🥇 "Linux in Action" પુસ્તક | પ્રોહોસ્ટર

હેલો, ખાબરોના રહેવાસીઓ! પુસ્તકમાં, ડેવિડ ક્લિન્ટને તમારા બેકઅપ અને પુનઃપ્રાપ્તિ સિસ્ટમને સ્વચાલિત કરવા, ડ્રૉપબૉક્સ-શૈલીની વ્યક્તિગત ફાઇલ ક્લાઉડ સેટ કરવા અને તમારું પોતાનું મીડિયાવિકિ સર્વર બનાવવા સહિત 12 વાસ્તવિક જીવન પ્રોજેક્ટ્સનું વર્ણન કર્યું છે. તમે રસપ્રદ કેસ અભ્યાસ દ્વારા વર્ચ્યુઅલાઈઝેશન, ડિઝાસ્ટર રિકવરી, સુરક્ષા, બેકઅપ, DevOps અને સિસ્ટમ સમસ્યાનિવારણનું અન્વેષણ કરશો. દરેક પ્રકરણ શ્રેષ્ઠ પ્રથાઓની સમીક્ષા, નવી શરતોની શબ્દાવલિ અને કસરતો સાથે સમાપ્ત થાય છે.

અવતરણ “10.1. OpenVPN ટનલ બનાવી રહ્યા છીએ"

મેં આ પુસ્તકમાં એન્ક્રિપ્શન વિશે પહેલેથી જ ઘણી વાત કરી છે. SSH અને SCP રિમોટ કનેક્શન્સ (પ્રકરણ 3) પર સ્થાનાંતરિત ડેટાને સુરક્ષિત કરી શકે છે, ફાઇલ એન્ક્રિપ્શન ડેટાને સુરક્ષિત કરી શકે છે જ્યારે તે સર્વર પર સંગ્રહિત થાય છે (પ્રકરણ 8), અને TLS/SSL પ્રમાણપત્રો સાઇટ્સ અને ક્લાયંટ બ્રાઉઝર્સ (પ્રકરણ 9) વચ્ચે સ્થાનાંતરિત ડેટાને સુરક્ષિત કરી શકે છે. . પરંતુ કેટલીકવાર તમારા ડેટાને કનેક્શન્સની વિશાળ શ્રેણીમાં સુરક્ષિત કરવાની જરૂર છે. ઉદાહરણ તરીકે, કદાચ તમારી ટીમના કેટલાક સભ્યો સાર્વજનિક હોટસ્પોટ્સ દ્વારા Wi-Fi સાથે કનેક્ટ કરતી વખતે રસ્તા પર કામ કરે છે. તમારે ચોક્કસપણે એમ ન માનવું જોઈએ કે આવા તમામ એક્સેસ પોઈન્ટ્સ સુરક્ષિત છે, પરંતુ તમારા લોકોને કંપનીના સંસાધનો સાથે જોડાવા માટે એક માર્ગની જરૂર છે - અને તે જ જગ્યાએ VPN મદદ કરી શકે છે.

યોગ્ય રીતે ડિઝાઇન કરાયેલ VPN ટનલ રિમોટ ક્લાયંટ અને સર્વર વચ્ચે સીધો જોડાણ પ્રદાન કરે છે જે ડેટાને છુપાવે છે કારણ કે તે અસુરક્ષિત નેટવર્ક પર મુસાફરી કરે છે. તો શું? તમે પહેલાથી જ ઘણા સાધનો જોયા છે જે એન્ક્રિપ્શન સાથે આ કરી શકે છે. VPN નું વાસ્તવિક મૂલ્ય એ છે કે ટનલ ખોલીને, તમે રિમોટ નેટવર્ક્સને કનેક્ટ કરી શકો છો જાણે કે તે બધા સ્થાનિક હોય. એક અર્થમાં, તમે બાયપાસનો ઉપયોગ કરી રહ્યાં છો.

આ વિસ્તૃત નેટવર્કનો ઉપયોગ કરીને, સંચાલકો ગમે ત્યાંથી તેમના સર્વર પર તેમનું કાર્ય કરી શકે છે. પરંતુ વધુ મહત્ત્વની બાબત એ છે કે, બહુવિધ સ્થાનો પર ફેલાયેલા સંસાધનો ધરાવતી કંપની તે બધાને દૃશ્યક્ષમ અને બધા જૂથો માટે સુલભ બનાવી શકે છે જેને તેમની જરૂર હોય, તેઓ જ્યાં પણ હોય (આકૃતિ 10.1).

ટનલ પોતે સુરક્ષાની બાંયધરી આપતી નથી. પરંતુ નેટવર્ક માળખામાં એન્ક્રિપ્શન ધોરણોમાંથી એકનો સમાવેશ કરી શકાય છે, જે નોંધપાત્ર રીતે સુરક્ષાના સ્તરમાં વધારો કરે છે. ઓપન સોર્સ OpenVPN પૅકેજનો ઉપયોગ કરીને બનાવેલ ટનલ એ જ TLS/SSL એન્ક્રિપ્શનનો ઉપયોગ કરે છે જેના વિશે તમે પહેલેથી વાંચ્યું છે. OpenVPN એ એકમાત્ર ટનલિંગ વિકલ્પ ઉપલબ્ધ નથી, પરંતુ તે સૌથી વધુ જાણીતો છે. તેને વૈકલ્પિક લેયર 2 ટનલ પ્રોટોકોલ કરતાં સહેજ ઝડપી અને વધુ સુરક્ષિત માનવામાં આવે છે જે IPsec એન્ક્રિપ્શનનો ઉપયોગ કરે છે.

શું તમે ઇચ્છો છો કે તમારી ટીમના દરેક વ્યક્તિ રસ્તા પર હોય અથવા જુદી જુદી ઇમારતોમાં કામ કરતી વખતે એકબીજા સાથે સુરક્ષિત રીતે વાતચીત કરે? આ કરવા માટે, તમારે એપ્લીકેશન શેરિંગ અને સર્વરના સ્થાનિક નેટવર્ક પર્યાવરણને ઍક્સેસ કરવાની મંજૂરી આપવા માટે એક OpenVPN સર્વર બનાવવાની જરૂર છે. આ કામ કરવા માટે, તમારે ફક્ત બે વર્ચ્યુઅલ મશીનો અથવા બે કન્ટેનર ચલાવવાની જરૂર છે: એક સર્વર/હોસ્ટ તરીકે કાર્ય કરવા માટે અને એક ક્લાયન્ટ તરીકે કાર્ય કરવા માટે. VPN બનાવવી એ સરળ પ્રક્રિયા નથી, તેથી મોટા ચિત્રને ધ્યાનમાં લેવા માટે થોડી મિનિટો લેવા યોગ્ય છે.

10.1.1. ઓપનવીપીએન સર્વર ગોઠવણી

તમે પ્રારંભ કરો તે પહેલાં, હું તમને કેટલીક ઉપયોગી સલાહ આપીશ. જો તમે તે જાતે કરવા જઈ રહ્યાં છો (અને હું તમને ખૂબ ભલામણ કરું છું), તો તમે કદાચ તમારી જાતને તમારા ડેસ્કટોપ પર ખુલ્લી બહુવિધ ટર્મિનલ વિન્ડો સાથે કામ કરતા જોશો, દરેક અલગ મશીન સાથે જોડાયેલ છે. ત્યાં જોખમ છે કે અમુક સમયે તમે વિંડોમાં ખોટો આદેશ દાખલ કરશો. આને અવગણવા માટે, તમે કમાન્ડ લાઇન પર પ્રદર્શિત મશીનનું નામ બદલવા માટે હોસ્ટનામ આદેશનો ઉપયોગ કરી શકો છો જે તમને સ્પષ્ટપણે કહે છે કે તમે ક્યાં છો. એકવાર તમે આ કરી લો તે પછી, તમારે સર્વરમાંથી લોગ આઉટ કરવું પડશે અને નવી સેટિંગ્સને પ્રભાવમાં લાવવા માટે ફરીથી લોગ ઇન કરવાની જરૂર પડશે. આ તે જેવો દેખાય છે:

આ અભિગમને અનુસરીને અને તમે જેની સાથે કામ કરો છો તે દરેક મશીનને યોગ્ય નામ આપીને, તમે સરળતાથી તમે ક્યાં છો તેનો ટ્રૅક રાખી શકો છો.

હોસ્ટનામનો ઉપયોગ કર્યા પછી, અનુગામી આદેશો ચલાવતી વખતે તમને હોસ્ટ ઓપનવીપીએન-સર્વર સંદેશાઓને ઉકેલવામાં અસમર્થતાનો સામનો કરવો પડી શકે છે. યોગ્ય નવા યજમાનનામ સાથે /etc/hosts ફાઇલને અપડેટ કરવાથી સમસ્યાનું નિરાકરણ આવવું જોઈએ.

તમારા સર્વરને OpenVPN માટે તૈયાર કરી રહ્યાં છીએ

તમારા સર્વર પર OpenVPN ઇન્સ્ટોલ કરવા માટે, તમારે બે પેકેજોની જરૂર છે: openvpn અને easy-rsa (એન્ક્રિપ્શન કી જનરેશન પ્રક્રિયાનું સંચાલન કરવા માટે). જો જરૂરી હોય તો CentOS વપરાશકર્તાઓએ પ્રથમ એપેલ-રિલીઝ રીપોઝીટરી ઇન્સ્ટોલ કરવી જોઈએ, જેમ કે તમે પ્રકરણ 2 માં કર્યું છે. સર્વર એપ્લિકેશનની ઍક્સેસ ચકાસવા માટે સક્ષમ થવા માટે, તમે Apache વેબ સર્વર (Ubuntu પર apache2 અને CentOS પર httpd) પણ ઇન્સ્ટોલ કરી શકો છો.

જ્યારે તમે તમારું સર્વર સેટ કરી રહ્યાં હોવ, ત્યારે હું ફાયરવોલને સક્રિય કરવાની ભલામણ કરું છું જે 22 (SSH) અને 1194 (OpenVPN ના ડિફૉલ્ટ પોર્ટ) સિવાયના તમામ પોર્ટ્સને અવરોધિત કરે છે. આ ઉદાહરણ સમજાવે છે કે ઉબુન્ટુ પર ufw કેવી રીતે કાર્ય કરશે, પરંતુ મને ખાતરી છે કે તમને હજુ પણ પ્રકરણ 9 નો CentOS ફાયરવોલ્ડ પ્રોગ્રામ યાદ છે:

# ufw enable
# ufw allow 22
# ufw allow 1194

સર્વર પર નેટવર્ક ઈન્ટરફેસ વચ્ચે આંતરિક રૂટીંગને સક્રિય કરવા માટે, તમારે /etc/sysctl.conf ફાઈલમાં એક લીટી (net.ipv4.ip_forward = 1)ને અનકોમેન્ટ કરવાની જરૂર છે. આનાથી રિમોટ ક્લાયંટ એકવાર કનેક્ટ થઈ જાય પછી જરૂરિયાત મુજબ રીડાયરેક્ટ થઈ શકશે. નવા વિકલ્પને કામ કરવા માટે, sysctl -p ચલાવો:

# nano /etc/sysctl.conf
# sysctl -p

તમારું સર્વર પર્યાવરણ હવે સંપૂર્ણ રીતે ગોઠવાયેલું છે, પરંતુ તમે તૈયાર થાઓ તે પહેલાં હજુ એક વધુ વસ્તુ કરવાનું બાકી છે: તમારે નીચેના પગલાં ભરવાની જરૂર પડશે (અમે તેમને આગળ વિગતવાર આવરી લઈશું).

સરળ-rsa પેકેજ સાથે પૂરી પાડવામાં આવેલ સ્ક્રિપ્ટોનો ઉપયોગ કરીને સર્વર પર પબ્લિક કી ઈન્ફ્રાસ્ટ્રક્ચર (PKI) એન્ક્રિપ્શન કીનો સમૂહ બનાવો. આવશ્યકપણે, OpenVPN સર્વર તેના પોતાના પ્રમાણપત્ર સત્તા (CA) તરીકે પણ કાર્ય કરે છે.
ક્લાયંટ માટે યોગ્ય કીઓ તૈયાર કરો
સર્વર માટે server.conf ફાઇલને રૂપરેખાંકિત કરો
તમારા OpenVPN ક્લાયંટને સેટ કરો
તમારું VPN તપાસો

એન્ક્રિપ્શન કી જનરેટ કરી રહ્યાં છીએ

વસ્તુઓ સરળ રાખવા માટે, તમે તમારું કી ઈન્ફ્રાસ્ટ્રક્ચર એ જ મશીન પર સેટ કરી શકો છો જ્યાં OpenVPN સર્વર ચાલી રહ્યું છે. જો કે, સુરક્ષાની શ્રેષ્ઠ પદ્ધતિઓ સામાન્ય રીતે ઉત્પાદન જમાવટ માટે અલગ CA સર્વરનો ઉપયોગ કરવાનું સૂચન કરે છે. OpenVPN માં ઉપયોગ માટે એન્ક્રિપ્શન કી સંસાધનો બનાવવા અને વિતરિત કરવાની પ્રક્રિયા ફિગમાં દર્શાવવામાં આવી છે. 10.2.

જ્યારે તમે OpenVPN ઇન્સ્ટોલ કર્યું, ત્યારે /etc/openvpn/ ડિરેક્ટરી આપમેળે બનાવવામાં આવી હતી, પરંતુ તેમાં હજી સુધી કંઈ નથી. ઓપનવીપીએન અને સરળ-આરએસએ પેકેજો ઉદાહરણ ટેમ્પલેટ ફાઇલો સાથે આવે છે જેનો તમે તમારા રૂપરેખાંકન માટે આધાર તરીકે ઉપયોગ કરી શકો છો. પ્રમાણપત્ર પ્રક્રિયા શરૂ કરવા માટે, /usr/share/ થી /etc/openvpn પર સરળ-rsa ટેમ્પલેટ ડિરેક્ટરીની નકલ કરો અને easy-rsa/ ડિરેક્ટરીમાં બદલો:

# cp -r /usr/share/easy-rsa/ /etc/openvpn
$ cd /etc/openvpn/easy-rsa

સરળ-rsa ડિરેક્ટરીમાં હવે ઘણી સ્ક્રિપ્ટો હશે. કોષ્ટકમાં 10.1 એ ટૂલ્સની યાદી આપે છે જેનો ઉપયોગ તમે કી બનાવવા માટે કરશો.

ઉપરોક્ત કામગીરીને રૂટ વિશેષાધિકારોની જરૂર છે, તેથી તમારે sudo su દ્વારા રૂટ બનવાની જરૂર છે.

તમે જેની સાથે કામ કરશો તે પ્રથમ ફાઇલને vars કહેવામાં આવે છે અને તેમાં પર્યાવરણ ચલોનો સમાવેશ થાય છે જે કી જનરેટ કરતી વખતે સરળ-rsa ઉપયોગ કરે છે. તમારે પહેલાથી જ છે તે ડિફૉલ્ટ મૂલ્યોને બદલે તમારા પોતાના મૂલ્યોનો ઉપયોગ કરવા માટે ફાઇલને સંપાદિત કરવાની જરૂર છે. મારી ફાઇલ આના જેવી દેખાશે (સૂચિ 10.1).

લિસ્ટિંગ 10.1. ફાઇલના મુખ્ય ટુકડાઓ /etc/openvpn/easy-rsa/vars

export KEY_COUNTRY="CA"
export KEY_PROVINCE="ON"
export KEY_CITY="Toronto"
export KEY_ORG="Bootstrap IT"
export KEY_EMAIL="[email protected]"
export KEY_OU="IT"

vars ફાઇલને ચલાવવાથી તેના મૂલ્યો શેલ પર્યાવરણમાં પસાર થશે, જ્યાં તે તમારી નવી કીના સમાવિષ્ટોમાં શામેલ થશે. શા માટે sudo આદેશ પોતે કામ કરતું નથી? કારણ કે પહેલા સ્ટેપમાં આપણે vars નામની સ્ક્રિપ્ટ એડિટ કરીએ છીએ અને પછી તેને લાગુ કરીએ છીએ. લાગુ કરવું અને તેનો અર્થ એ છે કે vars ફાઇલ તેના મૂલ્યોને શેલ પર્યાવરણમાં પસાર કરે છે, જ્યાં તે તમારી નવી કીની સામગ્રીમાં શામેલ કરવામાં આવશે.

અધૂરી પ્રક્રિયા પૂર્ણ કરવા માટે નવા શેલનો ઉપયોગ કરીને ફાઇલને ફરીથી ચલાવવાની ખાતરી કરો. જ્યારે આ થઈ જાય, ત્યારે સ્ક્રિપ્ટ તમને /etc/openvpn/easy-rsa/keys/ ડિરેક્ટરીમાં કોઈપણ સામગ્રીને દૂર કરવા માટે બીજી સ્ક્રિપ્ટ, ક્લીન-ઑલ ચલાવવા માટે પૂછશે:

સ્વાભાવિક રીતે, આગળનું પગલું સ્વચ્છ-ઓલ સ્ક્રિપ્ટ ચલાવવાનું છે, બિલ્ડ-ca દ્વારા અનુસરવામાં આવે છે, જે રૂટ પ્રમાણપત્ર બનાવવા માટે pkitool સ્ક્રિપ્ટનો ઉપયોગ કરે છે. તમને vars દ્વારા પૂરી પાડવામાં આવેલ ઓળખ સેટિંગ્સની પુષ્ટિ કરવા માટે કહેવામાં આવશે:

# ./clean-all
# ./build-ca
Generating a 2048 bit RSA private key

આગળ બિલ્ડ-કી-સર્વર સ્ક્રિપ્ટ આવે છે. કારણ કે તે નવા રૂટ પ્રમાણપત્ર સાથે સમાન pkitool સ્ક્રિપ્ટનો ઉપયોગ કરે છે, તમે કી જોડીની રચનાની પુષ્ટિ કરવા માટે સમાન પ્રશ્નો જોશો. તમે પાસ કરો છો તે દલીલોના આધારે કીને નામ આપવામાં આવશે, જ્યાં સુધી તમે આ મશીન પર બહુવિધ VPN ચલાવતા ન હોવ, સામાન્ય રીતે સર્વર હશે, ઉદાહરણ તરીકે:

# ./build-key-server server
[...]
Certificate is to be certified until Aug 15 23:52:34 2027 GMT (3650 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

OpenVPN નવા જોડાણો માટે પ્રમાણીકરણની વાટાઘાટો કરવા માટે Diffie-Hellman અલ્ગોરિધમ (build-dh નો ઉપયોગ કરીને) દ્વારા જનરેટ કરાયેલા પરિમાણોનો ઉપયોગ કરે છે. અહીં બનાવેલી ફાઈલ ગુપ્ત હોવી જરૂરી નથી, પરંતુ હાલમાં સક્રિય હોય તેવી RSA કી માટે બિલ્ડ-ડીએચ સ્ક્રિપ્ટનો ઉપયોગ કરીને જનરેટ થવી જોઈએ. જો તમે ભવિષ્યમાં નવી RSA કી બનાવો છો, તો તમારે Diffie-Hellman ફાઇલને પણ અપડેટ કરવાની જરૂર પડશે:

# ./build-dh

તમારી સર્વર સાઇડ કી હવે /etc/openvpn/easy-rsa/keys/ ડિરેક્ટરીમાં સમાપ્ત થશે, પરંતુ OpenVPN આ જાણતું નથી. ડિફૉલ્ટ રૂપે, OpenVPN /etc/openvpn/ માં કી શોધશે, તેથી તેમને કૉપિ કરો:

# cp /etc/openvpn/easy-rsa/keys/server* /etc/openvpn
# cp /etc/openvpn/easy-rsa/keys/dh2048.pem /etc/openvpn
# cp /etc/openvpn/easy-rsa/keys/ca.crt /etc/openvpn

ક્લાઈન્ટ એન્ક્રિપ્શન કી તૈયાર કરી રહ્યાં છીએ

તમે પહેલેથી જ જોયું છે તેમ, TLS એન્ક્રિપ્શન મેચિંગ કીની જોડીનો ઉપયોગ કરે છે: એક સર્વર પર ઇન્સ્ટોલ કરેલું અને રિમોટ ક્લાયન્ટ પર ઇન્સ્ટોલ કરેલું. આનો અર્થ એ કે તમારે ક્લાયંટ કીની જરૂર પડશે. અમારો જૂનો મિત્ર pkitool એ જ છે જેની તમને આ માટે જરૂર છે. આ ઉદાહરણમાં, જ્યારે આપણે /etc/openvpn/easy-rsa/ ડિરેક્ટરીમાં પ્રોગ્રામ ચલાવીએ છીએ, ત્યારે અમે તેને client.crt અને client.key નામની ફાઈલો જનરેટ કરવા માટે ક્લાઈન્ટ દલીલ પસાર કરીએ છીએ:

# ./pkitool client

બે ક્લાયન્ટ ફાઇલો, મૂળ ca.crt ફાઇલ સાથે કે જે હજુ પણ કી/ ડિરેક્ટરીમાં છે, હવે તમારા ક્લાયન્ટને સુરક્ષિત રીતે ટ્રાન્સફર થવી જોઈએ. તેમની માલિકી અને ઍક્સેસ અધિકારોને લીધે, આ એટલું સરળ ન હોઈ શકે. તમારા પીસીના ડેસ્કટોપ પર ચાલતા ટર્મિનલમાં સ્રોત ફાઇલની સામગ્રી (અને તે સામગ્રી સિવાય બીજું કંઈ નહીં) મેન્યુઅલી કૉપિ કરવાનો સૌથી સરળ અભિગમ છે (ટેક્સ્ટ પસંદ કરો, તેના પર જમણું-ક્લિક કરો અને મેનૂમાંથી કૉપિ પસંદ કરો). પછી તમે તમારા ક્લાયન્ટ સાથે જોડાયેલા બીજા ટર્મિનલમાં બનાવો છો તે જ નામની નવી ફાઇલમાં પેસ્ટ કરો.

પરંતુ કોઈપણ કટ અને પેસ્ટ કરી શકે છે. તેના બદલે, એડમિનિસ્ટ્રેટર તરીકે વિચારો કારણ કે તમારી પાસે હંમેશા GUI ની ઍક્સેસ હશે નહીં જ્યાં કટ/પેસ્ટ ઑપરેશન શક્ય હોય. તમારા વપરાશકર્તાની હોમ ડિરેક્ટરીમાં ફાઈલોની નકલ કરો (જેથી દૂરસ્થ scp કામગીરી તેમને ઍક્સેસ કરી શકે છે), અને પછી રુટમાંથી નિયમિત બિન-રુટ વપરાશકર્તામાં ફાઇલોની માલિકી બદલવા માટે ચાઉનનો ઉપયોગ કરો જેથી કરીને દૂરસ્થ scp ક્રિયા કરી શકાય. ખાતરી કરો કે તમારી બધી ફાઇલો હાલમાં ઇન્સ્ટોલ કરેલી છે અને ઍક્સેસિબલ છે. તમે તેમને થોડી વાર પછી ક્લાયંટમાં ખસેડશો:

# cp /etc/openvpn/easy-rsa/keys/client.key /home/ubuntu/
# cp /etc/openvpn/easy-rsa/keys/ca.crt /home/ubuntu/
# cp /etc/openvpn/easy-rsa/keys/client.crt /home/ubuntu/
# chown ubuntu:ubuntu /home/ubuntu/client.key
# chown ubuntu:ubuntu /home/ubuntu/client.crt
# chown ubuntu:ubuntu /home/ubuntu/ca.crt

એન્ક્રિપ્શન કીના સંપૂર્ણ સેટ સાથે, તમારે સર્વરને જણાવવું પડશે કે તમે VPN કેવી રીતે બનાવવા માંગો છો. આ server.conf ફાઇલનો ઉપયોગ કરીને કરવામાં આવે છે.

કીસ્ટ્રોકની સંખ્યા ઘટાડવી

શું ત્યાં ખૂબ ટાઇપિંગ છે? કૌંસ સાથે વિસ્તરણ આ છ આદેશોને બેમાં ઘટાડવામાં મદદ કરશે. મને ખાતરી છે કે તમે આ બે ઉદાહરણોનો અભ્યાસ કરી શકશો અને સમજી શકશો કે શું ચાલી રહ્યું છે. વધુ મહત્ત્વની વાત એ છે કે, તમે આ સિદ્ધાંતોને દસ અથવા તો સેંકડો તત્વોને સમાવિષ્ટ કામગીરીમાં કેવી રીતે લાગુ કરવા તે સમજવામાં સમર્થ હશો:
# cp /etc/openvpn/easy-rsa/keys/{ca.crt,client.{key,crt}} /home/ubuntu/
# chown ubuntu:ubuntu /home/ubuntu/{ca.crt,client.{key,crt}}

server.conf ફાઈલ સુયોજિત કરી રહ્યા છીએ

તમે કેવી રીતે જાણી શકો કે server.conf ફાઈલ કેવી હોવી જોઈએ? તમે /usr/share/ માંથી કૉપિ કરેલ સરળ-rsa ડિરેક્ટરી ટેમ્પલેટ યાદ રાખો? જ્યારે તમે OpenVPN ઇન્સ્ટોલ કર્યું, ત્યારે તમારી પાસે સંકુચિત રૂપરેખાંકન ટેમ્પલેટ ફાઇલ બાકી હતી કે જેને તમે /etc/openvpn/ પર કૉપિ કરી શકો છો. હું એ હકીકત પર બિલ્ડ કરીશ કે ટેમ્પલેટ આર્કાઇવ થયેલ છે અને તમને એક ઉપયોગી સાધન સાથે પરિચય આપીશ: zcat.

તમે કૅટ કમાન્ડનો ઉપયોગ કરીને ફાઇલની ટેક્સ્ટ સામગ્રીને સ્ક્રીન પર પ્રિન્ટ કરવા વિશે પહેલેથી જ જાણો છો, પરંતુ જો gzip નો ઉપયોગ કરીને ફાઇલને સંકુચિત કરવામાં આવે તો શું? તમે હંમેશા ફાઇલને અનઝિપ કરી શકો છો અને પછી બિલાડી ખુશીથી તેને આઉટપુટ કરશે, પરંતુ તે જરૂરી કરતાં એક કે બે વધુ પગલાં છે. તેના બદલે, જેમ તમે અનુમાન કર્યું હશે, તમે અનપેક્ડ ટેક્સ્ટને મેમરીમાં એક પગલામાં લોડ કરવા માટે zcat આદેશ જારી કરી શકો છો. નીચેના ઉદાહરણમાં, સ્ક્રીન પર ટેક્સ્ટ પ્રિન્ટ કરવાને બદલે, તમે તેને server.conf નામની નવી ફાઇલ પર રીડાયરેક્ટ કરશો:

# zcat 
  /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz 
  > /etc/openvpn/server.conf
$ cd /etc/openvpn

ચાલો ફાઈલ સાથે આવતા વ્યાપક અને મદદરૂપ દસ્તાવેજોને બાજુ પર મૂકીએ અને જુઓ કે જ્યારે તમે સંપાદન પૂર્ણ કરી લો ત્યારે તે કેવું દેખાશે. નોંધ કરો કે અર્ધવિરામ (;) OpenVPN ને આગળની લાઇન (સૂચિ 10.2) વાંચવા અથવા ચલાવવા માટે નહીં કહે છે.

ચાલો આમાંની કેટલીક સેટિંગ્સમાં જઈએ.

મૂળભૂત રીતે, OpenVPN પોર્ટ 1194 પર ચાલે છે. તમે આને બદલી શકો છો, ઉદાહરણ તરીકે, તમારી પ્રવૃત્તિઓને વધુ છુપાવવા અથવા અન્ય સક્રિય ટનલ સાથે તકરાર ટાળવા માટે. 1194ને ગ્રાહકો સાથે ન્યૂનતમ સંકલનની જરૂર હોવાથી, આ રીતે કરવું શ્રેષ્ઠ છે.
OpenVPN ડેટા ટ્રાન્સમિટ કરવા માટે ટ્રાન્સમિશન કંટ્રોલ પ્રોટોકોલ (TCP) અથવા યુઝર ડેટાગ્રામ પ્રોટોકોલ (UDP) નો ઉપયોગ કરે છે. TCP થોડી ધીમી હોઈ શકે છે, પરંતુ તે વધુ ભરોસાપાત્ર છે અને ટનલના બંને છેડા પર ચાલતી એપ્લિકેશનો દ્વારા સમજવાની શક્યતા વધુ છે.
જ્યારે તમે એક સરળ, વધુ કાર્યક્ષમ IP ટનલ બનાવવા માંગતા હોવ ત્યારે તમે dev tun નો ઉલ્લેખ કરી શકો છો જે ડેટા સામગ્રીને વહન કરે છે અને બીજું કંઈ નથી. જો, બીજી તરફ, તમારે બહુવિધ નેટવર્ક ઈન્ટરફેસ (અને જે નેટવર્ક્સ તેઓ રજૂ કરે છે) ને કનેક્ટ કરવાની જરૂર છે, તો ઈથરનેટ બ્રિજ બનાવવો, તમારે dev tap પસંદ કરવું પડશે. જો તમે સમજી શકતા નથી કે આ બધાનો અર્થ શું છે, તો ટ્યુન દલીલનો ઉપયોગ કરો.
આગળની ચાર લીટીઓ OpenVPN ને સર્વર પરની ત્રણ પ્રમાણીકરણ ફાઇલો અને તમે અગાઉ બનાવેલ dh2048 વિકલ્પો ફાઇલના નામ આપે છે.
સર્વર લાઇન શ્રેણી અને સબનેટ માસ્ક સેટ કરે છે જેનો ઉપયોગ લૉગિન પર ક્લાયંટને IP સરનામાં સોંપવા માટે કરવામાં આવશે.
વૈકલ્પિક પુશ પેરામીટર "રૂટ 10.0.3.0 255.255.255.0" રિમોટ ક્લાયન્ટ્સને સર્વરની પાછળના ખાનગી સબનેટ્સને ઍક્સેસ કરવાની મંજૂરી આપે છે. આ કાર્ય કરવા માટે સર્વર પર જ નેટવર્ક સેટ કરવું જરૂરી છે જેથી ખાનગી સબનેટ OpenVPN સબનેટ (10.8.0.0) વિશે જાણે.
પોર્ટ-શેર લોકલહોસ્ટ 80 લાઇન તમને પોર્ટ 1194 પર આવતા ક્લાયન્ટ ટ્રાફિકને પોર્ટ 80 પર સાંભળતા સ્થાનિક વેબ સર્વર પર રીડાયરેક્ટ કરવાની મંજૂરી આપે છે. પછી જ્યારે tcp પ્રોટોકોલ પસંદ કરવામાં આવે છે.
અર્ધવિરામ (;) દૂર કરીને વપરાશકર્તા કોઈ નહીં અને જૂથ નોગ્રુપ રેખાઓ સક્ષમ હોવી આવશ્યક છે. રિમોટ ક્લાયંટને કોઈ નહીં અને નોગ્રુપ તરીકે ચલાવવાની ફરજ પાડવી એ સુનિશ્ચિત કરે છે કે સર્વર પરના સત્રો અપ્રિય છે.
log સ્પષ્ટ કરે છે કે વર્તમાન લોગ એન્ટ્રીઓ દર વખતે OpenVPN શરૂ થાય ત્યારે જૂની એન્ટ્રીઓને ઓવરરાઈટ કરશે, જ્યારે લોગ-એપેન્ડ વર્તમાન લોગ ફાઈલમાં નવી એન્ટ્રીઓને જોડે છે. openvpn.log ફાઇલ પોતે /etc/openvpn/ ડિરેક્ટરીમાં લખાયેલ છે.

વધુમાં, રૂપરેખાંકન ફાઇલમાં ક્લાયંટ-ટુ-ક્લાયન્ટ મૂલ્ય પણ ઘણીવાર ઉમેરવામાં આવે છે જેથી કરીને OpenVPN સર્વર ઉપરાંત બહુવિધ ક્લાયન્ટ એકબીજાને જોઈ શકે. જો તમે તમારી ગોઠવણીથી સંતુષ્ટ છો, તો તમે OpenVPN સર્વર શરૂ કરી શકો છો:

# systemctl start openvpn

OpenVPN અને systemd વચ્ચેના સંબંધોના બદલાતા સ્વભાવને કારણે, સેવા શરૂ કરવા માટે કેટલીકવાર નીચેની વાક્યરચના જરૂરી હોઈ શકે છે: systemctl start openvpn@server.

તમારા સર્વરના નેટવર્ક ઇન્ટરફેસને સૂચિબદ્ધ કરવા માટે ip addr ચલાવવાથી હવે tun0 નામના નવા ઇન્ટરફેસની લિંક આઉટપુટ થવી જોઈએ. ઓપનવીપીએન આવનારા ગ્રાહકોને સેવા આપવા માટે તેને બનાવશે:

$ ip addr
[...]
4: tun0: mtu 1500 qdisc [...]
      link/none
      inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0
          valid_lft forever preferred_lft forever

બધું સંપૂર્ણપણે કામ કરવાનું શરૂ કરે તે પહેલાં તમારે સર્વરને રીબૂટ કરવાની જરૂર પડી શકે છે. આગળનો સ્ટોપ ક્લાયંટ કમ્પ્યુટર છે.

10.1.2. OpenVPN ક્લાયંટને ગોઠવી રહ્યું છે

પરંપરાગત રીતે, ટનલ ઓછામાં ઓછા બે એક્ઝિટ સાથે બાંધવામાં આવે છે (અન્યથા અમે તેમને ગુફાઓ કહીશું). સર્વર પર યોગ્ય રીતે ગોઠવેલું OpenVPN એક બાજુએ ટનલની અંદર અને બહાર ટ્રાફિકને દિશામાન કરે છે. પરંતુ તમારે ક્લાયંટ સાઇડ પર એટલે કે ટનલના બીજા છેડે ચાલતા કેટલાક સોફ્ટવેરની પણ જરૂર પડશે.

આ વિભાગમાં, હું OpenVPN ક્લાયંટ તરીકે કામ કરવા માટે અમુક પ્રકારના Linux કમ્પ્યુટરને મેન્યુઅલી સેટ કરવા પર ધ્યાન કેન્દ્રિત કરવા જઈ રહ્યો છું. પરંતુ આ એકમાત્ર રસ્તો નથી જેમાં આ તક ઉપલબ્ધ છે. OpenVPN એ ક્લાયંટ એપ્લિકેશનોને સપોર્ટ કરે છે જે Windows અથવા macOS ચલાવતા ડેસ્કટોપ અને લેપટોપ તેમજ Android અને iOS સ્માર્ટફોન અને ટેબ્લેટ પર ઇન્સ્ટોલ અને ઉપયોગ કરી શકાય છે. વિગતો માટે openvpn.net જુઓ.

OpenVPN પેકેજને ક્લાયંટ મશીન પર ઇન્સ્ટોલ કરવાની જરૂર પડશે કારણ કે તે સર્વર પર ઇન્સ્ટોલ કરેલું હતું, જો કે અહીં સરળ-rsa ની કોઈ જરૂર નથી કારણ કે તમે જે કીનો ઉપયોગ કરી રહ્યાં છો તે પહેલાથી જ અસ્તિત્વમાં છે. તમારે client.conf ટેમ્પલેટ ફાઇલને /etc/openvpn/ ડિરેક્ટરીમાં નકલ કરવાની જરૂર છે જે તમે હમણાં જ બનાવેલ છે. આ વખતે ફાઇલ ઝિપ કરવામાં આવશે નહીં, તેથી નિયમિત cp આદેશ કામ બરાબર કરશે:

# apt install openvpn
# cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf 
  /etc/openvpn/

તમારી client.conf ફાઇલમાંની મોટાભાગની સેટિંગ્સ ખૂબ જ સ્વ-સ્પષ્ટીકરણાત્મક હશે: તે સર્વર પરના મૂલ્યો સાથે મેળ ખાતી હોવી જોઈએ. જેમ તમે નીચેની ઉદાહરણ ફાઇલમાંથી જોઈ શકો છો, અનન્ય પરિમાણ રિમોટ 192.168.1.23 1194 છે, જે ક્લાયન્ટને સર્વરનું IP સરનામું કહે છે. ફરીથી, ખાતરી કરો કે આ તમારું સર્વર સરનામું છે. સંભવિત મેન-ઇન-ધ-મિડલ હુમલાને રોકવા માટે તમારે સર્વર પ્રમાણપત્રની અધિકૃતતા ચકાસવા માટે ક્લાયંટ કમ્પ્યુટરને પણ દબાણ કરવું જોઈએ. આ કરવાની એક રીત એ છે કે લાઇન રીમોટ-સર્ટ-ટીએલએસ સર્વર (લિસ્ટિંગ 10.3) ઉમેરવું.

તમે હવે /etc/openvpn/ ડિરેક્ટરી પર જઈ શકો છો અને સર્વરમાંથી પ્રમાણપત્ર કીઓ કાઢી શકો છો. તમારા મૂલ્યો સાથે ઉદાહરણમાં સર્વર IP સરનામું અથવા ડોમેન નામ બદલો:

જ્યાં સુધી તમે ક્લાયંટ પર OpenVPN ચલાવો નહીં ત્યાં સુધી કંઈપણ ઉત્તેજક થવાની સંભાવના નથી. તમારે કેટલીક દલીલો પસાર કરવાની જરૂર હોવાથી, તમે તે કમાન્ડ લાઇનથી કરશો. --tls-ક્લાયન્ટ દલીલ OpenVPN ને કહે છે કે તમે ક્લાયન્ટ તરીકે કાર્ય કરશો અને TLS એન્ક્રિપ્શન દ્વારા કનેક્ટ થશો, અને --config તમારી રૂપરેખાંકન ફાઇલ પર નિર્દેશ કરે છે:

# openvpn --tls-client --config /etc/openvpn/client.conf

તમે યોગ્ય રીતે જોડાયેલા છો તેની ખાતરી કરવા માટે કમાન્ડ આઉટપુટ કાળજીપૂર્વક વાંચો. જો પ્રથમ વખત કંઇક ખોટું થાય, તો તે સર્વર અને ક્લાયંટ રૂપરેખાંકન ફાઇલો વચ્ચેના સેટિંગ્સમાં મેળ ન ખાતી અથવા નેટવર્ક કનેક્શન/ફાયરવોલ સમસ્યાને કારણે હોઈ શકે છે. અહીં કેટલીક મુશ્કેલીનિવારણ ટિપ્સ છે.

ક્લાયંટ પર OpenVPN ઑપરેશનનું આઉટપુટ કાળજીપૂર્વક વાંચો. તે ઘણી વખત મૂલ્યવાન સલાહ ધરાવે છે કે બરાબર શું કરી શકાતું નથી અને શા માટે.
સર્વર પર /etc/openvpn/ ડિરેક્ટરીમાં openvpn.log અને openvpn-status.log ફાઈલોમાં ભૂલ સંદેશાઓ તપાસો.
OpenVPN-સંબંધિત અને સમયબદ્ધ સંદેશાઓ માટે સર્વર અને ક્લાયંટ પર સિસ્ટમ લોગ તપાસો. (journalctl -ce સૌથી તાજેતરની એન્ટ્રીઓ પ્રદર્શિત કરશે.)
ખાતરી કરો કે તમારી પાસે સર્વર અને ક્લાયન્ટ વચ્ચે સક્રિય નેટવર્ક કનેક્શન છે (આના પર પ્રકરણ 14 માં વધુ).

લેખક વિશે

ડેવિડ ક્લિન્ટન - સિસ્ટમ એડમિનિસ્ટ્રેટર, શિક્ષક અને લેખક. તેમણે Linux સિસ્ટમ્સ, ક્લાઉડ કોમ્પ્યુટિંગ (ખાસ કરીને AWS) અને ડોકર જેવી કન્ટેનર ટેક્નોલોજી સહિતની ઘણી મહત્વપૂર્ણ ટેકનિકલ શાખાઓ માટે શૈક્ષણિક સામગ્રીનું સંચાલન કર્યું છે, તેના વિશે લખ્યું છે અને બનાવ્યું છે. તેણે લર્ન એમેઝોન વેબ સર્વિસીસ ઇન અ મન્થ ઓફ લંચ (મેનિંગ, 2017) પુસ્તક લખ્યું. તેમના ઘણા વિડિઓ તાલીમ અભ્યાસક્રમો Pluralsight.com પર મળી શકે છે, અને તેમના અન્ય પુસ્તકોની લિંક્સ (લિનક્સ એડમિનિસ્ટ્રેશન અને સર્વર વર્ચ્યુઅલાઈઝેશન પર) અહીં ઉપલબ્ધ છે. bootstrap-it.com.

» પુસ્તક વિશે વધુ માહિતી માટે, કૃપા કરીને મુલાકાત લો પ્રકાશકની વેબસાઇટ
» સમાવિષ્ટોનું કોષ્ટક
» અવતરણ

Khabrozhiteli માટે કૂપન પર 25% ડિસ્કાઉન્ટ - Linux
પુસ્તકના પેપર વર્ઝનની ચૂકવણી કર્યા પછી, ઈ-મેલ પર ઈ-બુક મોકલવામાં આવે છે.

સોર્સ: www.habr.com

પુસ્તક "લિનક્સ ઇન એક્શન"