ProHoster > Blag > Riarachán > Leabhar "Linux in Action"

Leabhar "Linux in Action"

Leabhar "Linux in Action" Dia duit, cónaitheoirí Khabro! Sa leabhar, déanann David Clinton cur síos ar 12 thionscadal fíorshaoil, lena n-áirítear do chóras cúltaca agus aisghabhála a uathoibriú, scamall comhaid pearsanta i stíl Dropbox a bhunú, agus do fhreastalaí MediaWiki féin a chruthú. Déanfaidh tú fíorúlú, athshlánú tubaiste, slándáil, cúltaca, DevOps, agus fabhtcheartú córais a iniúchadh trí chás-staidéir suimiúla. Críochnaíonn gach caibidil le hathbhreithniú ar dhea-chleachtais, gluais téarmaí nua, agus cleachtaí.

Sliocht “10.1. tollán OpenVPN á chruthú"

Labhair mé go leor cheana féin faoi chriptiú sa leabhar seo. Is féidir le SSH agus SCP sonraí a aistrítear thar chiancheangail a chosaint (Caibidil 3), is féidir le criptiú comhaid sonraí a chosaint agus iad á stóráil ar an bhfreastalaí (Caibidil 8), agus is féidir le deimhnithe TLS/SSL sonraí a aistrítear idir suíomhanna agus brabhsálaithe cliant a chosaint (Caibidil 9) . Ach uaireanta is gá do shonraí a chosaint thar raon níos leithne nasc. Mar shampla, b’fhéidir go n-oibríonn cuid de d’fhoireann ar an mbóthar agus iad ag nascadh le Wi-Fi trí áiteanna poiblí. Is cinnte nár cheart duit glacadh leis go bhfuil gach pointe rochtana den sórt sin slán, ach tá bealach ag teastáil ó do mhuintir chun nascadh le hacmhainní cuideachta - agus sin an áit ar féidir le VPN cabhrú leat.

Soláthraíonn tollán VPN atá deartha i gceart nasc díreach idir cliaint iargúlta agus an freastalaí ar bhealach a cheiltíonn sonraí agus é ag taisteal thar líonra neamhchinnte. Nach cuma? Tá go leor uirlisí feicthe agat cheana féin ar féidir leo é seo a dhéanamh le criptiú. Is é fíorluach VPN ná gur féidir leat líonraí iargúlta a nascadh trí thollán a oscailt amhail is go raibh siad go léir áitiúil. Ar bhealach, tá seachbhóthar á úsáid agat.

Ag baint úsáide as an líonra sínte seo, is féidir le riarthóirí a gcuid oibre a dhéanamh ar a gcuid freastalaithe ó áit ar bith. Ach níos tábhachtaí fós, is féidir le cuideachta a bhfuil acmhainní scaipthe thar áiteanna iolracha iad a dhéanamh infheicthe agus inrochtana do na grúpaí go léir a bhfuil gá acu leo, cibé áit a bhfuil siad (Fíor 10.1).

Ní ráthaíonn an tollán féin slándáil. Ach is féidir ceann de na caighdeáin criptithe a áireamh sa struchtúr líonra, rud a ardaíonn go mór an leibhéal slándála. Úsáideann tolláin a chruthaítear leis an bpacáiste foinse oscailte OpenVPN an criptiú TLS/SSL céanna ar léigh tú faoi cheana. Ní hé OpenVPN an t-aon rogha tollánaithe atá ar fáil, ach tá sé ar cheann de na cinn is cáiliúla. Meastar go bhfuil sé beagán níos tapúla agus níos sláine ná an prótacal tolláin eile Sraith 2 a úsáideann criptiú IPsec.

Ar mhaith leat go mbeadh gach duine ar d'fhoireann i dteagmháil go sábháilte lena chéile agus iad ar an mbóthar nó ag obair i bhfoirgnimh éagsúla? Chun seo a dhéanamh, ní mór duit freastalaí OpenVPN a chruthú chun roinnt feidhmchlár a cheadú agus rochtain a fháil ar thimpeallacht líonra áitiúil an fhreastalaí. Le go n-oibreoidh sé seo, níl le déanamh ach dhá mheaisín fhíorúla nó dhá choimeádán a rith: ceann amháin chun feidhmiú mar fhreastalaí/óstach agus ceann eile chun feidhmiú mar chliant. Ní próiseas simplí é VPN a thógáil, mar sin is dócha gur fiú cúpla nóiméad a thógáil chun an pictiúr mór a chur san áireamh.

Leabhar "Linux in Action"

10.1.1. Cumraíocht Freastalaí OpenVPN

Sula dtosaíonn tú, tabharfaidh mé roinnt comhairle chabhrach duit. Má tá tú chun é féin a dhéanamh (agus molaim go mór duit é a dhéanamh), is dócha go bhfaighidh tú tú féin ag obair le fuinneoga teirminéil iolracha ar oscailt ar do Deasc, gach ceann acu ceangailte le meaisín difriúil. Tá baol ann go gcuirfidh tú an t-ordú mícheart isteach san fhuinneog ag pointe éigin. Chun é seo a sheachaint, is féidir leat an t-ordú óstainm a úsáid chun an t-ainm meaisín a thaispeántar ar an líne ordaithe a athrú go rud a insíonn go soiléir duit cá bhfuil tú. Nuair a dhéanfaidh tú é seo, beidh ort logáil amach as an bhfreastalaí agus logáil isteach arís le go dtiocfaidh na socruithe nua i bhfeidhm. Seo an chuma atá air:

Leabhar "Linux in Action"
Tríd an gcur chuige seo a leanúint agus ainmneacha cuí a thabhairt do gach ceann de na meaisíní lena n-oibríonn tú, is féidir leat súil a choinneáil go héasca ar an áit a bhfuil tú.

Tar éis duit an t-óstainm a úsáid, b'fhéidir go dtiocfaidh tú trasna ar teachtaireachtaí corraitheacha Ní Féidir a Réiteach Óstach OpenVPN-Freastalaí agus orduithe ina dhiaidh sin á bhfeidhmiú agat. Má dhéantar an comhad /etc/hosts a nuashonrú leis an óstainm nua, ba cheart go réiteofaí an cheist.

Ag ullmhú do fhreastalaí le haghaidh OpenVPN

Chun OpenVPN a shuiteáil ar do fhreastalaí, tá dhá phacáiste ag teastáil uait: openvpn agus easy-rsa (chun próiseas giniúna na heochrach criptithe a bhainistiú). Ba cheart d'úsáideoirí CentOS an stór epel-release a shuiteáil ar dtús más gá, mar a rinne tú i gCaibidil 2. Chun a bheith in ann rochtain ar an iarratas freastalaí a thástáil, is féidir leat freastalaí gréasáin Apache a shuiteáil freisin (apache2 ar Ubuntu agus httpd ar CentOS).

Agus tú ag bunú do fhreastalaí, molaim balla dóiteáin a ghníomhachtú a bhlocálann gach calafort ach amháin 22 (SSH) agus 1194 (calafort réamhshocraithe OpenVPN). Léiríonn an sampla seo conas a d’oibreodh ufw ar Ubuntu, ach táim cinnte go bhfuil cuimhne agat fós ar an gclár balla dóiteáin CentOS ó Chaibidil 9:

# ufw enable
# ufw allow 22
# ufw allow 1194

Chun ródú inmheánach a chumasú idir comhéadain líonra ar an bhfreastalaí, ní mór duit líne amháin a dhíthrácht (net.ipv4.ip_forward = 1) sa chomhad /etc/sysctl.conf. Ceadóidh sé seo cliaint iargúlta a atreorú de réir mar is gá nuair a bheidh siad nasctha. Le go n-oibreoidh an rogha nua, rith sysctl -p:

# nano /etc/sysctl.conf
# sysctl -p

Tá do thimpeallacht fhreastalaí cumraithe go hiomlán anois, ach tá rud amháin eile fós le déanamh sula mbeidh tú réidh: beidh ort na céimeanna seo a leanas a chur i gcrích (clúdóidh muid go mion iad seo chugainn).

  1. Cruthaigh sraith eochracha criptithe bonneagair eochair phoiblí (PKI) ar an bhfreastalaí ag baint úsáide as na scripteanna a chuirtear ar fáil leis an bpacáiste éasca-rsa. Go bunúsach, feidhmíonn an freastalaí OpenVPN mar a údarás deimhnithe féin (CA).
  2. Ullmhaigh eochracha cuí don chliant
  3. Cumraigh an comhad server.conf don fhreastalaí
  4. Socraigh do chliant OpenVPN
  5. Seiceáil do VPN

Eochracha criptithe a ghiniúint

Chun rudaí a choinneáil simplí, is féidir leat do phríomhbhonneagar a shocrú ar an meaisín céanna ina bhfuil an freastalaí OpenVPN ag rith. Mar sin féin, is gnách go dtugann dea-chleachtais slándála le tuiscint go n-úsáidfí freastalaí CA ar leith le haghaidh imscaradh táirgeachta. Léirítear an próiseas chun príomh-acmhainní criptithe a ghiniúint agus a dháileadh le húsáid in OpenVPN i bhFíor. 10.2.

Leabhar "Linux in Action"
Nuair a shuiteáil tú OpenVPN, cruthaíodh an eolaire /etc/openvpn/ go huathoibríoch, ach níl aon rud ann fós. Tagann na pacáistí openvpn agus easy-rsa le comhaid teimpléid shamplacha is féidir leat a úsáid mar bhunús do do chumraíocht. Chun an próiseas deimhniúcháin a thosú, cóipeáil an t-eolaire teimpléad easy-rsa ó / usr/share/ to /etc/openvpn agus athraigh chuig an eolaire easy-rsa/:

# cp -r /usr/share/easy-rsa/ /etc/openvpn
$ cd /etc/openvpn/easy-rsa

Beidh roinnt mhaith scripteanna san eolaire easy-rsa anois. Sa tábla Liostaíonn 10.1 na huirlisí a úsáidfidh tú chun eochracha a chruthú.

Leabhar "Linux in Action"

Éilíonn na hoibríochtaí thuas pribhléidí fréimhe, mar sin ní mór duit a bheith ina fhréamh trí sudo su.

Tugtar vars ar an gcéad chomhad a n-oibreoidh tú leis agus tá na hathróga timpeallachta ann a úsáideann easy-rsa agus eochracha á nginiúint. Ní mór duit an comhad a chur in eagar chun do luachanna féin a úsáid in ionad na luachanna réamhshocraithe atá ann cheana féin. Seo an chuma a bheidh ar mo chomhad (Liostú 10.1).

Liostú 10.1. Príomhchodanna an chomhaid /etc/openvpn/easy-rsa/vars

export KEY_COUNTRY="CA"
export KEY_PROVINCE="ON"
export KEY_CITY="Toronto"
export KEY_ORG="Bootstrap IT"
export KEY_EMAIL="info@bootstrap-it.com"
export KEY_OU="IT"

Má ritheann tú an comhad vars, cuirfear a luachanna ar aghaidh chuig an timpeallacht bhlaosc, áit a n-áireofar iad in ábhar do chuid eochracha nua. Cén fáth nach n-oibríonn an t-ordú sudo leis féin? Toisc gur sa chéad chéim a chuirimid in eagar ar an script ainmnithe vars agus ansin é a chur i bhfeidhm. Iarratas a dhéanamh agus ciallaíonn sé go dtéann an comhad vars a luachanna chuig an timpeallacht bhlaosc, áit a mbeidh siad san áireamh in ábhar do eochracha nua.

Bí cinnte an comhad a athreáchtáil ag baint úsáide as blaosc nua chun an próiseas neamhchríochnaithe a chríochnú. Nuair a bheidh sé seo déanta, spreagfaidh an script duit script eile a rith, glan ar fad, chun aon ábhar a bhaint san eolaire /etc/openvpn/easy-rsa/keys/:

Leabhar "Linux in Action"
Ar ndóigh, is é an chéad chéim eile ná an script glan go léir a rith, agus build-ca ina dhiaidh sin, a úsáideann an script pkitool chun an teastas fréimhe a chruthú. Iarrfar ort na socruithe aitheantais arna soláthar ag vars a dhearbhú:

# ./clean-all
# ./build-ca
Generating a 2048 bit RSA private key

Ansin tagann an script thógáil-eochair-fhreastalaí. Ós rud é go n-úsáideann sé an script pkitool céanna in éineacht leis an teastas fréimhe nua, feicfidh tú na ceisteanna céanna chun cruthú an phéire eochair a dhearbhú. Ainmneofar na heochracha bunaithe ar na hargóintí a ritheann tú, a bheidh mar fhreastalaí de ghnáth mura bhfuil tú ag rith il VPNanna ar an meaisín seo, mar atá sa sampla:

# ./build-key-server server
[...]
Certificate is to be certified until Aug 15 23:52:34 2027 GMT (3650 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

Úsáideann OpenVPN paraiméadair arna ghiniúint ag algartam Diffie-Hellman (ag baint úsáide as build-dh) chun fíordheimhniú a chaibidil le haghaidh naisc nua. Ní gá go mbeadh an comhad a chruthaítear anseo rúnda, ach ní mór é a ghiniúint leis an script build-dh do na heochracha RSA atá gníomhach faoi láthair. Má chruthaíonn tú eochracha RSA nua amach anseo, beidh ort an comhad Diffie-Hellman a nuashonrú freisin:

# ./build-dh

Beidh d’eochracha taobh freastalaí ag críochnú anois san eolaire /etc/openvpn/easy-rsa/keys/, ach níl a fhios seo ag OpenVPN. De réir réamhshocraithe, lorgóidh OpenVPN eochracha in /etc/openvpn/, mar sin cóipeáil iad:

# cp /etc/openvpn/easy-rsa/keys/server* /etc/openvpn
# cp /etc/openvpn/easy-rsa/keys/dh2048.pem /etc/openvpn
# cp /etc/openvpn/easy-rsa/keys/ca.crt /etc/openvpn

Eochracha Criptithe Cliant a Ullmhú

Mar a chonaic tú cheana féin, úsáideann criptiú TLS péirí eochracha meaitseála: ceann suiteáilte ar an bhfreastalaí agus ceann suiteáilte ar an gcianchliant. Ciallaíonn sé seo go mbeidh eochracha cliant uait. Is é ár seanchara pkitool go díreach cad atá uait le haghaidh seo. Sa sampla seo, nuair a ritheann muid an clár san eolaire /etc/openvpn/easy-rsa/, cuirimid an argóint cliant ar aghaidh chun comhaid ar a dtugtar client.crt agus client.key a ghiniúint:

# ./pkitool client

Ba cheart an dá chomhad cliant, chomh maith leis an mbunchomhad ca.crt atá fós sna heochracha/eolaire, a aistriú go slán anois chuig do chliant. Mar gheall ar a gcearta úinéireachta agus rochtana, b’fhéidir nach bhfuil sé seo chomh héasca. Is é an cur chuige is simplí ná inneachar an chomhaid foinse (agus gan aon rud ach an t-ábhar sin) a chóipeáil de láimh isteach i gcríochfort a ritheann ar dheasc do ríomhaire (roghnaigh an téacs, cliceáil ar dheis air agus roghnaigh Cóipeáil ón roghchlár). Ansin greamaigh é seo isteach i gcomhad nua leis an ainm céanna a chruthaíonn tú i dara teirminéal atá ceangailte le do chliant.

Ach is féidir le duine ar bith a ghearradh agus a ghreamú. Ina áit sin, smaoinigh ar nós riarthóir mar ní bheidh rochtain agat i gcónaí ar an GUI nuair is féidir oibríochtaí gearrtha/greamaigh. Cóipeáil na comhaid chuig eolaire baile d'úsáideoirí (ionas gur féidir leis an oibríocht iargúlta scp rochtain a fháil orthu), agus ansin bain úsáid as chown chun úinéireacht na gcomhad a athrú ó fhréamh go húsáideoir rialta neamhfhréamh ionas gur féidir an gníomh scp iargúlta a dhéanamh. Cinntigh go bhfuil do chomhaid go léir suiteáilte agus inrochtana faoi láthair. Bogfaidh tú chuig an gcliant iad beagán níos déanaí:

# cp /etc/openvpn/easy-rsa/keys/client.key /home/ubuntu/
# cp /etc/openvpn/easy-rsa/keys/ca.crt /home/ubuntu/
# cp /etc/openvpn/easy-rsa/keys/client.crt /home/ubuntu/
# chown ubuntu:ubuntu /home/ubuntu/client.key
# chown ubuntu:ubuntu /home/ubuntu/client.crt
# chown ubuntu:ubuntu /home/ubuntu/ca.crt

Le sraith iomlán eochracha criptithe réidh le dul, ní mór duit a insint don fhreastalaí conas is mian leat an VPN a chruthú. Déantar é seo ag baint úsáide as an gcomhad server.conf.

Laghdú ar líon na n-eochairbhuillí

An bhfuil an iomarca clóscríobh ann? Cabhróidh leathnú le lúibíní leis na sé ordú seo a laghdú go dtí dhá cheann. Tá mé cinnte gur féidir leat staidéar a dhéanamh ar an dá shampla seo agus go dtuigeann tú cad atá ar siúl. Níos tábhachtaí fós, beidh tú in ann a thuiscint conas na prionsabail seo a chur i bhfeidhm ar oibríochtaí a bhaineann leis na mílte nó fiú na céadta eilimint:

# cp /etc/openvpn/easy-rsa/keys/{ca.crt,client.{key,crt}} /home/ubuntu/
# chown ubuntu:ubuntu /home/ubuntu/{ca.crt,client.{key,crt}}

An comhad server.conf a shocrú

Conas is féidir a fhios agat cad ba cheart don chomhad server.conf cuma? An cuimhin leat an teimpléad eolaire easy-rsa a chóipeáil tú ó /usr/share/? Nuair a shuiteáil tú OpenVPN, fágadh comhad teimpléad cumraíochta comhbhrúite duit ar féidir leat a chóipeáil go /etc/openvpn/. Tógfaidh mé ar an bhfíric go bhfuil an teimpléad i gcartlann agus cuirfidh mé uirlis úsáideach in aithne duit: zcat.

Tá a fhios agat cheana féin faoi ábhar téacs comhaid a phriontáil ar an scáileán ag baint úsáide as an ordú cat, ach cad má tá an comhad comhbhrúite ag baint úsáide as gzip? Is féidir leat an comhad a unzip i gcónaí agus ansin déanfaidh cat é a aschur go sona sásta, ach sin céim nó dhó níos mó ná mar is gá. Ina áit sin, mar a d'fhéadfadh a bheith buille faoi thuairim agat, is féidir leat an t-ordú zcat a eisiúint chun an téacs neamhphacáilte a luchtú i gcuimhne i gcéim amháin. Sa sampla seo a leanas, in ionad téacs a phriontáil chuig an scáileán, déanfaidh tú é a atreorú chuig comhad nua ar a dtugtar server.conf:

# zcat 
  /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz 
  > /etc/openvpn/server.conf
$ cd /etc/openvpn

Cuirimis an doiciméadú fairsing cabhrach a thagann leis an gcomhad ar leataobh agus féachaimis an chuma a bheidh air nuair a bheidh an eagarthóireacht déanta agat. Tabhair faoi deara go n-insíonn an leathstad (;) do OpenVPN gan an chéad líne eile a léamh ná a rith (Liostú 10.2).

Leabhar "Linux in Action"
A ligean ar dul trí roinnt de na socruithe.

  • De réir réamhshocraithe, ritheann OpenVPN ar phort 1194. Is féidir leat é seo a athrú, mar shampla, chun do ghníomhaíochtaí a cheilt tuilleadh nó coinbhleachtaí le tolláin ghníomhacha eile a sheachaint. Ós rud é go n-éilíonn 1194 comhordú íosta le cliaint, is fearr é a dhéanamh ar an mbealach seo.
  • Úsáideann OpenVPN Prótacal Rialaithe Tarchuir (TCP) nó Prótacal Datagram Úsáideora (UDP) chun sonraí a tharchur. Féadfaidh TCP a bheith beagán níos moille, ach tá sé níos iontaofa agus is dóichí go dtuigfidh feidhmchláir a ritheann ar dhá cheann an tolláin é.
  • Is féidir leat dev tun a shonrú nuair is mian leat tollán IP níos simplí agus níos éifeachtaí a chruthú a iompraíonn ábhar sonraí agus gan aon rud eile. Más rud é, ar an láimh eile, go gcaithfidh tú comhéadain líonra iolracha a nascadh (agus na líonraí a léiríonn siad), ag cruthú droichead Ethernet, beidh ort sconna dev a roghnú. Mura dtuigeann tú cad a chiallaíonn sé seo go léir, bain úsáid as an argóint tuinn.
  • Tugann na chéad cheithre líne eile ainmneacha na dtrí chomhad fíordheimhnithe ar an bhfreastalaí agus an comhad roghanna dh2048 a chruthaigh tú níos luaithe do OpenVPN.
  • Socraíonn líne an fhreastalaí an raon agus an masc folíonta a úsáidfear chun seoltaí IP a shannadh do chliaint ar logáil isteach.
  • Ceadaíonn an paraiméadar brú roghnach "bealach 10.0.3.0 255.255.255.0" do chliaint iargúlta rochtain a fháil ar fholíonta príobháideacha taobh thiar den fhreastalaí. Chun an obair seo a dhéanamh ní mór an líonra a bhunú ar an bhfreastalaí féin freisin ionas go mbeidh a fhios ag an bhfo-líon príobháideach faoin subnet OpenVPN (10.8.0.0).
  • Ceadaíonn an líne port-share localhost 80 duit trácht cliant ag teacht ar phort 1194 a atreorú chuig freastalaí gréasáin áitiúil ag éisteacht ar phort 80. (Beidh sé seo úsáideach má tá tú chun an freastalaí gréasáin a úsáid chun do VPN a thástáil.) Ní oibríonn sé seo ach ansin nuair a roghnaítear an prótacal tcp.
  • Ní mór aon duine úsáideora agus línte grúpa nogroup a chumasú trí na leathstadanna (;) a bhaint. Má chuirtear iachall ar chliaint chianda rith mar aon duine nó mar ghrúpa ar bith, cinntítear go bhfuil seisiúin ar an bhfreastalaí gan phribhléid.
  • sonraíonn loga go ndéanfaidh iontrálacha loga reatha sean-iontrálacha a fhorscríobh gach uair a thosaítear OpenVPN, ach cuireann log-aguisín iontrálacha nua leis an gcomhad logála atá ann cheana féin. Tá an comhad openvpn.log féin scríofa chuig an eolaire /etc/openvpn/.

Ina theannta sin, is minic a chuirtear luach cliant-go-cliaint leis an gcomhad cumraíochta ionas gur féidir le cliaint iolracha a chéile a fheiceáil chomh maith leis an bhfreastalaí OpenVPN. Má tá tú sásta le do chumraíocht, is féidir leat an freastalaí OpenVPN a thosú:

# systemctl start openvpn

Mar gheall ar nádúr athraitheach an chaidrimh idir OpenVPN agus systemd, is féidir go mbeidh an chomhréir seo a leanas ag teastáil uaireanta chun seirbhís a thosú: systemctl start openvpn@server.

Má ritheann an breiseán ip chun comhéadain líonra do fhreastalaí a liostú, ba cheart go ndéanfaí nasc chuig comhéadan nua ar a dtugtar tun0 a aschur anois. Cruthóidh OpenVPN é chun freastal ar chliaint atá ag teacht isteach:

$ ip addr
[...]
4: tun0: mtu 1500 qdisc [...]
      link/none
      inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0
          valid_lft forever preferred_lft forever

Seans go mbeidh ort an freastalaí a atosú sula dtosaíonn gach rud ag obair go hiomlán. Is é an chéad stad eile an ríomhaire cliaint.

10.1.2. Cliant OpenVPN á chumrú

Go traidisiúnta, tógtar tolláin le dhá bhealach amach ar a laghad (ar shlí eile ba mhaith linn phluais a thabhairt orthu). Treoraíonn OpenVPN atá cumraithe i gceart ar an bhfreastalaí trácht isteach agus amach as an tollán ar thaobh amháin. Ach beidh ort roinnt bogearraí a rith ar thaobh an chliaint, is é sin, ar an taobh eile den tollán.

San alt seo, táim chun díriú ar chineál éigin de ríomhaire Linux a bhunú de láimh chun gníomhú mar chliant OpenVPN. Ach ní hé seo an t-aon bhealach a bhfuil an deis seo ar fáil. Tacaíonn OpenVPN le feidhmchláir chliaint is féidir a shuiteáil agus a úsáid ar ríomhairí deisce agus ríomhairí glúine a ritheann Windows nó macOS, chomh maith le fóin chliste agus táibléad Android agus iOS. Féach ar openvpn.net le haghaidh sonraí.

Ní mór an pacáiste OpenVPN a shuiteáil ar an meaisín cliant mar a bhí sé suiteáilte ar an bhfreastalaí, cé nach bhfuil aon ghá le easy-rsa anseo ós rud é go bhfuil na heochracha atá in úsáid agat cheana féin. Ní mór duit an comhad teimpléad client.conf a chóipeáil chuig an eolaire /etc/openvpn/ a chruthaigh tú díreach. An uair seo ní dhéanfar an comhad a zipeáil, mar sin déanfaidh an t-ordú cp rialta an obair go breá:

# apt install openvpn
# cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf 
  /etc/openvpn/

Beidh an chuid is mó de na socruithe i do chomhad client.conf go leor féinmhínitheach: ba cheart dóibh na luachanna ar an bhfreastalaí a mheaitseáil. Mar a fheiceann tú ón gcomhad sampla seo a leanas, is é an paraiméadar uathúil iargúlta 192.168.1.23 1194, a insíonn don chliant seoladh IP an fhreastalaí. Arís, cinntigh gurb é seo do sheoladh freastalaí. Ba cheart duit freisin iallach a chur ar an ríomhaire cliaint barántúlacht theastas an fhreastalaí a fhíorú chun ionsaí fear-i-lár a d'fhéadfadh a bheith ann a chosc. Bealach amháin chun é seo a dhéanamh ná an freastalaí cianda-cert-tls líne a chur leis (Liostú 10.3).

Leabhar "Linux in Action"
Is féidir leat dul chuig an eolaire /etc/openvpn/ anois agus na heochracha deimhnithe a bhaint as an bhfreastalaí. Cuir do luachanna in ionad seoladh IP an fhreastalaí nó an t-ainm fearainn sa sampla:

Leabhar "Linux in Action"
Is dócha nach dtarlóidh aon rud spreagúil go dtí go ritheann tú OpenVPN ar an gcliant. Ós rud é go gcaithfidh tú cúpla argóint a rith, déanfaidh tú é ón líne ordaithe. Insíonn an argóint --tls-client do OpenVPN go ngníomhóidh tú mar chliant agus go ndéanfaidh tú nasc trí chriptiú TLS, agus pointí --config le do chomhad cumraíochta:

# openvpn --tls-client --config /etc/openvpn/client.conf

Léigh an t-aschur ordaithe go cúramach chun a chinntiú go bhfuil tú ceangailte i gceart. Má théann rud éigin mícheart den chéad uair, d'fhéadfadh sé a bheith mar gheall ar neamhréir socruithe idir an freastalaí agus comhaid cumraíochta an chliaint nó ceist maidir le ceangal líonra/balla dóiteáin. Seo roinnt leideanna fabhtcheartaithe.

  • Léigh go cúramach aschur na hoibríochta OpenVPN ar an gcliant. Is minic a bhíonn comhairle luachmhar ann maidir le cad go díreach nach féidir a dhéanamh agus cén fáth.
  • Seiceáil na teachtaireachtaí earráide sna comhaid openvpn.log agus openvpn-status.log san eolaire /etc/openvpn/ ar an bhfreastalaí.
  • Seiceáil logaí an chórais ar an bhfreastalaí agus ar an gcliant le haghaidh teachtaireachtaí a bhaineann le OpenVPN agus teachtaireachtaí uainithe. (Taispeánfaidh Journalctl -ce na hiontrálacha is déanaí.)
  • Bí cinnte go bhfuil nasc líonra gníomhach agat idir an freastalaí agus an cliant (tuilleadh air seo i gCaibidil 14).

Maidir leis an údar

David Clinton - riarthóir córais, múinteoir agus scríbhneoir. Rinne sé riar, scríobh faoi, agus chruthaigh sé ábhair oideachais do go leor disciplíní teicniúla tábhachtacha, lena n-áirítear córais Linux, néalríomhaireacht (AWS go háirithe), agus teicneolaíochtaí coimeádán mar Docker. Scríobh sé an leabhar Learn Amazon Web Services in a Month of Lunches (Manning, 2017). Is féidir go leor dá chúrsaí oiliúna físeáin a fháil ag Pluralsight.com, agus tá naisc chuig a leabhair eile (ar riarachán Linux agus fíorúlú freastalaí) ar fáil ag bootstrap-it.com.

» Le haghaidh tuilleadh eolais faoin leabhar, tabhair cuairt le do thoil láithreán gréasáin an fhoilsitheora
» Tábla na nÁbhar
» Sliocht

Le haghaidh Khabrozhiteli lascaine 25% ar an cúpón - Linux
Nuair a íoctar an leagan páipéir den leabhar, seoltar ríomhleabhar chuig an ríomhphost.

Foinse: will.com

Add a comment