ປື້ມ "Linux ໃນການປະຕິບັດ"

ສະບາຍດີຊາວ Khabro! ໃນປຶ້ມ, David Clinton ອະທິບາຍເຖິງ 12 ໂຄງການໃນຊີວິດຈິງ, ລວມທັງການເຮັດໃຫ້ລະບົບການສໍາຮອງແລະການຟື້ນຕົວຂອງທ່ານອັດຕະໂນມັດ, ການຕັ້ງຄ່າ Dropbox-style cloud ໄຟລ໌ສ່ວນບຸກຄົນ, ແລະການສ້າງເຄື່ອງແມ່ຂ່າຍ MediaWiki ຂອງທ່ານເອງ. ທ່ານຈະຄົ້ນຫາ virtualization, ການຟື້ນຟູໄພພິບັດ, ຄວາມປອດໄພ, ການສໍາຮອງຂໍ້ມູນ, DevOps, ແລະການແກ້ໄຂບັນຫາລະບົບໂດຍຜ່ານກໍລະນີສຶກສາທີ່ຫນ້າສົນໃຈ. ແຕ່​ລະ​ບົດ​ສິ້ນ​ສຸດ​ລົງ​ດ້ວຍ​ການ​ທົບ​ທວນ​ຄືນ​ການ​ປະ​ຕິ​ບັດ​ທີ່​ດີ​ທີ່​ສຸດ​, ຄໍາ​ສັບ​ຂອງ​ຄໍາ​ສັບ​ໃຫມ່​, ແລະ​ການ​ອອກ​ກໍາ​ລັງ​ກາຍ​.

ຫຍໍ້ມາຈາກ “10.1. ການສ້າງອຸໂມງ OpenVPN"

ຂ້ອຍໄດ້ເວົ້າຫຼາຍແລ້ວກ່ຽວກັບການເຂົ້າລະຫັດໃນປຶ້ມຫົວນີ້. SSH ແລະ SCP ສາມາດປົກປ້ອງຂໍ້ມູນທີ່ຖືກໂອນຜ່ານການເຊື່ອມຕໍ່ທາງໄກ (ບົດທີ 3), ການເຂົ້າລະຫັດໄຟລ໌ສາມາດປົກປ້ອງຂໍ້ມູນໃນຂະນະທີ່ມັນຖືກເກັບໄວ້ໃນເຊີບເວີ (ບົດທີ 8), ແລະໃບຢັ້ງຢືນ TLS/SSL ສາມາດປົກປ້ອງຂໍ້ມູນທີ່ຖືກໂອນຍ້າຍລະຫວ່າງເວັບໄຊ ແລະຕົວທ່ອງເວັບຂອງລູກຄ້າ (ບົດທີ 9) . ແຕ່ບາງຄັ້ງຂໍ້ມູນຂອງທ່ານຕ້ອງໄດ້ຮັບການປົກປ້ອງໃນຂອບເຂດການເຊື່ອມຕໍ່ທີ່ກວ້າງຂວາງ. ຕົວຢ່າງ, ບາງທີສະມາຊິກທີມງານຂອງທ່ານບາງຄົນເຮັດວຽກຢູ່ໃນເສັ້ນທາງໃນຂະນະທີ່ເຊື່ອມຕໍ່ກັບ Wi-Fi ຜ່ານຈຸດເຊື່ອມຕໍ່ສາທາລະນະ. ທ່ານບໍ່ຄວນຈະສົມມຸດວ່າຈຸດເຂົ້າເຖິງທັງຫມົດດັ່ງກ່າວແມ່ນປອດໄພ, ແຕ່ປະຊາຊົນຂອງທ່ານຕ້ອງການວິທີການເຊື່ອມຕໍ່ກັບຊັບພະຍາກອນຂອງບໍລິສັດ - ແລະນັ້ນແມ່ນບ່ອນທີ່ VPN ສາມາດຊ່ວຍໄດ້.

ອຸໂມງ VPN ທີ່ຖືກອອກແບບຢ່າງຖືກຕ້ອງໃຫ້ການເຊື່ອມຕໍ່ໂດຍກົງລະຫວ່າງລູກຄ້າທາງໄກ ແລະເຊີບເວີໃນແບບທີ່ເຊື່ອງຂໍ້ມູນໃນຂະນະທີ່ມັນເຄື່ອນຍ້າຍຜ່ານເຄືອຂ່າຍທີ່ບໍ່ປອດໄພ. ລະ​ເປັນ​ຫຍັງ? ເຈົ້າເຄີຍເຫັນເຄື່ອງມືຫຼາຍຢ່າງທີ່ສາມາດເຮັດໄດ້ດ້ວຍການເຂົ້າລະຫັດ. ມູນຄ່າທີ່ແທ້ຈິງຂອງ VPN ແມ່ນວ່າໂດຍການເປີດອຸໂມງ, ທ່ານສາມາດເຊື່ອມຕໍ່ເຄືອຂ່າຍຫ່າງໄກສອກຫຼີກໄດ້ຄືກັບວ່າພວກມັນຢູ່ໃນທ້ອງຖິ່ນທັງຫມົດ. ໃນຄວາມຫມາຍ, ທ່ານກໍາລັງໃຊ້ bypass.

ການນໍາໃຊ້ເຄືອຂ່າຍຂະຫຍາຍນີ້, ຜູ້ບໍລິຫານສາມາດປະຕິບັດວຽກງານຂອງເຂົາເຈົ້າຢູ່ໃນເຄື່ອງແມ່ຂ່າຍຂອງເຂົາເຈົ້າຈາກທຸກບ່ອນ. ແຕ່ສໍາຄັນກວ່ານັ້ນ, ບໍລິສັດທີ່ມີຊັບພະຍາກອນທີ່ແຜ່ລາມໄປທົ່ວຫຼາຍບ່ອນສາມາດເຮັດໃຫ້ພວກເຂົາເຫັນໄດ້ແລະເຂົ້າເຖິງທຸກກຸ່ມທີ່ຕ້ອງການ, ບໍ່ວ່າພວກເຂົາຢູ່ໃສ (ຮູບ 10.1).

ອຸໂມງຕົວມັນເອງບໍ່ໄດ້ຮັບປະກັນຄວາມປອດໄພ. ແຕ່ຫນຶ່ງໃນມາດຕະຖານການເຂົ້າລະຫັດສາມາດຖືກລວມເຂົ້າໃນໂຄງສ້າງເຄືອຂ່າຍ, ເຊິ່ງເຮັດໃຫ້ລະດັບຄວາມປອດໄພເພີ່ມຂຶ້ນຢ່າງຫຼວງຫຼາຍ. ອຸໂມງທີ່ສ້າງຂຶ້ນໂດຍໃຊ້ແພັກເກັດ OpenVPN ແຫຼ່ງເປີດໃຊ້ການເຂົ້າລະຫັດ TLS/SSL ດຽວກັນທີ່ທ່ານໄດ້ອ່ານແລ້ວ. OpenVPN ບໍ່ແມ່ນທາງເລືອກ tunneling ເທົ່ານັ້ນທີ່ມີຢູ່, ແຕ່ມັນແມ່ນຫນຶ່ງໃນທີ່ຮູ້ຈັກດີທີ່ສຸດ. ມັນຖືວ່າໄວກວ່າເລັກນ້ອຍ ແລະປອດໄພກວ່າໂປຣໂຕຄໍ tunnel Layer 2 ທາງເລືອກທີ່ໃຊ້ການເຂົ້າລະຫັດ IPsec.

ທ່ານຕ້ອງການໃຫ້ທຸກຄົນໃນທີມງານຂອງທ່ານຕິດຕໍ່ສື່ສານຢ່າງປອດໄພກັບກັນແລະກັນໃນຂະນະທີ່ຢູ່ໃນຖະຫນົນຫຼືເຮັດວຽກຢູ່ໃນອາຄານທີ່ແຕກຕ່າງກັນບໍ? ເພື່ອເຮັດສິ່ງນີ້, ທ່ານຈໍາເປັນຕ້ອງສ້າງເຄື່ອງແມ່ຂ່າຍ OpenVPN ເພື່ອອະນຸຍາດໃຫ້ແບ່ງປັນແອັບພລິເຄຊັນແລະເຂົ້າເຖິງສະພາບແວດລ້ອມເຄືອຂ່າຍທ້ອງຖິ່ນຂອງເຄື່ອງແມ່ຂ່າຍ. ເພື່ອເຮັດວຽກນີ້, ສິ່ງທີ່ທ່ານຕ້ອງເຮັດແມ່ນແລ່ນສອງເຄື່ອງ virtual ຫຼືສອງຖັງ: ຫນຶ່ງເພື່ອເຮັດຫນ້າທີ່ເປັນເຄື່ອງແມ່ຂ່າຍ / ໂຮດແລະຫນຶ່ງເພື່ອເຮັດຫນ້າທີ່ເປັນລູກຄ້າ. ການສ້າງ VPN ບໍ່ແມ່ນຂະບວນການທີ່ງ່າຍດາຍ, ສະນັ້ນມັນອາດຈະເປັນມູນຄ່າໃຊ້ເວລາສອງສາມນາທີເພື່ອໃຫ້ໄດ້ຮູບພາບໃຫຍ່ຢູ່ໃນໃຈ.

10.1.1. OpenVPN Server Configuration

ກ່ອນທີ່ທ່ານຈະເລີ່ມຕົ້ນ, ຂ້ອຍຈະໃຫ້ຄໍາແນະນໍາທີ່ເປັນປະໂຫຍດແກ່ເຈົ້າ. ຖ້າເຈົ້າຈະເຮັດມັນເອງ (ແລະຂ້ອຍຂໍແນະນໍາໃຫ້ເຈົ້າເຮັດ), ເຈົ້າອາດຈະພົບວ່າຕົວເອງເຮັດວຽກກັບປ່ອງຢ້ຽມ terminal ຫຼາຍທີ່ເປີດຢູ່ໃນ Desktop ຂອງທ່ານ, ແຕ່ລະເຊື່ອມຕໍ່ກັບເຄື່ອງທີ່ແຕກຕ່າງກັນ. ມີຄວາມສ່ຽງທີ່ບາງຈຸດທີ່ເຈົ້າຈະໃສ່ຄໍາສັ່ງທີ່ບໍ່ຖືກຕ້ອງເຂົ້າໄປໃນປ່ອງຢ້ຽມ. ເພື່ອຫຼີກເວັ້ນການນີ້, ທ່ານສາມາດນໍາໃຊ້ຄໍາສັ່ງ hostname ເພື່ອປ່ຽນຊື່ເຄື່ອງຈັກທີ່ສະແດງຢູ່ໃນເສັ້ນຄໍາສັ່ງເປັນບາງສິ່ງບາງຢ່າງທີ່ຈະແຈ້ງບອກທ່ານວ່າທ່ານຢູ່ໃສ. ເມື່ອທ່ານເຮັດສິ່ງນີ້, ທ່ານຈະຕ້ອງອອກຈາກເຄື່ອງແມ່ຂ່າຍແລະເຂົ້າສູ່ລະບົບຄືນໃຫມ່ເພື່ອໃຫ້ການຕັ້ງຄ່າໃຫມ່ມີຜົນ. ນີ້ແມ່ນສິ່ງທີ່ເບິ່ງຄືວ່າ:

ໂດຍການປະຕິບັດຕາມວິທີການນີ້ແລະການໃຫ້ຊື່ທີ່ເຫມາະສົມກັບແຕ່ລະເຄື່ອງຈັກທີ່ທ່ານເຮັດວຽກກັບ, ທ່ານສາມາດຕິດຕາມໄດ້ງ່າຍວ່າທ່ານຢູ່ໃສ.

ຫຼັງຈາກການນໍາໃຊ້ຊື່ໂຮດ, ທ່ານອາດຈະພົບກັບຄວາມລໍາຄານ Unable to Resolve Host OpenVPN-Server messages ໃນເວລາທີ່ປະຕິບັດຄໍາສັ່ງຕໍ່ໄປ. ການປັບປຸງໄຟລ໌ /etc/hosts ດ້ວຍຊື່ໂຮດໃຫມ່ທີ່ເຫມາະສົມຄວນແກ້ໄຂບັນຫາ.

ກຳລັງກະກຽມເຊີບເວີຂອງທ່ານສຳລັບ OpenVPN

ເພື່ອຕິດຕັ້ງ OpenVPN ໃນເຊີບເວີຂອງທ່ານ, ທ່ານຕ້ອງການສອງແພັກເກັດ: openvpn ແລະ easy-rsa (ເພື່ອຈັດການຂະບວນການສ້າງລະຫັດການເຂົ້າລະຫັດ). ຜູ້ໃຊ້ CentOS ທໍາອິດຄວນຕິດຕັ້ງ epel-release repository ຖ້າຈໍາເປັນ, ດັ່ງທີ່ທ່ານໄດ້ເຮັດໃນບົດທີ 2. ເພື່ອສາມາດທົດສອບການເຂົ້າເຖິງຄໍາຮ້ອງສະຫມັກຂອງເຄື່ອງແມ່ຂ່າຍ, ທ່ານຍັງສາມາດຕິດຕັ້ງ Apache web server (apache2 ໃນ Ubuntu ແລະ httpd on CentOS).

ໃນຂະນະທີ່ທ່ານກໍາລັງຕັ້ງເຄື່ອງແມ່ຂ່າຍຂອງທ່ານ, ຂ້າພະເຈົ້າແນະນໍາໃຫ້ເປີດໃຊ້ firewall ທີ່ປິດພອດທັງຫມົດຍົກເວັ້ນ 22 (SSH) ແລະ 1194 (ພອດເລີ່ມຕົ້ນຂອງ OpenVPN). ຕົວຢ່າງນີ້ສະແດງໃຫ້ເຫັນເຖິງວິທີທີ່ ufw ຈະເຮັດວຽກຢູ່ໃນ Ubuntu, ແຕ່ຂ້ອຍແນ່ໃຈວ່າເຈົ້າຍັງຈື່ CentOS firewalld program ຈາກບົດທີ 9:

# ufw enable
# ufw allow 22
# ufw allow 1194

ເພື່ອເປີດໃຊ້ເສັ້ນທາງພາຍໃນລະຫວ່າງຕົວເຊື່ອມຕໍ່ເຄືອຂ່າຍໃນເຊີບເວີ, ທ່ານຈຳເປັນຕ້ອງອອກຄຳເຫັນໜຶ່ງແຖວ (net.ipv4.ip_forward = 1) ໃນໄຟລ໌ /etc/sysctl.conf. ນີ້ຈະຊ່ວຍໃຫ້ລູກຄ້າຫ່າງໄກສອກຫຼີກຖືກປ່ຽນເສັ້ນທາງຕາມຄວາມຕ້ອງການເມື່ອພວກເຂົາເຊື່ອມຕໍ່. ເພື່ອເຮັດໃຫ້ທາງເລືອກໃຫມ່ເຮັດວຽກ, ດໍາເນີນການ sysctl -p:

# nano /etc/sysctl.conf
# sysctl -p

ຕອນນີ້ສະພາບແວດລ້ອມເຊີບເວີຂອງທ່ານຖືກຕັ້ງຄ່າຢ່າງສົມບູນແລ້ວ, ແຕ່ຍັງມີອີກອັນໜຶ່ງທີ່ຕ້ອງເຮັດກ່ອນທີ່ທ່ານຈະກຽມພ້ອມ: ທ່ານຈະຕ້ອງເຮັດຂັ້ນຕອນຕໍ່ໄປນີ້ (ພວກເຮົາຈະໃຫ້ລາຍລະອຽດໃນຂັ້ນຕອນຕໍ່ໄປ).

1. ສ້າງຊຸດຂອງກະແຈການເຂົ້າລະຫັດສາທາລະນະ (PKI) ເທິງເຊີບເວີໂດຍໃຊ້ສະຄຣິບທີ່ໃຫ້ມາກັບຊຸດ easy-rsa. ໂດຍພື້ນຖານແລ້ວ, ເຊີບເວີ OpenVPN ຍັງເຮັດໜ້າທີ່ເປັນສິດອຳນາດຂອງໃບຮັບຮອງ (CA).
2. ກະກຽມກະແຈທີ່ເຫມາະສົມສໍາລັບລູກຄ້າ
3. ຕັ້ງຄ່າໄຟລ໌ server.conf ສໍາລັບເຄື່ອງແມ່ຂ່າຍ
4. ຕັ້ງຄ່າລູກຄ້າ OpenVPN ຂອງທ່ານ
5. ກວດເບິ່ງ VPN ຂອງທ່ານ

ກຳລັງສ້າງລະຫັດການເຂົ້າລະຫັດ

ເພື່ອຮັກສາສິ່ງທີ່ງ່າຍດາຍ, ທ່ານສາມາດຕັ້ງຄ່າໂຄງສ້າງພື້ນຖານທີ່ສໍາຄັນຂອງທ່ານໃນເຄື່ອງດຽວກັນທີ່ເຄື່ອງແມ່ຂ່າຍ OpenVPN ກໍາລັງເຮັດວຽກ. ແນວໃດກໍ່ຕາມ, ການປະຕິບັດທີ່ດີທີ່ສຸດດ້ານຄວາມປອດໄພໂດຍປົກກະຕິແນະນໍາໃຫ້ໃຊ້ເຄື່ອງແມ່ຂ່າຍ CA ແຍກຕ່າງຫາກສໍາລັບການຜະລິດການຜະລິດ. ຂະບວນການສ້າງ ແລະແຈກຢາຍຊັບພະຍາກອນຫຼັກຂອງການເຂົ້າລະຫັດເພື່ອໃຊ້ໃນ OpenVPN ແມ່ນສະແດງຢູ່ໃນຮູບ. 10.2.

ເມື່ອທ່ານຕິດຕັ້ງ OpenVPN, ໄດເລກະທໍລີ /etc/openvpn/ ໄດ້ຖືກສ້າງຂື້ນໂດຍອັດຕະໂນມັດ, ແຕ່ບໍ່ມີຫຍັງຢູ່ໃນມັນເທື່ອ. ແພັກເກດ openvpn ແລະ easy-rsa ມາພ້ອມກັບໄຟລ໌ແມ່ແບບຕົວຢ່າງທີ່ທ່ານສາມາດນໍາໃຊ້ເປັນພື້ນຖານສໍາລັບການຕັ້ງຄ່າຂອງທ່ານ. ເພື່ອເລີ່ມຕົ້ນຂະບວນການຢັ້ງຢືນ, ຄັດລອກໄດເລກະທໍລີແມ່ແບບ easy-rsa ຈາກ /usr/share/ ໄປໃສ່ /etc/openvpn ແລະປ່ຽນເປັນໄດເລກະທໍລີ easy-rsa/:

# cp -r /usr/share/easy-rsa/ /etc/openvpn
$ cd /etc/openvpn/easy-rsa

ໄດເລກະທໍລີ easy-rsa ໃນປັດຈຸບັນຈະມີສະຄຣິບບໍ່ຫຼາຍປານໃດ. ໃນຕາຕະລາງ 10.1 ລາຍຊື່ເຄື່ອງມືທີ່ເຈົ້າຈະໃຊ້ເພື່ອສ້າງກະແຈ.

ການດໍາເນີນງານຂ້າງເທິງນີ້ຮຽກຮ້ອງໃຫ້ມີສິດທິຂອງຮາກ, ດັ່ງນັ້ນທ່ານຈໍາເປັນຕ້ອງໄດ້ຮາກຜ່ານ sudo su.

ໄຟລ໌ທໍາອິດທີ່ທ່ານຈະເຮັດວຽກກັບເອີ້ນວ່າ vars ແລະມີຕົວແປສະພາບແວດລ້ອມທີ່ easy-rsa ໃຊ້ໃນເວລາທີ່ສ້າງລະຫັດ. ທ່ານຈໍາເປັນຕ້ອງແກ້ໄຂໄຟລ໌ເພື່ອໃຊ້ຄ່າຂອງຕົນເອງແທນທີ່ຈະເປັນຄ່າເລີ່ມຕົ້ນທີ່ມີແລ້ວ. ນີ້ແມ່ນສິ່ງທີ່ໄຟລ໌ຂອງຂ້ອຍຈະມີລັກສະນະ (ລາຍຊື່ 10.1).

ລາຍການ 10.1. ຊິ້ນສ່ວນຕົ້ນຕໍຂອງໄຟລ໌ /etc/openvpn/easy-rsa/vars

export KEY_COUNTRY="CA"
export KEY_PROVINCE="ON"
export KEY_CITY="Toronto"
export KEY_ORG="Bootstrap IT"
export KEY_EMAIL="[email protected]"
export KEY_OU="IT"

ການແລ່ນໄຟລ໌ vars ຈະສົ່ງຄ່າຂອງມັນໄປສູ່ສະພາບແວດລ້ອມຂອງແກະ, ບ່ອນທີ່ພວກມັນຈະຖືກລວມເຂົ້າໃນເນື້ອໃນຂອງລະຫັດໃຫມ່ຂອງທ່ານ. ເປັນຫຍັງຄໍາສັ່ງ sudo ດ້ວຍຕົນເອງບໍ່ເຮັດວຽກ? ເນື່ອງຈາກວ່າໃນຂັ້ນຕອນທໍາອິດພວກເຮົາແກ້ໄຂ script ທີ່ມີຊື່ວ່າ vars ແລ້ວນໍາໄປໃຊ້. ການສະຫມັກແລະຫມາຍຄວາມວ່າໄຟລ໌ vars ຜ່ານຄ່າຂອງມັນໄປສູ່ສະພາບແວດລ້ອມຂອງແກະ, ບ່ອນທີ່ພວກມັນຈະຖືກລວມເຂົ້າໃນເນື້ອໃນຂອງກະແຈໃຫມ່ຂອງທ່ານ.

ໃຫ້ແນ່ໃຈວ່າການດໍາເນີນການໄຟລ໌ໃຫມ່ໂດຍໃຊ້ແກະໃຫມ່ເພື່ອໃຫ້ຂະບວນການທີ່ຍັງບໍ່ທັນສໍາເລັດ. ເມື່ອອັນນີ້ສຳເລັດແລ້ວ, ສະຄຣິບຈະເຕືອນໃຫ້ທ່ານແລ່ນສະຄຣິບອື່ນ, ສະອາດ-ທັງໝົດ, ເພື່ອລຶບເນື້ອຫາໃດນຶ່ງໃນ /etc/openvpn/easy-rsa/keys/ directory:

ຕາມທໍາມະຊາດ, ຂັ້ນຕອນຕໍ່ໄປແມ່ນເພື່ອດໍາເນີນການສະຄິບທີ່ສະອາດທັງຫມົດ, ຕິດຕາມດ້ວຍ build-ca, ເຊິ່ງໃຊ້ສະຄິບ pkitool ເພື່ອສ້າງໃບຢັ້ງຢືນຮາກ. ທ່ານຈະຖືກຖາມໃຫ້ຢືນຢັນການຕັ້ງຄ່າຕົວຕົນທີ່ສະໜອງໃຫ້ໂດຍ vars:

# ./clean-all
# ./build-ca
Generating a 2048 bit RSA private key

ຕໍ່ໄປແມ່ນ build-key-server script. ເນື່ອງຈາກມັນໃຊ້ສະຄິບ pkitool ດຽວກັນພ້ອມກັບໃບຢັ້ງຢືນຮາກໃຫມ່, ທ່ານຈະເຫັນຄໍາຖາມດຽວກັນເພື່ອຢືນຢັນການສ້າງຄູ່ທີ່ສໍາຄັນ. ລະຫັດຈະຖືກຕັ້ງຊື່ໂດຍອີງໃສ່ການໂຕ້ຖຽງທີ່ທ່ານຜ່ານ, ເຊິ່ງ, ເວັ້ນເສຍແຕ່ວ່າທ່ານກໍາລັງໃຊ້ VPNs ຫຼາຍຢູ່ໃນເຄື່ອງນີ້, ປົກກະຕິແລ້ວຈະເປັນເຄື່ອງແມ່ຂ່າຍ, ເຊັ່ນໃນຕົວຢ່າງ:

# ./build-key-server server
[...]
Certificate is to be certified until Aug 15 23:52:34 2027 GMT (3650 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

OpenVPN ໃຊ້ພາລາມິເຕີທີ່ສ້າງໂດຍ Diffie-Hellman algorithm (ໃຊ້ build-dh) ເພື່ອເຈລະຈາການຮັບຮອງຄວາມຖືກຕ້ອງສໍາລັບການເຊື່ອມຕໍ່ໃຫມ່. ໄຟລ໌ທີ່ສ້າງຢູ່ນີ້ບໍ່ຈໍາເປັນຕ້ອງເປັນຄວາມລັບ, ແຕ່ຕ້ອງຖືກສ້າງໂດຍໃຊ້ build-dh script ສໍາລັບກະແຈ RSA ທີ່ໃຊ້ໃນປັດຈຸບັນ. ຖ້າເຈົ້າສ້າງກະແຈ RSA ໃໝ່ໃນອະນາຄົດ, ເຈົ້າຍັງຈະຕ້ອງອັບເດດໄຟລ໌ Diffie-Hellman:

# ./build-dh

ຕອນນີ້ກະແຈຂ້າງເຊີບເວີຂອງທ່ານຈະສິ້ນສຸດຢູ່ໃນລະບົບ /etc/openvpn/easy-rsa/keys/, ແຕ່ OpenVPN ບໍ່ຮູ້ເລື່ອງນີ້. ໂດຍຄ່າເລີ່ມຕົ້ນ, OpenVPN ຈະຊອກຫາກະແຈໃນ /etc/openvpn/, ດັ່ງນັ້ນສຳເນົາພວກມັນ:

# cp /etc/openvpn/easy-rsa/keys/server* /etc/openvpn
# cp /etc/openvpn/easy-rsa/keys/dh2048.pem /etc/openvpn
# cp /etc/openvpn/easy-rsa/keys/ca.crt /etc/openvpn

ກຳລັງກະກຽມລະຫັດການເຂົ້າລະຫັດລູກຄ້າ

ດັ່ງທີ່ເຈົ້າໄດ້ເຫັນແລ້ວ, ການເຂົ້າລະຫັດ TLS ໃຊ້ຄູ່ຂອງກະແຈທີ່ກົງກັນ: ອັນໜຶ່ງທີ່ຕິດຕັ້ງຢູ່ໃນເຊີບເວີ ແລະອັນໜຶ່ງທີ່ຕິດຕັ້ງຢູ່ໃນລູກຂ່າຍທາງໄກ. ນີ້ຫມາຍຄວາມວ່າທ່ານຈະຕ້ອງການລະຫັດລູກຄ້າ. pkitool ເພື່ອນເກົ່າຂອງພວກເຮົາແມ່ນສິ່ງທີ່ທ່ານຕ້ອງການສໍາລັບການນີ້. ໃນຕົວຢ່າງນີ້, ເມື່ອພວກເຮົາດໍາເນີນການໂຄງການໃນໄດເລກະທໍລີ /etc/openvpn/easy-rsa/, ພວກເຮົາຜ່ານມັນການໂຕ້ຖຽງລູກຄ້າເພື່ອສ້າງໄຟລ໌ທີ່ເອີ້ນວ່າ client.crt ແລະ client.key:

# ./pkitool client

ໄຟລ໌ລູກຄ້າທັງສອງ, ພ້ອມກັບໄຟລ໌ ca.crt ຕົ້ນສະບັບທີ່ຍັງຢູ່ໃນກະແຈ/ໄດເລກະທໍລີ, ຕອນນີ້ຄວນຈະຖືກໂອນໄປໃຫ້ລູກຄ້າຂອງເຈົ້າຢ່າງປອດໄພ. ເນື່ອງຈາກຄວາມເປັນເຈົ້າຂອງແລະສິດການເຂົ້າເຖິງຂອງເຂົາເຈົ້າ, ນີ້ອາດຈະບໍ່ງ່າຍດັ່ງນັ້ນ. ວິທີທີ່ງ່າຍທີ່ສຸດແມ່ນການຄັດລອກເນື້ອຫາຂອງໄຟລ໌ແຫຼ່ງດ້ວຍຕົນເອງ (ແລະບໍ່ມີຫຍັງນອກ ເໜືອ ຈາກເນື້ອຫານັ້ນ) ເຂົ້າໄປໃນ terminal ທີ່ເຮັດວຽກຢູ່ໃນ desktop ຂອງ PC ຂອງທ່ານ (ເລືອກຂໍ້ຄວາມ, ຄລິກຂວາໃສ່ມັນແລະເລືອກ Copy ຈາກເມນູ). ຫຼັງຈາກນັ້ນ, ວາງນີ້ເຂົ້າໄປໃນໄຟລ໌ໃຫມ່ທີ່ມີຊື່ດຽວກັນທີ່ທ່ານສ້າງຢູ່ໃນ terminal ທີສອງທີ່ເຊື່ອມຕໍ່ກັບລູກຄ້າຂອງທ່ານ.

ແຕ່ໃຜສາມາດຕັດແລະວາງ. ແທນທີ່ຈະ, ຄິດຄືກັບຜູ້ເບິ່ງແຍງລະບົບເພາະວ່າທ່ານຈະບໍ່ສາມາດເຂົ້າເຖິງ GUI ຕະຫຼອດເວລາທີ່ການດໍາເນີນການຕັດ / ວາງເປັນໄປໄດ້. ຄັດລອກໄຟລ໌ໄປຫາໄດເລກະທໍລີເຮືອນຂອງຜູ້ໃຊ້ຂອງທ່ານ (ເພື່ອໃຫ້ການດໍາເນີນງານ scp ຫ່າງໄກສອກຫຼີກສາມາດເຂົ້າເຖິງພວກມັນໄດ້), ແລະຫຼັງຈາກນັ້ນໃຊ້ chown ເພື່ອປ່ຽນຄວາມເປັນເຈົ້າຂອງໄຟລ໌ຈາກຮາກໄປຫາຜູ້ໃຊ້ທີ່ບໍ່ແມ່ນຮາກປົກກະຕິເພື່ອໃຫ້ການປະຕິບັດ scp ຫ່າງໄກສອກຫຼີກສາມາດປະຕິບັດໄດ້. ໃຫ້ແນ່ໃຈວ່າໄຟລ໌ທັງຫມົດຂອງທ່ານໄດ້ຖືກຕິດຕັ້ງແລະສາມາດເຂົ້າເຖິງໄດ້. ທ່ານຈະຍ້າຍພວກມັນໄປຫາລູກຄ້າໃນພາຍຫຼັງເລັກນ້ອຍ:

# cp /etc/openvpn/easy-rsa/keys/client.key /home/ubuntu/
# cp /etc/openvpn/easy-rsa/keys/ca.crt /home/ubuntu/
# cp /etc/openvpn/easy-rsa/keys/client.crt /home/ubuntu/
# chown ubuntu:ubuntu /home/ubuntu/client.key
# chown ubuntu:ubuntu /home/ubuntu/client.crt
# chown ubuntu:ubuntu /home/ubuntu/ca.crt

ດ້ວຍຊຸດລະຫັດການເຂົ້າລະຫັດເຕັມທີ່ພ້ອມທີ່ຈະໄປ, ທ່ານຈໍາເປັນຕ້ອງບອກເຄື່ອງແມ່ຂ່າຍວ່າທ່ານຕ້ອງການສ້າງ VPN ແນວໃດ. ນີ້ແມ່ນເຮັດໄດ້ໂດຍໃຊ້ໄຟລ໌ server.conf.

ການຫຼຸດຜ່ອນຈໍານວນຂອງການກົດແປ້ນພິມ

ມີການພິມຫຼາຍເກີນໄປບໍ? ການຂະຫຍາຍດ້ວຍວົງເລັບຈະຊ່ວຍຫຼຸດຜ່ອນຄໍາສັ່ງຫົກຢ່າງນີ້ໃຫ້ເຫຼືອສອງ. ຂ້ອຍແນ່ໃຈວ່າເຈົ້າສາມາດສຶກສາສອງຕົວຢ່າງນີ້ແລະເຂົ້າໃຈສິ່ງທີ່ເກີດຂຶ້ນ. ສິ່ງທີ່ສໍາຄັນກວ່ານັ້ນ, ທ່ານຈະສາມາດເຂົ້າໃຈວິທີການນໍາໃຊ້ຫຼັກການເຫຼົ່ານີ້ກັບການດໍາເນີນງານທີ່ກ່ຽວຂ້ອງກັບສິບຫຼືແມ້ກະທັ້ງຫຼາຍຮ້ອຍອົງປະກອບ:

# cp /etc/openvpn/easy-rsa/keys/{ca.crt,client.{key,crt}} /home/ubuntu/
# chown ubuntu:ubuntu /home/ubuntu/{ca.crt,client.{key,crt}}

ຕັ້ງຄ່າໄຟລ໌ server.conf

ເຈົ້າຮູ້ໄດ້ແນວໃດວ່າໄຟລ໌ server.conf ຄວນຈະເປັນແນວໃດ? ຈື່ຈໍາແມ່ແບບໄດເລກະທໍລີ easy-rsa ທີ່ທ່ານຄັດລອກມາຈາກ /usr/share/? ເມື່ອທ່ານຕິດຕັ້ງ OpenVPN, ທ່ານຖືກປະໄວ້ກັບໄຟລ໌ແມ່ແບບການຕັ້ງຄ່າທີ່ຖືກບີບອັດທີ່ທ່ານສາມາດຄັດລອກໄປທີ່ /etc/openvpn/. ຂ້ອຍຈະສ້າງຄວາມຈິງທີ່ວ່າແມ່ແບບຖືກເກັບໄວ້ແລະແນະນໍາໃຫ້ເຈົ້າໃຊ້ເຄື່ອງມືທີ່ເປັນປະໂຫຍດ: zcat.

ເຈົ້າຮູ້ແລ້ວກ່ຽວກັບການພິມເນື້ອໃນຂໍ້ຄວາມຂອງໄຟລ໌ໃສ່ຫນ້າຈໍໂດຍໃຊ້ຄໍາສັ່ງ cat, ແຕ່ຈະເຮັດແນວໃດຖ້າໄຟລ໌ຖືກບີບອັດໂດຍໃຊ້ gzip? ທ່ານສະເຫມີສາມາດ unzip ໄຟລ໌ແລະຫຼັງຈາກນັ້ນ cat ຈະອອກຢ່າງມີຄວາມສຸກ, ແຕ່ນັ້ນແມ່ນຫນຶ່ງຫຼືສອງຂັ້ນຕອນຫຼາຍກ່ວາຄວາມຈໍາເປັນ. ແທນທີ່ຈະ, ດັ່ງທີ່ທ່ານອາດຈະໄດ້ຄາດເດົາ, ທ່ານສາມາດອອກຄໍາສັ່ງ zcat ເພື່ອໂຫລດຂໍ້ຄວາມທີ່ບໍ່ໄດ້ບັນຈຸເຂົ້າໄປໃນຫນ່ວຍຄວາມຈໍາໃນຂັ້ນຕອນດຽວ. ໃນຕົວຢ່າງຕໍ່ໄປນີ້, ແທນທີ່ຈະພິມຂໍ້ຄວາມໃສ່ຫນ້າຈໍ, ທ່ານຈະໂອນມັນໄປຫາໄຟລ໌ໃຫມ່ທີ່ເອີ້ນວ່າ server.conf:

# zcat 
  /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz 
  > /etc/openvpn/server.conf
$ cd /etc/openvpn

ໃຫ້ພວກເຮົາເອົາເອກະສານທີ່ກວ້າງຂວາງແລະເປັນປະໂຫຍດທີ່ມາພ້ອມກັບໄຟລ໌ແລະເບິ່ງວ່າມັນຈະເປັນແນວໃດໃນເວລາທີ່ທ່ານເຮັດການແກ້ໄຂ. ໃຫ້ສັງເກດວ່າ semicolon (;) ບອກ OpenVPN ບໍ່ໃຫ້ອ່ານຫຼືປະຕິບັດແຖວຕໍ່ໄປ (ລາຍຊື່ 10.2).

ໃຫ້ຜ່ານບາງການຕັ້ງຄ່າເຫຼົ່ານີ້.

• ໂດຍຄ່າເລີ່ມຕົ້ນ, OpenVPN ແລ່ນຢູ່ໃນພອດ 1194. ທ່ານສາມາດປ່ຽນອັນນີ້, ຕົວຢ່າງ, ເພື່ອເຊື່ອງກິດຈະກໍາຂອງທ່ານຕື່ມອີກ ຫຼືຫຼີກເວັ້ນຄວາມຂັດແຍ້ງກັບອຸໂມງທີ່ເຮັດວຽກອື່ນໆ. ນັບຕັ້ງແຕ່ 1194 ຮຽກຮ້ອງໃຫ້ມີການປະສານງານຫນ້ອຍທີ່ສຸດກັບລູກຄ້າ, ມັນດີທີ່ສຸດທີ່ຈະເຮັດມັນດ້ວຍວິທີນີ້.
• OpenVPN ໃຊ້ທັງ Transmission Control Protocol (TCP) ຫຼື User Datagram Protocol (UDP) ເພື່ອສົ່ງຂໍ້ມູນ. TCP ອາດຈະຊ້າກວ່າເລັກນ້ອຍ, ແຕ່ມັນມີຄວາມຫນ້າເຊື່ອຖືຫຼາຍແລະມີຄວາມເຂົ້າໃຈຫຼາຍໂດຍແອັບພລິເຄຊັນທີ່ເຮັດວຽກຢູ່ໃນທັງສອງປາຍຂອງອຸໂມງ.
• ທ່ານສາມາດລະບຸ dev tun ເມື່ອທ່ານຕ້ອງການສ້າງອຸໂມງ IP ທີ່ງ່າຍກວ່າ, ມີປະສິດທິພາບກວ່າທີ່ບັນຈຸເນື້ອຫາຂໍ້ມູນ ແລະບໍ່ມີຫຍັງອີກ. ຖ້າ, ໃນອີກດ້ານຫນຶ່ງ, ທ່ານຈໍາເປັນຕ້ອງເຊື່ອມຕໍ່ການໂຕ້ຕອບເຄືອຂ່າຍຫຼາຍ (ແລະເຄືອຂ່າຍທີ່ພວກເຂົາເປັນຕົວແທນ), ການສ້າງຂົວ Ethernet, ທ່ານຈະຕ້ອງເລືອກ dev tap. ຖ້າທ່ານບໍ່ເຂົ້າໃຈວ່ານີ້ຫມາຍຄວາມວ່າແນວໃດ, ໃຫ້ໃຊ້ການໂຕ້ຖຽງ tun.
• ສີ່ແຖວຕໍ່ໄປໃຫ້ OpenVPN ຊື່ຂອງສາມໄຟລ໌ການກວດສອບຄວາມຖືກຕ້ອງຢູ່ໃນເຄື່ອງແມ່ຂ່າຍແລະໄຟລ໌ທາງເລືອກ dh2048 ທີ່ທ່ານສ້າງກ່ອນຫນ້ານີ້.
• ເສັ້ນເຊີບເວີກໍານົດຂອບເຂດແລະ subnet mask ທີ່ຈະໃຊ້ເພື່ອກໍານົດທີ່ຢູ່ IP ໃຫ້ກັບລູກຄ້າເມື່ອເຂົ້າສູ່ລະບົບ.
• ພາລາມິເຕີການຊຸກຍູ້ທາງເລືອກ "ເສັ້ນທາງ 10.0.3.0 255.255.255.0" ອະນຸຍາດໃຫ້ລູກຄ້າຫ່າງໄກສອກຫຼີກເຂົ້າເຖິງເຄືອຂ່າຍຍ່ອຍສ່ວນຕົວທີ່ຢູ່ເບື້ອງຫຼັງເຄື່ອງແມ່ຂ່າຍ. ການເຮັດວຽກນີ້ຍັງຮຽກຮ້ອງໃຫ້ມີການຕັ້ງຄ່າເຄືອຂ່າຍຢູ່ໃນເຄື່ອງແມ່ຂ່າຍຂອງມັນເອງເພື່ອໃຫ້ເຄືອຂ່າຍຍ່ອຍສ່ວນຕົວຮູ້ກ່ຽວກັບເຄືອຂ່າຍຍ່ອຍ OpenVPN (10.8.0.0).
• ເສັ້ນ port-share localhost 80 ຊ່ວຍໃຫ້ທ່ານສາມາດປ່ຽນເສັ້ນທາງລູກຄ້າທີ່ເຂົ້າມາໃນພອດ 1194 ໄປຫາເຄື່ອງແມ່ຂ່າຍເວັບທ້ອງຖິ່ນທີ່ຟັງຢູ່ໃນ port 80. (ນີ້ຈະເປັນປະໂຫຍດຖ້າທ່ານຈະໃຊ້ເຄື່ອງແມ່ຂ່າຍເວັບເພື່ອທົດສອບ VPN ຂອງທ່ານ.) ນີ້ພຽງແຕ່ເຮັດວຽກເທົ່ານັ້ນ. ຫຼັງຈາກນັ້ນ, ເມື່ອໂປໂຕຄອນ tcp ຖືກເລືອກ.
• ຜູ້ໃຊ້ nobody ແລະກຸ່ມ nogroup ສາຍຕ້ອງໄດ້ຮັບການເປີດໃຊ້ງານໂດຍການຖອນ semicolons (;). ການບັງຄັບໃຫ້ລູກຄ້າທາງໄກແລ່ນເປັນບໍ່ມີໃຜ ແລະ nogroup ຮັບປະກັນວ່າເຊດຊັນໃນເຊີບເວີແມ່ນບໍ່ມີສິດທິພິເສດ.
• ບັນທຶກລະບຸວ່າລາຍການບັນທຶກປັດຈຸບັນຈະຂຽນທັບລາຍການເກົ່າໃນແຕ່ລະຄັ້ງທີ່ OpenVPN ເລີ່ມຕົ້ນ, ໃນຂະນະທີ່ບັນທຶກການຕໍ່ທ້າຍຈະເພີ່ມລາຍການໃໝ່ໃສ່ໄຟລ໌ບັນທຶກທີ່ມີຢູ່ແລ້ວ. ໄຟລ໌ openvpn.log ຕົວຂອງມັນເອງຖືກຂຽນໃສ່ໄດເລກະທໍລີ /etc/openvpn/.

ນອກຈາກນັ້ນ, ມູນຄ່າຂອງລູກຄ້າຕໍ່ລູກຄ້າຍັງມັກຈະຖືກເພີ່ມໃສ່ໄຟລ໌ການຕັ້ງຄ່າເພື່ອໃຫ້ລູກຄ້າຫຼາຍຄົນສາມາດເບິ່ງເຫັນກັນແລະກັນນອກເຫນືອຈາກເຄື່ອງແມ່ຂ່າຍ OpenVPN. ຖ້າທ່ານພໍໃຈກັບການຕັ້ງຄ່າຂອງທ່ານ, ທ່ານສາມາດເລີ່ມຕົ້ນເຄື່ອງແມ່ຂ່າຍ OpenVPN ໄດ້:

# systemctl start openvpn

ເນື່ອງຈາກລັກສະນະການປ່ຽນແປງຂອງຄວາມສໍາພັນລະຫວ່າງ OpenVPN ແລະ systemd, syntax ຕໍ່ໄປນີ້ບາງຄັ້ງອາດຈະຕ້ອງການເພື່ອເລີ່ມຕົ້ນການບໍລິການ: systemctl ເລີ່ມ openvpn@server.

ແລ່ນ ip addr ເພື່ອລາຍຊື່ສ່ວນຕິດຕໍ່ເຄືອຂ່າຍຂອງເຊີບເວີຂອງທ່ານຕອນນີ້ຄວນສົ່ງລິ້ງໄປຫາສ່ວນຕິດຕໍ່ໃຫມ່ທີ່ເອີ້ນວ່າ tun0. OpenVPN ຈະສ້າງມັນເພື່ອຮັບໃຊ້ລູກຄ້າທີ່ເຂົ້າມາ:

$ ip addr
[...]
4: tun0: mtu 1500 qdisc [...]
      link/none
      inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0
          valid_lft forever preferred_lft forever

ທ່ານອາດຈະຈໍາເປັນຕ້ອງປິດເປີດເຄື່ອງແມ່ຂ່າຍໃຫມ່ກ່ອນທີ່ທຸກສິ່ງທຸກຢ່າງຈະເລີ່ມເຮັດວຽກຢ່າງເຕັມທີ່. ຢຸດຕໍ່ໄປແມ່ນຄອມພິວເຕີລູກຄ້າ.

10.1.2. ການຕັ້ງຄ່າລູກຄ້າ OpenVPN

ຕາມປະເພນີ, tunnels ຖືກສ້າງຂຶ້ນໂດຍມີຢ່າງຫນ້ອຍສອງທາງອອກ (ຖ້າບໍ່ດັ່ງນັ້ນພວກເຮົາຈະໂທຫາພວກເຂົາວ່າຖ້ໍາ). OpenVPN ທີ່ຖືກຕັ້ງຄ່າຢ່າງຖືກຕ້ອງຢູ່ໃນເຊີບເວີຈະຊີ້ນໍາການຈະລາຈອນເຂົ້າແລະອອກຈາກອຸໂມງຢູ່ຂ້າງຫນຶ່ງ. ແຕ່ທ່ານຍັງຈະຕ້ອງໃຊ້ຊອບແວບາງຢ່າງທີ່ເຮັດວຽກຢູ່ຂ້າງລູກຄ້າ, ນັ້ນແມ່ນ, ຢູ່ໃນທ້າຍອື່ນໆຂອງອຸໂມງ.

ໃນພາກນີ້, ຂ້ອຍຈະສຸມໃສ່ການຕັ້ງຄ່າບາງປະເພດຂອງຄອມພິວເຕີ Linux ດ້ວຍຕົນເອງເພື່ອເຮັດຫນ້າທີ່ເປັນລູກຄ້າ OpenVPN. ແຕ່ນີ້ບໍ່ແມ່ນວິທີດຽວທີ່ມີໂອກາດນີ້. OpenVPN ຮອງຮັບແອັບພລິເຄຊັນລູກຄ້າທີ່ສາມາດຕິດຕັ້ງ ແລະໃຊ້ໃນຄອມພິວເຕີຕັ້ງໂຕະ ແລະແລັບທັອບທີ່ໃຊ້ Windows ຫຼື macOS, ເຊັ່ນດຽວກັນກັບສະມາດໂຟນ ແລະແທັບເລັດ Android ແລະ iOS. ເບິ່ງ openvpn.net ສໍາລັບລາຍລະອຽດ.

ຊຸດ OpenVPN ຈະຕ້ອງໄດ້ຮັບການຕິດຕັ້ງຢູ່ໃນເຄື່ອງລູກຄ້າຍ້ອນວ່າມັນຖືກຕິດຕັ້ງຢູ່ໃນເຄື່ອງແມ່ຂ່າຍ, ເຖິງແມ່ນວ່າບໍ່ຈໍາເປັນຕ້ອງມີງ່າຍ -rsa ຢູ່ທີ່ນີ້ນັບຕັ້ງແຕ່ກະແຈທີ່ທ່ານກໍາລັງໃຊ້ຢູ່ແລ້ວ. ທ່ານຈໍາເປັນຕ້ອງຄັດລອກໄຟລ໌ແມ່ແບບ client.conf ໄປໃສ່ໄດເລກະທໍລີ /etc/openvpn/ ທີ່ເຈົ້າຫາກໍ່ສ້າງ. ເວລານີ້ໄຟລ໌ຈະບໍ່ຖືກ zip, ດັ່ງນັ້ນຄໍາສັ່ງ cp ປົກກະຕິຈະເຮັດວຽກໄດ້ດີ:

# apt install openvpn
# cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf 
  /etc/openvpn/

ການຕັ້ງຄ່າສ່ວນໃຫຍ່ໃນໄຟລ໌ client.conf ຂອງທ່ານຈະເປັນຄໍາອະທິບາຍຕົນເອງທີ່ສວຍງາມ: ພວກເຂົາຄວນຈະກົງກັບຄ່າໃນເຄື່ອງແມ່ຂ່າຍ. ດັ່ງທີ່ທ່ານສາມາດເຫັນໄດ້ຈາກໄຟລ໌ຕົວຢ່າງຕໍ່ໄປນີ້, ຕົວກໍານົດການເປັນເອກະລັກແມ່ນຫ່າງໄກສອກຫຼີກ 192.168.1.23 1194, ເຊິ່ງບອກລູກຄ້າທີ່ຢູ່ IP ຂອງເຄື່ອງແມ່ຂ່າຍ. ອີກເທື່ອຫນຶ່ງ, ໃຫ້ແນ່ໃຈວ່ານີ້ແມ່ນທີ່ຢູ່ເຊີຟເວີຂອງທ່ານ. ທ່ານກໍ່ຄວນບັງຄັບໃຫ້ຄອມພິວເຕີລູກຂ່າຍກວດສອບຄວາມຖືກຕ້ອງຂອງໃບຢັ້ງຢືນເຊີບເວີເພື່ອປ້ອງກັນການໂຈມຕີທີ່ອາດເກີດຂຶ້ນໃນກາງ. ວິທີຫນຶ່ງທີ່ຈະເຮັດຄືການເພີ່ມ line remote-cert-tls server (Listing 10.3).

ຕອນນີ້ທ່ານສາມາດໄປທີ່ໄດເລກະທໍລີ /etc/openvpn/ ແລະສະກັດລະຫັດການຢັ້ງຢືນຈາກເຊີບເວີ. ປ່ຽນແທນທີ່ຢູ່ IP ຂອງເຊີບເວີ ຫຼືຊື່ໂດເມນໃນຕົວຢ່າງດ້ວຍຄ່າຂອງເຈົ້າ:

ບໍ່ມີຫຍັງທີ່ຫນ້າຕື່ນເຕັ້ນທີ່ຈະເກີດຂຶ້ນຈົນກວ່າທ່ານຈະເປີດໃຊ້ OpenVPN ໃນລູກຄ້າ. ເນື່ອງຈາກວ່າທ່ານຈໍາເປັນຕ້ອງຜ່ານສອງສາມການໂຕ້ຖຽງ, ທ່ານຈະເຮັດມັນຈາກເສັ້ນຄໍາສັ່ງ. ການໂຕ້ຖຽງ --tls-client ບອກ OpenVPN ວ່າທ່ານຈະປະຕິບັດເປັນລູກຄ້າແລະເຊື່ອມຕໍ່ໂດຍຜ່ານການເຂົ້າລະຫັດ TLS, ແລະ --config ຊີ້ໃຫ້ເຫັນໄຟລ໌ການຕັ້ງຄ່າຂອງທ່ານ:

# openvpn --tls-client --config /etc/openvpn/client.conf

ອ່ານອອກຄໍາສັ່ງຢ່າງລະມັດລະວັງເພື່ອໃຫ້ແນ່ໃຈວ່າທ່ານເຊື່ອມຕໍ່ຢ່າງຖືກຕ້ອງ. ຖ້າມີບາງຢ່າງຜິດພາດໃນຄັ້ງທໍາອິດ, ມັນອາດຈະເປັນຍ້ອນຄວາມບໍ່ກົງກັນໃນການຕັ້ງຄ່າລະຫວ່າງເຄື່ອງແມ່ຂ່າຍແລະໄຟລ໌ການຕັ້ງຄ່າລູກຄ້າຫຼືບັນຫາການເຊື່ອມຕໍ່ເຄືອຂ່າຍ / ໄຟວໍ. ນີ້ແມ່ນບາງຄໍາແນະນໍາການແກ້ໄຂບັນຫາ.

• ອ່ານຢ່າງລະມັດລະວັງຜົນໄດ້ຮັບຂອງການດໍາເນີນງານ OpenVPN ໃນລູກຄ້າ. ມັນມັກຈະມີຄໍາແນະນໍາທີ່ມີຄຸນຄ່າກ່ຽວກັບສິ່ງທີ່ບໍ່ສາມາດເຮັດໄດ້ແລະເປັນຫຍັງ.
• ກວດເບິ່ງຂໍ້ຄວາມສະແດງຂໍ້ຜິດພາດໃນໄຟລ໌ openvpn.log ແລະ openvpn-status.log ໃນໄດເລກະທໍລີ /etc/openvpn/ ໃນເຊີບເວີ.
• ກວດເບິ່ງບັນທຶກລະບົບໃນເຊີບເວີ ແລະລູກຄ້າສຳລັບຂໍ້ຄວາມທີ່ກ່ຽວຂ້ອງກັບ OpenVPN ແລະເວລາ. (journalctl -ce ຈະສະແດງລາຍການຫຼ້າສຸດ.)
• ໃຫ້ແນ່ໃຈວ່າທ່ານມີການເຊື່ອມຕໍ່ເຄືອຂ່າຍທີ່ຫ້າວຫັນລະຫວ່າງເຄື່ອງແມ່ຂ່າຍແລະລູກຄ້າ (ເພີ່ມເຕີມກ່ຽວກັບເລື່ອງນີ້ໃນບົດທີ 14).

ກ່ຽວກັບຜູ້ຂຽນ

ທ່ານ David Clinton - ຜູ້​ບໍ​ລິ​ຫານ​ລະ​ບົບ​, ຄູ​ອາ​ຈານ​ແລະ​ນັກ​ຂຽນ​. ລາວໄດ້ບໍລິຫານ, ຂຽນກ່ຽວກັບ, ແລະສ້າງອຸປະກອນການສຶກສາສໍາລັບວິຊາດ້ານວິຊາການທີ່ສໍາຄັນຈໍານວນຫຼາຍ, ລວມທັງລະບົບ Linux, ຄອມພິວເຕີ້ຟັງ (ໂດຍສະເພາະ AWS), ແລະເທກໂນໂລຍີບັນຈຸເຊັ່ນ Docker. ລາວຂຽນປຶ້ມ Learn Amazon Web Services in a month of Lunches (Manning, 2017). ຫຼັກສູດການຝຶກອົບຮົມວິດີໂອຈໍານວນຫຼາຍຂອງລາວສາມາດພົບໄດ້ທີ່ Pluralsight.com, ແລະການເຊື່ອມຕໍ່ກັບປື້ມອື່ນໆຂອງລາວ (ກ່ຽວກັບການຄຸ້ມຄອງ Linux ແລະເຄື່ອງແມ່ຂ່າຍ virtualization) ແມ່ນມີຢູ່. bootstrap-it.com.

» ລາຍລະອຽດເພີ່ມເຕີມກ່ຽວກັບປຶ້ມສາມາດເຂົ້າໄປເບິ່ງໄດ້ທີ່ ເວັບໄຊທ໌ຂອງຜູ້ເຜີຍແຜ່
» ຕາຕະລາງເນື້ອຫາ
» ບົດຄັດຫຍໍ້

ສໍາລັບ Khabrozhiteley ສ່ວນລົດ 25% ການນໍາໃຊ້ຄູປອງ - Linux
ພາຍຫຼັງການຊໍາລະສະບັບເຈ້ຍຂອງປຶ້ມ, ປຶ້ມອີເລັກໂທຣນິກຈະຖືກສົ່ງໄປທາງອີເມລ.

ແຫຼ່ງຂໍ້ມູນ: www.habr.com