ProHoster > blog > Gweinyddiaeth > Archebwch "Linux ar Waith"

Archebwch "Linux ar Waith"

Archebwch "Linux ar Waith" Helo, drigolion Khabro! Yn y llyfr, mae David Clinton yn disgrifio 12 prosiect bywyd go iawn, gan gynnwys awtomeiddio eich system wrth gefn ac adfer, sefydlu cwmwl ffeiliau personol tebyg i Dropbox, a chreu eich gweinydd MediaWiki eich hun. Byddwch yn archwilio rhithwiroli, adfer ar ôl trychineb, diogelwch, gwneud copi wrth gefn, DevOps, a datrys problemau system trwy astudiaethau achos diddorol. Mae pob pennod yn gorffen gydag adolygiad o arferion gorau, rhestr termau newydd, ac ymarferion.

Dyfyniad “10.1. Creu twnnel OpenVPN"

Rwyf eisoes wedi siarad llawer am amgryptio yn y llyfr hwn. Gall SSH a SCP ddiogelu data a drosglwyddir dros gysylltiadau o bell (Pennod 3), gall amgryptio ffeiliau ddiogelu data wrth iddo gael ei storio ar y gweinydd (Pennod 8), a gall tystysgrifau TLS/SSL ddiogelu data a drosglwyddir rhwng gwefannau a phorwyr cleientiaid (Pennod 9) . Ond weithiau mae angen diogelu eich data ar draws ystod ehangach o gysylltiadau. Er enghraifft, efallai bod rhai o aelodau'ch tîm yn gweithio ar y ffordd wrth gysylltu â Wi-Fi trwy fannau problemus cyhoeddus. Yn bendant, ni ddylech gymryd yn ganiataol bod pob pwynt mynediad o'r fath yn ddiogel, ond mae angen ffordd ar eich pobl i gysylltu ag adnoddau cwmni - a dyna lle gall VPN helpu.

Mae twnnel VPN wedi'i ddylunio'n gywir yn darparu cysylltiad uniongyrchol rhwng cleientiaid anghysbell a'r gweinydd mewn ffordd sy'n cuddio data wrth iddo deithio dros rwydwaith ansicr. Felly beth? Rydych chi eisoes wedi gweld llawer o offer a all wneud hyn gydag amgryptio. Gwir werth VPN yw, trwy agor twnnel, y gallwch chi gysylltu rhwydweithiau anghysbell fel pe baent i gyd yn lleol. Ar un ystyr, rydych chi'n defnyddio ffordd osgoi.

Gan ddefnyddio'r rhwydwaith estynedig hwn, gall gweinyddwyr berfformio eu gwaith ar eu gweinyddwyr o unrhyw le. Ond yn bwysicach fyth, gall cwmni ag adnoddau wedi’u gwasgaru ar draws lleoliadau lluosog eu gwneud i gyd yn weladwy ac yn hygyrch i’r holl grwpiau sydd eu hangen, ble bynnag y bônt (Ffigur 10.1).

Nid yw'r twnnel ei hun yn gwarantu diogelwch. Ond gellir cynnwys un o'r safonau amgryptio yn strwythur y rhwydwaith, sy'n cynyddu lefel y diogelwch yn sylweddol. Mae twneli a grëwyd gan ddefnyddio'r pecyn OpenVPN ffynhonnell agored yn defnyddio'r un amgryptio TLS/SSL rydych chi eisoes wedi darllen amdano. Nid OpenVPN yw'r unig opsiwn twnelu sydd ar gael, ond mae'n un o'r rhai mwyaf adnabyddus. Ystyrir ei fod ychydig yn gyflymach ac yn fwy diogel na'r protocol twnnel Haen 2 amgen sy'n defnyddio amgryptio IPsec.

Ydych chi eisiau i bawb ar eich tîm gyfathrebu'n ddiogel â'i gilydd tra ar y ffordd neu'n gweithio mewn adeiladau gwahanol? I wneud hyn, mae angen i chi greu gweinydd OpenVPN i ganiatáu rhannu cymwysiadau a mynediad i amgylchedd rhwydwaith lleol y gweinydd. Er mwyn i hyn weithio, y cyfan sydd angen i chi ei wneud yw rhedeg dau beiriant rhithwir neu ddau gynhwysydd: un i weithredu fel gweinydd / gwesteiwr ac un i weithredu fel y cleient. Nid yw adeiladu VPN yn broses syml, felly mae'n debyg ei bod yn werth cymryd ychydig funudau i gael y darlun mawr mewn golwg.

Archebwch "Linux ar Waith"

10.1.1. Ffurfweddiad Gweinydd OpenVPN

Cyn i chi ddechrau, byddaf yn rhoi rhywfaint o gyngor defnyddiol i chi. Os ydych chi'n mynd i'w wneud eich hun (ac rwy'n argymell yn fawr eich bod chi'n ei wneud), mae'n debyg y byddwch chi'n gweithio gyda ffenestri terfynell lluosog ar agor ar eich Bwrdd Gwaith, pob un wedi'i gysylltu â pheiriant gwahanol. Mae risg y byddwch chi ar ryw adeg yn rhoi'r gorchymyn anghywir yn y ffenestr. Er mwyn osgoi hyn, gallwch ddefnyddio'r gorchymyn enw gwesteiwr i newid enw'r peiriant a ddangosir ar y llinell orchymyn i rywbeth sy'n dweud yn glir wrthych ble rydych chi. Ar ôl i chi wneud hyn, bydd angen i chi allgofnodi o'r gweinydd a mewngofnodi eto er mwyn i'r gosodiadau newydd ddod i rym. Dyma sut mae'n edrych:

Archebwch "Linux ar Waith"
Trwy ddilyn y dull hwn a rhoi enwau priodol i bob un o'r peiriannau rydych chi'n gweithio gyda nhw, gallwch chi gadw golwg yn hawdd ar ble rydych chi.

Ar ôl defnyddio enw gwesteiwr, efallai y byddwch yn dod ar draws negeseuon annifyr Methu Datrys Host OpenVPN-Server wrth weithredu gorchmynion dilynol. Dylai diweddaru'r ffeil /etc/hosts gyda'r enw gwesteiwr newydd priodol ddatrys y mater.

Paratoi eich gweinydd ar gyfer OpenVPN

I osod OpenVPN ar eich gweinydd, mae angen dau becyn arnoch chi: openvpn a easy-rsa (i reoli'r broses cynhyrchu allwedd amgryptio). Dylai defnyddwyr CentOS osod yr ystorfa epel-release yn gyntaf os oes angen, fel y gwnaethoch ym Mhennod 2. Er mwyn gallu profi mynediad i'r cais gweinydd, gallwch hefyd osod gweinydd gwe Apache (apache2 ar Ubuntu a httpd ar CentOS).

Tra'ch bod chi'n sefydlu'ch gweinydd, rwy'n argymell actifadu wal dân sy'n blocio pob porthladd ac eithrio 22 (SSH) a 1194 (porthladd rhagosodedig OpenVPN). Mae'r enghraifft hon yn dangos sut y byddai ufw yn gweithio ar Ubuntu, ond rwy'n siŵr eich bod yn dal i gofio rhaglen firewalld CentOS o Bennod 9:

# ufw enable
# ufw allow 22
# ufw allow 1194

Er mwyn galluogi llwybro mewnol rhwng rhyngwynebau rhwydwaith ar y gweinydd, mae angen i chi ddadwneud un llinell (net.ipv4.ip_forward = 1) yn y ffeil /etc/sysctl.conf. Bydd hyn yn caniatáu i gleientiaid o bell gael eu hailgyfeirio yn ôl yr angen unwaith y byddant wedi'u cysylltu. I wneud i'r opsiwn newydd weithio, rhedwch sysctl -p:

# nano /etc/sysctl.conf
# sysctl -p

Mae amgylchedd eich gweinydd bellach wedi'i ffurfweddu'n llawn, ond mae un peth arall i'w wneud eto cyn i chi fod yn barod: bydd angen i chi gwblhau'r camau canlynol (byddwn yn ymdrin â nhw'n fanwl nesaf).

  1. Creu set o allweddi amgryptio seilwaith allwedd cyhoeddus (PKI) ar y gweinydd gan ddefnyddio'r sgriptiau a ddarperir gyda'r pecyn easy-rsa. Yn y bôn, mae'r gweinydd OpenVPN hefyd yn gweithredu fel ei awdurdod tystysgrif ei hun (CA).
  2. Paratowch allweddi priodol ar gyfer y cleient
  3. Ffurfweddwch y ffeil server.conf ar gyfer y gweinydd
  4. Sefydlu eich cleient OpenVPN
  5. Gwiriwch eich VPN

Cynhyrchu allweddi amgryptio

Er mwyn cadw pethau'n syml, gallwch chi sefydlu'ch seilwaith allweddol ar yr un peiriant lle mae'r gweinydd OpenVPN yn rhedeg. Fodd bynnag, mae arferion gorau diogelwch fel arfer yn awgrymu defnyddio gweinydd CA ar wahân ar gyfer defnyddio cynhyrchu. Dangosir y broses o gynhyrchu a dosbarthu adnoddau allweddol amgryptio i'w defnyddio yn OpenVPN yn Ffig. 10.2.

Archebwch "Linux ar Waith"
Pan wnaethoch chi osod OpenVPN, crëwyd y cyfeiriadur /etc/openvpn/ yn awtomatig, ond nid oes dim ynddo eto. Daw'r pecynnau openvpn a easy-rsa gyda ffeiliau templed enghreifftiol y gallwch eu defnyddio fel sail i'ch cyfluniad. I gychwyn y broses ardystio, copïwch y cyfeiriadur templed easy-rsa o / usr/share/ i / etc/openvpn a newidiwch i'r cyfeiriadur easy-rsa/:

# cp -r /usr/share/easy-rsa/ /etc/openvpn
$ cd /etc/openvpn/easy-rsa

Bydd y cyfeiriadur easy-rsa nawr yn cynnwys cryn dipyn o sgriptiau. Mewn bwrdd Mae 10.1 yn rhestru'r offer y byddwch chi'n eu defnyddio i greu allweddi.

Archebwch "Linux ar Waith"

Mae angen breintiau gwraidd ar gyfer y gweithrediadau uchod, felly mae angen i chi ddod yn wraidd trwy sudo su.

Gelwir y ffeil gyntaf y byddwch yn gweithio gyda hi yn vars ac mae'n cynnwys y newidynnau amgylchedd y mae easy-rsa yn eu defnyddio wrth gynhyrchu allweddi. Mae angen i chi olygu'r ffeil i ddefnyddio'ch gwerthoedd eich hun yn lle'r gwerthoedd rhagosodedig sydd yno eisoes. Dyma sut olwg fydd ar fy ffeil (Rhestr 10.1).

Rhestru 10.1. Prif ddarnau o'r ffeil /etc/openvpn/easy-rsa/vars

export KEY_COUNTRY="CA"
export KEY_PROVINCE="ON"
export KEY_CITY="Toronto"
export KEY_ORG="Bootstrap IT"
export KEY_EMAIL="[email protected]"
export KEY_OU="IT"

Bydd rhedeg y ffeil vars yn trosglwyddo ei werthoedd i'r amgylchedd cregyn, lle byddant yn cael eu cynnwys yng nghynnwys eich allweddi newydd. Pam nad yw'r gorchymyn sudo ynddo'i hun yn gweithio? Oherwydd yn y cam cyntaf rydym yn golygu'r sgript o'r enw vars ac yna'n ei chymhwyso. Gwneud cais ac yn golygu bod y ffeil vars yn trosglwyddo ei werthoedd i'r amgylchedd cragen, lle byddant yn cael eu cynnwys yng nghynnwys eich allweddi newydd.

Gwnewch yn siŵr eich bod yn ail-redeg y ffeil gan ddefnyddio cragen newydd i gwblhau'r broses anorffenedig. Pan wneir hyn, bydd y sgript yn eich annog i redeg sgript arall, yn lân i gyd, i gael gwared ar unrhyw gynnwys yn y cyfeiriadur /etc/openvpn/easy-rsa/keys/:

Archebwch "Linux ar Waith"
Yn naturiol, y cam nesaf yw rhedeg y sgript glân i gyd, ac yna build-ca, sy'n defnyddio'r sgript pkitool i greu'r dystysgrif gwraidd. Bydd gofyn i chi gadarnhau'r gosodiadau hunaniaeth a ddarperir gan vars:

# ./clean-all
# ./build-ca
Generating a 2048 bit RSA private key

Nesaf daw'r sgript build-key-server. Gan ei fod yn defnyddio'r un sgript pkitool ynghyd â'r dystysgrif gwraidd newydd, fe welwch yr un cwestiynau i gadarnhau creu'r pâr allweddol. Bydd yr allweddi'n cael eu henwi yn seiliedig ar y dadleuon y byddwch chi'n eu pasio, a fydd, oni bai eich bod chi'n rhedeg VPNs lluosog ar y peiriant hwn, yn weinydd fel arfer, fel yn yr enghraifft:

# ./build-key-server server
[...]
Certificate is to be certified until Aug 15 23:52:34 2027 GMT (3650 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

Mae OpenVPN yn defnyddio paramedrau a gynhyrchir gan algorithm Diffie-Hellman (gan ddefnyddio build-dh) i drafod dilysu cysylltiadau newydd. Nid oes angen i'r ffeil a grëir yma fod yn gyfrinachol, ond rhaid ei chynhyrchu gan ddefnyddio'r sgript build-dh ar gyfer yr allweddi RSA sy'n weithredol ar hyn o bryd. Os byddwch chi'n creu allweddi RSA newydd yn y dyfodol, bydd angen i chi hefyd ddiweddaru'r ffeil Diffie-Hellman:

# ./build-dh

Bydd allweddi ochr eich gweinydd nawr yn dod i ben yn y cyfeiriadur /etc/openvpn/easy-rsa/keys/, ond nid yw OpenVPN yn gwybod hyn. Yn ddiofyn, bydd OpenVPN yn chwilio am allweddi yn /etc/openvpn/, felly copïwch nhw:

# cp /etc/openvpn/easy-rsa/keys/server* /etc/openvpn
# cp /etc/openvpn/easy-rsa/keys/dh2048.pem /etc/openvpn
# cp /etc/openvpn/easy-rsa/keys/ca.crt /etc/openvpn

Paratoi Allweddi Amgryptio Cleient

Fel y gwelsoch eisoes, mae amgryptio TLS yn defnyddio parau o allweddi cyfatebol: un wedi'i osod ar y gweinydd ac un wedi'i osod ar y cleient anghysbell. Mae hyn yn golygu y bydd angen allweddi cleient arnoch. Ein hen ffrind pkitool yw'r union beth sydd ei angen arnoch chi ar gyfer hyn. Yn yr enghraifft hon, pan fyddwn yn rhedeg y rhaglen yn y cyfeiriadur /etc/openvpn/easy-rsa/, rydym yn ei drosglwyddo i ddadl y cleient i gynhyrchu ffeiliau o'r enw client.crt a client.key:

# ./pkitool client

Dylai'r ddwy ffeil cleient, ynghyd â'r ffeil ca.crt wreiddiol sy'n dal yn yr allweddi / cyfeiriadur, gael eu trosglwyddo'n ddiogel i'ch cleient nawr. Oherwydd eu perchnogaeth a hawliau mynediad, efallai na fydd hyn mor hawdd. Y dull symlaf yw copïo cynnwys y ffeil ffynhonnell â llaw (a dim byd ond y cynnwys hwnnw) i derfynell sy'n rhedeg ar benbwrdd eich PC (dewiswch y testun, de-gliciwch arno a dewiswch Copi o'r ddewislen). Yna gludwch hwn i ffeil newydd gyda'r un enw ag y byddwch chi'n ei greu mewn ail derfynell sy'n gysylltiedig â'ch cleient.

Ond gall unrhyw un dorri a gludo. Yn lle hynny, meddyliwch fel gweinyddwr oherwydd ni fydd gennych fynediad i'r GUI bob amser lle mae gweithrediadau torri / gludo yn bosibl. Copïwch y ffeiliau i gyfeiriadur cartref eich defnyddiwr (fel y gall y gweithrediad scp anghysbell gael mynediad iddynt), ac yna defnyddiwch chown i newid perchnogaeth y ffeiliau o'r gwraidd i ddefnyddiwr rheolaidd nad yw'n gwraidd fel y gellir cyflawni'r weithred scp anghysbell. Sicrhewch fod eich holl ffeiliau wedi'u gosod ar hyn o bryd ac yn hygyrch. Byddwch yn eu symud at y cleient ychydig yn ddiweddarach:

# cp /etc/openvpn/easy-rsa/keys/client.key /home/ubuntu/
# cp /etc/openvpn/easy-rsa/keys/ca.crt /home/ubuntu/
# cp /etc/openvpn/easy-rsa/keys/client.crt /home/ubuntu/
# chown ubuntu:ubuntu /home/ubuntu/client.key
# chown ubuntu:ubuntu /home/ubuntu/client.crt
# chown ubuntu:ubuntu /home/ubuntu/ca.crt

Gyda set lawn o allweddi amgryptio yn barod i fynd, mae angen i chi ddweud wrth y gweinydd sut rydych chi am greu'r VPN. Gwneir hyn gan ddefnyddio'r ffeil server.conf.

Lleihau nifer y trawiadau bysell

A oes gormod o deipio? Bydd ehangu gyda cromfachau yn helpu i leihau'r chwe gorchymyn hyn i ddau. Rwy'n siŵr y gallwch chi astudio'r ddwy enghraifft hyn a deall beth sy'n digwydd. Yn bwysicach fyth, byddwch chi'n gallu deall sut i gymhwyso'r egwyddorion hyn i weithrediadau sy'n cynnwys degau neu hyd yn oed gannoedd o elfennau:

# cp /etc/openvpn/easy-rsa/keys/{ca.crt,client.{key,crt}} /home/ubuntu/
# chown ubuntu:ubuntu /home/ubuntu/{ca.crt,client.{key,crt}}

Sefydlu'r ffeil server.conf

Sut allwch chi wybod sut olwg ddylai fod ar y ffeil server.conf? Cofiwch y templed cyfeiriadur easy-rsa y gwnaethoch ei gopïo o /usr/share/? Pan wnaethoch chi osod OpenVPN, roedd gennych chi ffeil templed cyfluniad cywasgedig y gallwch chi ei chopïo i /etc/openvpn/. Byddaf yn adeiladu ar y ffaith bod y templed wedi'i archifo ac yn eich cyflwyno i offeryn defnyddiol: zcat.

Rydych chi eisoes yn gwybod am argraffu cynnwys testun ffeil i'r sgrin gan ddefnyddio'r gorchymyn cath, ond beth os yw'r ffeil wedi'i chywasgu gan ddefnyddio gzip? Gallwch chi bob amser ddadsipio'r ffeil ac yna bydd cath yn ei allbynnu'n hapus, ond dyna un neu ddau o gamau mwy nag sydd angen. Yn lle hynny, fel y gallech fod wedi dyfalu, gallwch chi gyhoeddi'r gorchymyn zcat i lwytho'r testun heb ei bacio i'r cof mewn un cam. Yn yr enghraifft ganlynol, yn lle argraffu testun i'r sgrin, byddwch yn ei ailgyfeirio i ffeil newydd o'r enw server.conf:

# zcat 
  /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz 
  > /etc/openvpn/server.conf
$ cd /etc/openvpn

Gadewch i ni roi'r ddogfennaeth helaeth a defnyddiol sy'n dod gyda'r ffeil o'r neilltu a gweld sut olwg fyddai arni pan fyddwch chi wedi gorffen golygu. Sylwch fod y hanner colon (;) yn dweud wrth OpenVPN i beidio â darllen na gweithredu'r llinell nesaf (Rhestr 10.2).

Archebwch "Linux ar Waith"
Gadewch i ni fynd trwy rai o'r gosodiadau hyn.

  • Yn ddiofyn, mae OpenVPN yn rhedeg ar borthladd 1194. Gallwch newid hyn, er enghraifft, i guddio'ch gweithgareddau ymhellach neu osgoi gwrthdaro â thwneli gweithredol eraill. Gan fod angen ychydig iawn o gydgysylltu â chleientiaid yn 1194, mae'n well ei wneud fel hyn.
  • Mae OpenVPN yn defnyddio naill ai Protocol Rheoli Trosglwyddo (TCP) neu Protocol Datagram Defnyddiwr (CDU) i drosglwyddo data. Gall TCP fod ychydig yn arafach, ond mae'n fwy dibynadwy ac yn fwy tebygol o gael ei ddeall gan gymwysiadau sy'n rhedeg ar ddau ben y twnnel.
  • Gallwch chi nodi dev tun pan fyddwch chi eisiau creu twnnel IP symlach, mwy effeithlon sy'n cario cynnwys data a dim byd arall. Ar y llaw arall, os oes angen i chi gysylltu rhyngwynebau rhwydwaith lluosog (a'r rhwydweithiau y maent yn eu cynrychioli), gan greu pont Ethernet, bydd yn rhaid i chi ddewis tap dev. Os nad ydych chi'n deall beth mae hyn i gyd yn ei olygu, defnyddiwch y ddadl tun.
  • Mae'r pedair llinell nesaf yn rhoi enwau'r tair ffeil ddilysu ar y gweinydd i OpenVPN a'r ffeil opsiynau dh2048 a greoch yn gynharach.
  • Mae llinell y gweinydd yn gosod yr ystod a'r mwgwd is-rwydwaith a ddefnyddir i aseinio cyfeiriadau IP i gleientiaid wrth fewngofnodi.
  • Mae'r paramedr gwthio dewisol "llwybr 10.0.3.0 255.255.255.0" yn caniatáu i gleientiaid anghysbell gael mynediad i is-rwydweithiau preifat y tu ôl i'r gweinydd. Mae gwneud i hyn weithio hefyd yn gofyn am sefydlu'r rhwydwaith ar y gweinydd ei hun fel bod yr is-rwydwaith preifat yn gwybod am yr is-rwydwaith OpenVPN (10.8.0.0).
  • Mae'r llinell port-share localhost 80 yn eich galluogi i ailgyfeirio traffig cleient sy'n dod ar borthladd 1194 i weinydd gwe lleol yn gwrando ar borthladd 80. (Bydd hyn yn ddefnyddiol os ydych chi'n mynd i ddefnyddio'r gweinydd gwe i brofi'ch VPN.) Mae hyn ond yn gweithio yna pan ddewisir y protocol tcp.
  • Rhaid galluogi'r llinellau neb defnyddiwr a grŵp nogroup trwy dynnu'r hanner colonau (;). Mae gorfodi cleientiaid o bell i redeg fel neb a nogroup yn sicrhau bod sesiynau ar y gweinydd yn ddi-freintiedig.
  • log yn nodi y bydd cofnodion log cyfredol yn trosysgrifo hen gofnodion bob tro y bydd OpenVPN yn cael ei gychwyn, tra bod log-append yn atodi cofnodion newydd i'r ffeil log bresennol. Mae'r ffeil openvpn.log ei hun wedi'i ysgrifennu i'r cyfeiriadur /etc/openvpn/.

Yn ogystal, mae gwerth cleient-i-gleient hefyd yn aml yn cael ei ychwanegu at y ffeil ffurfweddu fel y gall cleientiaid lluosog weld ei gilydd yn ogystal â'r gweinydd OpenVPN. Os ydych chi'n fodlon â'ch ffurfweddiad, gallwch chi gychwyn y gweinydd OpenVPN:

# systemctl start openvpn

Oherwydd natur newidiol y berthynas rhwng OpenVPN a systemd, efallai y bydd angen y gystrawen ganlynol weithiau i gychwyn gwasanaeth: systemctl cychwyn openvpn@server.

Dylai rhedeg ip addr i restru rhyngwynebau rhwydwaith eich gweinydd nawr allbynnu dolen i ryngwyneb newydd o'r enw tun0. Bydd OpenVPN yn ei greu i wasanaethu cleientiaid sy'n dod i mewn:

$ ip addr
[...]
4: tun0: mtu 1500 qdisc [...]
      link/none
      inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0
          valid_lft forever preferred_lft forever

Efallai y bydd angen i chi ailgychwyn y gweinydd cyn i bopeth ddechrau gweithio'n llawn. Y stop nesaf yw cyfrifiadur y cleient.

10.1.2. Ffurfweddu'r cleient OpenVPN

Yn draddodiadol, mae twneli'n cael eu hadeiladu gydag o leiaf dwy allanfa (fel arall byddem yn eu galw'n ogofâu). Mae OpenVPN sydd wedi'i ffurfweddu'n gywir ar y gweinydd yn cyfeirio traffig i mewn ac allan o'r twnnel ar un ochr. Ond bydd angen rhywfaint o feddalwedd arnoch hefyd yn rhedeg ar ochr y cleient, hynny yw, ar ben arall y twnnel.

Yn yr adran hon, rydw i'n mynd i ganolbwyntio ar sefydlu rhyw fath o gyfrifiadur Linux â llaw i weithredu fel cleient OpenVPN. Ond nid dyma'r unig ffordd y mae'r cyfle hwn ar gael. Mae OpenVPN yn cefnogi cymwysiadau cleient y gellir eu gosod a'u defnyddio ar gyfrifiaduron bwrdd gwaith a gliniaduron sy'n rhedeg Windows neu macOS, yn ogystal â ffonau smart a thabledi Android ac iOS. Gweler openvpn.net am fanylion.

Bydd angen gosod y pecyn OpenVPN ar y peiriant cleient gan ei fod wedi'i osod ar y gweinydd, er nad oes angen easy-rsa yma gan fod yr allweddi rydych chi'n eu defnyddio eisoes yn bodoli. Mae angen i chi gopïo'r ffeil templed client.conf i'r cyfeiriadur /etc/openvpn/ yr ydych newydd ei greu. Y tro hwn ni fydd y ffeil yn cael ei sipio, felly bydd y gorchymyn cp rheolaidd yn gwneud y gwaith yn iawn:

# apt install openvpn
# cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf 
  /etc/openvpn/

Bydd y rhan fwyaf o'r gosodiadau yn eich ffeil client.conf yn eithaf hunanesboniadol: dylent gyd-fynd â'r gwerthoedd ar y gweinydd. Fel y gwelwch o'r ffeil enghreifftiol ganlynol, mae'r paramedr unigryw yn 192.168.1.23 1194 o bell, sy'n dweud wrth y cleient gyfeiriad IP y gweinydd. Unwaith eto, gwnewch yn siŵr mai hwn yw eich cyfeiriad gweinydd. Dylech hefyd orfodi cyfrifiadur y cleient i wirio dilysrwydd tystysgrif y gweinydd i atal ymosodiad dyn-yn-y-canol posibl. Un ffordd o wneud hyn yw ychwanegu'r gweinydd pell-cert-tls llinell (Rhestr 10.3).

Archebwch "Linux ar Waith"
Nawr gallwch chi fynd i'r cyfeiriadur /etc/openvpn/ a thynnu'r allweddi ardystio o'r gweinydd. Amnewid cyfeiriad IP y gweinydd neu'r enw parth yn yr enghraifft gyda'ch gwerthoedd:

Archebwch "Linux ar Waith"
Ni fydd unrhyw beth cyffrous yn debygol o ddigwydd nes i chi redeg OpenVPN ar y cleient. Gan fod angen i chi basio cwpl o ddadleuon, byddwch chi'n ei wneud o'r llinell orchymyn. Mae'r ddadl --tls-client yn dweud wrth OpenVPN y byddwch yn gweithredu fel cleient ac yn cysylltu trwy amgryptio TLS, ac mae --config yn pwyntio i'ch ffeil ffurfweddu:

# openvpn --tls-client --config /etc/openvpn/client.conf

Darllenwch allbwn y gorchymyn yn ofalus i sicrhau eich bod wedi'ch cysylltu'n gywir. Os aiff rhywbeth o'i le y tro cyntaf, gall fod oherwydd diffyg cyfatebiaeth yn y gosodiadau rhwng ffeiliau ffurfweddu'r gweinydd a'r cleient neu fater cysylltiad rhwydwaith/wal dân. Dyma rai awgrymiadau datrys problemau.

  • Darllenwch allbwn gweithrediad OpenVPN ar y cleient yn ofalus. Yn aml mae'n cynnwys cyngor gwerthfawr ar yr hyn yn union na ellir ei wneud a pham.
  • Gwiriwch y negeseuon gwall yn y ffeiliau openvpn.log a openvpn-status.log yn y cyfeiriadur /etc/openvpn/ ar y gweinydd.
  • Gwiriwch logiau'r system ar y gweinydd a'r cleient am negeseuon sy'n gysylltiedig â OpenVPN ac wedi'u hamseru. (bydd journalctl -ce yn dangos y cofnodion diweddaraf.)
  • Sicrhewch fod gennych gysylltiad rhwydwaith gweithredol rhwng y gweinydd a'r cleient (mwy am hyn ym Mhennod 14).

Am y Awdur

David Clinton - gweinyddwr system, athro ac awdur. Mae wedi gweinyddu, ysgrifennu am, a chreu deunyddiau addysgol ar gyfer llawer o ddisgyblaethau technegol pwysig, gan gynnwys systemau Linux, cyfrifiadura cwmwl (yn enwedig AWS), a thechnolegau cynwysyddion fel Docker. Ysgrifennodd y llyfr Learn Amazon Web Services in a Month of Lunches (Manning, 2017). Gellir dod o hyd i lawer o'i gyrsiau hyfforddi fideo yn Pluralsight.com, ac mae dolenni i'w lyfrau eraill (ar weinyddu Linux a rhithwiroli gweinyddwyr) ar gael yn bootstrap-it.com.

» Ceir rhagor o fanylion am y llyfr yn gwefan y cyhoeddwr
» Tabl cynnwys
» Detholiad

Ar gyfer Khabrozhiteley gostyngiad o 25% gan ddefnyddio cwpon - Linux
Ar ôl talu'r fersiwn papur o'r llyfr, anfonir llyfr electronig trwy e-bost.

Ffynhonnell: hab.com

Ychwanegu sylw