Boky "Linux in Action"

Salama ry mponina ao Khabro! Ao amin'ny boky, David Clinton dia manoritsoritra tetikasa tena misy 12, ao anatin'izany ny fanaovana automatique ny backup sy ny rafitra fanarenana, ny fametrahana rahona fichier manokana amin'ny fomba Dropbox, ary ny famoronana ny mpizara MediaWiki anao manokana. Hijery virtoaly ianao, fanarenana ny loza, fiarovana, backup, DevOps, ary famahana olana amin'ny rafitra amin'ny alàlan'ny fandalinana tranga mahaliana. Ny toko tsirairay dia mifarana amin'ny famerenana ny fanao tsara indrindra, ny lisitry ny teny vaovao ary ny fanazaran-tena.

Ampahany "10.1. Mamorona tonelina OpenVPN"

Efa niresaka betsaka momba ny encryption ato amin'ity boky ity aho. Ny SSH sy SCP dia afaka miaro ny angona nafindra amin'ny fifandraisana lavitra (Toko 3), ny fanafenana rakitra dia afaka miaro ny angona raha tehirizina ao amin'ny mpizara (Toko 8), ary ny fanamarinana TLS/SSL dia afaka miaro ny angona nafindra eo amin'ny tranokala sy ny navigateur mpanjifa (Toko 9) . Saingy indraindray ny angonao dia mila arovana amin'ny fifandraisana midadasika kokoa. Ohatra, mety miasa eny an-dalana ny sasany amin'ireo mpikambana ao amin'ny ekipanao rehefa mifandray amin'ny Wi-Fi amin'ny alàlan'ny toerana mafana ho an'ny daholobe. Tsy tokony hihevitra ianao fa azo antoka daholo ireo teboka fidirana ireo, fa ny olonao dia mila fomba hifandraisana amin'ny loharanon'ny orinasa — ary eo no ahafahan'ny VPN manampy.

Ny tonelina VPN natao araka ny tokony ho izy dia manome fifandraisana mivantana eo amin'ny mpanjifa lavitra sy ny mpizara amin'ny fomba manafina ny angona rehefa mandeha amin'ny tambajotra tsy azo antoka. De maninona? Efa nahita fitaovana maro afaka manao izany amin'ny encryption ianao. Ny tena lanjan'ny VPN dia ny fanokafana tonelina, azonao atao ny mampifandray ireo tambajotra lavitra toy ny hoe eo an-toerana avokoa. Amin'ny lafiny iray, mampiasa bypass ianao.

Amin'ny fampiasana an'io tamba-jotra miitatra io, ny mpitantana dia afaka manatanteraka ny asany amin'ny mpizara azy na aiza na aiza. Fa ny zava-dehibe kokoa, ny orinasa manana loharanon-karena miparitaka amin'ny toerana maro dia afaka manao azy rehetra ho hita sy ho azon'ny vondrona rehetra mila azy ireo, na aiza na aiza misy azy (sary 10.1).

Tsy miantoka ny fiarovana ny tonelina mihitsy. Saingy ny iray amin'ireo fenitry ny encryption dia azo ampidirina ao amin'ny rafitry ny tambajotra, izay mampitombo be ny haavon'ny fiarovana. Ny tonelina noforonina tamin'ny alàlan'ny fonosana OpenVPN loharano misokatra dia mampiasa ny encryption TLS/SSL izay efa novakianao ihany. OpenVPN dia tsy ny safidy tonelina ihany no misy, fa iray amin'ireo malaza indrindra. Heverina ho haingana kokoa sy azo antoka kokoa noho ny protocole tonelina Layer 2 hafa izay mampiasa encryption IPsec.

Tianao ve ny olona rehetra ao amin'ny ekipanao hifampiresaka tsara rehefa eny an-dalana na miasa any amin'ny trano samihafa? Mba hanaovana izany dia mila mamorona mpizara OpenVPN ianao mba hamelana ny fizarana fampiharana sy ny fidirana amin'ny tontolon'ny tambajotra eo an-toerana an'ny mpizara. Mba hampandehanana izany, ny hany ilainao dia ny mampandeha milina virtoaly roa na fitoeran-javatra roa: ny iray ho mpizara / mpampiantrano ary ny iray ho mpanjifa. Ny fananganana VPN dia tsy dingana tsotra, noho izany dia mendrika ny maka minitra vitsivitsy mba handinihana ny sary lehibe.

10.1.1. OpenVPN Server Configuration

Alohan'ny hanombohanao dia hanome anao torohevitra mahasoa aho. Raha hanao izany ianao (ary tena manoro hevitra anao aho), dia mety ho hitanao fa miasa miaraka amin'ny terminal maro windows misokatra amin'ny Desktop-nao, samy mifandray amin'ny milina hafa. Misy ny loza mety hitranga amin'ny fotoana iray hampidiranao ny baiko diso amin'ny varavarankely. Mba hisorohana an'izany dia azonao atao ny mampiasa ny baikon'ny mpampiantrano mba hanovana ny anaran'ny milina aseho eo amin'ny baikon'ny baiko amin'ny zavatra izay milaza aminao mazava ny misy anao. Raha vao manao izany ianao dia mila mivoaka ny mpizara ary miditra indray mba hampiharana ireo fanovana vaovao. Toy izao ny endriny:

Amin'ny fanarahana an'io fomba fiasa io sy ny fanomezana anarana sahaza ny tsirairay amin'ireo milina iasanao, dia afaka manara-maso mora foana ny toerana misy anao ianao.

Rehefa avy mampiasa ny anaran'ny mpampiantrano ianao, dia mety hifanena aminao tsy afaka hamaha ny hafatra fampiantranoana OpenVPN-Server rehefa manatanteraka baiko manaraka. Ny fanavaozana ny rakitra /etc/hosts miaraka amin'ny anarana mpampiantrano vaovao mety dia tokony hamaha ilay olana.

Manomana ny mpizaranao ho an'ny OpenVPN

Mba hametrahana OpenVPN amin'ny mpizara anao dia mila fonosana roa ianao: openvpn sy easy-rsa (hitantana ny fizotry ny famoronana fanalahidy encryption). Ny mpampiasa CentOS dia tokony hametraka aloha ny tahiry epel-release raha ilaina, toy ny nataonao tao amin'ny Toko 2. Mba hahafahanao manandrana ny fidirana amin'ny rindranasa server dia azonao atao koa ny mametraka ny server web Apache (apache2 amin'ny Ubuntu sy httpd amin'ny CentOS).

Rehefa manangana ny mpizara ianao, dia manoro hevitra aho ny hampavitrika ny firewall izay manakana ny seranana rehetra afa-tsy ny 22 (SSH) sy 1194 (seranan'ny OpenVPN). Ity ohatra ity dia mampiseho ny fomba fiasan'ny ufw amin'ny Ubuntu, saingy azoko antoka fa mbola tadidinao ny programa CentOS firewalld ao amin'ny Toko 9:

# ufw enable
# ufw allow 22
# ufw allow 1194

Mba hahafahan'ny zotra anatiny eo anelanelan'ny fifandraisana amin'ny tambazotra amin'ny mpizara dia mila manaisotra andalana iray ianao (net.ipv4.ip_forward = 1) ao amin'ny rakitra /etc/sysctl.conf. Izany dia ahafahan'ny mpanjifa lavitra alefa araka izay ilaina rehefa mifandray izy ireo. Mba hampandehanana ny safidy vaovao dia mandehana sysctl -p:

# nano /etc/sysctl.conf
# sysctl -p

Efa voarindra tanteraka izao ny tontolon'ny mpizara anao, saingy mbola misy zavatra hafa tokony hatao alohan'ny hiomananao: mila mamita ireto dingana manaraka ireto ianao (hodinihintsika amin'ny antsipiriany manaraka).

1. Mamorona andiana fanalahidin'ny fotodrafitrasa fanalahidy ho an'ny daholobe (PKI) amin'ny lohamilina amin'ny fampiasana ny sora-baventy omena miaraka amin'ny fonosana mora-rsa. Amin'ny ankapobeny, ny mpizara OpenVPN dia miasa ho toy ny fahefana fanamarinana azy manokana (CA).
2. Manomàna fanalahidy mety ho an'ny mpanjifa
3. Amboary ny rakitra server.conf ho an'ny mpizara
4. Amboary ny mpanjifanao OpenVPN
5. Jereo ny VPN anao

Mamorona fanalahidin'ny encryption

Mba hitazonana ny zavatra tsotra dia azonao atao ny manangana fotodrafitrasa fototra amin'ny milina iray izay iasan'ny mpizara OpenVPN. Na izany aza, ny fomba fanao tsara indrindra momba ny fiarovana dia manoro hevitra amin'ny fampiasana mpizara CA misaraka amin'ny fametrahana famokarana. Ny dingan'ny famoronana sy fizarana ireo loharanon-kevitra manan-danja ampiasaina amin'ny OpenVPN dia aseho amin'ny sary. 10.2.

Rehefa nametraka OpenVPN ianao, dia noforonina ho azy ny lahatahiry /etc/openvpn/, saingy tsy mbola misy na inona na inona ao anatiny. Ny fonosana openvpn sy mora-rsa dia tonga miaraka amin'ny rakitra môdely ohatra izay azonao ampiasaina ho fototry ny fanamafisanao. Hanombohana ny fizotran'ny fanamarinana, kopia ny lahatahiry môdely easy-rsa avy amin'ny /usr/share/ mankany /etc/openvpn ary ovay amin'ny lahatahiry mora-rsa/:

# cp -r /usr/share/easy-rsa/ /etc/openvpn
$ cd /etc/openvpn/easy-rsa

Ny lahatahiry mora-rsa dia ahitana script vitsivitsy izao. Ao amin'ny latabatra 10.1 mitanisa ireo fitaovana hampiasainao hamoronana fanalahidy.

Ireo asa etsy ambony dia mitaky tombontsoa manokana, noho izany dia mila miorim-paka amin'ny sudo su ianao.

Ny rakitra voalohany hiarahanao dia antsoina hoe vars ary misy ny fari-piainan'ny tontolo iainana izay ampiasain'ny easy-rsa rehefa mamorona fanalahidy. Mila manitsy ny rakitra ianao hampiasa ny soatoavinao manokana fa tsy ny soatoavina efa misy. Toy izao no ho endriky ny rakitra (Listing 10.1).

Lisitra 10.1. Sombiny lehibe amin'ny rakitra /etc/openvpn/easy-rsa/vars

export KEY_COUNTRY="CA"
export KEY_PROVINCE="ON"
export KEY_CITY="Toronto"
export KEY_ORG="Bootstrap IT"
export KEY_EMAIL="[email protected]"
export KEY_OU="IT"

Ny fampandehanana ny rakitra vars dia hampita ny sandany amin'ny tontolon'ny akorandriaka, izay hampidirana azy ireo amin'ny votoatin'ny fanalahidinao vaovao. Nahoana no tsy mandeha irery ny baiko sudo? Satria amin'ny dingana voalohany dia manova ny script antsoina hoe vars isika ary mampihatra izany avy eo. Ny fampiharana ary midika izany fa ny rakitra vars dia mandefa ny sandany amin'ny tontolo shell, izay hampidirana azy ireo amin'ny votoatin'ny fanalahidinao vaovao.

Ataovy azo antoka fa hamerina ny rakitra amin'ny fampiasana akorandriaka vaovao hamita ny dingana tsy vita. Rehefa vita izany, ny script dia hanosika anao handefa script hafa, madio-rehetra, hanesorana izay votoaty ao amin'ny lahatahiry /etc/openvpn/easy-rsa/keys/:

Mazava ho azy, ny dingana manaraka dia ny fampandehanana ny script clean-all, arahin'ny build-ca, izay mampiasa ny script pkitool hamoronana ny taratasy fanamarinana fototra. Angatahina ianao hanamarina ny firafitry ny maha-izy azy nomen'ny vars:

# ./clean-all
# ./build-ca
Generating a 2048 bit RSA private key

Manaraka izany dia ny script build-key-server. Koa satria mampiasa script pkitool mitovy amin'ny taratasy fanamarinana faka vaovao, dia hahita fanontaniana mitovy ianao hanamafisana ny famoronana ny mpivady fanalahidy. Ny fanalahidy dia homena anarana mifototra amin'ny tohan-kevitra mandalo, izay, raha tsy mampiasa VPN maro amin'ity milina ity ianao, dia matetika ho mpizara, toy ny amin'ny ohatra:

# ./build-key-server server
[...]
Certificate is to be certified until Aug 15 23:52:34 2027 GMT (3650 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

OpenVPN dia mampiasa masontsivana novokarin'ny algorithm Diffie-Hellman (mampiasa build-dh) hifampiraharaha amin'ny fanamarinana ny fifandraisana vaovao. Ny rakitra noforonina eto dia tsy mila tsiambaratelo, fa tsy maintsy amboarina amin'ny alàlan'ny script build-dh ho an'ny fanalahidy RSA izay mavitrika amin'izao fotoana izao. Raha mamorona fanalahidy RSA vaovao ianao amin'ny ho avy, dia mila manavao ny rakitra Diffie-Hellman ihany koa ianao:

# ./build-dh

Ny fanalahidin'ny mpizaranao dia hiafara amin'ny lahatahiry /etc/openvpn/easy-rsa/keys/, saingy tsy fantatry ny OpenVPN izany. Amin'ny alàlan'ny default, OpenVPN dia hikaroka fanalahidy ao amin'ny /etc/openvpn/, koa adikao izy ireo:

# cp /etc/openvpn/easy-rsa/keys/server* /etc/openvpn
# cp /etc/openvpn/easy-rsa/keys/dh2048.pem /etc/openvpn
# cp /etc/openvpn/easy-rsa/keys/ca.crt /etc/openvpn

Manomana ny fanalahidin'ny mpanjifa

Araka ny efa hitanao, ny TLS encryption dia mampiasa fanalahidy mifanandrify tsiroaroa: ny iray napetraka amin'ny mpizara ary ny iray napetraka amin'ny mpanjifa lavitra. Midika izany fa mila fanalahidin'ny mpanjifa ianao. Ny pkitool namanay taloha no tena ilainao amin'izany. Amin'ity ohatra ity, rehefa mitantana ny programa ao amin'ny lahatahiry /etc/openvpn/easy-rsa/ isika, dia ampitainay ny tohan-kevitry ny mpanjifa mba hamoronana rakitra antsoina hoe client.crt sy client.key:

# ./pkitool client

Ny rakitra mpanjifa roa, miaraka amin'ny rakitra ca.crt tany am-boalohany izay mbola ao amin'ny fanalahidin'ny lahatahiry, dia tokony hafindra tsara amin'ny mpanjifanao izao. Noho ny fananany sy ny zony miditra dia mety tsy ho mora izany. Ny fomba tsotra indrindra dia ny mandika amin'ny tanana ny votoatin'ny rakitra loharano (ary tsy misy afa-tsy io votoaty io) ao anaty terminal mandeha amin'ny biraon'ny PC-nao (safidio ny lahatsoratra, tsindrio havanana ary safidio ny Copy avy amin'ny menio). Avy eo apetaho amin'ny rakitra vaovao miaraka amin'ny anarana mitovy izay noforoninao amin'ny terminal faharoa mifandray amin'ny mpanjifanao ity.

Na iza na iza afaka manapaka sy mametaka. Mieritrereta kosa ho toy ny administratera satria tsy ho afaka miditra amin'ny GUI foana ianao izay ahafahanao manapaka/mametaka. Adikao ao amin'ny lahatahiry an-tranon'ny mpampiasa anao ireo rakitra (mba ahafahan'ny hetsika scp lavitra miditra amin'izy ireo), ary ampiasao ny chown hanovana ny fananan'ny rakitra avy amin'ny faka ho amin'ny mpampiasa tsy miorim-paka mahazatra mba hahafahana manao ny hetsika scp lavitra. Ataovy azo antoka fa voapetraka sy azo idirana daholo ny rakitrao. Hafindrao any amin'ny mpanjifa izy ireo aoriana kely:

# cp /etc/openvpn/easy-rsa/keys/client.key /home/ubuntu/
# cp /etc/openvpn/easy-rsa/keys/ca.crt /home/ubuntu/
# cp /etc/openvpn/easy-rsa/keys/client.crt /home/ubuntu/
# chown ubuntu:ubuntu /home/ubuntu/client.key
# chown ubuntu:ubuntu /home/ubuntu/client.crt
# chown ubuntu:ubuntu /home/ubuntu/ca.crt

Miaraka amin'ny fanalahidin'ny encryption feno vonona handeha, mila milaza amin'ny mpizara ny fomba tianao hamoronana ny VPN ianao. Izany dia atao amin'ny fampiasana ny rakitra server.conf.

Mampihena ny isan'ny fanendry

Be loatra ve ny fanoratana? Ny fanitarana miaraka amin'ny fononteny dia hanampy amin'ny fampihenana ireo baiko enina ireo ho roa. Azoko antoka fa afaka mandalina ireo ohatra roa ireo ianao ary mahazo ny zava-mitranga. Ny tena zava-dehibe dia ho azonao ny fomba hampiharana ireo fitsipika ireo amin'ny asa misy singa am-polony na an-jatony mihitsy aza:

# cp /etc/openvpn/easy-rsa/keys/{ca.crt,client.{key,crt}} /home/ubuntu/
# chown ubuntu:ubuntu /home/ubuntu/{ca.crt,client.{key,crt}}

Fametrahana ny rakitra server.conf

Ahoana no ahafantaranao ny tokony ho endriky ny rakitra server.conf? Tsarovy ny môdely lahatahiry mora-rsa nalainao tamin'ny /usr/share/? Rehefa nametraka OpenVPN ianao dia navela niaraka tamin'ny fisie môdely compressed izay azonao adika amin'ny /etc/openvpn/. Hanorina amin'ny zava-misy aho fa voatahiry ny môdely ary manolotra anao fitaovana mahasoa: zcat.

Efa fantatrao ny momba ny fanontana ny votoatin'ny rakitra iray amin'ny efijery amin'ny alàlan'ny baikon'ny saka, fa ahoana kosa raha voatsindry amin'ny fampiasana gzip ilay rakitra? Afaka unzip foana ny rakitra ary avy eo cat dia hamoaka azy faly, fa izany dia dingana iray na roa mihoatra noho ny ilaina. Raha ny tokony ho izy, araka ny efa noeritreretinao dia azonao atao ny mamoaka ny baiko zcat hampiditra ny lahatsoratra tsy voafono ao anaty fitadidiana amin'ny dingana iray. Amin'ity ohatra manaraka ity, raha tokony hanonta lahatsoratra eo amin'ny efijery ianao, dia hamindra azy amin'ny rakitra vaovao antsoina hoe server.conf:

# zcat 
  /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz 
  > /etc/openvpn/server.conf
$ cd /etc/openvpn

Aleo ajanona ny antontan-taratasy midadasika sy mahasoa miaraka amin'ilay rakitra ary hojerentsika hoe mety ho toa inona izany rehefa vita ny fanitsiana. Mariho fa ny semicolon (;) dia milaza amin'ny OpenVPN mba tsy hamaky na hanatanteraka ny andalana manaraka (Listing 10.2).

Andeha hojerentsika ny sasany amin'ireo fanovana ireo.

• Amin'ny alàlan'ny default, OpenVPN dia mandeha amin'ny port 1194. Azonao atao ny manova izany, ohatra, mba hanafenana bebe kokoa ny asanao na hisorohana ny fifandirana amin'ny tonelina mavitrika hafa. Satria ny 1194 dia mitaky fandrindrana kely indrindra amin'ny mpanjifa, tsara indrindra ny manao izany.
• OpenVPN dia mampiasa na Transmission Control Protocol (TCP) na User Datagram Protocol (UDP) mba handefasana data. Mety ho miadana kely ny TCP, saingy azo ianteherana kokoa izy io ary mety ho takatry ny fampiharana mandeha amin'ny tendrony roa amin'ny tonelina.
• Azonao atao ny mamaritra ny dev tun rehefa te hamorona tonelina IP tsotra kokoa sy mahomby kokoa izay mitondra votoaty data fa tsy zavatra hafa. Raha, etsy ankilany, mila mampifandray fifandraisana amin'ny tambajotra marobe ianao (sy ny tambajotra asehon'izy ireo), mamorona tetezana Ethernet, dia tsy maintsy misafidy dev tap ianao. Raha tsy azonao ny dikan'izany rehetra izany dia ampiasao ny argument tun.
• Ny andalana efatra manaraka dia manome OpenVPN ny anaran'ireo rakitra fanamarinana telo ao amin'ny server sy ny rakitra safidy dh2048 noforoninao teo aloha.
• Ny tsipika mpizara dia mametraka ny saron-tava sy ny subnet izay hampiasaina hanendry adiresy IP ho an'ny mpanjifa rehefa miditra.
• Ny mari-pamantarana fanosehana azo atao "lalana 10.0.3.0 255.255.255.0" dia ahafahan'ny mpanjifa lavitra miditra amin'ny subnet tsy miankina ao ambadiky ny mpizara. Ny fanaovana an'io asa io koa dia mitaky ny fametrahana ny tambajotra amin'ny lohamilina mihitsy mba hahafantaran'ny subnet manokana momba ny subnet OpenVPN (10.8.0.0).
• Ny andalana port-share localhost 80 dia ahafahanao mamindra ny fifamoivoizana mpanjifa tonga amin'ny seranan-tsambo 1194 mankany amin'ny mpizara tranonkala eo an-toerana mihaino amin'ny seranana 80. (Hanampy izany raha toa ianao ka mampiasa ny mpizara tranonkala hizaha toetra ny VPN anao.) dia rehefa voafantina ny protocol tcp.
• Ny mpampiasa nobody sy ny andalana nogroupe dia tsy maintsy alefa amin'ny alalan'ny fanesorana ny semicolons (;). Ny fanerena ny mpanjifa lavitra hihazakazaka toy ny tsy misy ary tsy misy vondrona dia miantoka fa tsy misy tombontsoa ny fivoriana amin'ny mpizara.
• Ny log dia mamaritra fa ny fidirana amin'ny log amin'izao fotoana izao dia hanodina ny fidirana taloha isaky ny manomboka ny OpenVPN, fa ny log-append kosa dia manisy fidirana vaovao amin'ny rakitra misy. Ny rakitra openvpn.log dia voasoratra ao amin'ny lahatahiry /etc/openvpn/.

Fanampin'izany, ny sandan'ny client-to-client dia ampiana matetika amin'ny rakitra fanamafisana mba ahafahan'ny mpanjifa maro mifankahita ankoatra ny mpizara OpenVPN. Raha afa-po amin'ny fanamafisanao ianao dia afaka manomboka ny mpizara OpenVPN:

# systemctl start openvpn

Noho ny fiovan'ny fifandraisana misy eo amin'ny OpenVPN sy ny systemd, dia mety ilaina indraindray ity fehezanteny manaraka ity hanombohana serivisy: systemctl manomboka openvpn@server.

Ny fampandehanana ip addr mba hitanisana ny fifandraisan'ny tambajotran'ny mpizara anao dia tokony hamoaka rohy mankany amin'ny interface vaovao antsoina hoe tun0. OpenVPN dia hamorona azy io mba hanompoana ireo mpanjifa miditra:

$ ip addr
[...]
4: tun0: mtu 1500 qdisc [...]
      link/none
      inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0
          valid_lft forever preferred_lft forever

Mety mila averinao indray ny mpizara alohan'ny hanombohan'ny zava-drehetra miasa tanteraka. Ny fiatoana manaraka dia ny solosaina mpanjifa.

10.1.2. Fametrahana ny mpanjifa OpenVPN

Amin'ny fomba mahazatra, ny tonelina dia misy fivoahana roa farafahakeliny (raha tsy izany dia antsoina hoe lava-bato). Ny OpenVPN voalamina tsara amin'ny mpizara dia mitarika ny fifamoivoizana miditra sy mivoaka ny tonelina amin'ny lafiny iray. Saingy mila rindrambaiko sasany mandeha amin'ny lafiny mpanjifa, izany hoe, amin'ny faran'ny tonelina.

Amin'ity fizarana ity, hifantoka amin'ny fametrahana karazana solosaina Linux amin'ny tanana aho mba ho mpanjifa OpenVPN. Saingy tsy io ihany no fomba ahafahan'ity fahafahana ity. OpenVPN dia manohana ny fampiharana mpanjifa azo apetraka sy ampiasaina amin'ny birao sy solosaina mandeha amin'ny Windows na macOS, ary koa amin'ny finday sy takelaka Android sy iOS. Jereo ny openvpn.net raha mila fanazavana fanampiny.

Ny fonosana OpenVPN dia mila apetraka amin'ny masinina mpanjifa satria napetraka ao amin'ny server, na dia tsy ilaina aza ny mora-rsa eto satria efa misy ny fanalahidy ampiasainao. Mila mandika ny rakitra môdely client.conf amin'ny lahatahiry /etc/openvpn/ izay vao noforoninao ianao. Amin'ity indray mitoraka ity dia tsy ho voahidy ny rakitra, ka ny baiko cp mahazatra dia hanao ny asa tsara:

# apt install openvpn
# cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf 
  /etc/openvpn/

Ny ankamaroan'ny filaharana ao amin'ny rakitra client.conf dia ho tena manazava tsara: tokony hifanaraka amin'ny soatoavina ao amin'ny mpizara izy ireo. Araka ny hitanao amin'ity rakitra ohatra manaraka ity, ny paramètre tokana dia lavitra 192.168.1.23 1194, izay milaza amin'ny mpanjifa ny adiresy IP an'ny mpizara. Averina indray, ataovy azo antoka fa ity ny adiresinao mpizara. Tokony hanery ny solosaina mpanjifa ihany koa ianao hanamarina ny maha-azo itokiana ny taratasy fanamarinana ny mpizara mba hisorohana ny fanafihana mety hitranga amin'ny lehilahy. Ny fomba iray hanaovana izany dia ny manampy ny mpizara remote-cert-tls (Listing 10.3).

Afaka mandeha any amin'ny /etc/openvpn/ lahatahiry ianao ary manala ny fanalahidin'ny fanamarinana avy amin'ny mpizara. Soloy amin'ny sandanao ny adiresy IP mpizara na ny anaran-tsehatra amin'ny ohatra:

Tsy misy zavatra mampientam-po hitranga raha tsy mihazakazaka OpenVPN amin'ny mpanjifa ianao. Satria mila mampita hevitra roa ianao dia hanao izany avy amin'ny tsipika baiko. Ny argument --tls-client dia milaza amin'ny OpenVPN fa ho mpanjifa ianao ary hifandray amin'ny alàlan'ny encryption TLS, ary ny --config dia manondro ny rakitrao:

# openvpn --tls-client --config /etc/openvpn/client.conf

Vakio tsara ny famoahana baiko mba hahazoana antoka fa mifandray tsara ianao. Raha misy zavatra tsy nety tamin'ny voalohany, dia mety ho noho ny tsy fitovizan'ny toe-javatra misy eo amin'ny fisie rindrankajy eo amin'ny mpizara sy ny mpanjifa na olana mifandray amin'ny tambajotra/firewall. Ireto misy torohevitra famahana olana.

• Vakio tsara ny fivoahan'ny hetsika OpenVPN amin'ny mpanjifa. Matetika izy io no ahitana torohevitra sarobidy momba ny tena tsy azo atao sy ny antony.
• Jereo ny hafatra diso ao amin'ny rakitra openvpn.log sy openvpn-status.log ao amin'ny lahatahiry /etc/openvpn/ ao amin'ny server.
• Jereo ny diarin'ny rafitra eo amin'ny mpizara sy ny mpanjifa ho an'ny hafatra mifandraika amin'ny OpenVPN sy misy fotoana. (Journalctl -ce dia hampiseho ny fidirana farany indrindra.)
• Ataovy azo antoka fa manana fifandraisana tambajotra mavitrika eo amin'ny mpizara sy ny mpanjifa ianao (mihoatra ny amin'ity ao amin'ny Toko 14).

Momba ny mpanoratra

David Clinton - mpitantana ny rafitra, mpampianatra ary mpanoratra. Nitantana, nanoratra ary namorona fitaovana fanabeazana ho an'ny taranja teknika manan-danja maro izy, anisan'izany ny rafitra Linux, ny informatika rahona (indrindra ny AWS), ary ny teknolojian'ny container toa an'i Docker. Nanoratra ny boky Mianara Amazon Web Services ao anatin'ny iray volana amin'ny sakafo antoandro (Manning, 2017). Maro amin'ireo taranja fanofanana amin'ny horonan-tsary no hita ao amin'ny Pluralsight.com, ary misy rohy mankany amin'ny bokiny hafa (amin'ny fitantanana Linux sy virtoaly mpizara) bootstrap-it.com.

» Ny antsipiriany bebe kokoa momba ny boky dia azo jerena ao amin'ny tranokalan'ny mpanonta
» Lohahevitra misy
» ampahany

Ho an'ny Khabrozhiteley fihenam-bidy 25% amin'ny fampiasana tapakila - Linux
Rehefa mandoa ny dikan-taratasy amin'ny taratasy dia misy boky elektronika halefa amin'ny mailaka.

Source: www.habr.com