🥇 Leabhar “Linux in Action”

Halo, luchd-còmhnaidh Khabro! Anns an leabhar, tha Dàibhidh Clinton a’ toirt cunntas air 12 pròiseact fìor, a’ toirt a-steach fèin-ghluasad an t-siostam cùl-taic is ath-bheothachaidh agad, stèidheachadh sgòth faidhle pearsanta ann an stoidhle Dropbox, agus cruthaich am frithealaiche MediaWiki agad fhèin. Nì thu sgrùdadh air virtualization, faighinn seachad air mòr-thubaist, tèarainteachd, cùl-taic, DevOps, agus fuasgladh dhuilgheadasan siostam tro sgrùdaidhean cùise inntinneach. Bidh gach caibideil a’ crìochnachadh le lèirmheas air na cleachdaidhean as fheàrr, beag-fhaclair de theirmean ùra, agus eacarsaichean.

Earrann “10.1. A’ cruthachadh tunail OpenVPN"

Tha mi air tòrr a bhruidhinn mu thràth mu chrioptachadh san leabhar seo. Faodaidh SSH agus SCP dàta a chaidh a ghluasad thairis air ceanglaichean iomallach a dhìon (Caibideil 3), faodaidh crioptachadh faidhle dàta a dhìon fhad ‘s a tha e air a stòradh air an fhrithealaiche (Caibideil 8), agus faodaidh teisteanasan TLS / SSL dàta a chaidh a ghluasad eadar làraich agus brobhsairean teachdaiche a dhìon (Caibideil 9) . Ach uaireannan feumaidh an dàta agad a bhith air a dhìon thairis air raon nas fharsainge de cheanglaichean. Mar eisimpleir, is dòcha gu bheil cuid de bhuill na sgioba agad ag obair air an rathad fhad ‘s a tha iad a’ ceangal ri Wi-Fi tro àiteachan poblach. Gu cinnteach cha bu chòir dhut gabhail ris gu bheil a h-uile puing ruigsinneachd mar sin tèarainte, ach tha feum aig na daoine agad air dòigh gus ceangal ri goireasan companaidh - agus sin far an urrainn do VPN cuideachadh.

Tha tunail VPN air a dhealbhadh gu ceart a’ toirt seachad ceangal dìreach eadar teachdaichean iomallach agus an frithealaiche ann an dòigh a bhios a’ falach dàta fhad ‘s a tha e a’ siubhal thairis air lìonra mì-chinnteach. Dè ma tha? Tha thu air mòran innealan fhaicinn mar-thà as urrainn seo a dhèanamh le crioptachadh. Is e fìor luach VPN, le bhith a’ fosgladh tunail, gun urrainn dhut lìonraidhean iomallach a cheangal mar gum biodh iad uile ionadail. Ann an seagh, tha thu a’ cleachdadh seach-rathad.

A’ cleachdadh an lìonra leudaichte seo, faodaidh luchd-rianachd an cuid obrach a dhèanamh air na frithealaichean aca bho àite sam bith. Ach nas cudromaiche, faodaidh companaidh le goireasan air an sgaoileadh thairis air grunn àiteachan an dèanamh uile follaiseach agus ruigsinneach dha na buidhnean a tha feumach orra, ge bith càite a bheil iad (Figear 10.1).

Chan eil an tunail fhèin a’ gealltainn tèarainteachd. Ach faodar aon de na h-inbhean crioptachaidh a thoirt a-steach don structar lìonra, a tha gu mòr a’ meudachadh ìre tèarainteachd. Bidh tunailean a chaidh a chruthachadh a’ cleachdadh a’ phacaid stòr fosgailte OpenVPN a’ cleachdadh an aon chrioptachadh TLS/SSL a leugh thu mu thràth. Chan e OpenVPN an aon roghainn tunail a tha ri fhaighinn, ach tha e air aon den fheadhainn as ainmeil. Thathas den bheachd gu bheil e beagan nas luaithe agus nas tèarainte na am protocol tunail Layer 2 eile a bhios a’ cleachdadh crioptachadh IPsec.

A bheil thu airson gum bi a h-uile duine san sgioba agad a’ conaltradh gu tèarainte ri chèile fhad ‘s a tha iad air an rathad no ag obair ann an togalaichean eadar-dhealaichte? Gus seo a dhèanamh, feumaidh tu frithealaiche OpenVPN a chruthachadh gus leigeil le roinneadh thagraidhean agus faighinn gu àrainneachd lìonra ionadail an fhrithealaiche. Gus seo a dhèanamh, chan eil agad ach dà inneal mas-fhìor no dà shoitheach a ruith: aon airson a bhith na fhrithealaiche/aoigheachd agus aon airson a bhith mar neach-dèiligidh. Chan e pròiseas sìmplidh a th’ ann a bhith a’ togail VPN, agus mar sin is dòcha gum b’ fhiach beagan mhionaidean a thoirt airson an dealbh mhòr a thoirt fa-near.

10.1.1. Rèiteachadh frithealaiche OpenVPN

Mus tòisich thu, bheir mi beagan comhairle feumail dhut. Ma tha thu gu bhith ga dhèanamh leat fhèin (agus tha mi gu mòr a’ moladh gun dèan thu sin), is dòcha gum bi thu ag obair le iomadh uinneag crìochnachaidh fosgailte air an Deasg agad, gach fear ceangailte ri inneal eile. Tha cunnart ann aig àm air choreigin gun cuir thu an àithne ceàrr a-steach don uinneig. Gus seo a sheachnadh, faodaidh tu an àithne ainm aoigheachd a chleachdadh gus ainm an inneil a tha air a thaisbeanadh air an loidhne-àithne atharrachadh gu rudeigin a dh’ innseas gu soilleir dhut càite a bheil thu. Aon uair ‘s gun dèan thu seo, feumaidh tu logadh a-mach às an fhrithealaiche agus logadh a-steach air ais gus na roghainnean ùra a thoirt gu buil. Seo mar a tha e coltach:

Le bhith a’ leantainn an dòigh-obrach seo agus a’ toirt ainmean iomchaidh do gach inneal leis a bheil thu ag obair, is urrainn dhut gu furasta cunntas a chumail air far a bheil thu.

Às deidh dhut an t-ainm aoigheachd a chleachdadh, is dòcha gum bi thu a’ tighinn tarsainn air àmhgharan Chan urrainn teachdaireachdan OpenVPN-Server a rèiteachadh nuair a bhios tu a’ cur an gnìomh òrdughan às deidh sin. Bu chòir dhut a’ chùis fhuasgladh le bhith ag ùrachadh an fhaidhle /etc/hosts leis an ainm aoigheachd ùr iomchaidh.

Ag ullachadh do fhrithealaiche airson OpenVPN

Gus OpenVPN a stàladh air an t-seirbheisiche agad, feumaidh tu dà phacaid: openvpn agus easy-rsa (gus am pròiseas gineadh iuchrach crioptachaidh a riaghladh). Bu chòir do luchd-cleachdaidh CentOS an stòr epel-release a chuir a-steach an-toiseach ma tha sin riatanach, mar a rinn thu ann an Caibideil 2. Gus a bhith comasach air ruigsinneachd air iarrtas an fhrithealaiche a dhearbhadh, faodaidh tu cuideachd frithealaiche lìn Apache (apache2 air Ubuntu agus httpd air CentOS) a stàladh.

Fhad ‘s a tha thu a’ stèidheachadh an fhrithealaiche agad, tha mi a ’moladh balla-teine a chuir an gnìomh a chuireas casg air a h-uile port ach a-mhàin 22 (SSH) agus 1194 (port bunaiteach OpenVPN). Tha an eisimpleir seo a’ sealltainn mar a dh’obraicheadh ufw air Ubuntu, ach tha mi cinnteach gu bheil cuimhne agad fhathast air a’ phrògram firewalld CentOS bho Chaibideil 9:

# ufw enable
# ufw allow 22
# ufw allow 1194

Gus slighe a-staigh a dhèanamh eadar eadar-aghaidh lìonra air an fhrithealaiche, feumaidh tu aon loidhne a thoirt a-mach (net.ipv4.ip_forward = 1) anns an fhaidhle /etc/sysctl.conf. Leigidh seo le teachdaichean iomallach ath-stiùireadh mar a dh’ fheumar aon uair ‘s gu bheil iad ceangailte. Gus toirt air an roghainn ùr obrachadh, ruith sysctl -p:

# nano /etc/sysctl.conf
# sysctl -p

Tha àrainneachd an fhrithealaiche agad a-nis làn rèiteachadh, ach tha aon rud eile ri dhèanamh fhathast mus bi thu deiseil: feumaidh tu na ceumannan a leanas a choileanadh (còmhdaichidh sinn gu mionaideach iad an ath rud).

Cruthaich seata de dh’ iuchraichean crioptachaidh bun-structair iuchrach poblach (PKI) air an t-seirbheisiche a’ cleachdadh nan sgriobtaichean a tha air an toirt seachad leis a’ phacaid easy-rsa. Gu bunaiteach, tha am frithealaiche OpenVPN cuideachd ag obair mar an ùghdarras teisteanais aige fhèin (CA).
Ullaich iuchraichean iomchaidh airson an neach-dèiligidh
Dèan rèiteachadh air an fhaidhle server.conf airson an fhrithealaiche
Stèidhich an neach-dèiligidh OpenVPN agad
Thoir sùil air an VPN agad

A’ cruthachadh iuchraichean crioptachaidh

Gus cùisean a chumail sìmplidh, faodaidh tu do phrìomh bhun-structar a stèidheachadh air an aon inneal far a bheil am frithealaiche OpenVPN a’ ruith. Ach, mar as trice tha cleachdaidhean tèarainteachd as fheàrr a’ moladh a bhith a ’cleachdadh frithealaiche CA air leth airson cleachdadh cinneasachaidh. Tha am pròiseas airson prìomh ghoireasan crioptachaidh a ghineadh agus a sgaoileadh airson an cleachdadh ann an OpenVPN ri fhaicinn ann am Fig. 10.2.

Nuair a chuir thu a-steach OpenVPN, chaidh an /etc/openvpn/ directory a chruthachadh gu fèin-obrachail, ach chan eil dad ann fhathast. Bidh na pacaidean openvpn agus easy-rsa a’ tighinn le eisimpleirean de fhaidhlichean teamplaid as urrainn dhut a chleachdadh mar bhunait airson do rèiteachadh. Gus am pròiseas teisteanais a thòiseachadh, dèan lethbhreac den eòlaire teamplaid easy-rsa bho / usr/share/ to / etc/openvpn agus atharraich chun eòlaire furasta-rsa/:

# cp -r /usr/share/easy-rsa/ /etc/openvpn
$ cd /etc/openvpn/easy-rsa

Bidh grunn sgriobtaichean a-nis anns an eòlaire easy-rsa. Ann an clàr Tha 10.1 a’ liostadh na h-innealan a chleachdas tu gus iuchraichean a chruthachadh.

Feumaidh na h-obraichean gu h-àrd sochairean bunaiteach, mar sin feumaidh tu a bhith freumhaichte tro sudo su.

Canar vars ris a’ chiad fhaidhle leis an obraich thu agus tha caochladairean àrainneachd ann a bhios furasta-rsa a’ cleachdadh nuair a bhios iad a’ gineadh iuchraichean. Feumaidh tu am faidhle a dheasachadh gus na luachan agad fhèin a chleachdadh an àite nan luachan bunaiteach a tha ann mu thràth. Seo cò ris a bhios am faidhle agam coltach (A’ liostadh 10.1).

Clàradh 10.1. Prìomh phìosan den fhaidhle /etc/openvpn/easy-rsa/vars

export KEY_COUNTRY="CA"
export KEY_PROVINCE="ON"
export KEY_CITY="Toronto"
export KEY_ORG="Bootstrap IT"
export KEY_EMAIL="[email protected]"
export KEY_OU="IT"

Bheir ruith am faidhle vars na luachan aige gu àrainneachd nan sligean, far am bi iad air an toirt a-steach do shusbaint nan iuchraichean ùra agad. Carson nach eil an t-òrdugh sudo leis fhèin ag obair? Oir anns a 'chiad cheum bidh sinn a' deasachadh an sgriobt ainmichte vars agus an uairsin ga chur an sàs. A 'cur a-steach agus a' ciallachadh gu bheil am faidhle vars a 'toirt seachad a luachan gu àrainneachd nan sligean, far am bi iad air an gabhail a-steach ann an susbaint nan iuchraichean ùra agad.

Dèan cinnteach gun ath-ruith thu am faidhle le slige ùr gus am pròiseas neo-chrìochnaichte a chrìochnachadh. Nuair a bhios seo dèanta, brosnaichidh an sgriobt thu gus sgriobt eile a ruith, glan uile, gus susbaint sam bith a thoirt air falbh san eòlaire /etc/openvpn/easy-rsa/keys/:

Gu nàdarra, is e an ath cheum an sgriobt glan uile a ruith, agus an uairsin build-ca, a chleachdas an sgriobt pkitool gus an teisteanas freumh a chruthachadh. Thèid iarraidh ort na roghainnean dearbh-aithne a thug vars seachad a dhearbhadh:

# ./clean-all
# ./build-ca
Generating a 2048 bit RSA private key

An uairsin thig an sgriobt build-key-server. Leis gu bheil e a’ cleachdadh an aon sgriobt pkitool còmhla ris an teisteanas freumh ùr, chì thu na h-aon cheistean gus dearbhadh cruthachadh a’ phaidhir iuchrach. Thèid na h-iuchraichean ainmeachadh stèidhichte air na h-argamaidean a thèid thu seachad, a bhios, mura h-eil thu a’ ruith iomadh VPN air an inneal seo, mar fhrithealaiche mar as trice, mar san eisimpleir:

# ./build-key-server server
[...]
Certificate is to be certified until Aug 15 23:52:34 2027 GMT (3650 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

Bidh OpenVPN a’ cleachdadh paramadairean air an gineadh le algairim Diffie-Hellman (a’ cleachdadh build-dh) gus dearbhadh airson ceanglaichean ùra a cho-rèiteachadh. Chan fheum am faidhle a chaidh a chruthachadh an seo a bhith dìomhair, ach feumar a chruthachadh leis an sgriobt build-dh airson na h-iuchraichean RSA a tha gnìomhach an-dràsta. Ma chruthaicheas tu iuchraichean RSA ùra san àm ri teachd, feumaidh tu cuideachd am faidhle Diffie-Hellman ùrachadh:

# ./build-dh

Bidh na h-iuchraichean taobh frithealaiche agad a-nis a’ tighinn gu crìch san eòlaire /etc/openvpn/easy-rsa/keys/, ach chan eil fios aig OpenVPN air seo. Gu gnàthach, seallaidh OpenVPN airson iuchraichean ann an /etc/openvpn/, mar sin dèan lethbhreac dhiubh:

# cp /etc/openvpn/easy-rsa/keys/server* /etc/openvpn
# cp /etc/openvpn/easy-rsa/keys/dh2048.pem /etc/openvpn
# cp /etc/openvpn/easy-rsa/keys/ca.crt /etc/openvpn

Ag ullachadh iuchraichean crioptachaidh teachdaiche

Mar a chunnaic thu mu thràth, bidh crioptachadh TLS a’ cleachdadh paidhrichean de dh’ iuchraichean maidsidh: aon air a chuir a-steach air an fhrithealaiche agus aon air a chuir a-steach air a’ chleachdaiche iomallach. Tha seo a’ ciallachadh gum feum thu iuchraichean teachdaiche. Is e ar seann charaid pkitool dìreach na tha a dhìth ort airson seo. San eisimpleir seo, nuair a ruitheas sinn am prògram san eòlaire /etc/openvpn/easy-rsa/, bidh sinn a’ toirt seachad argamaid an neach-dèiligidh gus faidhlichean ris an canar client.crt agus client.key a ghineadh:

# ./pkitool client

Bu chòir an dà fhaidhle teachdaiche, còmhla ris an fhaidhle ca.crt tùsail a tha fhathast anns na h-iuchraichean / eòlaire, a-nis a ghluasad gu tèarainte chun neach-dèiligidh agad. Air sgàth an seilbh agus an còraichean-slighe, is dòcha nach bi seo cho furasta. Is e an dòigh as sìmplidh susbaint an fhaidhle tùsail a chopaigeadh le làimh (agus gun dad ach an t-susbaint sin) gu inneal-crìochnachaidh a tha a ’ruith air deasg a’ PC agad (tagh an teacsa, cliog deas air agus tagh Dèan lethbhreac bhon chlàr). An uairsin cuir seo ann am faidhle ùr leis an aon ainm a chruthaicheas tu ann an dàrna ceann-uidhe ceangailte ris an neach-dèiligidh agad.

Ach faodaidh duine sam bith a ghearradh agus a phasgadh. An àite sin, smaoinich mar rianadair oir cha bhith cothrom agad an-còmhnaidh air an GUI far a bheil e comasach obair gearraidh / paste a dhèanamh. Dèan lethbhreac de na faidhlichean gu eòlaire dachaigh an neach-cleachdaidh agad (gus am faigh an obrachadh scp iomallach cothrom orra), agus an uairsin cleachd chown gus seilbh nam faidhlichean atharrachadh bho fhreumh gu neach-cleachdaidh àbhaisteach neo-freumhan gus an gabh an gnìomh scp iomallach a dhèanamh. Dèan cinnteach gu bheil na faidhlichean agad uile air an stàladh agus ruigsinneach. Gluaisidh tu iad chun neach-dèiligidh beagan nas fhaide air adhart:

# cp /etc/openvpn/easy-rsa/keys/client.key /home/ubuntu/
# cp /etc/openvpn/easy-rsa/keys/ca.crt /home/ubuntu/
# cp /etc/openvpn/easy-rsa/keys/client.crt /home/ubuntu/
# chown ubuntu:ubuntu /home/ubuntu/client.key
# chown ubuntu:ubuntu /home/ubuntu/client.crt
# chown ubuntu:ubuntu /home/ubuntu/ca.crt

Le làn sheata de dh’ iuchraichean crioptachaidh deiseil airson a dhol, feumaidh tu innse don t-seirbheisiche mar a tha thu airson an VPN a chruthachadh. Tha seo air a dhèanamh a 'cleachdadh am faidhle server.conf.

Lùghdachadh air an àireamh de keystrokes

A bheil cus clò-sgrìobhaidh ann? Cuidichidh leudachadh le camagan na sia òrdughan sin a lùghdachadh gu dhà. Tha mi cinnteach gun urrainn dhut an dà eisimpleir seo a sgrùdadh agus tuigsinn dè a tha a’ dol. Nas cudromaiche, bidh e comasach dhut tuigsinn mar a chuireas tu na prionnsapalan sin an sàs ann an gnìomhachd anns a bheil deichean no eadhon ceudan de eileamaidean:
# cp /etc/openvpn/easy-rsa/keys/{ca.crt,client.{key,crt}} /home/ubuntu/
# chown ubuntu:ubuntu /home/ubuntu/{ca.crt,client.{key,crt}}

A' stèidheachadh am faidhle server.conf

Ciamar a bhios fios agad cò ris a bu chòir am faidhle server.conf a bhith coltach? Cuimhnich air an teamplaid eòlaire furasta-rsa a rinn thu leth-bhreac bho / usr/share/? Nuair a chuir thu a-steach OpenVPN, dh’ fhàg thu faidhle teamplaid rèiteachaidh teann as urrainn dhut a chopaigeadh gu /etc/openvpn/. Togaidh mi air an fhìrinn gu bheil an teamplaid air a thasgadh agus bheir mi a-steach inneal feumail dhut: zcat.

Tha fios agad mu thràth mu bhith a’ clò-bhualadh susbaint teacsa faidhle chun sgrion a’ cleachdadh an àithne cat, ach dè ma tha am faidhle air a dhlùthadh le gzip? Faodaidh tu an-còmhnaidh am faidhle a unzip agus an uairsin bheir cat a-mach e gu toilichte, ach sin ceum no dhà a bharrachd na tha riatanach. An àite sin, mar is dòcha gu robh thu air smaoineachadh, faodaidh tu an àithne zcat a chuir a-mach gus an teacsa gun phacaid a luchdachadh gu cuimhne ann an aon cheum. Anns an eisimpleir a leanas, an àite a bhith a’ clò-bhualadh teacsa chun sgrion, bidh thu ga ath-stiùireadh gu faidhle ùr ris an canar server.conf:

# zcat 
  /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz 
  > /etc/openvpn/server.conf
$ cd /etc/openvpn

Nach cuir sinn an dàrna taobh na sgrìobhainnean farsaing agus cuideachail a thig leis an fhaidhle agus chì sinn cò ris a bhiodh e coltach nuair a bhios tu deiseil airson deasachadh. Thoir an aire gu bheil an leth-dhuilleag (;) ag innse do OpenVPN gun a bhith a’ leughadh no a’ cur an gnìomh an ath loidhne (Liosta 10.2).

Rachamaid tro chuid de na roghainnean sin.

Gu gnàthach, bidh OpenVPN a’ ruith air port 1194. Faodaidh tu seo atharrachadh, mar eisimpleir, gus do ghnìomhachdan fhalach tuilleadh no gus còmhstrithean le tunailean gnìomhach eile a sheachnadh. Leis gu bheil feum aig 1194 air glè bheag de cho-òrdanachadh le teachdaichean, tha e nas fheàrr a dhèanamh san dòigh seo.
Bidh OpenVPN a’ cleachdadh an dàrna cuid Transmission Control Protocol (TCP) no User Datagram Protocol (UDP) gus dàta a thar-chuir. Is dòcha gu bheil TCP beagan nas slaodaiche, ach tha e nas earbsaiche agus nas dualtaiche a bhith air a thuigsinn le tagraidhean a tha a’ ruith air gach ceann den tunail.
Faodaidh tu dev tun a shònrachadh nuair a tha thu airson tunail IP nas sìmplidh agus nas èifeachdaiche a chruthachadh a bhios a’ giùlan susbaint dàta agus gun dad eile. Ma tha, air an làimh eile, feumaidh tu iomadh eadar-aghaidh lìonra a cheangal (agus na lìonraidhean a tha iad a 'riochdachadh), a' cruthachadh drochaid Ethernet, feumaidh tu tap dev a thaghadh. Mura h-eil thu a’ tuigsinn dè tha seo uile a’ ciallachadh, cleachd an argamaid tun.
Bheir na ceithir loidhnichean a tha romhainn ainmean nan trì faidhlichean dearbhaidh air an fhrithealaiche do OpenVPN agus am faidhle roghainnean dh2048 a chruthaich thu na bu thràithe.
Bidh an loidhne frithealaiche a’ suidheachadh an raon agus masg subnet a thèid a chleachdadh gus seòlaidhean IP a shònrachadh do luchd-dèiligidh nuair a thèid iad a-steach.
Tha am paramadair putaidh roghainneil “slighe 10.0.3.0 255.255.255.0” a’ leigeil le teachdaichean iomallach faighinn gu subnets prìobhaideach air cùl an fhrithealaiche. Gus an obair seo a dhèanamh cuideachd feumar an lìonra a stèidheachadh air an fhrithealaiche fhèin gus am bi fios aig an subnet prìobhaideach mun subnet OpenVPN (10.8.0.0).
Leigidh loidhne port-share localhost 80 dhut trafaic teachdaiche ath-stiùireadh a’ tighinn air port 1194 gu frithealaiche lìn ionadail ag èisteachd air port 80. (Bidh seo feumail ma tha thu gu bhith a’ cleachdadh an fhrithealaiche lìn gus do VPN a dhearbhadh.) Chan obraich seo ach an uairsin nuair a thèid am protocol tcp a thaghadh.
Feumaidh an neach-cleachdaidh gun duine agus loidhnichean buidheann nogroup a bhith air an comasachadh le bhith a’ toirt air falbh na semicolons (;). Le bhith a’ toirt air teachdaichean iomallach ruith mar neach sam bith agus gun bhuidheann a’ dèanamh cinnteach gu bheil seiseanan air an t-seirbheisiche gun bhuannachd.
log a’ sònrachadh gum bi inntrigidhean log gnàthach a’ sgrìobhadh thairis air seann inntrigidhean gach uair a thèid OpenVPN a thòiseachadh, ach bidh log-append a’ cur inntrigidhean ùra ris an fhaidhle log a th’ ann mar-thà. Tha am faidhle openvpn.log fhèin air a sgrìobhadh chun an eòlaire /etc/openvpn/.

A bharrachd air an sin, bidh luach teachdaiche-gu-cliant gu tric air a chur ris an fhaidhle rèiteachaidh gus am faic ioma-chleachdaiche a chèile a bharrachd air an t-seirbheisiche OpenVPN. Ma tha thu riaraichte leis an rèiteachadh agad, faodaidh tu am frithealaiche OpenVPN a thòiseachadh:

# systemctl start openvpn

Mar thoradh air mar a tha an dàimh eadar OpenVPN agus systemd ag atharrachadh, is dòcha gum feumar an co-chòrdadh a leanas uaireannan gus seirbheis a thòiseachadh: systemctl tòisich openvpn@server.

Bu chòir dha ruith ip addr gus eadar-aghaidh lìonra an fhrithealaiche agad a liostadh a-nis ceangal a chuir a-mach gu eadar-aghaidh ùr ris an canar tun0. Cruthaichidh OpenVPN e gus seirbheis a thoirt do luchd-ceannach a tha a’ tighinn a-steach:

$ ip addr
[...]
4: tun0: mtu 1500 qdisc [...]
      link/none
      inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0
          valid_lft forever preferred_lft forever

Is dòcha gum feum thu am frithealaiche ath-thòiseachadh mus tòisich a h-uile càil ag obair gu h-iomlan. Is e an ath stad an coimpiutair teachdaiche.

10.1.2. A’ rèiteachadh an neach-dèiligidh OpenVPN

Gu traidiseanta, thathas a’ togail tunailean le co-dhiù dà shlighe a-mach (air dhòigh eile chanadh sinn uaimhean orra). Bidh OpenVPN air a rèiteachadh gu ceart air an fhrithealaiche a’ stiùireadh trafaic a-steach agus a-mach às an tunail air aon taobh. Ach bidh feum agad air bathar-bog a tha a’ ruith air taobh an neach-dèiligidh, is e sin, air ceann eile an tunail.

Anns an earrainn seo, tha mi a’ dol a chuimseachadh air a bhith a’ stèidheachadh seòrsa de choimpiutair Linux le làimh gus a bhith mar neach-dèiligidh OpenVPN. Ach chan e seo an aon dòigh anns a bheil an cothrom seo ri fhaighinn. Bidh OpenVPN a’ toirt taic do thagraidhean teachdaiche a ghabhas a chuir a-steach agus a chleachdadh air deasg agus coimpiutairean-uchd a tha a’ ruith Windows no macOS, a bharrachd air fònaichean sgairteil agus tablaidean Android agus iOS. Faic openvpn.net airson mion-fhiosrachadh.

Feumaidh am pasgan OpenVPN a bhith air a chuir a-steach air inneal an teachdaiche mar a chaidh a chuir a-steach air an fhrithealaiche, ged nach eil feum air easy-rsa an seo leis gu bheil na h-iuchraichean a tha thu a’ cleachdadh ann mu thràth. Feumaidh tu am faidhle teamplaid client.conf a chopaigeadh chun /etc/openvpn/ directory a chruthaich thu. An turas seo cha tèid am faidhle a zipadh, agus mar sin nì an àithne cp àbhaisteach an obair gu math:

# apt install openvpn
# cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf 
  /etc/openvpn/

Bidh a 'mhòr-chuid de na roghainnean anns an fhaidhle client.conf agad gu math mìneachail: bu chòir dhaibh a bhith co-ionnan ris na luachan air an fhrithealaiche. Mar a chì thu bhon fhaidhle eisimpleir a leanas, is e am paramadair sònraichte iomallach 192.168.1.23 1194, a tha ag innse don neach-dèiligidh seòladh IP an fhrithealaiche. A-rithist, dèan cinnteach gur e seo an seòladh frithealaiche agad. Bu chòir dhut cuideachd toirt air coimpiutair an neach-dèiligidh dearbhadh dè cho cinnteach ‘s a tha teisteanas an fhrithealaiche gus casg a chuir air ionnsaigh fear-sa-meadhan. Is e aon dòigh air seo a dhèanamh a bhith a’ cur ris an loidhne frithealaiche remote-cert-tls (A’ liostadh 10.3).

Faodaidh tu a-nis a dhol chun eòlaire /etc/openvpn/ agus na h-iuchraichean teisteanais a thoirt a-mach às an fhrithealaiche. Cuir na luachan agad an àite seòladh IP an fhrithealaiche no ainm fearainn san eisimpleir:

Is dòcha nach tachair dad inntinneach gus an ruith thu OpenVPN air an neach-dèiligidh. Leis gu feum thu argamaid no dhà a thoirt seachad, nì thu e bhon loidhne-àithne. Tha an argamaid --tls-client ag innse do OpenVPN gum bi thu nad neach-dèiligidh agus gun dèan thu ceangal tro chrioptachadh TLS, agus --config puingean don fhaidhle rèiteachaidh agad:

# openvpn --tls-client --config /etc/openvpn/client.conf

Leugh toradh an àithne gu faiceallach gus dèanamh cinnteach gu bheil thu ceangailte gu ceart. Ma thèid rudeigin ceàrr a’ chiad uair, dh’ fhaodadh gur ann mar thoradh air mì-chothromachadh ann an suidheachaidhean eadar am frithealaiche agus faidhlichean rèiteachaidh teachdaiche no cùis ceangail lìonra / balla-teine a tha seo. Seo cuid de mholaidhean fuasgladh cheistean.

Leugh gu faiceallach toradh gnìomhachd OpenVPN air an neach-dèiligidh. Gu tric bidh comhairle luachmhor ann air dè dìreach nach gabh a dhèanamh agus carson.
Thoir sùil air na teachdaireachdan mearachd anns na faidhlichean openvpn.log agus openvpn-status.log anns an eòlaire /etc/openvpn/ air an fhrithealaiche.
Thoir sùil air logaichean an t-siostaim air an fhrithealaiche agus an neach-dèiligidh airson teachdaireachdan co-cheangailte ri OpenVPN agus le ùine. (seallaidh irisctl -ce na h-inntrigidhean as ùire.)
Dèan cinnteach gu bheil ceangal lìonraidh gnìomhach agad eadar an fhrithealaiche agus an neach-dèiligidh (barrachd air seo ann an Caibideil 14).

Mun ùghdar

Daibhidh Clinton - rianadair siostam, tidsear agus sgrìobhadair. Tha e air stuthan foghlaim a rianachd, a sgrìobhadh mu dheidhinn agus a chruthachadh airson mòran chuspairean teicnigeach cudromach, a’ gabhail a-steach siostaman Linux, coimpiutaireachd sgòthan (gu sònraichte AWS), agus teicneòlasan soithichean leithid Docker. Sgrìobh e an leabhar Learn Amazon Web Services in a Month of Lunches (Manning, 2017). Gheibhear mòran de na cùrsaichean trèanaidh bhidio aige aig Pluralsight.com, agus tha ceanglaichean gu na leabhraichean eile aige (air rianachd Linux agus virtualization frithealaiche) rim faighinn aig bootstrap-it.com.

» Gheibhear barrachd fiosrachaidh mun leabhar aig làrach-lìn foillsichear
» Clàr-innse
» Cuibhreann

Airson Khabrozhiteley lasachadh 25% a’ cleachdadh coupon - Linux
Nuair a thèid dreach pàipeir den leabhar a phàigheadh, thèid leabhar eileagtronaigeach a chuir air post-d.

Source: www.habr.com

Leabhar "Linux ann an Gnìomh"