🥇 "Linux in Action" हे पुस्तक | प्रोहोस्टर

हॅलो, खबरो रहिवासी! पुस्तकात, डेव्हिड क्लिंटन यांनी 12 वास्तविक-जीवन प्रकल्पांचे वर्णन केले आहे, ज्यात तुमचा बॅकअप आणि पुनर्प्राप्ती प्रणाली स्वयंचलित करणे, ड्रॉपबॉक्स-शैलीतील वैयक्तिक फाइल क्लाउड सेट करणे आणि तुमचा स्वतःचा मीडियाविकी सर्व्हर तयार करणे समाविष्ट आहे. मनोरंजक केस स्टडीद्वारे तुम्ही आभासीकरण, आपत्ती पुनर्प्राप्ती, सुरक्षा, बॅकअप, DevOps आणि सिस्टम समस्यानिवारण एक्सप्लोर कराल. प्रत्येक धडा सर्वोत्तम पद्धतींच्या पुनरावलोकनासह, नवीन अटींचा शब्दकोष आणि व्यायामासह समाप्त होतो.

उतारा “10.1. एक OpenVPN बोगदा तयार करत आहे"

मी या पुस्तकात एन्क्रिप्शनबद्दल आधीच बरेच काही बोललो आहे. SSH आणि SCP रिमोट कनेक्शनवर हस्तांतरित केलेल्या डेटाचे संरक्षण करू शकतात (धडा 3), फाइल एन्क्रिप्शन डेटाचे संरक्षण करू शकते जेव्हा तो सर्व्हरवर संग्रहित केला जातो (धडा 8), आणि TLS/SSL प्रमाणपत्रे साइट आणि क्लायंट ब्राउझर दरम्यान हस्तांतरित केलेल्या डेटाचे संरक्षण करू शकतात (धडा 9) . परंतु काहीवेळा तुमचा डेटा कनेक्शनच्या विस्तृत श्रेणीमध्ये संरक्षित करणे आवश्यक आहे. उदाहरणार्थ, सार्वजनिक हॉटस्पॉटद्वारे Wi-Fi शी कनेक्ट करताना कदाचित तुमच्या टीममधील काही सदस्य रस्त्यावर काम करत असतील. तुम्ही निश्चितपणे असे गृहीत धरू नये की असे सर्व प्रवेश बिंदू सुरक्षित आहेत, परंतु तुमच्या लोकांना कंपनीच्या संसाधनांशी कनेक्ट होण्याचा मार्ग आवश्यक आहे — आणि तिथेच VPN मदत करू शकते.

योग्यरित्या डिझाइन केलेले VPN बोगदा रिमोट क्लायंट आणि सर्व्हर दरम्यान थेट कनेक्शन प्रदान करते जे असुरक्षित नेटवर्कवर प्रवास करताना डेटा लपवते. तर काय? एन्क्रिप्शनसह हे करू शकणारी अनेक साधने तुम्ही आधीच पाहिली आहेत. VPN चे खरे मूल्य असे आहे की एक बोगदा उघडून, तुम्ही रिमोट नेटवर्कशी कनेक्ट करू शकता जसे की ते सर्व स्थानिक आहेत. एका अर्थाने तुम्ही बायपास वापरत आहात.

या विस्तारित नेटवर्कचा वापर करून, प्रशासक कोठूनही त्यांच्या सर्व्हरवर त्यांचे कार्य करू शकतात. परंतु अधिक महत्त्वाचे म्हणजे, अनेक ठिकाणी पसरलेली संसाधने असलेली कंपनी ती सर्व दृश्‍यमान आणि आवश्यक असलेल्या सर्व गटांसाठी प्रवेशयोग्य बनवू शकते, ते कुठेही असतील (आकृती 10.1).

बोगदाच सुरक्षिततेची हमी देत नाही. परंतु एनक्रिप्शन मानकांपैकी एक नेटवर्क स्ट्रक्चरमध्ये समाविष्ट केले जाऊ शकते, जे सुरक्षिततेची पातळी लक्षणीयरीत्या वाढवते. ओपन सोर्स OpenVPN पॅकेज वापरून तयार केलेले बोगदे हेच TLS/SSL एन्क्रिप्शन वापरतात ज्याबद्दल तुम्ही आधीच वाचले आहे. ओपनव्हीपीएन हा एकमेव टनेलिंग पर्याय उपलब्ध नाही, परंतु तो सर्वात प्रसिद्ध आहे. हे IPsec एन्क्रिप्शन वापरणाऱ्या वैकल्पिक लेयर 2 टनेल प्रोटोकॉलपेक्षा किंचित वेगवान आणि अधिक सुरक्षित मानले जाते.

रस्त्यावर किंवा वेगवेगळ्या इमारतींमध्ये काम करताना तुमच्या टीममधील प्रत्येकाने एकमेकांशी सुरक्षितपणे संवाद साधावा असे तुम्हाला वाटते का? हे करण्यासाठी, तुम्हाला अनुप्रयोग सामायिकरण आणि सर्व्हरच्या स्थानिक नेटवर्क वातावरणात प्रवेश करण्यासाठी एक OpenVPN सर्व्हर तयार करणे आवश्यक आहे. हे कार्य करण्यासाठी, तुम्हाला फक्त दोन व्हर्च्युअल मशीन किंवा दोन कंटेनर चालवावे लागतील: एक सर्व्हर/होस्ट म्हणून काम करण्यासाठी आणि एक क्लायंट म्हणून काम करण्यासाठी. व्हीपीएन तयार करणे ही एक साधी प्रक्रिया नाही, त्यामुळे मोठे चित्र लक्षात ठेवण्यासाठी काही मिनिटे घेणे योग्य आहे.

१०.१.१. OpenVPN सर्व्हर कॉन्फिगरेशन

तुम्ही सुरू करण्यापूर्वी, मी तुम्हाला काही उपयुक्त सल्ला देईन. जर तुम्ही ते स्वतः करणार असाल (आणि मी तुम्हाला ते करण्याची शिफारस करतो), तर तुम्हाला कदाचित तुमच्या डेस्कटॉपवर उघडलेल्या एकाधिक टर्मिनल विंडोसह काम करताना आढळेल, प्रत्येक वेगळ्या मशीनशी कनेक्ट केलेले आहे. एक धोका आहे की काही क्षणी आपण विंडोमध्ये चुकीची आज्ञा प्रविष्ट कराल. हे टाळण्यासाठी, तुम्ही कुठे आहात हे स्पष्टपणे सांगणाऱ्या कमांड लाइनवर दाखवलेल्या मशीनचे नाव बदलण्यासाठी तुम्ही होस्टनेम कमांड वापरू शकता. एकदा तुम्ही हे केल्यावर, तुम्हाला सर्व्हरमधून लॉग आउट करावे लागेल आणि नवीन सेटिंग्ज प्रभावी होण्यासाठी पुन्हा लॉग इन करावे लागेल. हे असे दिसते:

या पद्धतीचा अवलंब करून आणि तुम्ही काम करत असलेल्या प्रत्येक मशीनला योग्य नावे देऊन, तुम्ही कुठे आहात याचा मागोवा सहज ठेवू शकता.

होस्टनाव वापरल्यानंतर, त्यानंतरच्या आदेशांची अंमलबजावणी करताना तुम्हाला त्रासदायक होस्ट OpenVPN-सर्व्हर संदेशांचे निराकरण करण्यात अक्षमता येऊ शकते. योग्य नवीन यजमाननावासह /etc/hosts फाइल अद्यतनित केल्याने समस्येचे निराकरण केले पाहिजे.

OpenVPN साठी तुमचा सर्व्हर तयार करत आहे

तुमच्या सर्व्हरवर OpenVPN इंस्टॉल करण्यासाठी, तुम्हाला दोन पॅकेजेसची आवश्यकता आहे: openvpn आणि easy-rsa (एनक्रिप्शन की जनरेशन प्रक्रिया व्यवस्थापित करण्यासाठी). आवश्यक असल्यास CentOS वापरकर्त्यांनी प्रथम एपेल-रिलीज रेपॉजिटरी स्थापित केले पाहिजे, जसे तुम्ही अध्याय 2 मध्ये केले होते. सर्व्हर ऍप्लिकेशनच्या प्रवेशाची चाचणी घेण्यास सक्षम होण्यासाठी, तुम्ही Apache वेब सर्व्हर (Ubuntu वर apache2 आणि CentOS वर httpd) देखील स्थापित करू शकता.

तुम्ही तुमचा सर्व्हर सेट करत असताना, मी 22 (SSH) आणि 1194 (OpenVPN चे डीफॉल्ट पोर्ट) वगळता सर्व पोर्ट ब्लॉक करणारी फायरवॉल सक्रिय करण्याची शिफारस करतो. हे उदाहरण उबंटूवर ufw कसे कार्य करेल हे स्पष्ट करते, परंतु मला खात्री आहे की तुम्हाला अजूनही धडा 9 मधील CentOS फायरवॉल्ड प्रोग्राम आठवतो:

# ufw enable
# ufw allow 22
# ufw allow 1194

सर्व्हरवरील नेटवर्क इंटरफेस दरम्यान अंतर्गत राउटिंग सक्षम करण्यासाठी, तुम्हाला /etc/sysctl.conf फाइलमध्ये एक ओळ (net.ipv4.ip_forward = 1) अनकमेंट करणे आवश्यक आहे. हे रिमोट क्लायंट कनेक्ट झाल्यानंतर आवश्यकतेनुसार पुनर्निर्देशित करण्यास अनुमती देईल. नवीन पर्याय कार्य करण्यासाठी, sysctl -p चालवा:

# nano /etc/sysctl.conf
# sysctl -p

तुमचे सर्व्हर वातावरण आता पूर्णपणे कॉन्फिगर केले आहे, परंतु तुम्ही तयार होण्यापूर्वी अजून एक गोष्ट करायची आहे: तुम्हाला पुढील पायऱ्या पूर्ण कराव्या लागतील (आम्ही ते पुढे तपशीलवार कव्हर करू).

सुलभ-rsa पॅकेजसह प्रदान केलेल्या स्क्रिप्टचा वापर करून सर्व्हरवर सार्वजनिक की इन्फ्रास्ट्रक्चर (PKI) एन्क्रिप्शन कीचा संच तयार करा. मूलत:, OpenVPN सर्व्हर स्वतःचे प्रमाणपत्र प्राधिकरण (CA) म्हणून देखील कार्य करतो.
क्लायंटसाठी योग्य की तयार करा
सर्व्हरसाठी server.conf फाइल कॉन्फिगर करा
तुमचा OpenVPN क्लायंट सेट करा
तुमचा VPN तपासा

एनक्रिप्शन की व्युत्पन्न करत आहे

गोष्टी सोप्या ठेवण्यासाठी, तुम्ही तुमची मुख्य पायाभूत सुविधा त्याच मशीनवर सेट करू शकता जिथे OpenVPN सर्व्हर चालू आहे. तथापि, सुरक्षा सर्वोत्तम सराव विशेषत: उत्पादन उपयोजनांसाठी स्वतंत्र CA सर्व्हर वापरण्याची सूचना देतात. OpenVPN मध्‍ये वापरण्‍यासाठी एनक्रिप्शन की रिसोर्सेस व्युत्पन्न आणि वितरीत करण्याची प्रक्रिया अंजीर मध्ये दर्शविली आहे. १०.२.

जेव्हा तुम्ही OpenVPN इन्स्टॉल करता, तेव्हा /etc/openvpn/ डिरेक्ट्री आपोआप तयार होते, परंतु अद्याप त्यात काहीही नाही. openvpn आणि easy-rsa पॅकेजेस टेम्पलेट फाइल्ससह येतात ज्या तुम्ही तुमच्या कॉन्फिगरेशनसाठी आधार म्हणून वापरू शकता. प्रमाणन प्रक्रिया सुरू करण्यासाठी, easy-rsa टेम्पलेट निर्देशिका /usr/share/ वरून /etc/openvpn वर कॉपी करा आणि easy-rsa/ निर्देशिकेत बदला:

# cp -r /usr/share/easy-rsa/ /etc/openvpn
$ cd /etc/openvpn/easy-rsa

सुलभ-rsa निर्देशिकेत आता काही स्क्रिप्ट्स असतील. टेबलमध्ये 10.1 तुम्ही की तयार करण्यासाठी वापरत असलेल्या साधनांची सूची देते.

वरील ऑपरेशन्ससाठी रूट विशेषाधिकार आवश्यक आहेत, म्हणून तुम्हाला sudo su द्वारे रूट बनण्याची आवश्यकता आहे.

तुम्ही ज्या पहिल्या फाईलसह कार्य कराल तिला vars म्हणतात आणि त्यात पर्यावरणीय व्हेरिएबल्स असतात जे की तयार करताना सुलभ-rsa वापरतात. तुम्हाला आधीपासून असलेल्या डीफॉल्ट मूल्यांऐवजी तुमची स्वतःची मूल्ये वापरण्यासाठी फाइल संपादित करण्याची आवश्यकता आहे. माझी फाईल अशी दिसेल (सूची 10.1).

सूची 10.1. फाईलचे मुख्य तुकडे /etc/openvpn/easy-rsa/vars

export KEY_COUNTRY="CA"
export KEY_PROVINCE="ON"
export KEY_CITY="Toronto"
export KEY_ORG="Bootstrap IT"
export KEY_EMAIL="[email protected]"
export KEY_OU="IT"

vars फाईल चालवल्याने तिची मूल्ये शेल वातावरणात जाईल, जिथे ती तुमच्या नवीन कीच्या सामग्रीमध्ये समाविष्ट केली जातील. sudo कमांड स्वतःच का काम करत नाही? कारण पहिल्या चरणात आपण vars नावाची स्क्रिप्ट संपादित करतो आणि नंतर ती लागू करतो. लागू करणे आणि याचा अर्थ असा आहे की vars फाइल त्याची मूल्ये शेल वातावरणात पास करते, जिथे ते आपल्या नवीन कीच्या सामग्रीमध्ये समाविष्ट केले जातील.

अपूर्ण प्रक्रिया पूर्ण करण्यासाठी नवीन शेल वापरून फाइल पुन्हा चालवण्याची खात्री करा. हे पूर्ण झाल्यावर, स्क्रिप्ट तुम्हाला /etc/openvpn/easy-rsa/keys/ निर्देशिकेतील कोणतीही सामग्री काढून टाकण्यासाठी, क्लीन-ऑल, दुसरी स्क्रिप्ट चालवण्यास सांगेल:

स्वाभाविकच, पुढील पायरी म्हणजे क्लीन-ऑल स्क्रिप्ट चालवणे, त्यानंतर बिल्ड-सीए, जे रूट प्रमाणपत्र तयार करण्यासाठी pkitool स्क्रिप्ट वापरते. तुम्हाला vars द्वारे प्रदान केलेल्या ओळख सेटिंग्जची पुष्टी करण्यास सांगितले जाईल:

# ./clean-all
# ./build-ca
Generating a 2048 bit RSA private key

पुढे बिल्ड-की-सर्व्हर स्क्रिप्ट येते. नवीन रूट सर्टिफिकेटसह तीच pkitool स्क्रिप्ट वापरत असल्याने, की जोडीच्या निर्मितीची पुष्टी करण्यासाठी तुम्हाला तेच प्रश्न दिसतील. तुम्ही पास करता त्या वितर्कांच्या आधारावर कीजना नाव दिले जाईल, जोपर्यंत तुम्ही या मशीनवर एकाधिक VPN चालवत नाही, तो सामान्यतः सर्व्हर असेल, उदाहरणार्थ:

# ./build-key-server server
[...]
Certificate is to be certified until Aug 15 23:52:34 2027 GMT (3650 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

OpenVPN नवीन कनेक्शनसाठी प्रमाणीकरण वाटाघाटी करण्यासाठी Diffie-Hellman अल्गोरिदम (build-dh वापरून) व्युत्पन्न केलेले पॅरामीटर्स वापरते. येथे तयार केलेली फाइल गुप्त असणे आवश्यक नाही, परंतु सध्या सक्रिय असलेल्या RSA किजसाठी बिल्ड-dh स्क्रिप्ट वापरून तयार करणे आवश्यक आहे. तुम्ही भविष्यात नवीन RSA की तयार केल्यास, तुम्हाला Diffie-Hellman फाइल देखील अपडेट करावी लागेल:

# ./build-dh

तुमच्या सर्व्हर साइड की आता /etc/openvpn/easy-rsa/keys/ निर्देशिकेत संपतील, परंतु OpenVPN ला हे माहित नाही. डीफॉल्टनुसार, OpenVPN /etc/openvpn/ मध्ये की शोधेल, म्हणून त्यांची कॉपी करा:

# cp /etc/openvpn/easy-rsa/keys/server* /etc/openvpn
# cp /etc/openvpn/easy-rsa/keys/dh2048.pem /etc/openvpn
# cp /etc/openvpn/easy-rsa/keys/ca.crt /etc/openvpn

क्लायंट एनक्रिप्शन की तयार करत आहे

तुम्ही आधीच पाहिल्याप्रमाणे, TLS एनक्रिप्शन जुळणार्‍या कीच्या जोड्यांचा वापर करते: एक सर्व्हरवर स्थापित केलेली आणि एक रिमोट क्लायंटवर स्थापित केली आहे. याचा अर्थ तुम्हाला क्लायंट की आवश्यक असतील. आमचा जुना मित्र pkitool तुम्हाला यासाठी आवश्यक आहे. या उदाहरणात, जेव्हा आम्ही प्रोग्राम /etc/openvpn/easy-rsa/ डिरेक्टरीमध्ये चालवतो, तेव्हा आम्ही क्लायंट आर्ग्युमेंट पास करतो क्लायंट.crt आणि client.key नावाच्या फाइल्स निर्माण करण्यासाठी:

# ./pkitool client

दोन क्लायंट फाइल्स, मूळ ca.crt फाइलसह जी अजूनही की/ डिरेक्टरीमध्ये आहे, आता सुरक्षितपणे तुमच्या क्लायंटकडे हस्तांतरित केली जावी. त्यांच्या मालकी आणि प्रवेश अधिकारांमुळे, हे इतके सोपे नसेल. तुमच्या PC च्या डेस्कटॉपवर चालू असलेल्या टर्मिनलमध्ये (मजकूर निवडा, त्यावर उजवे-क्लिक करा आणि मेनूमधून कॉपी निवडा) स्त्रोत फाइलमधील सामग्री (आणि त्या सामग्रीशिवाय काहीही नाही) मॅन्युअली कॉपी करणे हा सर्वात सोपा मार्ग आहे. नंतर तुमच्या क्लायंटशी जोडलेल्या दुसऱ्या टर्मिनलमध्ये तुम्ही तयार केलेल्या त्याच नावाच्या नवीन फाइलमध्ये हे पेस्ट करा.

पण कोणीही कट आणि पेस्ट करू शकतो. त्याऐवजी, प्रशासकाप्रमाणे विचार करा कारण तुम्हाला नेहमी GUI मध्ये प्रवेश नसेल जेथे कट/पेस्ट ऑपरेशन्स शक्य आहेत. तुमच्या वापरकर्त्याच्या होम डिरेक्ट्रीमध्ये फाइल्स कॉपी करा (जेणेकरून रिमोट scp ऑपरेशन त्यांना ऍक्सेस करू शकेल), आणि नंतर फाईल्सची मालकी रूट वरून नियमित गैर-रूट वापरकर्त्यामध्ये बदलण्यासाठी chown वापरा जेणेकरून रिमोट scp क्रिया करता येईल. तुमच्या सर्व फायली सध्या इन्स्टॉल केलेल्या आणि प्रवेश करण्यायोग्य असल्याची खात्री करा. तुम्ही त्यांना थोड्या वेळाने क्लायंटकडे हलवाल:

# cp /etc/openvpn/easy-rsa/keys/client.key /home/ubuntu/
# cp /etc/openvpn/easy-rsa/keys/ca.crt /home/ubuntu/
# cp /etc/openvpn/easy-rsa/keys/client.crt /home/ubuntu/
# chown ubuntu:ubuntu /home/ubuntu/client.key
# chown ubuntu:ubuntu /home/ubuntu/client.crt
# chown ubuntu:ubuntu /home/ubuntu/ca.crt

एन्क्रिप्शन कीच्या पूर्ण सेटसह, तुम्हाला VPN कसे तयार करायचे आहे हे सर्व्हरला सांगावे लागेल. हे server.conf फाइल वापरून केले जाते.

कीस्ट्रोकची संख्या कमी करणे

खूप जास्त टायपिंग आहे का? कंसात विस्तार केल्यास या सहा कमांड्स दोन पर्यंत कमी करण्यात मदत होईल. मला खात्री आहे की तुम्ही या दोन उदाहरणांचा अभ्यास कराल आणि काय चालले आहे ते समजून घ्याल. सर्वात महत्त्वाचे म्हणजे, दहापट किंवा शेकडो घटकांचा समावेश असलेल्या ऑपरेशन्समध्ये ही तत्त्वे कशी लागू करायची हे तुम्ही समजू शकाल:
# cp /etc/openvpn/easy-rsa/keys/{ca.crt,client.{key,crt}} /home/ubuntu/
# chown ubuntu:ubuntu /home/ubuntu/{ca.crt,client.{key,crt}}

server.conf फाइल सेट करत आहे

server.conf फाइल कशी दिसली पाहिजे हे तुम्हाला कसे कळेल? तुम्ही /usr/share/ वरून कॉपी केलेले सोपे-rsa निर्देशिका टेम्पलेट लक्षात ठेवा? जेव्हा तुम्ही OpenVPN इंस्टॉल केले, तेव्हा तुमच्याकडे संकुचित कॉन्फिगरेशन टेम्पलेट फाइल शिल्लक होती जी तुम्ही /etc/openvpn/ वर कॉपी करू शकता. मी टेम्पलेट संग्रहित केले आहे या वस्तुस्थितीवर आधारित आहे आणि तुम्हाला एका उपयुक्त साधनाची ओळख करून देईन: zcat.

कॅट कमांड वापरून फाइलमधील मजकूर सामग्री स्क्रीनवर मुद्रित करण्याबद्दल तुम्हाला आधीच माहिती आहे, परंतु जर फाइल gzip वापरून संकुचित केली असेल तर काय? तुम्ही फाईल नेहमी अनझिप करू शकता आणि नंतर मांजर आनंदाने ते आउटपुट करेल, परंतु ते आवश्यकतेपेक्षा एक किंवा दोन पायऱ्या आहेत. त्याऐवजी, तुम्ही अंदाज केला असेल, तुम्ही अनपॅक केलेला मजकूर एका टप्प्यात मेमरीमध्ये लोड करण्यासाठी zcat कमांड जारी करू शकता. खालील उदाहरणामध्ये, स्क्रीनवर मजकूर मुद्रित करण्याऐवजी, तुम्ही त्यास server.conf नावाच्या नवीन फाइलवर पुनर्निर्देशित कराल:

# zcat 
  /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz 
  > /etc/openvpn/server.conf
$ cd /etc/openvpn

फाईलसह येणारे विस्तृत आणि उपयुक्त दस्तऐवज बाजूला ठेवू आणि तुमचे संपादन पूर्ण झाल्यावर ते कसे दिसेल ते पाहू. लक्षात घ्या की अर्धविराम (;) OpenVPN ला पुढील ओळ (लिस्टिंग 10.2) वाचू नका किंवा कार्यान्वित करू नका असे सांगतो.

चला यापैकी काही सेटिंग्ज पाहू या.

डीफॉल्टनुसार, OpenVPN पोर्ट 1194 वर चालते. तुम्ही हे बदलू शकता, उदाहरणार्थ, तुमचे क्रियाकलाप आणखी लपवण्यासाठी किंवा इतर सक्रिय बोगद्यांसह संघर्ष टाळण्यासाठी. 1194 ला क्लायंटसह किमान समन्वय आवश्यक असल्याने, हे अशा प्रकारे करणे चांगले आहे.
OpenVPN डेटा प्रसारित करण्यासाठी ट्रान्समिशन कंट्रोल प्रोटोकॉल (TCP) किंवा वापरकर्ता डेटाग्राम प्रोटोकॉल (UDP) वापरतो. TCP थोडे धीमे असू शकते, परंतु ते अधिक विश्वासार्ह आहे आणि बोगद्याच्या दोन्ही टोकांवर चालणार्‍या अनुप्रयोगांद्वारे समजले जाण्याची अधिक शक्यता आहे.
जेव्हा तुम्हाला डेटा सामग्री आणि इतर काहीही नसलेला एक सोपा, अधिक कार्यक्षम IP बोगदा तयार करायचा असेल तेव्हा तुम्ही dev ट्यून निर्दिष्ट करू शकता. दुसरीकडे, तुम्हाला एकाधिक नेटवर्क इंटरफेस (आणि ते प्रतिनिधित्व करत असलेले नेटवर्क) कनेक्ट करायचे असल्यास, इथरनेट ब्रिज तयार करणे, तुम्हाला डेव्ह टॅप निवडावे लागेल. जर तुम्हाला या सर्वांचा अर्थ समजत नसेल, तर ट्यून युक्तिवाद वापरा.
पुढील चार ओळी OpenVPN ला सर्व्हरवरील तीन ऑथेंटिकेशन फाइल्स आणि तुम्ही आधी तयार केलेल्या dh2048 ऑप्शन्स फाइलची नावे देतात.
सर्व्हर लाइन श्रेणी आणि सबनेट मास्क सेट करते जी लॉगिन केल्यावर क्लायंटला IP पत्ते नियुक्त करण्यासाठी वापरली जाईल.
पर्यायी पुश पॅरामीटर "रूट 10.0.3.0 255.255.255.0" रिमोट क्लायंटना सर्व्हरच्या मागे खाजगी सबनेटमध्ये प्रवेश करण्याची परवानगी देतो. हे काम करण्यासाठी सर्व्हरवरच नेटवर्क सेट करणे आवश्यक आहे जेणेकरून खाजगी सबनेटला OpenVPN सबनेट (10.8.0.0) बद्दल माहिती असेल.
पोर्ट-शेअर लोकलहोस्ट 80 लाइन तुम्हाला पोर्ट 1194 वर येणारा क्लायंट ट्रॅफिक पोर्ट 80 वर ऐकणाऱ्या स्थानिक वेब सर्व्हरवर पुनर्निर्देशित करण्यास अनुमती देते. (तुम्ही तुमच्या व्हीपीएनची चाचणी घेण्यासाठी वेब सर्व्हर वापरत असाल तर हे उपयुक्त ठरेल.) हे फक्त कार्य करते. नंतर जेव्हा tcp प्रोटोकॉल निवडला जातो.
सेमीकॉलन (;) काढून वापरकर्ता कोणीही नाही आणि गट नोग्रुप लाईन्स सक्षम करणे आवश्यक आहे. रिमोट क्लायंटला कोणीही नाही आणि नॉनग्रुप म्हणून चालवण्यास भाग पाडणे हे सुनिश्चित करते की सर्व्हरवरील सत्रे विशेषाधिकार नाहीत.
log निर्दिष्ट करते की प्रत्येक वेळी OpenVPN सुरू झाल्यावर वर्तमान लॉग एंट्री जुन्या नोंदी ओव्हरराइट करतील, तर log-append विद्यमान लॉग फाइलमध्ये नवीन नोंदी जोडते. openvpn.log फाइल स्वतः /etc/openvpn/ निर्देशिकेत लिहिली जाते.

याव्यतिरिक्त, क्लायंट-टू-क्लायंट मूल्य देखील अनेकदा कॉन्फिगरेशन फाइलमध्ये जोडले जाते जेणेकरून एकाधिक क्लायंट OpenVPN सर्व्हर व्यतिरिक्त एकमेकांना पाहू शकतील. तुम्ही तुमच्या कॉन्फिगरेशनवर समाधानी असल्यास, तुम्ही OpenVPN सर्व्हर सुरू करू शकता:

# systemctl start openvpn

OpenVPN आणि systemd मधील संबंधांच्या बदलत्या स्वरूपामुळे, सेवा सुरू करण्यासाठी काहीवेळा खालील वाक्यरचना आवश्यक असू शकते: systemctl start openvpn@server.

तुमच्या सर्व्हरचे नेटवर्क इंटरफेस सूचीबद्ध करण्यासाठी ip addr चालवण्याने आता tun0 नावाच्या नवीन इंटरफेसची लिंक आउटपुट केली पाहिजे. OpenVPN येणार्‍या क्लायंटना सेवा देण्यासाठी ते तयार करेल:

$ ip addr
[...]
4: tun0: mtu 1500 qdisc [...]
      link/none
      inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0
          valid_lft forever preferred_lft forever

सर्वकाही पूर्णपणे कार्य करण्यास प्रारंभ करण्यापूर्वी तुम्हाला सर्व्हर रीबूट करण्याची आवश्यकता असू शकते. पुढील स्टॉप क्लायंट संगणक आहे.

10.1.2. OpenVPN क्लायंट कॉन्फिगर करत आहे

पारंपारिकपणे, बोगदे किमान दोन निर्गमनांसह बांधले जातात (अन्यथा आम्ही त्यांना लेणी म्हणू). सर्व्हरवर योग्यरित्या कॉन्फिगर केलेले OpenVPN एका बाजूला बोगद्याच्या आत आणि बाहेर रहदारी निर्देशित करते. परंतु तुम्हाला क्लायंटच्या बाजूला म्हणजेच बोगद्याच्या दुसऱ्या टोकाला चालणारे काही सॉफ्टवेअर देखील आवश्यक असेल.

या विभागात, मी OpenVPN क्लायंट म्हणून काम करण्यासाठी काही प्रकारचे Linux संगणक व्यक्तिचलितपणे सेट करण्यावर लक्ष केंद्रित करणार आहे. परंतु ही संधी केवळ याच मार्गाने मिळते असे नाही. OpenVPN क्लायंट ऍप्लिकेशन्सना सपोर्ट करते जे Windows किंवा macOS चालवणार्‍या डेस्कटॉप आणि लॅपटॉपवर तसेच Android आणि iOS स्मार्टफोन आणि टॅब्लेटवर इंस्टॉल आणि वापरले जाऊ शकतात. तपशीलांसाठी openvpn.net पहा.

ओपनव्हीपीएन पॅकेज क्लायंट मशीनवर स्थापित करणे आवश्यक आहे जसे ते सर्व्हरवर स्थापित केले होते, जरी तुम्ही वापरत असलेल्या कळा आधीपासूनच अस्तित्वात असल्याने येथे सुलभ-आरएसएची आवश्यकता नाही. तुम्ही आत्ताच तयार केलेल्या /etc/openvpn/ डिरेक्ट्रीमध्ये client.conf टेम्पलेट फाइल कॉपी करणे आवश्यक आहे. यावेळी फाईल झिप केली जाणार नाही, म्हणून नियमित cp कमांड हे काम अगदी चांगले करेल:

# apt install openvpn
# cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf 
  /etc/openvpn/

तुमच्या client.conf फाईलमधील बहुतांश सेटिंग्ज अतिशय स्व-स्पष्टीकरणात्मक असतील: त्या सर्व्हरवरील मूल्यांशी जुळल्या पाहिजेत. तुम्ही खालील उदाहरण फाइलवरून पाहू शकता, अद्वितीय पॅरामीटर रिमोट 192.168.1.23 1194 आहे, जो क्लायंटला सर्व्हरचा IP पत्ता सांगतो. पुन्हा, हा तुमचा सर्व्हर पत्ता असल्याची खात्री करा. संभाव्य मॅन-इन-द-मिडल हल्ला टाळण्यासाठी तुम्ही क्लायंट कॉम्प्युटरला सर्व्हर प्रमाणपत्राची सत्यता पडताळण्यासाठी सक्ती केली पाहिजे. हे करण्याचा एक मार्ग म्हणजे लाइन रिमोट-सर्ट-टीएलएस सर्व्हर (लिस्टिंग 10.3) जोडणे.

तुम्ही आता /etc/openvpn/ निर्देशिकेत जाऊ शकता आणि सर्व्हरवरून प्रमाणपत्र की काढू शकता. सर्व्हरचा IP पत्ता किंवा डोमेन नाव उदाहरणात तुमच्या मूल्यांसह बदला:

जोपर्यंत तुम्ही क्लायंटवर OpenVPN चालवत नाही तोपर्यंत काहीही रोमांचक घडणार नाही. तुम्हाला काही युक्तिवाद पास करण्याची आवश्यकता असल्याने, तुम्ही ते कमांड लाइनवरून कराल. --tls-क्लायंट युक्तिवाद OpenVPN ला सांगतो की तुम्ही क्लायंट म्हणून काम कराल आणि TLS एन्क्रिप्शनद्वारे कनेक्ट कराल आणि --config तुमच्या कॉन्फिगरेशन फाइलकडे निर्देश करेल:

# openvpn --tls-client --config /etc/openvpn/client.conf

तुम्ही योग्यरित्या कनेक्ट केलेले असल्याची खात्री करण्यासाठी कमांड आउटपुट काळजीपूर्वक वाचा. प्रथमच काहीतरी चूक झाल्यास, ते सर्व्हर आणि क्लायंट कॉन्फिगरेशन फाइल्समधील सेटिंग्जमध्ये जुळत नसल्यामुळे किंवा नेटवर्क कनेक्शन/फायरवॉल समस्येमुळे असू शकते. येथे काही समस्यानिवारण टिपा आहेत.

क्लायंटवरील OpenVPN ऑपरेशनचे आउटपुट काळजीपूर्वक वाचा. यात अनेकदा नेमके काय केले जाऊ शकत नाही आणि का केले जाऊ शकत नाही याबद्दल मौल्यवान सल्ला असतो.
सर्व्हरवरील /etc/openvpn/ निर्देशिकेत openvpn.log आणि openvpn-status.log फाइल्समधील त्रुटी संदेश तपासा.
OpenVPN-संबंधित आणि कालबद्ध संदेशांसाठी सर्व्हर आणि क्लायंटवरील सिस्टम लॉग तपासा. (journalctl -ce सर्वात अलीकडील नोंदी प्रदर्शित करेल.)
तुमच्याकडे सर्व्हर आणि क्लायंट दरम्यान सक्रिय नेटवर्क कनेक्शन असल्याची खात्री करा (याबद्दल अधिक प्रकरण 14 मध्ये).

लेखकाबद्दल

डेव्हिड क्लिंटन - सिस्टम प्रशासक, शिक्षक आणि लेखक. लिनक्स सिस्टीम, क्लाउड कंप्युटिंग (विशेषतः AWS) आणि डॉकर सारख्या कंटेनर तंत्रज्ञानासह अनेक महत्त्वाच्या तांत्रिक विषयांसाठी त्यांनी प्रशासित, लिहिले आणि शैक्षणिक साहित्य तयार केले आहे. लर्न अ‍ॅमेझॉन वेब सर्व्हिसेस इन अ मंथ ऑफ लंच (मॅनिंग, 2017) हे पुस्तक त्यांनी लिहिले. त्याचे अनेक व्हिडिओ प्रशिक्षण अभ्यासक्रम Pluralsight.com वर मिळू शकतात आणि त्याच्या इतर पुस्तकांच्या लिंक्स (लिनक्स प्रशासन आणि सर्व्हर व्हर्च्युअलायझेशनवर) येथे उपलब्ध आहेत. bootstrap-it.com.

» पुस्तकाबद्दल अधिक तपशील येथे आढळू शकतात प्रकाशकाची वेबसाइट
» सामग्री सारणी
» उतारा

Khabrozhiteley साठी कूपन वापरून 25% सूट - linux
पुस्तकाची कागदी आवृत्ती भरल्यानंतर, इलेक्ट्रॉनिक पुस्तक ई-मेलद्वारे पाठवले जाईल.

स्त्रोत: www.habr.com

"लिनक्स इन अॅक्शन" हे पुस्तक