,client.{key,crt}}

Pag-set up sa server.conf file

Giunsa nimo pagkahibalo kung unsa ang hitsura sa server.conf file? Hinumdomi ang sayon-rsa nga template sa direktoryo nga imong gikopya gikan sa /usr/share/? Sa dihang imong gi-install ang OpenVPN, nabilin kanimo ang usa ka compressed configuration template file nga mahimo nimong kopyahon sa /etc/openvpn/. Magtukod ako sa kamatuoran nga ang template gi-archive ug gipaila-ila ka sa usa ka mapuslanon nga himan: zcat.

Nahibal-an na nimo ang bahin sa pag-imprinta sa sulud sa teksto sa usa ka file sa screen gamit ang cat command, apan unsa man kung ang file gi-compress gamit ang gzip? Mahimo nimo kanunay nga i-unzip ang file ug dayon ang iring malipay nga magpagawas niini, apan kana usa o duha pa nga mga lakang kaysa kinahanglan. Hinunoa, sama sa imong natag-an, mahimo nimong i-isyu ang zcat command aron i-load ang wala pa naputos nga teksto sa memorya sa usa ka lakang. Sa mosunod nga pananglitan, imbes nga mag-imprinta og teksto sa screen, i-redirect nimo kini sa bag-ong file nga gitawag og server.conf:

# zcat 
  /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz 
  > /etc/openvpn/server.conf
$ cd /etc/openvpn

Atong isalikway ang lapad ug makatabang nga dokumentasyon nga kauban sa file ug tan-awon kung unsa ang hitsura niini kung nahuman ka na sa pag-edit. Timan-i nga ang semicolon (;) nagsulti sa OpenVPN nga dili basahon o ipatuman ang sunod nga linya (Listing 10.2).

Atong susihon ang pipila niini nga mga setting.

• Sa kasagaran, ang OpenVPN midagan sa port 1194. Mahimo nimong usbon kini, pananglitan, aron matago pa ang imong mga kalihokan o malikayan ang mga panagbangi sa ubang mga aktibong tunnel. Tungod kay ang 1194 nanginahanglan gamay nga koordinasyon sa mga kliyente, labing maayo nga buhaton kini nga paagi.
• Gigamit sa OpenVPN ang Transmission Control Protocol (TCP) o User Datagram Protocol (UDP) aron mapadala ang datos. Ang TCP mahimong mas hinay, apan mas kasaligan ug mas lagmit nga masabtan sa mga aplikasyon nga nagdagan sa duha ka tumoy sa tunel.
• Mahimo nimong ipiho ang dev tun kung gusto nimo maghimo usa ka labi ka simple, labi ka episyente nga tunel sa IP nga nagdala sa sulud sa datos ug wala nay lain. Kung, sa laing bahin, kinahanglan nimo nga makonektar ang daghang mga interface sa network (ug ang mga network nga ilang girepresentahan), paghimo usa ka tulay sa Ethernet, kinahanglan nimo nga pilion ang dev tap. Kung dili nimo masabtan kung unsa ang gipasabut niining tanan, gamita ang tun nga argumento.
• Ang sunod nga upat ka linya naghatag sa OpenVPN sa mga ngalan sa tulo ka mga file sa pag-authenticate sa server ug ang dh2048 nga mga kapilian nga file nga imong gibuhat kaniadto.
• Ang linya sa server nagtakda sa range ug subnet mask nga gamiton sa pag-assign sa mga IP address sa mga kliyente sa pag-login.
• Ang opsyonal nga parameter sa pagduso nga "ruta 10.0.3.0 255.255.255.0" nagtugot sa mga hilit nga kliyente nga maka-access sa mga pribadong subnet sa likod sa server. Ang paghimo niini nga trabaho nagkinahanglan usab og pag-set up sa network sa server mismo aron ang pribadong subnet makahibalo bahin sa OpenVPN subnet (10.8.0.0).
• Ang port-share localhost 80 nga linya nagtugot kanimo sa pag-redirect sa trapiko sa kliyente nga moabut sa port 1194 ngadto sa usa ka lokal nga web server nga naminaw sa port 80. (Kini mahimong mapuslanon kon imong gamiton ang web server sa pagsulay sa imong VPN.) Kini molihok lamang unya kung gipili ang tcp protocol.
• Ang user nobody ug group nogroup nga linya kinahanglang ma-enable pinaagi sa pagtangtang sa semicolons (;). Ang pagpugos sa mga hilit nga kliyente sa pagdagan ingon wala’y bisan kinsa ug wala’y grupo nagsiguro nga ang mga sesyon sa server wala’y pribilehiyo.
• Ang log nagtino nga ang kasamtangang log entries mo-overwrite sa daan nga mga entry matag higayon nga magsugod ang OpenVPN, samtang ang log-append magdugang og bag-ong mga entry sa kasamtangan nga log file. Ang openvpn.log file mismo gisulat sa /etc/openvpn/ directory.

Dugang pa, ang usa ka kliyente-sa-kliyente nga kantidad kanunay usab nga idugang sa file sa pag-configure aron daghang mga kliyente ang makakita sa usag usa dugang sa OpenVPN server. Kung natagbaw ka sa imong configuration, mahimo nimong sugdan ang OpenVPN server:

# systemctl start openvpn

Tungod sa pagbag-o sa kinaiya sa relasyon tali sa OpenVPN ug systemd, ang mosunod nga syntax usahay gikinahanglan aron makasugod ug serbisyo: systemctl magsugod openvpn@server.

Ang pagpadagan sa ip addr aron ilista ang mga interface sa network sa imong server kinahanglan na karon nga magpagawas sa usa ka link sa usa ka bag-ong interface nga gitawag tun0. Ang OpenVPN maghimo niini aron sa pag-alagad sa umaabot nga mga kliyente:

$ ip addr
[...]
4: tun0: mtu 1500 qdisc [...]
      link/none
      inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0
          valid_lft forever preferred_lft forever

Tingali kinahanglan nimo nga i-reboot ang server sa dili pa magsugod ang tanan nga molihok sa hingpit. Ang sunod nga paghunong mao ang kompyuter sa kliyente.

10.1.2. Pag-configure sa kliyente sa OpenVPN

Sa naandan, ang mga tunel gihimo nga adunay labing menos duha ka exit (kon dili tawgon kini nga mga langob). Ang usa ka husto nga gi-configure nga OpenVPN sa server nagdumala sa trapiko sa sulod ug gawas sa tunel sa usa ka kilid. Apan kinahanglan nimo usab ang pipila ka software nga nagdagan sa kilid sa kliyente, kana, sa pikas tumoy sa tunel.

Sa niini nga seksyon, ako magpunting sa mano-mano nga pag-set up sa usa ka matang sa Linux nga kompyuter aron molihok isip kliyente sa OpenVPN. Apan dili lamang kini ang paagi diin kini nga oportunidad magamit. Gisuportahan sa OpenVPN ang mga aplikasyon sa kliyente nga mahimong ma-install ug magamit sa mga desktop ug laptop nga nagdagan sa Windows o macOS, ingon man mga Android ug iOS nga mga smartphone ug tablet. Tan-awa ang openvpn.net para sa mga detalye.

Ang OpenVPN nga pakete kinahanglan nga ma-install sa makina sa kliyente ingon nga kini gi-install sa server, bisan kung wala’y kinahanglan nga dali-rsa dinhi tungod kay ang mga yawe nga imong gigamit naa na. Kinahanglan nimong kopyahon ang file sa template nga client.conf ngadto sa direktoryo nga /etc/openvpn/ nga bag-o lang nimo gibuhat. Niining higayona ang file dili ma-zip, mao nga ang regular nga cp command makahimo sa trabaho nga maayo:

# apt install openvpn
# cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf 
  /etc/openvpn/

Kadaghanan sa mga setting sa imong client.conf nga file mahimong klaro sa kaugalingon: kinahanglan nga motakdo sila sa mga kantidad sa server. Sama sa imong makita gikan sa mosunod nga pananglitan nga file, ang talagsaon nga parameter mao ang hilit nga 192.168.1.23 1194, nga nagsulti sa kliyente sa IP address sa server. Pag-usab, siguroha nga kini ang imong adres sa server. Kinahanglan mo usab nga pugson ang kompyuter sa kliyente sa pagsusi sa pagkatinuod sa sertipiko sa server aron mapugngan ang posibleng pag-atake sa tawo. Usa ka paagi sa pagbuhat niini mao ang pagdugang sa linya nga remote-cert-tls server (Listing 10.3).

Makaadto ka na sa /etc/openvpn/ direktoryo ug makuha ang mga yawe sa sertipikasyon gikan sa server. Ilisan ang server IP address o domain name sa pananglitan sa imong mga mithi:

Wala’y kulbahinam nga mahitabo hangtod nga imong gipadagan ang OpenVPN sa kliyente. Tungod kay kinahanglan nimo nga ipasa ang usa ka magtiayon nga mga argumento, buhaton nimo kini gikan sa linya sa mando. Ang --tls-client nga argumento nagsulti sa OpenVPN nga ikaw molihok isip usa ka kliyente ug magkonektar pinaagi sa TLS encryption, ug --config nagpunting sa imong configuration file:

# openvpn --tls-client --config /etc/openvpn/client.conf

Basaha pag-ayo ang output sa command aron masiguro nga husto ka nga konektado. Kung adunay mahitabo nga sayup sa unang higayon, kini mahimong tungod sa usa ka mismatch sa mga setting tali sa server ug client configuration files o usa ka network connection/firewall nga isyu. Ania ang pipila ka mga tip sa pag-troubleshoot.

• Basaha pag-ayo ang output sa operasyon sa OpenVPN sa kliyente. Kanunay kini adunay hinungdanon nga tambag kung unsa gyud ang dili mahimo ug ngano.
• Susiha ang mga mensahe sa sayop sa openvpn.log ug openvpn-status.log files sa /etc/openvpn/ directory sa server.
• Susiha ang mga log sa sistema sa server ug kliyente alang sa OpenVPN-related ug gi-time nga mga mensahe. (Journalctl -ce magpakita sa pinakabag-o nga mga entri.)
• Siguroha nga ikaw adunay aktibong koneksyon sa network tali sa server ug sa kliyente (dugang niini sa Kapitulo 14).

Bahin sa tagsulat

David Clinton - tagdumala sa sistema, magtutudlo ug magsusulat. Nagdumala siya, nagsulat bahin, ug nagmugna og mga materyal nga pang-edukasyon para sa daghang hinungdanon nga mga teknikal nga disiplina, lakip ang mga sistema sa Linux, cloud computing (ilabi na ang AWS), ug mga teknolohiya sa sudlanan sama sa Docker. Gisulat niya ang libro nga Pagkat-on sa Amazon Web Services sa usa ka Buwan sa Paniudto (Manning, 2017). Daghan sa iyang mga kurso sa pagbansay sa video makita sa Pluralsight.com, ug ang mga link sa uban pa niyang mga libro (sa Linux administration ug server virtualization) anaa sa bootstrap-it.com.

» Para sa dugang nga impormasyon bahin sa libro, palihog bisitaha website sa magmamantala
» Mga sulud sa sulud
» Kinutlo

Alang sa Khabrozhiteli 25% nga diskwento sa kupon - Linux
Sa pagbayad sa papel nga bersyon sa libro, usa ka e-libro ang ipadala sa e-mail.

Source: www.habr.com