Linux მოქმედებაში წიგნი

გამარჯობა ხაბროს მოსახლეობავ! წიგნში დევიდ კლინტონი აღწერს 12 რეალურ პროექტს, მათ შორის თქვენი სარეზერვო და აღდგენის სისტემის ავტომატიზაციას, Dropbox-ის სტილის პერსონალური ფაილების ღრუბლის დაყენებას და საკუთარი MediaWiki სერვერის შექმნას. თქვენ შეისწავლით ვირტუალიზაციას, კატასტროფის აღდგენას, უსაფრთხოებას, სარეზერვო ასლებს, DevOps-ს და სისტემის პრობლემების მოგვარებას საინტერესო შემთხვევის შესწავლით. ყოველი თავი მთავრდება საუკეთესო პრაქტიკის მიმოხილვით, ახალი ტერმინების ტერმინებითა და სავარჯიშოებით.

ამონაწერი „10.1. OpenVPN გვირაბის შექმნა"

მე უკვე ბევრი ვისაუბრე ამ წიგნში დაშიფვრის შესახებ. SSH-ს და SCP-ს შეუძლიათ დაიცვან დისტანციური კავშირებით გადაცემული მონაცემები (თავი 3), ფაილის დაშიფვრას შეუძლია დაიცვას მონაცემები სერვერზე შენახვისას (თავი 8) და TLS/SSL სერთიფიკატებს შეუძლიათ დაიცვან საიტებსა და კლიენტის ბრაუზერებს შორის გადაცემული მონაცემები (თავი 9) . მაგრამ ზოგჯერ თქვენი მონაცემები დაცული უნდა იყოს კავშირების უფრო ფართო სპექტრში. მაგალითად, შესაძლოა, თქვენი გუნდის ზოგიერთი წევრი იმუშაოს გზაზე, როდესაც უკავშირდებიან Wi-Fi-ს საჯარო ცხელ წერტილების საშუალებით. თქვენ ნამდვილად არ უნდა იფიქროთ, რომ ყველა ასეთი წვდომის წერტილი უსაფრთხოა, მაგრამ თქვენს ხალხს სჭირდება გზა კომპანიის რესურსებთან დასაკავშირებლად - და სწორედ აქ დაგეხმარებათ VPN.

სწორად შემუშავებული VPN გვირაბი უზრუნველყოფს პირდაპირ კავშირს დისტანციურ კლიენტებსა და სერვერს შორის ისე, რომ მალავს მონაცემებს დაუცველ ქსელში გადაადგილებისას. Მერე რა? თქვენ უკვე ნახეთ მრავალი ინსტრუმენტი, რომელსაც შეუძლია ამის გაკეთება დაშიფვრის საშუალებით. VPN-ის რეალური ღირებულება არის ის, რომ გვირაბის გახსნით, თქვენ შეგიძლიათ დააკავშიროთ დისტანციური ქსელები, თითქოს ისინი ყველა ლოკალური იყოს. გარკვეული გაგებით, თქვენ იყენებთ შემოვლით გზას.

ამ გაფართოებული ქსელის გამოყენებით, ადმინისტრატორებს შეუძლიათ თავიანთი სამუშაოს შესრულება თავიანთ სერვერებზე ნებისმიერი ადგილიდან. მაგრამ რაც მთავარია, კომპანიას, რომელსაც აქვს რესურსები, რომლებიც განაწილებულია მრავალ ადგილას, შეუძლია გახადოს ისინი ყველა თვალსაჩინო და ხელმისაწვდომი ყველა ჯგუფისთვის, რომელსაც ეს სჭირდება, სადაც არ უნდა იყოს ისინი (სურათი 10.1).

თავად გვირაბი არ იძლევა უსაფრთხოების გარანტიას. მაგრამ დაშიფვრის ერთ-ერთი სტანდარტი შეიძლება შევიდეს ქსელის სტრუქტურაში, რაც მნიშვნელოვნად ზრდის უსაფრთხოების დონეს. ღია კოდის OpenVPN პაკეტის გამოყენებით შექმნილი გვირაბები იყენებენ იგივე TLS/SSL დაშიფვრას, რომლის შესახებაც უკვე წაიკითხეთ. OpenVPN არ არის გვირაბის ერთადერთი ვარიანტი, მაგრამ ის არის ერთ-ერთი ყველაზე ცნობილი. იგი ითვლება ოდნავ უფრო სწრაფ და უსაფრთხოდ, ვიდრე ალტერნატიული Layer 2 გვირაბის პროტოკოლი, რომელიც იყენებს IPsec დაშიფვრას.

გსურთ, რომ თქვენს გუნდში ყველამ უსაფრთხოდ დაუკავშირდეს ერთმანეთს გზაზე ან სხვადასხვა შენობაში მუშაობისას? ამისათვის თქვენ უნდა შექმნათ OpenVPN სერვერი, რათა დაუშვას აპლიკაციის გაზიარება და სერვერის ლოკალური ქსელის გარემოზე წვდომა. იმისათვის, რომ ეს იმუშაოს, ყველაფერი რაც თქვენ უნდა გააკეთოთ არის ორი ვირტუალური აპარატის ან ორი კონტეინერის გაშვება: ერთი სერვერის/ჰოსტის როლში და მეორე კლიენტის როლში. VPN-ის შექმნა არ არის მარტივი პროცესი, ამიტომ, ალბათ, ღირს რამდენიმე წუთის დახარჯვა დიდი სურათის გასათვალისწინებლად.

10.1.1. OpenVPN სერვერის კონფიგურაცია

სანამ დაიწყებთ, რამდენიმე სასარგებლო რჩევას მოგცემთ. თუ თქვენ აპირებთ ამის გაკეთებას საკუთარ თავზე (და მე გირჩევთ გააკეთოთ), ალბათ ნახავთ, რომ მუშაობთ რამდენიმე ტერმინალის ფანჯარასთან, რომელიც ღიაა თქვენს სამუშაო მაგიდაზე, თითოეული დაკავშირებულია სხვადასხვა მოწყობილობასთან. არსებობს რისკი, რომ რაღაც მომენტში შეიყვანოთ არასწორი ბრძანება ფანჯარაში. ამის თავიდან ასაცილებლად, შეგიძლიათ გამოიყენოთ ჰოსტის სახელის ბრძანება, რათა შეცვალოთ ბრძანების სტრიქონზე ნაჩვენები აპარატის სახელი ისეთი რამით, რომელიც ნათლად გეტყვით სად ხართ. როგორც კი ამას გააკეთებთ, თქვენ უნდა გამოხვიდეთ სერვერიდან და შეხვიდეთ ისევ, რათა ახალი პარამეტრები ამოქმედდეს. ასე გამოიყურება:

ამ მიდგომის დაცვით და თითოეულ მანქანას, რომლებთანაც მუშაობთ შესაბამისი სახელების მინიჭებით, თქვენ მარტივად შეგიძლიათ თვალყური ადევნოთ თქვენს ადგილს.

მასპინძლის სახელის გამოყენების შემდეგ, შემდგომი ბრძანებების შესრულებისას შეიძლება შეხვდეთ შემაშფოთებელ შეტყობინებებს Unable to Resolve Host OpenVPN-Server. /etc/hosts ფაილის შესაბამისი ახალი ჰოსტის სახელით განახლებამ უნდა მოაგვაროს პრობლემა.

თქვენი სერვერის მომზადება OpenVPN-სთვის

თქვენს სერვერზე OpenVPN-ის დასაყენებლად გჭირდებათ ორი პაკეტი: openvpn და easy-rsa (დაშიფვრის გასაღების გენერირების პროცესის სამართავად). CentOS მომხმარებლებმა ჯერ უნდა დააინსტალირონ epel-release საცავი, საჭიროების შემთხვევაში, როგორც ეს გააკეთეთ მე-2 თავში. სერვერის აპლიკაციაზე წვდომის შესამოწმებლად, შეგიძლიათ ასევე დააინსტალიროთ Apache ვებ სერვერი (apache2 Ubuntu-ზე და httpd CentOS-ზე).

სანამ თქვენს სერვერს აყენებთ, გირჩევთ გაააქტიუროთ firewall, რომელიც ბლოკავს ყველა პორტს, გარდა 22 (SSH) და 1194 (OpenVPN-ის ნაგულისხმევი პორტი). ეს მაგალითი გვიჩვენებს, თუ როგორ იმუშავებს ufw Ubuntu-ზე, მაგრამ დარწმუნებული ვარ, თქვენ ჯერ კიდევ გახსოვთ CentOS firewalld პროგრამა მე-9 თავიდან:

# ufw enable
# ufw allow 22
# ufw allow 1194

სერვერზე ქსელის ინტერფეისებს შორის შიდა მარშრუტიზაციის ჩასართავად, თქვენ უნდა გააუქმოთ ერთი ხაზი (net.ipv4.ip_forward = 1) /etc/sysctl.conf ფაილში. ეს საშუალებას მისცემს დისტანციური კლიენტების გადამისამართებას საჭიროებისამებრ, როდესაც ისინი დაკავშირებულია. ახალი ვარიანტის მუშაობისთვის, გაუშვით sysctl -p:

# nano /etc/sysctl.conf
# sysctl -p

თქვენი სერვერის გარემო ახლა სრულად არის კონფიგურირებული, მაგრამ ჯერ კიდევ ერთი რამ არის გასაკეთებელი, სანამ მზად იქნებით: თქვენ უნდა შეასრულოთ შემდეგი ნაბიჯები (მათ შემდეგში დეტალურად განვიხილავთ).

1. შექმენით სერვერზე საჯარო გასაღების ინფრასტრუქტურის (PKI) დაშიფვრის გასაღებების ნაკრები Easy-rsa პაკეტით მოწოდებული სკრიპტების გამოყენებით. არსებითად, OpenVPN სერვერი ასევე მოქმედებს როგორც საკუთარი სერტიფიკატის ავტორიტეტი (CA).
2. მოამზადეთ შესაბამისი გასაღებები კლიენტისთვის
3. სერვერისთვის server.conf ფაილის კონფიგურაცია
4. დააყენეთ თქვენი OpenVPN კლიენტი
5. შეამოწმეთ თქვენი VPN

დაშიფვრის გასაღებების გენერირება

იმისათვის, რომ ყველაფერი მარტივი იყოს, შეგიძლიათ დააყენოთ თქვენი ძირითადი ინფრასტრუქტურა იმავე მანქანაზე, სადაც მუშაობს OpenVPN სერვერი. თუმცა, უსაფრთხოების საუკეთესო პრაქტიკა, როგორც წესი, გვთავაზობს ცალკე CA სერვერის გამოყენებას წარმოების განლაგებისთვის. OpenVPN-ში გამოსაყენებლად დაშიფვრის გასაღების რესურსების გენერირებისა და განაწილების პროცესი ილუსტრირებულია ნახ. 10.2.

როდესაც თქვენ დააინსტალირეთ OpenVPN, დირექტორია /etc/openvpn/ ავტომატურად შეიქმნა, მაგრამ მასში ჯერ არაფერია. openvpn და easy-rsa პაკეტებს მოყვება შაბლონის ფაილების მაგალითი, რომლებიც შეგიძლიათ გამოიყენოთ თქვენი კონფიგურაციის საფუძვლად. სერტიფიცირების პროცესის დასაწყებად, დააკოპირეთ easy-rsa შაბლონის დირექტორია /usr/share/-ზე /etc/openvpn და გადადით easy-rsa/ დირექტორიაში:

# cp -r /usr/share/easy-rsa/ /etc/openvpn
$ cd /etc/openvpn/easy-rsa

easy-rsa დირექტორია ახლა შეიცავს საკმაოდ ბევრ სკრიპტს. მაგიდაზე 10.1 ჩამოთვლილია ინსტრუმენტები, რომლებსაც გამოიყენებთ გასაღებების შესაქმნელად.

ზემოაღნიშნული ოპერაციები მოითხოვს root პრივილეგიებს, ასე რომ თქვენ უნდა გახდეთ root sudo su-ს მეშვეობით.

პირველ ფაილს, რომელთანაც იმუშავებთ, ჰქვია vars და შეიცავს გარემოს ცვლადებს, რომლებსაც easy-rsa იყენებს გასაღებების გენერირებისას. თქვენ უნდა შეცვალოთ ფაილი, რომ გამოიყენოთ თქვენი საკუთარი მნიშვნელობები ნაგულისხმევი მნიშვნელობების ნაცვლად, რომლებიც უკვე არსებობს. ასე გამოიყურება ჩემი ფაილი (ჩამონათვალი 10.1).

ჩამონათვალი 10.1. ფაილის ძირითადი ფრაგმენტები /etc/openvpn/easy-rsa/vars

export KEY_COUNTRY="CA"
export KEY_PROVINCE="ON"
export KEY_CITY="Toronto"
export KEY_ORG="Bootstrap IT"
export KEY_EMAIL="[email protected]"
export KEY_OU="IT"

vars ფაილის გაშვება მის მნიშვნელობებს გადასცემს shell-ის გარემოს, სადაც ისინი ჩართული იქნება თქვენი ახალი გასაღებების შიგთავსში. რატომ არ მუშაობს sudo ბრძანება თავისთავად? რადგან პირველ ეტაპზე ვასწორებთ სკრიპტს სახელად vars და შემდეგ ვიყენებთ მას. გამოყენება და ნიშნავს, რომ vars ფაილი გადასცემს თავის მნიშვნელობებს shell გარემოში, სადაც ისინი ჩაირთვება თქვენი ახალი გასაღებების შიგთავსში.

დარწმუნდით, რომ ხელახლა გაუშვით ფაილი ახალი გარსის გამოყენებით დაუმთავრებელი პროცესის დასასრულებლად. როდესაც ეს გაკეთდება, სკრიპტი მოგთხოვთ გაუშვათ სხვა სკრიპტი, clean-all, წაშალოთ ნებისმიერი შინაარსი /etc/openvpn/easy-rsa/keys/ დირექტორიაში:

ბუნებრივია, შემდეგი ნაბიჯი არის clean-all სკრიპტის გაშვება, რასაც მოჰყვება build-ca, რომელიც იყენებს pkitool სკრიპტს root სერტიფიკატის შესაქმნელად. თქვენ მოგეთხოვებათ დაადასტუროთ vars-ის მიერ მოწოდებული პირადობის პარამეტრები:

# ./clean-all
# ./build-ca
Generating a 2048 bit RSA private key

შემდეგი მოდის build-key-server სკრიპტი. ვინაიდან ის იყენებს იგივე pkitool სკრიპტს ახალ root სერთიფიკატთან ერთად, თქვენ ნახავთ იგივე კითხვებს გასაღების წყვილის შექმნის დასადასტურებლად. გასაღებები დასახელდება არგუმენტების საფუძველზე, რომლებიც თქვენ გაივლით, რომლებიც, თუ ამ მანქანაზე რამდენიმე VPN-ს არ იყენებთ, ჩვეულებრივ იქნება სერვერი, როგორც მაგალითში:

# ./build-key-server server
[...]
Certificate is to be certified until Aug 15 23:52:34 2027 GMT (3650 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

OpenVPN იყენებს Diffie-Hellman-ის ალგორითმის მიერ წარმოქმნილ პარამეტრებს (build-dh-ის გამოყენებით) ახალი კავშირებისთვის ავთენტიფიკაციაზე მოსალაპარაკებლად. აქ შექმნილი ფაილი არ უნდა იყოს საიდუმლო, მაგრამ უნდა იყოს გენერირებული build-dh სკრიპტის გამოყენებით RSA გასაღებებისთვის, რომლებიც ამჟამად აქტიურია. თუ მომავალში შექმნით ახალ RSA გასაღებებს, ასევე დაგჭირდებათ Diffie-Hellman ფაილის განახლება:

# ./build-dh

თქვენი სერვერის გვერდითი გასაღებები ახლა დასრულდება /etc/openvpn/easy-rsa/keys/ დირექტორიაში, მაგრამ OpenVPN-მა ეს არ იცის. ნაგულისხმევად, OpenVPN ეძებს გასაღებებს /etc/openvpn/-ში, ასე რომ დააკოპირეთ ისინი:

# cp /etc/openvpn/easy-rsa/keys/server* /etc/openvpn
# cp /etc/openvpn/easy-rsa/keys/dh2048.pem /etc/openvpn
# cp /etc/openvpn/easy-rsa/keys/ca.crt /etc/openvpn

კლიენტის დაშიფვრის გასაღებების მომზადება

როგორც უკვე ნახეთ, TLS დაშიფვრა იყენებს შესატყვისი გასაღებების წყვილს: ერთი დაინსტალირებული სერვერზე და ერთი დაინსტალირებული დისტანციურ კლიენტზე. ეს ნიშნავს, რომ დაგჭირდებათ კლიენტის გასაღებები. ჩვენი ძველი მეგობარი pkitool არის ზუსტად ის, რაც გჭირდებათ ამისათვის. ამ მაგალითში, როდესაც ჩვენ ვატარებთ პროგრამას /etc/openvpn/easy-rsa/ დირექტორიაში, მას გადავცემთ კლიენტის არგუმენტს ფაილების გენერირებისთვის, სახელწოდებით client.crt და client.key:

# ./pkitool client

კლიენტის ორი ფაილი, თავდაპირველ ca.crt ფაილთან ერთად, რომელიც ჯერ კიდევ კლავიშებში/ დირექტორიაშია, ახლა უსაფრთხოდ უნდა გადაეცეს თქვენს კლიენტს. მათი საკუთრების და წვდომის უფლებების გამო, ეს შეიძლება არც ისე მარტივი იყოს. უმარტივესი მიდგომაა წყაროს ფაილის შიგთავსის ხელით კოპირება (და არაფერი, გარდა ამ შინაარსისა) ტერმინალში, რომელიც მუშაობს თქვენი კომპიუტერის დესკტოპზე (აირჩიეთ ტექსტი, დააწკაპუნეთ მასზე მარჯვენა ღილაკით და აირჩიეთ Copy მენიუდან). შემდეგ ჩასვით ეს იგივე სახელით ახალ ფაილში, რომელსაც ქმნით თქვენს კლიენტთან დაკავშირებულ მეორე ტერმინალში.

მაგრამ ყველას შეუძლია დაჭრა და ჩასვით. ამის ნაცვლად, იფიქრეთ როგორც ადმინისტრატორი, რადგან ყოველთვის არ გექნებათ წვდომა GUI-ზე, სადაც შესაძლებელია ამოჭრა/ჩასმა ოპერაციები. დააკოპირეთ ფაილები თქვენი მომხმარებლის მთავარ დირექტორიაში (ისე, რომ დისტანციური scp ოპერაციამ შეძლოს მათზე წვდომა) და შემდეგ გამოიყენეთ chown ფაილების მფლობელობის შეცვლა root-დან ჩვეულებრივ არა-root მომხმარებელზე, რათა შესრულდეს დისტანციური scp მოქმედება. დარწმუნდით, რომ თქვენი ყველა ფაილი ამჟამად დაინსტალირებული და ხელმისაწვდომია. თქვენ გადაიტანთ მათ კლიენტზე ცოტა მოგვიანებით:

# cp /etc/openvpn/easy-rsa/keys/client.key /home/ubuntu/
# cp /etc/openvpn/easy-rsa/keys/ca.crt /home/ubuntu/
# cp /etc/openvpn/easy-rsa/keys/client.crt /home/ubuntu/
# chown ubuntu:ubuntu /home/ubuntu/client.key
# chown ubuntu:ubuntu /home/ubuntu/client.crt
# chown ubuntu:ubuntu /home/ubuntu/ca.crt

დაშიფვრის გასაღებების სრული კომპლექტით მზად არის, თქვენ უნდა უთხრათ სერვერს, თუ როგორ გსურთ შექმნათ VPN. ეს კეთდება server.conf ფაილის გამოყენებით.

კლავიშების დარტყმის რაოდენობის შემცირება

ძალიან ბევრია აკრეფა? ფრჩხილებით გაფართოება დაგეხმარებათ ამ ექვსი ბრძანების ორამდე შემცირებაში. დარწმუნებული ვარ, შეგიძლიათ შეისწავლოთ ეს ორი მაგალითი და გაიგოთ რა ხდება. რაც მთავარია, თქვენ გექნებათ იმის გაგება, თუ როგორ გამოიყენოთ ეს პრინციპები ოპერაციებში, რომლებიც მოიცავს ათობით ან თუნდაც ასობით ელემენტს:

# cp /etc/openvpn/easy-rsa/keys/{ca.crt,client.{key,crt}} /home/ubuntu/
# chown ubuntu:ubuntu /home/ubuntu/{ca.crt,client.{key,crt}}

server.conf ფაილის დაყენება

როგორ იცით, როგორი უნდა იყოს server.conf ფაილი? გახსოვთ easy-rsa დირექტორიას შაბლონი, რომელიც დააკოპირეთ /usr/share/-დან? როდესაც დააინსტალირეთ OpenVPN, თქვენ დაგრჩათ შეკუმშული კონფიგურაციის შაბლონის ფაილი, რომელიც შეგიძლიათ დააკოპიროთ /etc/openvpn/-ზე. მე დავეყრდნობით იმ ფაქტს, რომ შაბლონი არქივებულია და გაგაცნობთ სასარგებლო ინსტრუმენტს: zcat.

თქვენ უკვე იცით ფაილის ტექსტური შინაარსის ეკრანზე დაბეჭდვის შესახებ cat ბრძანების გამოყენებით, მაგრამ რა მოხდება, თუ ფაილი შეკუმშულია gzip-ის გამოყენებით? თქვენ ყოველთვის შეგიძლიათ გახსნათ ფაილი და შემდეგ კატა სიამოვნებით გამოაქვეყნებს მას, მაგრამ ეს ერთი ან ორი ნაბიჯია საჭიროზე მეტი. ამის ნაცვლად, როგორც თქვენ ალბათ მიხვდით, შეგიძლიათ გასცეთ zcat ბრძანება, რომ ჩატვირთოთ შეფუთული ტექსტი მეხსიერებაში ერთი ნაბიჯით. შემდეგ მაგალითში, ტექსტის ეკრანზე დაბეჭდვის ნაცვლად, თქვენ გადამისამართებთ მას ახალ ფაილზე, სახელწოდებით server.conf:

# zcat 
  /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz 
  > /etc/openvpn/server.conf
$ cd /etc/openvpn

მოდით, გვერდზე გადავდოთ ვრცელი და გამოსადეგი დოკუმენტაცია, რომელიც მოყვება ფაილს და ვნახოთ, როგორი შეიძლება იყოს ის, როდესაც დაასრულებთ რედაქტირებას. გაითვალისწინეთ, რომ მძიმით (;) ეუბნება OpenVPN-ს არ წაიკითხოს ან შეასრულოს შემდეგი სტრიქონი (ჩამონათვალი 10.2).

მოდით გადახედოთ ამ პარამეტრებს.

• ნაგულისხმევად, OpenVPN მუშაობს პორტზე 1194. შეგიძლიათ შეცვალოთ ეს, მაგალითად, თქვენი აქტივობების შემდგომი დასამალად ან სხვა აქტიურ გვირაბებთან კონფლიქტის თავიდან ასაცილებლად. ვინაიდან 1194 მოითხოვს მინიმალურ კოორდინაციას კლიენტებთან, უმჯობესია ამის გაკეთება ამ გზით.
• OpenVPN იყენებს გადაცემის კონტროლის პროტოკოლს (TCP) ან მომხმარებლის მონაცემთა პროგრამის პროტოკოლს (UDP) მონაცემების გადასაცემად. TCP შეიძლება იყოს ოდნავ ნელი, მაგრამ უფრო საიმედო და უფრო გასაგებია გვირაბის ორივე ბოლოზე გაშვებული აპლიკაციებით.
• თქვენ შეგიძლიათ მიუთითოთ dev tun, როდესაც გსურთ შექმნათ უფრო მარტივი, უფრო ეფექტური IP გვირაბი, რომელიც ატარებს მონაცემთა შინაარსს და სხვა არაფერს. თუ, მეორეს მხრივ, თქვენ უნდა დააკავშიროთ მრავალი ქსელის ინტერფეისი (და ქსელები მათ წარმოადგენენ), შექმნათ Ethernet ხიდი, თქვენ მოგიწევთ აირჩიოთ dev tap. თუ არ გესმით რას ნიშნავს ეს ყველაფერი, გამოიყენეთ tun არგუმენტი.
• შემდეგი ოთხი სტრიქონი აძლევს OpenVPN-ს სერვერზე არსებული სამი ავთენტიფიკაციის ფაილის სახელს და თქვენ მიერ ადრე შექმნილ dh2048 პარამეტრების ფაილს.
• სერვერის ხაზი ადგენს დიაპაზონს და ქვექსელის ნიღაბს, რომელიც გამოყენებული იქნება კლიენტებისთვის IP მისამართების მინიჭებისთვის შესვლისას.
• არასავალდებულო push პარამეტრი "route 10.0.3.0 255.255.255.0" საშუალებას აძლევს დისტანციურ კლიენტებს შევიდნენ სერვერის უკან არსებულ კერძო ქვექსელებზე. ამ სამუშაოს შესრულება ასევე მოითხოვს თავად სერვერზე ქსელის დაყენებას, რათა კერძო ქვექსელმა იცოდეს OpenVPN ქვექსელის შესახებ (10.8.0.0).
• Port-share localhost 80 ხაზი საშუალებას გაძლევთ გადამისამართოთ კლიენტის ტრაფიკი, რომელიც მოდის პორტზე 1194 ლოკალურ ვებ სერვერზე, რომელიც უსმენს პორტს 80. (ეს სასარგებლო იქნება, თუ აპირებთ ვებ სერვერის გამოყენებას თქვენი VPN-ის შესამოწმებლად.) ეს მხოლოდ მუშაობს. მაშინ, როდესაც არჩეულია tcp პროტოკოლი.
• მომხმარებლის nobody და ჯგუფის nogroup ხაზები უნდა იყოს ჩართული მძიმით (;) ამოღებით. დისტანციური კლიენტების იძულება იმუშაონ როგორც არავინ და არა ჯგუფი, უზრუნველყოფს სერვერზე სესიების არაპრივილეგირებულობას.
• ჟურნალი მიუთითებს, რომ ჟურნალის მიმდინარე ჩანაწერები გადაწერს ძველ ჩანაწერებს ყოველ ჯერზე OpenVPN-ის გაშვებისას, ხოლო ჟურნალის დამატება ახალ ჩანაწერებს უმატებს არსებულ ჟურნალის ფაილს. თავად openvpn.log ფაილი იწერება /etc/openvpn/ დირექტორიაში.

გარდა ამისა, კლიენტიდან კლიენტის ღირებულება ასევე ხშირად ემატება კონფიგურაციის ფაილს, რათა მრავალმა კლიენტმა შეძლოს ერთმანეთის ნახვა OpenVPN სერვერის გარდა. თუ კმაყოფილი ხართ თქვენი კონფიგურაციით, შეგიძლიათ გახსნათ OpenVPN სერვერი:

# systemctl start openvpn

OpenVPN-სა და systemd-ს შორის ურთიერთობის ცვალებადი ბუნების გამო, სერვისის დასაწყებად ზოგჯერ შეიძლება საჭირო გახდეს შემდეგი სინტაქსი: systemctl start openvpn@server.

ip addr-ის გაშვებამ თქვენი სერვერის ქსელური ინტერფეისების სიაში უნდა გამოსცეს ბმული ახალ ინტერფეისზე, სახელად tun0. OpenVPN შექმნის მას შემომავალი კლიენტების მოსამსახურებლად:

$ ip addr
[...]
4: tun0: mtu 1500 qdisc [...]
      link/none
      inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0
          valid_lft forever preferred_lft forever

შეიძლება დაგჭირდეთ სერვერის გადატვირთვა, სანამ ყველაფერი სრულად დაიწყებს მუშაობას. შემდეგი გაჩერება არის კლიენტის კომპიუტერი.

10.1.2. OpenVPN კლიენტის კონფიგურაცია

ტრადიციულად, გვირაბები შენდება მინიმუმ ორი გასასვლელით (სხვაგვარად გამოქვაბულებს დავარქმევდით). სერვერზე სწორად კონფიგურირებული OpenVPN ხელმძღვანელობს ტრაფიკს გვირაბში ერთ მხარეს და მის გარეთ. მაგრამ ასევე დაგჭირდებათ პროგრამული უზრუნველყოფა, რომელიც მუშაობს კლიენტის მხარეს, ანუ გვირაბის მეორე ბოლოზე.

ამ განყოფილებაში მე ვაპირებ ყურადღებას გავამახვილო Linux კომპიუტერის ხელით დაყენებაზე, რომელიც მოქმედებს როგორც OpenVPN კლიენტი. მაგრამ ეს არ არის ერთადერთი გზა, რომლითაც ეს შესაძლებლობა არსებობს. OpenVPN მხარს უჭერს კლიენტის აპლიკაციებს, რომელთა ინსტალაცია და გამოყენება შესაძლებელია კომპიუტერებსა და ლეპტოპებზე, რომლებიც მუშაობენ Windows ან macOS-ზე, ასევე Android და iOS სმარტფონებსა და ტაბლეტებზე. იხილეთ openvpn.net დეტალებისთვის.

OpenVPN პაკეტი უნდა დაინსტალირდეს კლიენტის მანქანაზე, როგორც დაინსტალირებული იყო სერვერზე, თუმცა აქ არ არის საჭირო easy-rsa, რადგან გასაღებები, რომლებსაც იყენებთ, უკვე არსებობს. თქვენ უნდა დააკოპიროთ client.conf შაბლონის ფაილი თქვენს მიერ ახლახან შექმნილ /etc/openvpn/ დირექტორიაში. ამჯერად ფაილი არ იქნება zipped, ამიტომ ჩვეულებრივი cp ბრძანება კარგად შეასრულებს სამუშაოს:

# apt install openvpn
# cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf 
  /etc/openvpn/

თქვენს client.conf ფაილში პარამეტრების უმეტესობა საკმაოდ გასაგები იქნება: ისინი უნდა ემთხვეოდეს სერვერზე არსებულ მნიშვნელობებს. როგორც ხედავთ შემდეგი მაგალითის ფაილიდან, უნიკალური პარამეტრი არის დისტანციური 192.168.1.23 1194, რომელიც კლიენტს ეუბნება სერვერის IP მისამართს. კიდევ ერთხელ, დარწმუნდით, რომ ეს არის თქვენი სერვერის მისამართი. თქვენ ასევე უნდა აიძულოთ კლიენტის კომპიუტერი, გადაამოწმოს სერვერის სერთიფიკატის ავთენტურობა, რათა თავიდან აიცილოთ კაცის შუაგულში შესაძლო შეტევა. ამის გაკეთების ერთ-ერთი გზაა ხაზის remote-cert-tls სერვერის დამატება (Listing 10.3).

ახლა შეგიძლიათ გადახვიდეთ /etc/openvpn/ დირექტორიაში და ამოიღოთ სერთიფიკატის გასაღებები სერვერიდან. შეცვალეთ სერვერის IP მისამართი ან დომენის სახელი მაგალითში თქვენი მნიშვნელობებით:

არაფერი საინტერესო არ მოხდება მანამ, სანამ არ გაუშვით OpenVPN კლიენტზე. იმის გამო, რომ თქვენ უნდა გაიაროთ რამდენიმე არგუმენტი, ამას გააკეთებთ ბრძანების ხაზიდან. --tls-კლიენტის არგუმენტი ეუბნება OpenVPN-ს, რომ თქვენ იმოქმედებთ როგორც კლიენტი და დაუკავშირდებით TLS დაშიფვრის საშუალებით და --config მიუთითებს თქვენს კონფიგურაციის ფაილზე:

# openvpn --tls-client --config /etc/openvpn/client.conf

ყურადღებით წაიკითხეთ ბრძანების გამომავალი, რათა დარწმუნდეთ, რომ სწორად ხართ დაკავშირებული. თუ პირველად რამე არასწორედ წარიმართება, ეს შეიძლება გამოწვეული იყოს სერვერისა და კლიენტის კონფიგურაციის ფაილებს შორის პარამეტრების შეუსაბამობით ან ქსელის კავშირის/ფირვოლთან დაკავშირებული პრობლემის გამო. აქ მოცემულია პრობლემების მოგვარების რამდენიმე რჩევა.

• ყურადღებით წაიკითხეთ OpenVPN ოპერაციის შედეგი კლიენტზე. ის ხშირად შეიცავს ძვირფას რჩევებს იმის შესახებ, თუ რა არ შეიძლება გაკეთდეს ზუსტად და რატომ.
• შეამოწმეთ შეცდომის შეტყობინებები openvpn.log და openvpn-status.log ფაილებში სერვერის დირექტორიაში /etc/openvpn/.
• შეამოწმეთ სისტემის ჟურნალები სერვერზე და კლიენტზე OpenVPN-თან დაკავშირებული და დროული შეტყობინებებისთვის. (journalctl -ce აჩვენებს უახლეს ჩანაწერებს.)
• დარწმუნდით, რომ გაქვთ აქტიური ქსელური კავშირი სერვერსა და კლიენტს შორის (დაწვრილებით ამის შესახებ მე-14 თავში).

შესახებ ავტორი

დევიდ კლინტონი - სისტემის ადმინისტრატორი, მასწავლებელი და მწერალი. ის მართავდა, წერდა და ქმნიდა საგანმანათლებლო მასალებს მრავალი მნიშვნელოვანი ტექნიკური დისციპლინისთვის, მათ შორის Linux სისტემებისთვის, ღრუბლოვანი გამოთვლებისთვის (განსაკუთრებით AWS) და კონტეინერების ტექნოლოგიებისთვის, როგორიცაა Docker. მან დაწერა წიგნი Learn Amazon Web Services in a Month of Lunches (Manning, 2017). მისი მრავალი ვიდეო ტრენინგის კურსი შეგიძლიათ იხილოთ Pluralsight.com-ზე, ხოლო მისი სხვა წიგნების ბმულები (Linux-ის ადმინისტრაციისა და სერვერის ვირტუალიზაციის შესახებ) ხელმისაწვდომია მისამართზე: bootstrap-it.com.

» მეტი ინფორმაცია წიგნის შესახებ შეგიძლიათ იხილოთ აქ გამომცემლის ვებსაიტზე
» სარჩევი
» ნაწყვეტი

Khabrozhiteley-ზე 25% ფასდაკლება კუპონის გამოყენებით - Linux
წიგნის ქაღალდის ვერსიის გადახდის შემდეგ ელექტრონული წიგნი გაიგზავნება ელექტრონული ფოსტით.

წყარო: www.habr.com