🥇पुस्तक "लिनक्स इन एक्शन"

नमस्कार, खाब्रो निवासियों! पुस्तक में, डेविड क्लिंटन ने 12 वास्तविक जीवन परियोजनाओं का वर्णन किया है, जिसमें आपके बैकअप और पुनर्प्राप्ति प्रणाली को स्वचालित करना, ड्रॉपबॉक्स-शैली व्यक्तिगत फ़ाइल क्लाउड स्थापित करना और अपना स्वयं का मीडियाविकि सर्वर बनाना शामिल है। आप दिलचस्प केस अध्ययनों के माध्यम से वर्चुअलाइजेशन, डिजास्टर रिकवरी, सुरक्षा, बैकअप, डेवऑप्स और सिस्टम समस्या निवारण का पता लगाएंगे। प्रत्येक अध्याय सर्वोत्तम प्रथाओं की समीक्षा, नए शब्दों की शब्दावली और अभ्यासों के साथ समाप्त होता है।

अंश “10.1. एक OpenVPN सुरंग बनाना"

मैं पहले ही इस पुस्तक में एन्क्रिप्शन के बारे में बहुत सारी बातें कर चुका हूँ। एसएसएच और एससीपी दूरस्थ कनेक्शन पर स्थानांतरित डेटा की रक्षा कर सकते हैं (अध्याय 3), फ़ाइल एन्क्रिप्शन सर्वर पर संग्रहीत होने पर डेटा की रक्षा कर सकता है (अध्याय 8), और टीएलएस/एसएसएल प्रमाणपत्र साइटों और क्लाइंट ब्राउज़रों के बीच स्थानांतरित डेटा की सुरक्षा कर सकते हैं (अध्याय 9) . लेकिन कभी-कभी आपके डेटा को व्यापक श्रेणी के कनेक्शनों में सुरक्षित रखने की आवश्यकता होती है। उदाहरण के लिए, हो सकता है कि आपकी टीम के कुछ सदस्य सार्वजनिक हॉटस्पॉट के माध्यम से वाई-फाई से कनेक्ट होकर सड़क पर काम कर रहे हों। आपको निश्चित रूप से यह नहीं मानना चाहिए कि ऐसे सभी पहुंच बिंदु सुरक्षित हैं, लेकिन आपके लोगों को कंपनी के संसाधनों से जुड़ने का एक तरीका चाहिए - और यहीं पर वीपीएन मदद कर सकता है।

एक उचित रूप से डिज़ाइन की गई वीपीएन सुरंग दूरस्थ क्लाइंट और सर्वर के बीच एक सीधा कनेक्शन प्रदान करती है जो असुरक्षित नेटवर्क पर यात्रा करते समय डेटा को छुपाती है। तो क्या हुआ? आपने पहले ही कई उपकरण देखे हैं जो एन्क्रिप्शन के साथ ऐसा कर सकते हैं। वीपीएन का वास्तविक मूल्य यह है कि एक सुरंग खोलकर, आप दूरस्थ नेटवर्क को ऐसे कनेक्ट कर सकते हैं जैसे कि वे सभी स्थानीय हों। एक तरह से आप बाईपास का उपयोग कर रहे हैं।

इस विस्तारित नेटवर्क का उपयोग करके, प्रशासक कहीं से भी अपने सर्वर पर अपना कार्य कर सकते हैं। लेकिन इससे भी महत्वपूर्ण बात यह है कि कई स्थानों पर फैले संसाधनों वाली एक कंपनी उन्हें उन सभी समूहों के लिए दृश्यमान और सुलभ बना सकती है, जिन्हें उनकी आवश्यकता है, चाहे वे कहीं भी हों (चित्र 10.1)।

सुरंग स्वयं सुरक्षा की गारंटी नहीं देती। लेकिन एन्क्रिप्शन मानकों में से एक को नेटवर्क संरचना में शामिल किया जा सकता है, जो सुरक्षा के स्तर को काफी बढ़ा देता है। ओपन सोर्स ओपनवीपीएन पैकेज का उपयोग करके बनाई गई सुरंगें उसी टीएलएस/एसएसएल एन्क्रिप्शन का उपयोग करती हैं जिसके बारे में आप पहले ही पढ़ चुके हैं। ओपनवीपीएन एकमात्र उपलब्ध टनलिंग विकल्प नहीं है, बल्कि यह सबसे प्रसिद्ध में से एक है। इसे IPsec एन्क्रिप्शन का उपयोग करने वाले वैकल्पिक लेयर 2 टनल प्रोटोकॉल की तुलना में थोड़ा तेज़ और अधिक सुरक्षित माना जाता है।

क्या आप चाहते हैं कि आपकी टीम के सभी लोग सड़क पर या विभिन्न इमारतों में काम करते समय एक-दूसरे के साथ सुरक्षित रूप से संवाद कर सकें? ऐसा करने के लिए, आपको एप्लिकेशन साझाकरण और सर्वर के स्थानीय नेटवर्क वातावरण तक पहुंच की अनुमति देने के लिए एक ओपनवीपीएन सर्वर बनाना होगा। इसे काम करने के लिए, आपको बस दो वर्चुअल मशीनें या दो कंटेनर चलाने होंगे: एक सर्वर/होस्ट के रूप में कार्य करने के लिए और एक क्लाइंट के रूप में कार्य करने के लिए। वीपीएन बनाना कोई सरल प्रक्रिया नहीं है, इसलिए बड़ी तस्वीर को ध्यान में रखने के लिए शायद कुछ मिनट का समय लेना उचित होगा।

10.1.1. ओपनवीपीएन सर्वर कॉन्फ़िगरेशन

शुरू करने से पहले, मैं आपको कुछ उपयोगी सलाह दूँगा। यदि आप इसे स्वयं करने जा रहे हैं (और मैं आपको ऐसा करने की अत्यधिक अनुशंसा करता हूं), तो संभवतः आप अपने आप को अपने डेस्कटॉप पर खुले कई टर्मिनल विंडो के साथ काम करते हुए पाएंगे, जिनमें से प्रत्येक एक अलग मशीन से जुड़ा हुआ है। यह जोखिम है कि किसी बिंदु पर आप विंडो में गलत कमांड दर्ज करेंगे। इससे बचने के लिए, आप कमांड लाइन पर प्रदर्शित मशीन नाम को किसी ऐसी चीज़ में बदलने के लिए होस्टनाम कमांड का उपयोग कर सकते हैं जो आपको स्पष्ट रूप से बताती है कि आप कहां हैं। एक बार जब आप ऐसा कर लेते हैं, तो आपको सर्वर से लॉग आउट करना होगा और नई सेटिंग्स को प्रभावी करने के लिए वापस लॉग इन करना होगा। यह है जो ऐसा लग रहा है:

इस दृष्टिकोण का पालन करके और जिन मशीनों के साथ आप काम करते हैं उनमें से प्रत्येक को उचित नाम देकर, आप आसानी से ट्रैक कर सकते हैं कि आप कहां हैं।

होस्टनाम का उपयोग करने के बाद, आपको बाद के आदेशों को निष्पादित करते समय होस्ट ओपनवीपीएन-सर्वर संदेशों को हल करने में असमर्थ कष्टप्रद का सामना करना पड़ सकता है। /etc/hosts फ़ाइल को उपयुक्त नए होस्टनाम के साथ अद्यतन करने से समस्या का समाधान हो जाना चाहिए।

OpenVPN के लिए अपना सर्वर तैयार कर रहा है

अपने सर्वर पर OpenVPN स्थापित करने के लिए, आपको दो पैकेजों की आवश्यकता है: openvpn और easy-rsa (एन्क्रिप्शन कुंजी निर्माण प्रक्रिया को प्रबंधित करने के लिए)। यदि आवश्यक हो तो CentOS उपयोगकर्ताओं को पहले एपेल-रिलीज़ रिपॉजिटरी स्थापित करनी चाहिए, जैसा कि आपने अध्याय 2 में किया था। सर्वर एप्लिकेशन तक पहुंच का परीक्षण करने में सक्षम होने के लिए, आप Apache वेब सर्वर (Ubuntu पर Apache2 और CentOS पर httpd) भी इंस्टॉल कर सकते हैं।

जब आप अपना सर्वर सेट कर रहे हों, तो मैं एक फ़ायरवॉल सक्रिय करने की सलाह देता हूं जो 22 (SSH) और 1194 (OpenVPN का डिफ़ॉल्ट पोर्ट) को छोड़कर सभी पोर्ट को ब्लॉक कर देता है। यह उदाहरण दिखाता है कि यूएफडब्ल्यू उबंटू पर कैसे काम करेगा, लेकिन मुझे यकीन है कि आपको अध्याय 9 से सेंटओएस फ़ायरवॉल प्रोग्राम अभी भी याद है:

# ufw enable
# ufw allow 22
# ufw allow 1194

सर्वर पर नेटवर्क इंटरफेस के बीच आंतरिक रूटिंग को सक्षम करने के लिए, आपको /etc/sysctl.conf फ़ाइल में एक पंक्ति (net.ipv4.ip_forward = 1) को अनकम्मेंट करना होगा। यह दूरस्थ ग्राहकों को कनेक्ट होने के बाद आवश्यकतानुसार पुनर्निर्देशित करने की अनुमति देगा। नए विकल्प को कार्यशील बनाने के लिए, sysctl -p चलाएँ:

# nano /etc/sysctl.conf
# sysctl -p

आपका सर्वर वातावरण अब पूरी तरह से कॉन्फ़िगर हो गया है, लेकिन आपके तैयार होने से पहले अभी भी एक और काम करना बाकी है: आपको निम्नलिखित चरणों को पूरा करना होगा (हम उन्हें आगे विस्तार से कवर करेंगे)।

easy-rsa पैकेज के साथ प्रदान की गई स्क्रिप्ट का उपयोग करके सर्वर पर सार्वजनिक कुंजी इंफ्रास्ट्रक्चर (पीकेआई) एन्क्रिप्शन कुंजी का एक सेट बनाएं। मूलतः, OpenVPN सर्वर अपने स्वयं के प्रमाणपत्र प्राधिकारी (CA) के रूप में भी कार्य करता है।
ग्राहक के लिए उपयुक्त कुंजियाँ तैयार करें
सर्वर के लिए सर्वर.conf फ़ाइल कॉन्फ़िगर करें
अपना OpenVPN क्लाइंट सेट करें
अपना वीपीएन जांचें

एन्क्रिप्शन कुंजियाँ उत्पन्न करना

चीजों को सरल रखने के लिए, आप अपना मुख्य बुनियादी ढांचा उसी मशीन पर स्थापित कर सकते हैं जहां ओपनवीपीएन सर्वर चल रहा है। हालाँकि, सुरक्षा संबंधी सर्वोत्तम प्रथाएँ आमतौर पर उत्पादन परिनियोजन के लिए एक अलग CA सर्वर का उपयोग करने का सुझाव देती हैं। OpenVPN में उपयोग के लिए एन्क्रिप्शन कुंजी संसाधनों को उत्पन्न करने और वितरित करने की प्रक्रिया चित्र में दिखाई गई है। 10.2.

जब आपने OpenVPN स्थापित किया था, तो /etc/openvpn/ निर्देशिका स्वचालित रूप से बनाई गई थी, लेकिन इसमें अभी तक कुछ भी नहीं है। ओपनवीपीएन और ईज़ी-आरएसए पैकेज उदाहरण टेम्पलेट फ़ाइलों के साथ आते हैं जिन्हें आप अपने कॉन्फ़िगरेशन के आधार के रूप में उपयोग कर सकते हैं। प्रमाणन प्रक्रिया शुरू करने के लिए, easy-rsa टेम्प्लेट निर्देशिका को /usr/share/ से /etc/openvpn पर कॉपी करें और easy-rsa/ निर्देशिका में बदलें:

# cp -r /usr/share/easy-rsa/ /etc/openvpn
$ cd /etc/openvpn/easy-rsa

easy-rsa निर्देशिका में अब काफी कुछ स्क्रिप्टें होंगी। तालिका में 10.1 उन उपकरणों को सूचीबद्ध करता है जिनका उपयोग आप कुंजी बनाने के लिए करेंगे।

उपरोक्त परिचालनों के लिए रूट विशेषाधिकारों की आवश्यकता होती है, इसलिए आपको sudo su के माध्यम से रूट बनने की आवश्यकता है।

पहली फ़ाइल जिसके साथ आप काम करेंगे, उसे vars कहा जाता है और इसमें पर्यावरण चर शामिल होते हैं जिनका उपयोग कुंजी बनाते समय easy-rsa द्वारा किया जाता है। आपको पहले से मौजूद डिफ़ॉल्ट मानों के बजाय अपने स्वयं के मानों का उपयोग करने के लिए फ़ाइल को संपादित करने की आवश्यकता है। मेरी फ़ाइल इस तरह दिखेगी (सूची 10.1)।

सूची 10.1. फ़ाइल के मुख्य अंश /etc/openvpn/easy-rsa/vars

export KEY_COUNTRY="CA"
export KEY_PROVINCE="ON"
export KEY_CITY="Toronto"
export KEY_ORG="Bootstrap IT"
export KEY_EMAIL="[email protected]"
export KEY_OU="IT"

वर्र्स फ़ाइल चलाने से इसके मान शेल वातावरण में चले जाएंगे, जहां उन्हें आपकी नई कुंजियों की सामग्री में शामिल किया जाएगा। सुडो कमांड अपने आप काम क्यों नहीं करता? क्योंकि पहले चरण में हम vars नामक स्क्रिप्ट को संपादित करते हैं और फिर उसे लागू करते हैं। लागू करने का अर्थ है कि vars फ़ाइल अपने मानों को शेल वातावरण में भेजती है, जहां उन्हें आपकी नई कुंजियों की सामग्री में शामिल किया जाएगा।

अधूरी प्रक्रिया को पूरा करने के लिए नए शेल का उपयोग करके फ़ाइल को फिर से चलाना सुनिश्चित करें। जब यह हो जाता है, तो स्क्रिप्ट आपको /etc/openvpn/easy-rsa/keys/ निर्देशिका में किसी भी सामग्री को हटाने के लिए क्लीन-ऑल, एक और स्क्रिप्ट चलाने के लिए संकेत देगी:

स्वाभाविक रूप से, अगला कदम क्लीन-ऑल स्क्रिप्ट को चलाना है, उसके बाद बिल्ड-सीए को चलाना है, जो रूट सर्टिफिकेट बनाने के लिए pkitool स्क्रिप्ट का उपयोग करता है। आपसे वर्र्स द्वारा प्रदान की गई पहचान सेटिंग्स की पुष्टि करने के लिए कहा जाएगा:

# ./clean-all
# ./build-ca
Generating a 2048 bit RSA private key

इसके बाद बिल्ड-की-सर्वर स्क्रिप्ट आती है। चूँकि यह नए रूट प्रमाणपत्र के साथ समान pkitool स्क्रिप्ट का उपयोग करता है, आपको कुंजी जोड़ी के निर्माण की पुष्टि करने के लिए वही प्रश्न दिखाई देंगे। आपके द्वारा दिए गए तर्कों के आधार पर कुंजियों का नाम दिया जाएगा, जो, जब तक कि आप इस मशीन पर एकाधिक वीपीएन नहीं चला रहे हों, आमतौर पर सर्वर होगा, जैसा कि उदाहरण में है:

# ./build-key-server server
[...]
Certificate is to be certified until Aug 15 23:52:34 2027 GMT (3650 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

ओपनवीपीएन नए कनेक्शन के लिए प्रमाणीकरण पर बातचीत करने के लिए डिफी-हेलमैन एल्गोरिदम (बिल्ड-डीएच का उपयोग करके) द्वारा उत्पन्न पैरामीटर का उपयोग करता है। यहां बनाई गई फ़ाइल को गुप्त रखने की आवश्यकता नहीं है, लेकिन वर्तमान में सक्रिय आरएसए कुंजियों के लिए बिल्ड-डीएच स्क्रिप्ट का उपयोग करके उत्पन्न किया जाना चाहिए। यदि आप भविष्य में नई RSA कुंजियाँ बनाते हैं, तो आपको डिफी-हेलमैन फ़ाइल को भी अपडेट करना होगा:

# ./build-dh

आपकी सर्वर साइड कुंजियाँ अब /etc/openvpn/easy-rsa/keys/ निर्देशिका में समाप्त हो जाएंगी, लेकिन OpenVPN को इसकी जानकारी नहीं है। डिफ़ॉल्ट रूप से, OpenVPN /etc/openvpn/ में कुंजियाँ खोजेगा, इसलिए उन्हें कॉपी करें:

# cp /etc/openvpn/easy-rsa/keys/server* /etc/openvpn
# cp /etc/openvpn/easy-rsa/keys/dh2048.pem /etc/openvpn
# cp /etc/openvpn/easy-rsa/keys/ca.crt /etc/openvpn

क्लाइंट एन्क्रिप्शन कुंजियाँ तैयार करना

जैसा कि आप पहले ही देख चुके हैं, टीएलएस एन्क्रिप्शन मिलान कुंजियों के जोड़े का उपयोग करता है: एक सर्वर पर स्थापित और एक दूरस्थ क्लाइंट पर स्थापित। इसका मतलब है कि आपको क्लाइंट कुंजियों की आवश्यकता होगी. हमारा पुराना मित्र pkitool बिल्कुल वही है जो आपको इसके लिए चाहिए। इस उदाहरण में, जब हम प्रोग्राम को /etc/openvpn/easy-rsa/ निर्देशिका में चलाते हैं, तो हम client.crt और client.key नामक फ़ाइलें उत्पन्न करने के लिए इसे क्लाइंट तर्क पास करते हैं:

# ./pkitool client

मूल ca.crt फ़ाइल के साथ दो क्लाइंट फ़ाइलें, जो अभी भी कुंजी/निर्देशिका में हैं, अब आपके क्लाइंट को सुरक्षित रूप से स्थानांतरित की जानी चाहिए। उनके स्वामित्व और पहुंच अधिकारों के कारण, यह इतना आसान नहीं हो सकता है। सबसे सरल तरीका यह है कि स्रोत फ़ाइल की सामग्री (और उस सामग्री के अलावा कुछ भी नहीं) को अपने पीसी के डेस्कटॉप पर चल रहे टर्मिनल में मैन्युअल रूप से कॉपी करें (टेक्स्ट का चयन करें, उस पर राइट-क्लिक करें और मेनू से कॉपी का चयन करें)। फिर इसे उसी नाम से एक नई फ़ाइल में पेस्ट करें जिसे आप अपने क्लाइंट से जुड़े दूसरे टर्मिनल में बनाते हैं।

लेकिन कोई भी काट और चिपका सकता है. इसके बजाय, एक व्यवस्थापक की तरह सोचें क्योंकि आपके पास हमेशा GUI तक पहुंच नहीं होगी जहां कट/पेस्ट ऑपरेशन संभव है। फ़ाइलों को अपने उपयोगकर्ता की होम निर्देशिका में कॉपी करें (ताकि रिमोट एससीपी ऑपरेशन उन तक पहुंच सके), और फिर फ़ाइलों के स्वामित्व को रूट से नियमित गैर-रूट उपयोगकर्ता में बदलने के लिए चाउन का उपयोग करें ताकि रिमोट एससीपी कार्रवाई की जा सके। सुनिश्चित करें कि आपकी सभी फ़ाइलें वर्तमान में स्थापित और पहुंच योग्य हैं। आप उन्हें थोड़ी देर बाद क्लाइंट के पास ले जाएंगे:

# cp /etc/openvpn/easy-rsa/keys/client.key /home/ubuntu/
# cp /etc/openvpn/easy-rsa/keys/ca.crt /home/ubuntu/
# cp /etc/openvpn/easy-rsa/keys/client.crt /home/ubuntu/
# chown ubuntu:ubuntu /home/ubuntu/client.key
# chown ubuntu:ubuntu /home/ubuntu/client.crt
# chown ubuntu:ubuntu /home/ubuntu/ca.crt

एन्क्रिप्शन कुंजियों का पूरा सेट तैयार होने के साथ, आपको सर्वर को यह बताना होगा कि आप वीपीएन कैसे बनाना चाहते हैं। यह सर्वर.conf फ़ाइल का उपयोग करके किया जाता है।

कीस्ट्रोक्स की संख्या कम करना

क्या बहुत ज्यादा टाइपिंग है? कोष्ठक के साथ विस्तार से इन छह आदेशों को घटाकर दो करने में मदद मिलेगी। मुझे यकीन है कि आप इन दो उदाहरणों का अध्ययन कर सकते हैं और समझ सकते हैं कि क्या हो रहा है। इससे भी महत्वपूर्ण बात यह है कि आप यह समझने में सक्षम होंगे कि इन सिद्धांतों को दसियों या यहां तक कि सैकड़ों तत्वों से जुड़े संचालन पर कैसे लागू किया जाए:
# cp /etc/openvpn/easy-rsa/keys/{ca.crt,client.{key,crt}} /home/ubuntu/
# chown ubuntu:ubuntu /home/ubuntu/{ca.crt,client.{key,crt}}

सर्वर.conf फ़ाइल सेट करना

आप कैसे जान सकते हैं कि सर्वर.कॉन्फ़ फ़ाइल कैसी दिखनी चाहिए? क्या आपको /usr/share/ से कॉपी किया गया easy-rsa डायरेक्टरी टेम्पलेट याद है? जब आपने OpenVPN स्थापित किया था, तो आपके पास एक संपीड़ित कॉन्फ़िगरेशन टेम्पलेट फ़ाइल बची थी जिसे आप /etc/openvpn/ पर कॉपी कर सकते हैं। मैं इस तथ्य पर काम करूंगा कि टेम्प्लेट संग्रहीत है और आपको एक उपयोगी टूल से परिचित कराऊंगा: zcat।

आप कैट कमांड का उपयोग करके किसी फ़ाइल की टेक्स्ट सामग्री को स्क्रीन पर प्रिंट करने के बारे में पहले से ही जानते हैं, लेकिन यदि फ़ाइल को gzip का उपयोग करके संपीड़ित किया जाता है तो क्या होगा? आप फ़ाइल को कभी भी अनज़िप कर सकते हैं और फिर कैट ख़ुशी से इसे आउटपुट कर देगी, लेकिन यह आवश्यकता से एक या दो चरण अधिक है। इसके बजाय, जैसा कि आपने अनुमान लगाया होगा, आप अनपैक्ड टेक्स्ट को एक चरण में मेमोरी में लोड करने के लिए zcat कमांड जारी कर सकते हैं। निम्नलिखित उदाहरण में, स्क्रीन पर टेक्स्ट प्रिंट करने के बजाय, आप इसे सर्वर.कॉन्फ नामक एक नई फ़ाइल पर रीडायरेक्ट करेंगे:

# zcat 
  /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz 
  > /etc/openvpn/server.conf
$ cd /etc/openvpn

आइए फ़ाइल के साथ आने वाले व्यापक और उपयोगी दस्तावेज़ों को एक तरफ रख दें और देखें कि जब आप संपादन पूरा कर लेंगे तो यह कैसा दिख सकता है। ध्यान दें कि अर्धविराम (;) ओपनवीपीएन को अगली पंक्ति को पढ़ने या निष्पादित नहीं करने के लिए कहता है (सूची 10.2)।

आइए इनमें से कुछ सेटिंग्स के बारे में जानें।

डिफ़ॉल्ट रूप से, OpenVPN पोर्ट 1194 पर चलता है। आप इसे बदल सकते हैं, उदाहरण के लिए, अपनी गतिविधियों को और छिपाने के लिए या अन्य सक्रिय सुरंगों के साथ टकराव से बचने के लिए। चूँकि 1194 में ग्राहकों के साथ न्यूनतम समन्वय की आवश्यकता होती है, इसलिए इसे इस तरह से करना सबसे अच्छा है।
ओपनवीपीएन डेटा संचारित करने के लिए या तो ट्रांसमिशन कंट्रोल प्रोटोकॉल (टीसीपी) या यूजर डेटाग्राम प्रोटोकॉल (यूडीपी) का उपयोग करता है। टीसीपी थोड़ा धीमा हो सकता है, लेकिन यह अधिक विश्वसनीय है और सुरंग के दोनों सिरों पर चलने वाले अनुप्रयोगों द्वारा इसे समझने की अधिक संभावना है।
जब आप एक सरल, अधिक कुशल आईपी सुरंग बनाना चाहते हैं जो डेटा सामग्री ले जाती है और कुछ नहीं तो आप डेव ट्यून निर्दिष्ट कर सकते हैं। दूसरी ओर, यदि आपको ईथरनेट ब्रिज बनाते हुए कई नेटवर्क इंटरफेस (और वे नेटवर्क जो वे प्रतिनिधित्व करते हैं) को कनेक्ट करने की आवश्यकता है, तो आपको देव टैप चुनना होगा। यदि आप यह नहीं समझते हैं कि इसका क्या मतलब है, तो tun तर्क का उपयोग करें।
अगली चार पंक्तियाँ OpenVPN को सर्वर पर तीन प्रमाणीकरण फ़ाइलों और आपके द्वारा पहले बनाई गई dh2048 विकल्प फ़ाइल के नाम देती हैं।
सर्वर लाइन रेंज और सबनेट मास्क सेट करती है जिसका उपयोग लॉगिन पर ग्राहकों को आईपी पते निर्दिष्ट करने के लिए किया जाएगा।
वैकल्पिक पुश पैरामीटर "रूट 10.0.3.0 255.255.255.0" दूरस्थ क्लाइंट को सर्वर के पीछे निजी सबनेट तक पहुंचने की अनुमति देता है। इस कार्य को करने के लिए सर्वर पर ही नेटवर्क स्थापित करने की भी आवश्यकता होती है ताकि निजी सबनेट को ओपनवीपीएन सबनेट (10.8.0.0) के बारे में पता चल सके।
पोर्ट-शेयर लोकलहोस्ट 80 लाइन आपको पोर्ट 1194 पर आने वाले क्लाइंट ट्रैफ़िक को पोर्ट 80 पर सुनने वाले स्थानीय वेब सर्वर पर रीडायरेक्ट करने की अनुमति देती है। (यह उपयोगी होगा यदि आप अपने वीपीएन का परीक्षण करने के लिए वेब सर्वर का उपयोग करने जा रहे हैं।) यह केवल काम करता है तब जब tcp प्रोटोकॉल का चयन किया जाता है।
उपयोगकर्ता कोई नहीं और समूह नोग्रुप पंक्तियाँ अर्धविराम (;) हटाकर सक्षम की जानी चाहिए। दूरस्थ क्लाइंट को किसी भी व्यक्ति और किसी समूह के रूप में चलाने के लिए बाध्य करना यह सुनिश्चित करता है कि सर्वर पर सत्र विशेषाधिकार रहित हैं।
लॉग निर्दिष्ट करता है कि हर बार ओपनवीपीएन शुरू होने पर वर्तमान लॉग प्रविष्टियाँ पुरानी प्रविष्टियों को अधिलेखित कर देंगी, जबकि लॉग-एपेंड मौजूदा लॉग फ़ाइल में नई प्रविष्टियाँ जोड़ता है। Openvpn.log फ़ाइल स्वयं /etc/openvpn/ निर्देशिका में लिखी जाती है।

इसके अतिरिक्त, क्लाइंट-टू-क्लाइंट मान भी अक्सर कॉन्फ़िगरेशन फ़ाइल में जोड़ा जाता है ताकि ओपनवीपीएन सर्वर के अलावा कई क्लाइंट एक-दूसरे को देख सकें। यदि आप अपने कॉन्फ़िगरेशन से संतुष्ट हैं, तो आप OpenVPN सर्वर शुरू कर सकते हैं:

# systemctl start openvpn

OpenVPN और systemd के बीच संबंधों की बदलती प्रकृति के कारण, सेवा शुरू करने के लिए कभी-कभी निम्नलिखित सिंटैक्स की आवश्यकता हो सकती है: systemctl openvpn@server शुरू करें।

आपके सर्वर के नेटवर्क इंटरफेस को सूचीबद्ध करने के लिए आईपी एडीआर चलाने से अब tun0 नामक एक नए इंटरफ़ेस का लिंक आउटपुट होना चाहिए। OpenVPN इसे आने वाले ग्राहकों की सेवा के लिए बनाएगा:

$ ip addr
[...]
4: tun0: mtu 1500 qdisc [...]
      link/none
      inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0
          valid_lft forever preferred_lft forever

सब कुछ पूरी तरह से काम करना शुरू करने से पहले आपको सर्वर को रीबूट करने की आवश्यकता हो सकती है। अगला पड़ाव क्लाइंट कंप्यूटर है.

10.1.2. OpenVPN क्लाइंट को कॉन्फ़िगर करना

परंपरागत रूप से, सुरंगें कम से कम दो निकासों के साथ बनाई जाती हैं (अन्यथा हम उन्हें गुफाएँ कहेंगे)। सर्वर पर ठीक से कॉन्फ़िगर किया गया OpenVPN एक तरफ सुरंग के अंदर और बाहर ट्रैफ़िक को निर्देशित करता है। लेकिन आपको क्लाइंट साइड, यानी सुरंग के दूसरे छोर पर चलने वाले कुछ सॉफ़्टवेयर की भी आवश्यकता होगी।

इस अनुभाग में, मैं ओपनवीपीएन क्लाइंट के रूप में कार्य करने के लिए कुछ प्रकार के लिनक्स कंप्यूटर को मैन्युअल रूप से सेट करने पर ध्यान केंद्रित करने जा रहा हूं। लेकिन यह एकमात्र तरीका नहीं है जिससे यह अवसर उपलब्ध होता है। ओपनवीपीएन क्लाइंट एप्लिकेशन का समर्थन करता है जिन्हें विंडोज या मैकओएस चलाने वाले डेस्कटॉप और लैपटॉप के साथ-साथ एंड्रॉइड और आईओएस स्मार्टफोन और टैबलेट पर इंस्टॉल और उपयोग किया जा सकता है। विवरण के लिए openvpn.net देखें।

OpenVPN पैकेज को क्लाइंट मशीन पर इंस्टॉल करने की आवश्यकता होगी क्योंकि यह सर्वर पर इंस्टॉल किया गया था, हालांकि यहां easy-rsa की कोई आवश्यकता नहीं है क्योंकि जिन कुंजियों का आप उपयोग कर रहे हैं वे पहले से मौजूद हैं। आपको client.conf टेम्प्लेट फ़ाइल को उस /etc/openvpn/ निर्देशिका में कॉपी करना होगा जिसे आपने अभी बनाया है। इस बार फ़ाइल को ज़िप नहीं किया जाएगा, इसलिए नियमित सीपी कमांड ठीक से काम करेगा:

# apt install openvpn
# cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf 
  /etc/openvpn/

आपकी client.conf फ़ाइल की अधिकांश सेटिंग्स काफी आत्म-व्याख्यात्मक होंगी: उन्हें सर्वर पर मानों से मेल खाना चाहिए। जैसा कि आप निम्नलिखित उदाहरण फ़ाइल से देख सकते हैं, अद्वितीय पैरामीटर रिमोट 192.168.1.23 1194 है, जो क्लाइंट को सर्वर का आईपी पता बताता है। दोबारा, सुनिश्चित करें कि यह आपका सर्वर पता है। आपको संभावित मैन-इन-द-मिडिल हमले को रोकने के लिए क्लाइंट कंप्यूटर को सर्वर प्रमाणपत्र की प्रामाणिकता को सत्यापित करने के लिए बाध्य करना चाहिए। ऐसा करने का एक तरीका रिमोट-सर्टिफिकेट-टीएलएस सर्वर (लिस्टिंग 10.3) लाइन जोड़ना है।

अब आप /etc/openvpn/ निर्देशिका पर जा सकते हैं और सर्वर से प्रमाणन कुंजी निकाल सकते हैं। उदाहरण में सर्वर आईपी पता या डोमेन नाम को अपने मानों से बदलें:

जब तक आप क्लाइंट पर OpenVPN नहीं चलाएंगे तब तक कुछ भी रोमांचक होने की संभावना नहीं है। चूँकि आपको कुछ तर्क पारित करने की आवश्यकता है, आप इसे कमांड लाइन से करेंगे। --tls-client तर्क OpenVPN को बताता है कि आप एक क्लाइंट के रूप में कार्य करेंगे और TLS एन्क्रिप्शन के माध्यम से कनेक्ट होंगे, और --config आपकी कॉन्फ़िगरेशन फ़ाइल को इंगित करता है:

# openvpn --tls-client --config /etc/openvpn/client.conf

यह सुनिश्चित करने के लिए कि आप सही तरीके से कनेक्ट हैं, कमांड आउटपुट को ध्यान से पढ़ें। यदि पहली बार कुछ गलत होता है, तो यह सर्वर और क्लाइंट कॉन्फ़िगरेशन फ़ाइलों के बीच सेटिंग्स में बेमेल या नेटवर्क कनेक्शन/फ़ायरवॉल समस्या के कारण हो सकता है। यहां कुछ समस्या निवारण युक्तियाँ दी गई हैं।

क्लाइंट पर OpenVPN ऑपरेशन के आउटपुट को ध्यान से पढ़ें। इसमें अक्सर बहुमूल्य सलाह दी जाती है कि वास्तव में क्या नहीं किया जा सकता और क्यों।
सर्वर पर /etc/openvpn/ निर्देशिका में openvpn.log और openvpn-status.log फ़ाइलों में त्रुटि संदेशों की जाँच करें।
OpenVPN से संबंधित और समयबद्ध संदेशों के लिए सर्वर और क्लाइंट पर सिस्टम लॉग की जाँच करें। (journalctl -ce नवीनतम प्रविष्टियाँ प्रदर्शित करेगा।)
सुनिश्चित करें कि आपके पास सर्वर और क्लाइंट के बीच एक सक्रिय नेटवर्क कनेक्शन है (अध्याय 14 में इस पर अधिक जानकारी)।

लेखक के बारे में

डेविड क्लिंटन - सिस्टम प्रशासक, शिक्षक और लेखक। उन्होंने लिनक्स सिस्टम, क्लाउड कंप्यूटिंग (विशेष रूप से एडब्ल्यूएस), और डॉकर जैसी कंटेनर प्रौद्योगिकियों सहित कई महत्वपूर्ण तकनीकी विषयों के लिए शैक्षिक सामग्री का संचालन, लेखन और निर्माण किया है। उन्होंने लर्न अमेज़ॅन वेब सर्विसेज इन ए मंथ ऑफ लंच (मैनिंग, 2017) पुस्तक लिखी। उनके कई वीडियो प्रशिक्षण पाठ्यक्रम Pluralsight.com पर पाए जा सकते हैं, और उनकी अन्य पुस्तकों (लिनक्स प्रशासन और सर्वर वर्चुअलाइजेशन पर) के लिंक यहां उपलब्ध हैं। बूटस्ट्रैप-it.com.

»पुस्तक के बारे में अधिक विवरण यहां पाया जा सकता है प्रकाशक की वेबसाइट
» लेख-सूची
» अंश

खाब्रोझिटेले के लिए कूपन का उपयोग करके 25% की छूट - Linux
पुस्तक के कागजी संस्करण का भुगतान करने पर, एक इलेक्ट्रॉनिक पुस्तक ई-मेल द्वारा भेजी जाएगी।

स्रोत: www.habr.com

एक्शन बुक में लिनक्स