Linux in Action китеби

Салам, Хабро шаарынын тургундары! Китепте Дэвид Клинтон реалдуу жашоодогу 12 долбоорлорду, анын ичинде резервдик көчүрүү жана калыбына келтирүү системаңызды автоматташтыруу, Dropbox стилиндеги жеке файлдар булутун орнотуу жана өз MediaWiki сервериңизди түзүү жөнүндө баяндайт. Виртуалдаштырууну, кырсыктан калыбына келтирүүнү, коопсуздукту, камдык көчүрмөнү, DevOps жана системадагы көйгөйлөрдү аныктоону кызыктуу мисалдар аркылуу изилдейсиз. Ар бир бөлүм мыкты тажрыйбаларды карап чыгуу, жаңы терминдердин глоссарийи жана көнүгүүлөр менен аяктайт.

Үзүндү “10.1. OpenVPN туннелин түзүү"

Мен бул китепте шифрлөө жөнүндө көп айттым. SSH жана SCP алыскы туташуулар аркылуу берилүүчү маалыматтарды коргой алат (3-бөлүм), файлды шифрлөө серверде сакталып турганда маалыматтарды коргой алат (8-бөлүм), ал эми TLS/SSL сертификаттары сайттар менен кардар браузерлеринин ортосунда өткөрүлүүчү маалыматтарды коргой алат (9-бөлүм) . Бирок кээде маалыматыңыз байланыштардын кеңири спектринде корголушу керек. Мисалы, сиздин командаңыздын айрым мүчөлөрү коомдук хотспоттор аркылуу Wi-Fi тармагына туташып жатканда жолдо иштеши мүмкүн. Сиз, албетте, бардык мындай кирүү чекиттери коопсуз деп ойлобошуңуз керек, бирок сиздин адамдарыңызга компаниянын ресурстарына туташуу жолу керек — жана бул жерде VPN жардам бере алат.

Туура иштелип чыккан VPN туннели алыскы кардарлар менен сервердин ортосунда кооптуу тармак аркылуу маалыматтарды жашыргандай түз байланышты камсыз кылат. Анан эмне? Сиз буга чейин шифрлөө менен муну жасай ала турган көптөгөн куралдарды көрдүңүз. VPNдин чыныгы баалуулугу - туннелди ачуу менен сиз алыскы тармактарды алардын бардыгы жергиликтүү болгондой туташтыра аласыз. Кандайдыр бир мааниде сиз айланып өтүүнү колдонуп жатасыз.

Бул кеңейтилген тармакты колдонуу менен администраторлор каалаган жерден өз серверлеринде өз иштерин аткара алышат. Бирок андан да маанилүүсү, ресурстары бир нече жерде жайылган компания алардын баарын көрүнүктүү жана аларга муктаж болгон бардык топторго, алар кайда болбосун, жеткиликтүү кыла алат (10.1-сүрөт).

Туннелдин өзү коопсуздукка кепилдик бербейт. Бирок шифрлөө стандарттарынын бири тармактын структурасына киргизилиши мүмкүн, бул коопсуздук деңгээлин кыйла жогорулатат. Ачык булактуу OpenVPN пакетинин жардамы менен түзүлгөн туннельдер сиз окуган эле TLS/SSL шифрлөөсүн колдонушат. OpenVPN жеткиликтүү туннель түзүүчү жалгыз вариант эмес, бирок бул эң белгилүүлөрдүн бири. Ал IPsec шифрлөөсүн колдонгон альтернативдик Layer 2 туннель протоколуна караганда бир аз ылдамыраак жана коопсузураак деп эсептелет.

Сиздин командаңыздагы ар бир адам жолдо же ар кандай имараттарда иштеп жатканда бири-бири менен коопсуз баарлашуусун каалайсызбы? Бул үчүн, тиркемени бөлүшүүгө жана сервердин локалдык тармак чөйрөсүнө кирүүгө уруксат берүү үчүн OpenVPN серверин түзүшүңүз керек. Мунун иштеши үчүн эки виртуалдык машинаны же эки контейнерди иштетүү керек: бири сервер/хост жана экинчиси кардар катары иштеши үчүн. VPN куруу жөнөкөй процесс эмес, андыктан чоң сүрөттү эске алуу үчүн бир нече мүнөт талап кылынышы мүмкүн.

10.1.1. OpenVPN сервер конфигурациясы

Баштоодон мурун, мен сизге бир нече пайдалуу кеңеш берем. Эгер сиз муну өзүңүз жасай турган болсоңуз (жана мен сизге абдан сунуш кылам), сиз өзүңүздүн иш тактаңызда ачылган бир нече терминал терезелери менен иштеп жатканыңызды таба аласыз, алардын ар бири башка машинага туташкан. Кээ бир учурда сиз терезеге туура эмес буйрукту киргизип алуу коркунучу бар. Мунун алдын алуу үчүн, сиз буйрук сабында көрсөтүлгөн машинанын атын сиздин кайда экениңизди так айтып турган нерсеге өзгөртүү үчүн хост аты буйругун колдонсоңуз болот. Муну кылгандан кийин, жаңы орнотуулар күчүнө кириши үчүн серверден чыгып, кайра киришиңиз керек болот. Бул көрүнүш мына мындай:

Бул ыкманы колдонуу менен жана сиз иштеген ар бир машинага тиешелүү аттарды берүү менен, сиз кайда жүргөнүңүздү оңой эле көзөмөлдөй аласыз.

Хост атын колдонгондон кийин, кийинки буйруктарды аткарууда сиз тажатма Хост OpenVPN-Серверди чечүү мүмкүн эмес билдирүүлөрүнө туш болушуңуз мүмкүн. /etc/hosts файлын тиешелүү жаңы хост аты менен жаңыртуу маселени чечиши керек.

Сервериңиз OpenVPN үчүн даярдалууда

Сервериңизге OpenVPN орнотуу үчүн сизге эки пакет керек: openvpn жана easy-rsa (шифрлөө ачкычын түзүү процессин башкаруу үчүн). CentOS колдонуучулары зарыл болсо, адегенде 2-бөлүмдөгүдөй эле epel-релиз репозиторийин орнотуулары керек. Сервердик тиркемеге кирүү мүмкүнчүлүгүн сынап көрүү үчүн, сиз Apache веб серверин (Ubuntu боюнча apache2 жана CentOSдо httpd) орното аласыз.

Сервериңизди орнотуп жатканыңызда, 22 (SSH) жана 1194 (OpenVPN демейки порту) дан башка бардык портторду бөгөттөп турган брандмауэрди иштетүүнү сунуштайм. Бул мисал Ubuntu'до ufw кантип иштээрин көрсөтүп турат, бирок 9-бөлүмдөгү CentOS Firewalld программасын дагы эле эсиңизде экенине ишенем:

# ufw enable
# ufw allow 22
# ufw allow 1194

Сервердеги тармак интерфейстеринин ортосундагы ички маршрутту иштетүү үчүн, /etc/sysctl.conf файлында бир сапты (net.ipv4.ip_forward = 1) чечмелөө керек. Бул алыскы кардарларга алар туташкандан кийин керектүү багыттоо мүмкүнчүлүгүн берет. Жаңы опцияны иштетүү үчүн sysctl -p иштетиңиз:

# nano /etc/sysctl.conf
# sysctl -p

Сиздин сервердик чөйрөңүз азыр толугу менен конфигурацияланган, бирок сиз даяр болгуча дагы бир нерсе жасай аласыз: сиз төмөнкү кадамдарды аткарышыңыз керек (кийин аларды майда-чүйдөсүнө чейин карап чыгабыз).

1. Easy-rsa пакети менен берилген скрипттерди колдонуу менен серверде ачык ачкыч инфраструктурасынын (PKI) шифрлөө ачкычтарынын топтомун түзүңүз. Негизи, OpenVPN сервери өзүнүн сертификаттык органы (CA) катары да иштейт.
2. Кардар үчүн тиешелүү ачкычтарды даярдаңыз
3. Сервер үчүн server.conf файлын конфигурациялаңыз
4. OpenVPN кардарыңызды орнотуңуз
5. VPN'иңизди текшериңиз

Шифрлөө ачкычтарын түзүү

Ишти жөнөкөй кылуу үчүн, ачкыч инфраструктураңызды OpenVPN сервери иштеп жаткан ошол эле машинага орното аласыз. Бирок, коопсуздуктун мыкты тажрыйбалары, адатта, өндүрүштү жайылтуу үчүн өзүнчө CA серверин колдонууну сунуштайт. OpenVPNде колдонуу үчүн шифрлөөчү ачкыч ресурстарын түзүү жана жайылтуу процесси сүрөттө көрсөтүлгөн. 10.2.

OpenVPN орнотконуңузда, /etc/openvpn/ каталогу автоматтык түрдө түзүлдү, бирок анда азырынча эч нерсе жок. Openvpn жана easy-rsa пакеттери конфигурацияңыз үчүн негиз катары колдоно ала турган үлгү файлдары менен келет. Тастыктоо процессин баштоо үчүн, easy-rsa шаблон каталогун /usr/share/ден /etc/openvpnге көчүрүп, easy-rsa/ каталогуна өзгөртүңүз:

# cp -r /usr/share/easy-rsa/ /etc/openvpn
$ cd /etc/openvpn/easy-rsa

Easy-rsa каталогу азыр бир нече скрипттерди камтыйт. Таблицада 10.1 ачкычтарды түзүү үчүн колдоно турган куралдардын тизмеси.

Жогорудагы операциялар тамыр артыкчылыктарын талап кылат, андыктан sudo su аркылуу root болушуңуз керек.

Сиз иштей турган биринчи файл vars деп аталат жана ачкычтарды түзүүдө easy-rsa колдоно турган чөйрө өзгөрмөлөрүн камтыйт. Сиз буга чейин бар демейки маанилердин ордуна өз баалуулуктарыңызды колдонуу үчүн файлды түзөтүшүңүз керек. Менин файлым ушундай болот (Листинг 10.1).

Листинг 10.1. Файлдын негизги фрагменттери /etc/openvpn/easy-rsa/vars

export KEY_COUNTRY="CA"
export KEY_PROVINCE="ON"
export KEY_CITY="Toronto"
export KEY_ORG="Bootstrap IT"
export KEY_EMAIL="[email protected]"
export KEY_OU="IT"

Vars файлын иштетүү анын маанилерин кабык чөйрөсүнө өткөрүп берет, анда алар жаңы ачкычтарыңыздын мазмунуна киргизилет. Эмне үчүн sudo буйругу өзү иштебейт? Анткени биринчи кадамда биз vars деп аталган сценарийди оңдоп, анан аны колдонобуз. Колдонуу жана бул vars файлы өз маанилерин кабык чөйрөсүнө өткөрүп берет, ал жерде алар жаңы ачкычтарыңыздын мазмунуна киргизилет.

Бүтпөгөн процессти аяктоо үчүн файлды жаңы кабык менен кайра иштетүүнү унутпаңыз. Бул аткарылгандан кийин, скрипт сизден /etc/openvpn/easy-rsa/keys/ каталогундагы бардык мазмунду алып салуу үчүн башка скриптти иштетүүнү сунуштайт:

Албетте, кийинки кадам бардык таза скриптти иштетүү, андан кийин түпкү сертификатты түзүү үчүн pkitool скриптин колдонгон build-ca. Сизден vars тарабынан берилген иденттүүлүк жөндөөлөрүн ырасташыңыз суралат:

# ./clean-all
# ./build-ca
Generating a 2048 bit RSA private key

Андан кийин куруу-ачкыч-сервер скрипти келет. Ал ошол эле pkitool скриптин жаңы түпкү сертификат менен бирге колдонгондуктан, ачкыч жуптун түзүлүшүн ырастоо үчүн ошол эле суроолорду көрөсүз. Ачкычтар сиз тапшырган аргументтердин негизинде аталат, эгер сиз бул машинада бир нече VPN иштетпесе, адатта, мисалдагыдай сервер болот:

# ./build-key-server server
[...]
Certificate is to be certified until Aug 15 23:52:34 2027 GMT (3650 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

OpenVPN жаңы туташуулар үчүн аутентификацияны сүйлөшүү үчүн Diffie-Hellman алгоритми (Build-dh колдонуу менен) тарабынан түзүлгөн параметрлерди колдонот. Бул жерде түзүлгөн файл жашыруун болбошу керек, бирок учурда активдүү болгон RSA ачкычтары үчүн build-dh скрипти аркылуу түзүлүшү керек. Эгер сиз келечекте жаңы RSA ачкычтарын түзсөңүз, анда Diffie-Hellman файлын жаңыртышыңыз керек болот:

# ./build-dh

Сиздин сервер тарабындагы ачкычтар эми /etc/openvpn/easy-rsa/keys/ каталогуна кирет, бирок OpenVPN муну билбейт. Демейки боюнча, OpenVPN /etc/openvpn/ ичинен ачкычтарды издейт, андыктан аларды көчүрүңүз:

# cp /etc/openvpn/easy-rsa/keys/server* /etc/openvpn
# cp /etc/openvpn/easy-rsa/keys/dh2048.pem /etc/openvpn
# cp /etc/openvpn/easy-rsa/keys/ca.crt /etc/openvpn

Кардардын шифрлөө ачкычтарын даярдоо

Сиз буга чейин көргөндөй, TLS шифрлөөдө дал келген ачкычтардын жуптары колдонулат: бири серверде орнотулган жана бири алыскы кардарда орнотулган. Бул сизге кардар ачкычтары керек болот дегенди билдирет. Биздин эски досубуз pkitool бул үчүн сизге керектүү нерсе. Бул мисалда, /etc/openvpn/easy-rsa/ каталогунда программаны иштеткенде, биз ага client.crt жана client.key деп аталган файлдарды түзүү үчүн кардар аргументин өткөрүп беребиз:

# ./pkitool client

Эки кардар файлы, дагы эле ачкычтарда/каталогдо турган оригиналдуу ca.crt файлы менен эми кардарыңызга коопсуз өткөрүлүп берилиши керек. Улам, алардын ээлик жана жеткиликтүүлүк укуктары, бул анчалык деле оңой эмес. Эң жөнөкөй ыкма - бул баштапкы файлдын мазмунун (жана ошол мазмундан башка эч нерсе эмес) кол менен компьютериңиздин иш тактасында иштеген терминалга көчүрүү (текстти тандап, аны оң баскыч менен чыкылдатыңыз жана менюдан Көчүрүүнү тандаңыз). Андан кийин аны кардарыңызга туташтырылган экинчи терминалда түзгөн жаңы файлга чаптаңыз.

Бирок каалаган адам кесип, чаптаса болот. Анын ордуна, администратор сыяктуу ойлонуңуз, анткени кесүү/чаптоо операциялары мүмкүн болгон GUIге ар дайым кире албайсыз. Файлдарды колдонуучуңуздун башкы каталогуна көчүрүңүз (алыскы scp операциясы аларга кире алышы үчүн), андан кийин алыскы scp аракети аткарылышы үчүн файлдардын ээлигин тамырдан кадимки тамыр эмес колдонуучуга өзгөртүү үчүн chown колдонуңуз. Бардык файлдарыңыз учурда орнотулган жана жеткиликтүү экенин текшериңиз. Сиз аларды бир аздан кийин кардарга жылдырасыз:

# cp /etc/openvpn/easy-rsa/keys/client.key /home/ubuntu/
# cp /etc/openvpn/easy-rsa/keys/ca.crt /home/ubuntu/
# cp /etc/openvpn/easy-rsa/keys/client.crt /home/ubuntu/
# chown ubuntu:ubuntu /home/ubuntu/client.key
# chown ubuntu:ubuntu /home/ubuntu/client.crt
# chown ubuntu:ubuntu /home/ubuntu/ca.crt

Шифрлөө ачкычтарынын толук топтому иштөөгө даяр болгондо, серверге VPNди кантип түзгүңүз келгенин айтышыңыз керек. Бул server.conf файлы аркылуу жасалат.

Баскычтарды басуулардын санын азайтуу

Өтө көп терүү барбы? кашаалар менен кеңейтүү бул алты буйрукту экиге кыскартууга жардам берет. Сиз бул эки мисалды изилдеп, эмне болуп жатканын түшүнөсүз деп ишенем. Андан да маанилүүсү, сиз бул принциптерди ондогон же жүздөгөн элементтерди камтыган операцияларга кантип колдонууну түшүнө аласыз:

# cp /etc/openvpn/easy-rsa/keys/{ca.crt,client.{key,crt}} /home/ubuntu/
# chown ubuntu:ubuntu /home/ubuntu/{ca.crt,client.{key,crt}}

server.conf файлын орнотуу

server.conf файлы кандай болушу керек экенин кайдан биле аласыз? /usr/share/ден көчүргөн Easy-rsa каталогунун шаблону эсиңиздеби? OpenVPN орнотконуңузда, сизде /etc/openvpn/ көчүрө ала турган кысылган конфигурация үлгү файлы калды. Мен шаблондун архивделгендигине таянып, сизге пайдалуу курал менен тааныштырам: zcat.

Сиз файлдын тексттик мазмунун cat буйругун колдонуп экранга басып чыгарууну мурунтан эле билесиз, бирок файл gzip аркылуу кысылып калсачы? Сиз ар дайым файлды ача аласыз, андан кийин мышык аны кубануу менен чыгарат, бирок бул зарыл болгондон бир же эки кадам көбүрөөк. Анын ордуна, сиз ойлогондой, сиз таңгаксыз текстти эстутумга бир кадам менен жүктөө үчүн zcat буйругун бере аласыз. Төмөнкү мисалда, текстти экранга басып чыгаруунун ордуна, сиз аны server.conf деп аталган жаңы файлга багыттайсыз:

# zcat 
  /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz 
  > /etc/openvpn/server.conf
$ cd /etc/openvpn

Келгиле, файл менен келген кеңири жана пайдалуу документтерди четке кагып, сиз түзөтүп бүткөндөн кийин ал кандай болорун карап көрөлү. Үтүрлүү чекит (;) OpenVPNге кийинки сапты окубоого же аткарбоого буйруйт (Листинг 10.2).

Келгиле, бул жөндөөлөрдүн айрымдарын карап көрөлү.

• Демейки боюнча, OpenVPN 1194 портунда иштейт. Сиз муну өзгөртө аласыз, мисалы, аракеттериңизди андан ары жашыруу же башка активдүү туннелдер менен чыр-чатактарды болтурбоо үчүн. 1194 кардарлар менен минималдуу координацияны талап кылгандыктан, муну ушундай кылуу жакшы.
• OpenVPN берилиштерди өткөрүү үчүн өткөрүп берүүнү башкаруу протоколун (TCP) же User Datagram Protocol (UDP) колдонот. TCP бир аз жайыраак болушу мүмкүн, бирок ал ишенимдүүрөөк жана туннелдин эки четинде иштеген тиркемелерге түшүнүктүү болушу мүмкүн.
• Жөнөкөй, эффективдүү IP туннелин түзгүңүз келгенде, сиз маалымат мазмунун жана башка эч нерсе эмес, dev tunды белгилей аласыз. Эгер, экинчи жагынан, Ethernet көпүрөсүн түзүп, бир нече тармак интерфейстерин (жана алар көрсөткөн тармактарды) туташтырышыңыз керек болсо, сиз dev tap тандооңуз керек болот. Мунун баары эмнени билдирерин түшүнбөсөңүз, tun аргументин колдонуңуз.
• Кийинки төрт сап OpenVPN'ге сервердеги үч аутентификация файлынын атын жана сиз мурда түзгөн dh2048 параметрлер файлын берет.
• Сервер сызыгы кирүүдө кардарларга IP даректерин ыйгаруу үчүн колдонула турган диапазону жана ички тармак маскасын орнотот.
• Кошумча түртүү параметри "маршрут 10.0.3.0 255.255.255.0" алыскы кардарларга сервердин артындагы жеке ички тармактарга кирүү мүмкүнчүлүгүн берет. Бул ишти аткаруу үчүн сервердин өзүндө тармакты орнотуу талап кылынат, ошондуктан жеке ички тармак OpenVPN (10.8.0.0) жөнүндө билиши керек.
• Port-share localhost 80 сызыгы сизге 1194-портто келген кардар трафигин 80-портту угуп жаткан жергиликтүү веб-серверге багыттоого мүмкүндүк берет. (Бул VPN сервериңизди текшерүү үчүн веб-серверди колдонгуңуз келсе, пайдалуу болот.) Бул бир гана иштейт. анда tcp протоколу тандалганда.
• Колдонуучу nobody жана group nogroup саптары чекиттүү үтүрлөрдү (;) алып салуу менен иштетилиши керек. Алыскы кардарларды эч ким жана nogroup катары иштетүүгө мажбурлоо сервердеги сеанстардын артыкчылыксыз болушун камсыздайт.
• log учурдагы журнал жазуулары OpenVPN башталган сайын эски жазуулардын үстүнөн жазыларын белгилейт, ал эми log-append учурдагы журнал файлына жаңы жазууларды кошот. Openvpn.log файлынын өзү /etc/openvpn/ каталогуна жазылган.

Кошумчалай кетсек, конфигурация файлына кардар-кардар мааниси да кошулат, ошондуктан OpenVPN серверинен тышкары бир нече кардарлар бири-бирин көрө алышат. Эгер сиз конфигурацияңызга ыраазы болсоңуз, OpenVPN серверин баштасаңыз болот:

# systemctl start openvpn

OpenVPN менен systemd ортосундагы мамиленин өзгөргөн мүнөзүнө байланыштуу, кээде кызматты баштоо үчүн төмөнкү синтаксис талап кылынышы мүмкүн: systemctl start openvpn@server.

Сервериңиздин тармактык интерфейстерин тизмелөө үчүн IP Adr иштетүү азыр tun0 деп аталган жаңы интерфейске шилтемени чыгарышы керек. OpenVPN аны келген кардарларды тейлөө үчүн түзөт:

$ ip addr
[...]
4: tun0: mtu 1500 qdisc [...]
      link/none
      inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0
          valid_lft forever preferred_lft forever

Баары толук иштеп баштаардан мурун серверди кайра жүктөө керек болушу мүмкүн. Кийинки аялдама - кардар компьютери.

10.1.2. OpenVPN кардарын конфигурациялоо

Адаттагыдай туннельдер жок дегенде эки чыгуучу менен курулат (болбосо биз аларды үңкүр деп атамакпыз). Сервердеги туура конфигурацияланган OpenVPN трафикти туннелден бир тарапка багыттайт. Бирок сизге ошондой эле кардар тарапта, башкача айтканда, туннелдин башка четинде иштеген кээ бир программалык камсыздоо керек болот.

Бул бөлүмдө мен OpenVPN кардары катары иштөө үчүн Linux компьютеринин кандайдыр бир түрүн кол менен орнотууга басым жасайм. Бирок бул мүмкүнчүлүктүн жалгыз жолу эмес. OpenVPN Windows же macOS менен иштеген рабочий компьютерлерге жана ноутбуктарга, ошондой эле Android жана iOS смартфондоруна жана планшеттерине орнотула жана колдонула турган кардар тиркемелерин колдойт. чоо-жайы үчүн openvpn.net карагыла.

OpenVPN пакети серверде орнотулгандай кардар машинасына орнотулушу керек, бирок бул жерде оңой-rsa кереги жок, анткени сиз колдонуп жаткан ачкычтар мурунтан эле бар. Сиз client.conf шаблон файлын жаңы эле түзгөн /etc/openvpn/ каталогуна көчүрүшүңүз керек. Бул жолу файл zipделбейт, андыктан кадимки cp буйругу ишти жакшы аткарат:

# apt install openvpn
# cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf 
  /etc/openvpn/

Client.conf файлыңыздагы орнотуулардын көбү өзүн-өзү түшүндүрүүчү болот: алар сервердеги маанилерге дал келиши керек. Төмөнкү мисал файлынан көрүнүп тургандай, уникалдуу параметр алыскы 192.168.1.23 1194, ал кардарга сервердин IP дарегин айтат. Дагы бир жолу, бул сиздин сервер дарегиңиз экенин текшериңиз. Мүмкүн болгон адамдын ортодогу чабуулунун алдын алуу үчүн сиз кардар компьютерин сервердин сертификатынын аныктыгын текшерүүгө мажбурлашыңыз керек. Мунун бир жолу remote-cert-tls серверин кошуу (Листинг 10.3).

Эми сиз /etc/openvpn/ каталогуна өтүп, серверден сертификаттоо ачкычтарын чыгара аласыз. Мисалдагы сервердин IP дарегин же домен атын өз баалуулуктарыңыз менен алмаштырыңыз:

Сиз кардарда OpenVPN иштетмейинче эч кандай кызыктуу эч нерсе болбойт. Сиз бир нече аргументти өткөрүп беришиңиз керек болгондуктан, аны буйрук сабынан жасайсыз. --tls-client аргументи OpenVPNге сиз кардар катары иш алып бараарыңызды жана TLS шифрлөө аркылуу туташа турганыңызды жана --config конфигурация файлыңызды көрсөтөт:

# openvpn --tls-client --config /etc/openvpn/client.conf

Туура туташканыңызды текшерүү үчүн буйрук чыгарууну кылдат окуп чыгыңыз. Эгер бир нерсе биринчи жолу туура эмес болуп кетсе, бул сервер менен кардар конфигурациясынын файлдарынын ортосундагы жөндөөлөрдүн дал келбегендигинен же тармак туташуусу/брандмауэр көйгөйүнөн улам болушу мүмкүн. Бул жерде көйгөйлөрдү чечүү боюнча бир нече кеңештер бар.

• Кардардагы OpenVPN операциясынын жыйынтыгын кылдат окуп чыгыңыз. Анда көбүнчө эмне кылуу мүмкүн эместиги жана эмне үчүн баалуу кеңештер камтылган.
• Сервердеги /etc/openvpn/ каталогундагы openvpn.log жана openvpn-status.log файлдарындагы ката билдирүүлөрүн текшериңиз.
• Сервердеги жана кардардагы система журналдарын OpenVPN менен байланышкан жана убакыты белгиленген билдирүүлөрдү текшериңиз. (journalctl -ce эң акыркы жазууларды көрсөтөт.)
• Сервер менен кардар ортосунда активдүү тармак байланышы бар экенин текшериңиз (бул тууралуу 14-бөлүмдө).

жазуучу тууралуу

Дэвид Клинтон - системалык администратор, окутуучу жана жазуучу. Ал башкарган, жазган жана көптөгөн маанилүү техникалык дисциплиналар үчүн окуу материалдарын түзгөн, анын ичинде Linux системалары, булуттагы эсептөөлөр (айрыкча AWS) жана Docker сыяктуу контейнердик технологиялар. Ал "Амазондун веб-кызматтарын түшкү тамактануу айында үйрөн" китебин жазган (Маннинг, 2017). Анын көптөгөн видео тренингдерин Pluralsight.com сайтынан тапса болот жана анын башка китептерине шилтемелер (Linux башкаруу жана серверди виртуалдаштыруу боюнча) bootstrap-it.com.

» Китеп тууралуу кененирээк бул жерден тапса болот чыгаруучунун веб-сайты
» Мазмуну
» Үзүндү

Khabrozhiteley үчүн купонду колдонуу менен 25% арзандатуу - Linux
Китептин кагаз түрүндөгү версиясын төлөгөндөн кийин электрондук китеп электрондук почта аркылуу жөнөтүлөт.

Source: www.habr.com