🥇 "Linux in Action" पुस्तक | प्रोहोस्टर

नमस्ते खबरबासीहरु ! पुस्तकमा, डेभिड क्लिन्टनले तपाईंको ब्याकअप र रिकभरी प्रणालीलाई स्वचालित गर्ने, ड्रपबक्स-शैलीको व्यक्तिगत फाइल क्लाउड सेटअप गर्ने, र तपाईंको आफ्नै मिडियाविकी सर्भर सिर्जना गर्ने सहित १२ वास्तविक-जीवन परियोजनाहरू वर्णन गर्दछ। तपाईंले भर्चुअलाइजेशन, आपदा रिकभरी, सुरक्षा, ब्याकअप, DevOps, र रोचक केस स्टडीहरू मार्फत प्रणाली समस्या निवारण अन्वेषण गर्नुहुनेछ। प्रत्येक अध्याय उत्कृष्ट अभ्यासहरूको समीक्षा, नयाँ सर्तहरूको शब्दावली, र अभ्यासहरूको साथ समाप्त हुन्छ।

अंश "10.1। OpenVPN सुरुङ सिर्जना गर्दै"

मैले यस पुस्तकमा एन्क्रिप्शनको बारेमा धेरै कुरा गरिसकेको छु। SSH र SCP ले रिमोट जडानहरूमा स्थानान्तरण गरिएको डेटालाई सुरक्षित गर्न सक्छ (अध्याय 3), फाइल इन्क्रिप्शनले डेटालाई सुरक्षित गर्न सक्छ जब यो सर्भरमा भण्डारण हुन्छ (अध्याय 8), र TLS/SSL प्रमाणपत्रहरूले साइटहरू र क्लाइन्ट ब्राउजरहरू (अध्याय 9) बीच स्थानान्तरण गरिएको डेटालाई सुरक्षित गर्न सक्छ। । तर कहिलेकाहीँ तपाइँको डेटा जडान को एक व्यापक दायरा मा सुरक्षित गर्न आवश्यक छ। उदाहरणका लागि, सार्वजनिक हटस्पटहरू मार्फत Wi-Fi मा जडान गर्दा तपाईंको टोलीका केही सदस्यहरू सडकमा काम गर्छन्। तपाईंले पक्कै पनि त्यस्ता सबै पहुँच बिन्दुहरू सुरक्षित छन् भनी मान्नुहुन्न, तर तपाईंका मानिसहरूलाई कम्पनीका स्रोतहरूमा जडान हुनको लागि एउटा तरिका चाहिन्छ — र त्यहाँ VPN ले मद्दत गर्न सक्छ।

राम्रोसँग डिजाइन गरिएको VPN टनेलले असुरक्षित नेटवर्कमा यात्रा गर्दा डेटा लुकाउने तरिकामा रिमोट क्लाइन्टहरू र सर्भर बीचको सीधा जडान प्रदान गर्दछ। कै त? तपाईंले पहिले नै धेरै उपकरणहरू देख्नुभएको छ जुन यो इन्क्रिप्शनको साथ गर्न सक्छ। VPN को वास्तविक मूल्य यो हो कि सुरुङ खोलेर, तपाईं टाढाको नेटवर्कहरू जडान गर्न सक्नुहुन्छ मानौं तिनीहरू सबै स्थानीय थिए। एक अर्थमा, तपाइँ बाइपास प्रयोग गर्दै हुनुहुन्छ।

यो विस्तारित नेटवर्क प्रयोग गरेर, प्रशासकहरूले आफ्नो सर्भरमा जहाँबाट पनि आफ्नो काम गर्न सक्छन्। तर अझ महत्त्वपूर्ण कुरा, धेरै स्थानहरूमा फैलिएको स्रोतहरू भएको कम्पनीले उनीहरूलाई आवश्यक पर्ने सबै समूहहरू जहाँ भए पनि देख्न सकिने र पहुँचयोग्य बनाउन सक्छ (चित्र 10.1)।

सुरुङ आफैंले सुरक्षाको ग्यारेन्टी गर्दैन। तर एन्क्रिप्शन मापदण्डहरू मध्ये एक नेटवर्क संरचनामा समावेश गर्न सकिन्छ, जसले महत्त्वपूर्ण रूपमा सुरक्षाको स्तर बढाउँछ। खुला स्रोत OpenVPN प्याकेज प्रयोग गरेर सिर्जना गरिएका सुरुङहरूले तपाईंले पहिले नै पढ्नुभएको TLS/SSL इन्क्रिप्सन प्रयोग गर्दछ। OpenVPN मात्र टनेलिङ विकल्प उपलब्ध छैन, तर यो सबै भन्दा राम्रो ज्ञात मध्ये एक हो। यसलाई IPsec ईन्क्रिप्शन प्रयोग गर्ने वैकल्पिक लेयर 2 टनेल प्रोटोकल भन्दा थोरै छिटो र अधिक सुरक्षित मानिन्छ।

के तपाईं आफ्नो टोलीका सबैजनाले सडकमा वा विभिन्न भवनहरूमा काम गर्दा एकअर्कासँग सुरक्षित रूपमा सञ्चार गर्न चाहनुहुन्छ? यो गर्नको लागि, तपाईंले एप साझेदारी गर्न र सर्भरको स्थानीय नेटवर्क वातावरणमा पहुँच गर्न अनुमति दिनको लागि एउटा OpenVPN सर्भर सिर्जना गर्न आवश्यक छ। यो काम गर्नको लागि, तपाईंले केवल दुई भर्चुअल मेसिन वा दुई कन्टेनरहरू चलाउनु पर्छ: एउटा सर्भर/होस्टको रूपमा कार्य गर्न र अर्को ग्राहकको रूपमा कार्य गर्न। एक VPN निर्माण एक साधारण प्रक्रिया होइन, त्यसैले यो दिमागमा ठूलो तस्वीर प्राप्त गर्न केहि मिनेट लिन लायक छ।

१०.१.१। OpenVPN सर्भर कन्फिगरेसन

तपाईंले सुरु गर्नु अघि, म तपाईंलाई केही उपयोगी सल्लाह दिनेछु। यदि तपाइँ यसलाई आफैं गर्न जाँदै हुनुहुन्छ (र म तपाइँलाई अत्यधिक सिफारिस गर्दछु), तपाइँले तपाइँको डेस्कटपमा धेरै टर्मिनल सञ्झ्यालहरू खोल्दा, प्रत्येक फरक मेसिनमा जडान भएको हुन सक्छ। त्यहाँ जोखिम छ कि केहि बिन्दुमा तपाईले सञ्झ्यालमा गलत आदेश प्रविष्ट गर्नुहुनेछ। यसबाट बच्नको लागि, तपाइँ कमाण्ड लाइनमा देखाइएको मेसिनको नाम परिवर्तन गर्न होस्टनाम आदेश प्रयोग गर्न सक्नुहुन्छ जुन तपाइँ कहाँ हुनुहुन्छ स्पष्ट रूपमा बताउँछ। एकचोटि तपाईंले यो गर्नुभयो भने, तपाईंले सर्भरबाट लग आउट गर्न र नयाँ सेटिङहरू प्रभाव पार्नको लागि फेरि लग इन गर्न आवश्यक पर्दछ। यो के जस्तो देखिन्छ:

यस दृष्टिकोणलाई पछ्याएर र तपाईंले काम गर्ने प्रत्येक मेसिनलाई उपयुक्त नामहरू दिएर, तपाईं सजिलैसँग आफ्नो ठाउँको ट्र्याक राख्न सक्नुहुन्छ।

होस्टनाम प्रयोग गरिसकेपछि, तपाईंले पछिका आदेशहरू कार्यान्वयन गर्दा होस्ट OpenVPN-सर्भर सन्देशहरू समाधान गर्न असक्षम हुने कष्टप्रद सामना गर्न सक्नुहुन्छ। उपयुक्त नयाँ होस्टनामको साथ /etc/hosts फाइल अद्यावधिक गर्दा समस्या समाधान गर्नुपर्छ।

OpenVPN को लागि तपाइँको सर्भर तयार गर्दै

तपाईंको सर्भरमा OpenVPN स्थापना गर्न, तपाईंलाई दुई प्याकेजहरू चाहिन्छ: openvpn र easy-rsa (इन्क्रिप्शन कुञ्जी उत्पादन प्रक्रिया व्यवस्थापन गर्न)। यदि आवश्यक भएमा CentOS प्रयोगकर्ताहरूले पहिले एपेल-रिलिज रिपोजिटरी स्थापना गर्नुपर्छ, जस्तै तपाईंले अध्याय 2 मा गर्नुभयो। सर्भर अनुप्रयोगमा पहुँच परीक्षण गर्न सक्षम हुन, तपाईंले Apache वेब सर्भर (Ubuntu मा apache2 र CentOS मा httpd) पनि स्थापना गर्न सक्नुहुन्छ।

तपाईंले आफ्नो सर्भर सेटअप गर्दा, म 22 (SSH) र 1194 (OpenVPN को पूर्वनिर्धारित पोर्ट) बाहेक सबै पोर्टहरू ब्लक गर्ने फायरवाल सक्रिय गर्न सिफारिस गर्छु। यो उदाहरणले उबुन्टुमा ufw कसरी काम गर्छ भनेर वर्णन गर्दछ, तर म पक्का छु कि तपाइँ अझै पनि अध्याय 9 बाट CentOS फायरवालल्ड कार्यक्रम सम्झनुहुन्छ:

# ufw enable
# ufw allow 22
# ufw allow 1194

सर्भरमा सञ्जाल इन्टरफेसहरू बीचको आन्तरिक राउटिङ सक्षम गर्न, तपाईंले /etc/sysctl.conf फाइलमा एउटा लाइन (net.ipv4.ip_forward = 1) अनकमेन्ट गर्नुपर्छ। यसले रिमोट क्लाइन्टहरूलाई जडित भएपछि आवश्यकता अनुसार रिडिरेक्ट गर्न अनुमति दिनेछ। नयाँ विकल्प काम गर्न, sysctl -p चलाउनुहोस्:

# nano /etc/sysctl.conf
# sysctl -p

तपाइँको सर्भर वातावरण अब पूर्ण रूपले कन्फिगर गरिएको छ, तर तपाइँ तयार हुनु भन्दा पहिले गर्न को लागी अझै एउटा कुरा छ: तपाइँले निम्न चरणहरू पूरा गर्न आवश्यक छ (हामी तिनीहरूलाई अर्को विवरणमा कभर गर्नेछौं)।

सजिलो-rsa प्याकेजको साथ प्रदान गरिएको स्क्रिप्टहरू प्रयोग गरेर सर्भरमा सार्वजनिक कुञ्जी पूर्वाधार (PKI) इन्क्रिप्शन कुञ्जीहरूको सेट सिर्जना गर्नुहोस्। अनिवार्य रूपमा, OpenVPN सर्भरले यसको आफ्नै प्रमाणपत्र प्राधिकरण (CA) को रूपमा पनि कार्य गर्दछ।
ग्राहकको लागि उपयुक्त कुञ्जीहरू तयार गर्नुहोस्
सर्भरको लागि server.conf फाइल कन्फिगर गर्नुहोस्
आफ्नो OpenVPN क्लाइन्ट सेट अप गर्नुहोस्
आफ्नो VPN जाँच गर्नुहोस्

इन्क्रिप्सन कुञ्जीहरू उत्पन्न गर्दै

चीजहरू सरल राख्नको लागि, तपाईंले आफ्नो मुख्य पूर्वाधार त्यही मेसिनमा सेटअप गर्न सक्नुहुन्छ जहाँ OpenVPN सर्भर चलिरहेको छ। यद्यपि, सुरक्षा उत्तम अभ्यासहरूले सामान्यतया उत्पादन डिप्लोइमेन्टहरूको लागि छुट्टै CA सर्भर प्रयोग गर्ने सुझाव दिन्छ। OpenVPN मा प्रयोगको लागि ईन्क्रिप्शन कुञ्जी स्रोतहरू उत्पन्न गर्ने र वितरण गर्ने प्रक्रियालाई चित्रमा चित्रण गरिएको छ। १०.२।

जब तपाईंले OpenVPN स्थापना गर्नुभयो, /etc/openvpn/ डाइरेक्टरी स्वतः सिर्जना गरिएको थियो, तर यसमा अझै केही छैन। openvpn र easy-rsa प्याकेजहरू उदाहरण टेम्प्लेट फाइलहरूसँग आउँछन् जुन तपाईंले आफ्नो कन्फिगरेसनको आधारको रूपमा प्रयोग गर्न सक्नुहुन्छ। प्रमाणीकरण प्रक्रिया सुरु गर्न, सजिलो-rsa टेम्प्लेट डाइरेक्टरी /usr/share/ बाट /etc/openvpn मा प्रतिलिपि गर्नुहोस् र easy-rsa/ डाइरेक्टरीमा परिवर्तन गर्नुहोस्:

# cp -r /usr/share/easy-rsa/ /etc/openvpn
$ cd /etc/openvpn/easy-rsa

सजिलो-rsa डाइरेक्टरीले अब धेरै लिपिहरू समावेश गर्नेछ। तालिकामा 10.1 ले कुञ्जीहरू सिर्जना गर्न प्रयोग गर्ने उपकरणहरू सूचीबद्ध गर्दछ।

माथिको अपरेसनहरूलाई रूट विशेषाधिकारहरू चाहिन्छ, त्यसैले तपाईंलाई sudo su मार्फत रूट बन्न आवश्यक छ।

तपाईंले काम गर्नुहुने पहिलो फाइललाई vars भनिन्छ र यसले कुञ्जीहरू सिर्जना गर्दा सजिलो-rsa प्रयोग गर्ने वातावरणीय चरहरू समावेश गर्दछ। तपाईंले पहिले नै त्यहाँ रहेका पूर्वनिर्धारित मानहरूको सट्टा आफ्नै मानहरू प्रयोग गर्न फाइल सम्पादन गर्न आवश्यक छ। यो मेरो फाइल जस्तो देखिन्छ (सूची 10.1)।

सूचीकरण 10.1। फाइलको मुख्य टुक्राहरू /etc/openvpn/easy-rsa/vars

export KEY_COUNTRY="CA"
export KEY_PROVINCE="ON"
export KEY_CITY="Toronto"
export KEY_ORG="Bootstrap IT"
export KEY_EMAIL="[email protected]"
export KEY_OU="IT"

vars फाइल चलाउँदा यसको मानहरू शेल वातावरणमा पास हुनेछ, जहाँ तिनीहरू तपाईंको नयाँ कुञ्जीहरूको सामग्रीमा समावेश हुनेछन्। किन sudo आदेश आफैले काम गर्दैन? किनभने पहिलो चरणमा हामीले vars नामक स्क्रिप्ट सम्पादन गर्छौं र त्यसपछि लागू गर्छौं। लागू गर्दै र यसको मतलब vars फाइलले यसको मानहरू शेल वातावरणमा पास गर्दछ, जहाँ तिनीहरू तपाईंको नयाँ कुञ्जीहरूको सामग्रीहरूमा समावेश हुनेछन्।

अधूरो प्रक्रिया पूरा गर्न नयाँ शेल प्रयोग गरी फाइल पुन: चलाउन निश्चित हुनुहोस्। जब यो गरिन्छ, स्क्रिप्टले तपाइँलाई /etc/openvpn/easy-rsa/keys/ डाइरेक्टरीमा कुनै पनि सामग्री हटाउन अर्को स्क्रिप्ट, सफा-सबै चलाउन प्रम्प्ट गर्नेछ:

स्वाभाविक रूपमा, अर्को चरण सफा-सबै लिपि चलाउनु हो, त्यसपछि बिल्ड-सीए, जसले मूल प्रमाणपत्र सिर्जना गर्न pkitool लिपि प्रयोग गर्दछ। तपाईंलाई vars द्वारा प्रदान गरिएको पहिचान सेटिङहरू पुष्टि गर्न सोधिनेछ:

# ./clean-all
# ./build-ca
Generating a 2048 bit RSA private key

अर्को बिल्ड-कुञ्जी-सर्भर स्क्रिप्ट आउँछ। यसले नयाँ रूट प्रमाणपत्रको साथमा उही pkitool लिपि प्रयोग गरेको हुनाले, तपाईंले कुञ्जी जोडीको सिर्जना पुष्टि गर्न उही प्रश्नहरू देख्नुहुनेछ। तपाईंले पास गर्नुभएका तर्कहरूमा आधारित कुञ्जीहरूलाई नाम दिइनेछ, जुन, जबसम्म तपाईं यस मेसिनमा धेरै VPN चलाउँदै हुनुहुन्छ, सामान्यतया सर्भर हुनेछ, उदाहरणमा जस्तै:

# ./build-key-server server
[...]
Certificate is to be certified until Aug 15 23:52:34 2027 GMT (3650 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

OpenVPN ले Diffie-Hellman एल्गोरिथ्म (build-dh प्रयोग गरेर) द्वारा उत्पन्न गरिएका प्यारामिटरहरू प्रयोग गर्दछ नयाँ जडानहरूको लागि प्रमाणीकरण वार्ता गर्न। यहाँ सिर्जना गरिएको फाइल गोप्य हुनु आवश्यक छैन, तर हाल सक्रिय रहेका RSA कुञ्जीहरूका लागि बिल्ड-डीएच स्क्रिप्ट प्रयोग गरेर उत्पन्न हुनुपर्छ। यदि तपाईंले भविष्यमा नयाँ RSA कुञ्जीहरू सिर्जना गर्नुभयो भने, तपाईंले Diffie-Hellman फाइललाई पनि अद्यावधिक गर्न आवश्यक हुनेछ:

# ./build-dh

तपाईंको सर्भर साइड कुञ्जीहरू अब /etc/openvpn/easy-rsa/keys/ डाइरेक्टरीमा समाप्त हुनेछन्, तर OpenVPN लाई यो थाहा छैन। पूर्वनिर्धारित रूपमा, OpenVPN /etc/openvpn/ मा कुञ्जीहरू खोज्नेछ, त्यसैले तिनीहरूलाई प्रतिलिपि गर्नुहोस्:

# cp /etc/openvpn/easy-rsa/keys/server* /etc/openvpn
# cp /etc/openvpn/easy-rsa/keys/dh2048.pem /etc/openvpn
# cp /etc/openvpn/easy-rsa/keys/ca.crt /etc/openvpn

क्लाइन्ट इन्क्रिप्सन कुञ्जीहरू तयार गर्दै

तपाईले पहिले नै देख्नु भएको छ, TLS एन्क्रिप्शनले मिल्दो कुञ्जीहरूको जोडी प्रयोग गर्दछ: एउटा सर्भरमा स्थापना गरिएको छ र अर्को रिमोट क्लाइन्टमा स्थापना गरिएको छ। यसको मतलब तपाईलाई ग्राहक कुञ्जीहरू चाहिन्छ। हाम्रो पुरानो साथी pkitool तपाईलाई यसको लागि चाहिने कुरा हो। यस उदाहरणमा, जब हामीले /etc/openvpn/easy-rsa/ डाइरेक्टरीमा प्रोग्राम चलाउँछौं, हामी यसलाई client.crt र client.key भनिने फाइलहरू उत्पन्न गर्न क्लाइन्ट तर्क पास गर्छौं:

# ./pkitool client

दुई क्लाइन्ट फाइलहरू, मूल ca.crt फाइलसँग जुन अझै पनि कुञ्जी/ डाइरेक्टरीमा छ, अब सुरक्षित रूपमा तपाईंको क्लाइन्टमा स्थानान्तरण गरिनुपर्छ। तिनीहरूको स्वामित्व र पहुँच अधिकारको कारण, यो त्यति सजिलो नहुन सक्छ। सबैभन्दा सरल तरिका भनेको स्रोत फाइलको सामग्रीहरू (र त्यो सामग्रीबाहेक अरू केही छैन) तपाईंको पीसीको डेस्कटपमा चलिरहेको टर्मिनलमा प्रतिलिपि गर्नु हो (पाठ चयन गर्नुहोस्, यसमा दायाँ क्लिक गर्नुहोस् र मेनुबाट प्रतिलिपि चयन गर्नुहोस्)। त्यसपछि यसलाई नयाँ फाइलमा त्यही नामको साथ टाँस्नुहोस् जुन तपाईंले आफ्नो ग्राहकसँग जोडिएको दोस्रो टर्मिनलमा सिर्जना गर्नुभयो।

तर कसैले काट्न र टाँस्न सक्छ। यसको सट्टा, प्रशासकको रूपमा सोच्नुहोस् किनभने तपाईंसँग सधैं GUI मा पहुँच हुने छैन जहाँ कट/पेस्ट अपरेशनहरू सम्भव छन्। फाइलहरूलाई तपाईंको प्रयोगकर्ताको गृह डाइरेक्टरीमा प्रतिलिपि गर्नुहोस् (रिमोट scp सञ्चालनले तिनीहरूलाई पहुँच गर्न सकोस्) र त्यसपछि chown प्रयोग गर्नुहोस् फाइलहरूको स्वामित्व रूटबाट नियमित गैर-रूट प्रयोगकर्तामा परिवर्तन गर्नका लागि ताकि टाढाको scp कार्य गर्न सकिन्छ। सुनिश्चित गर्नुहोस् कि तपाइँका सबै फाइलहरू हाल स्थापित र पहुँचयोग्य छन्। तपाइँ तिनीहरूलाई केहि पछि ग्राहकमा सार्नुहुनेछ:

# cp /etc/openvpn/easy-rsa/keys/client.key /home/ubuntu/
# cp /etc/openvpn/easy-rsa/keys/ca.crt /home/ubuntu/
# cp /etc/openvpn/easy-rsa/keys/client.crt /home/ubuntu/
# chown ubuntu:ubuntu /home/ubuntu/client.key
# chown ubuntu:ubuntu /home/ubuntu/client.crt
# chown ubuntu:ubuntu /home/ubuntu/ca.crt

इन्क्रिप्सन कुञ्जीहरूको पूर्ण सेटको साथमा, तपाईंले VPN कसरी सिर्जना गर्न चाहनुहुन्छ भनेर सर्भरलाई बताउन आवश्यक छ। यो server.conf फाइल प्रयोग गरी गरिन्छ।

कीस्ट्रोकहरूको संख्या घटाउँदै

त्यहाँ धेरै टाइपिङ छ? कोष्ठकको साथ विस्तारले यी छवटा आदेशहरूलाई दुईमा घटाउन मद्दत गर्नेछ। म पक्का छु कि तपाईंले यी दुई उदाहरणहरू अध्ययन गर्न सक्नुहुन्छ र के भइरहेको छ बुझ्न सक्नुहुन्छ। अझ महत्त्वपूर्ण कुरा, तपाईंले दसौं वा सयौं तत्वहरू समावेश गर्ने कार्यहरूमा यी सिद्धान्तहरू कसरी लागू गर्ने भनेर बुझ्न सक्षम हुनुहुनेछ:
# cp /etc/openvpn/easy-rsa/keys/{ca.crt,client.{key,crt}} /home/ubuntu/
# chown ubuntu:ubuntu /home/ubuntu/{ca.crt,client.{key,crt}}

server.conf फाइल सेटअप गर्दै

तपाइँ कसरी थाहा पाउन सक्नुहुन्छ server.conf फाइल कस्तो हुनुपर्छ? तपाईंले /usr/share/ बाट प्रतिलिपि गर्नुभएको सजिलो-rsa डाइरेक्टरी टेम्प्लेट सम्झनुहोस्? जब तपाइँ OpenVPN स्थापना गर्नुहुन्छ, तपाइँसँग संकुचित कन्फिगरेसन टेम्प्लेट फाइल छ जुन तपाइँ /etc/openvpn/ मा प्रतिलिपि गर्न सक्नुहुन्छ। म यस तथ्यमा निर्माण गर्नेछु कि टेम्प्लेट अभिलेख गरिएको छ र तपाईंलाई उपयोगी उपकरणमा परिचय गराउँछु: zcat।

तपाइँलाई पहिले नै cat कमाण्ड प्रयोग गरेर स्क्रिनमा फाइलको पाठ सामग्री प्रिन्ट गर्ने बारे थाहा छ, तर के हुन्छ यदि फाइल gzip प्रयोग गरेर कम्प्रेस गरिएको छ? तपाइँ जहिले पनि फाइल अनजिप गर्न सक्नुहुन्छ र त्यसपछि बिरालोले खुसीसाथ यसलाई आउटपुट गर्नेछ, तर यो आवश्यक भन्दा एक वा दुई थप कदम हो। यसको सट्टा, तपाईले अनुमान गर्नु भएको हुन सक्छ, तपाईले zcat आदेश जारी गर्न सक्नुहुन्छ अनप्याक गरिएको पाठलाई मेमोरीमा एक चरणमा लोड गर्न। निम्न उदाहरणमा, स्क्रिनमा पाठ प्रिन्ट गर्नुको सट्टा, तपाईंले यसलाई server.conf भनिने नयाँ फाइलमा रिडिरेक्ट गर्नुहुनेछ:

# zcat 
  /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz 
  > /etc/openvpn/server.conf
$ cd /etc/openvpn

फाईलको साथ आउने विस्तृत र उपयोगी कागजातहरूलाई एकै ठाउँमा राखौं र हेरौं कि तपाईंले सम्पादन गरिसकेपछि यो कस्तो देखिन्छ। नोट गर्नुहोस् कि अर्धविराम (;) ले OpenVPN लाई अर्को लाइन (सूची 10.2) पढ्न वा कार्यान्वयन नगर्न बताउँछ।

यी केही सेटिङहरू मार्फत जाऔं।

पूर्वनिर्धारित रूपमा, OpenVPN पोर्ट 1194 मा चल्छ। तपाइँ यसलाई परिवर्तन गर्न सक्नुहुन्छ, उदाहरणका लागि, तपाइँका गतिविधिहरू थप लुकाउन वा अन्य सक्रिय टनेलहरूसँग द्वन्द्वबाट बच्न। किनकि 1194 लाई ग्राहकहरूसँग न्यूनतम समन्वय आवश्यक छ, यो यस तरिकाले गर्नु उत्तम हुन्छ।
OpenVPN ले डाटा ट्रान्समिट गर्न ट्रान्समिशन कन्ट्रोल प्रोटोकल (TCP) वा प्रयोगकर्ता डाटाग्राम प्रोटोकल (UDP) को प्रयोग गर्दछ। TCP थोरै ढिलो हुन सक्छ, तर यो अधिक भरपर्दो छ र सुरुङको दुबै छेउमा चल्ने एप्लिकेसनहरूद्वारा बुझ्न सकिन्छ।
तपाईंले dev tun निर्दिष्ट गर्न सक्नुहुन्छ जब तपाईं एक सरल, अधिक कुशल IP टनेल सिर्जना गर्न चाहनुहुन्छ जसले डाटा सामग्री बोक्छ र अरू केही छैन। यदि, अर्कोतर्फ, तपाईले धेरै नेटवर्क इन्टरफेसहरू (र तिनीहरूले प्रतिनिधित्व गर्ने नेटवर्कहरू) जडान गर्न आवश्यक छ भने, इथरनेट ब्रिज सिर्जना गर्न, तपाईंले dev ट्याप छनौट गर्नुपर्नेछ। यदि तपाईंले यो सबैको अर्थ बुझ्नुभएको छैन भने, ट्युन तर्क प्रयोग गर्नुहोस्।
अर्को चार लाइनहरूले OpenVPN लाई सर्भरमा तीन प्रमाणीकरण फाइलहरू र तपाईंले पहिले सिर्जना गर्नुभएको dh2048 विकल्प फाइलहरूको नाम दिन्छ।
सर्भर लाइनले दायरा र सबनेट मास्क सेट गर्दछ जुन लगइनमा ग्राहकहरूलाई IP ठेगानाहरू तोक्न प्रयोग गरिनेछ।
वैकल्पिक पुश प्यारामिटर "रूट 10.0.3.0 255.255.255.0" ले टाढाका क्लाइन्टहरूलाई सर्भर पछाडि निजी सबनेटहरू पहुँच गर्न अनुमति दिन्छ। यो काम गर्नको लागि सर्भरमा नै नेटवर्क सेटअप गर्न आवश्यक छ ताकि निजी सबनेटले OpenVPN सबनेट (10.8.0.0) को बारेमा थाहा पाउँछ।
पोर्ट-सेयर लोकलहोस्ट 80 लाइनले तपाईंलाई पोर्ट 1194 मा आउँदै गरेको ग्राहक ट्राफिकलाई पोर्ट 80 मा सुन्ने स्थानीय वेब सर्भरमा पुन: निर्देशित गर्न अनुमति दिन्छ। त्यसपछि जब tcp प्रोटोकल चयन हुन्छ।
सेमीकोलन (;) हटाएर प्रयोगकर्ता कोही छैन र समूह नोग्रुप लाइनहरू सक्षम हुनुपर्छ। रिमोट क्लाइन्टहरूलाई कोही पनि र nogroup को रूपमा चलाउन बाध्य पार्नुले सर्भरमा सत्रहरू विशेषाधिकाररहित छन् भनेर सुनिश्चित गर्दछ।
log ले निर्दिष्ट गर्दछ कि हालको लग प्रविष्टिहरूले प्रत्येक पटक OpenVPN सुरु गर्दा पुरानो प्रविष्टिहरू अधिलेखन गर्नेछन्, जबकि लग-append ले अवस्थित लग फाइलमा नयाँ प्रविष्टिहरू थप्छ। openvpn.log फाइल आफैं /etc/openvpn/ डाइरेक्टरीमा लेखिएको छ।

थप रूपमा, एक ग्राहक-देखि-ग्राहक मान पनि प्राय: कन्फिगरेसन फाइलमा थपिएको छ ताकि धेरै क्लाइन्टहरूले OpenVPN सर्भरको अतिरिक्त एक अर्कालाई हेर्न सक्छन्। यदि तपाइँ तपाइँको कन्फिगरेसन संग सन्तुष्ट हुनुहुन्छ भने, तपाइँ OpenVPN सर्भर सुरु गर्न सक्नुहुन्छ:

# systemctl start openvpn

OpenVPN र systemd बीचको सम्बन्धको परिवर्तन प्रकृतिको कारणले गर्दा, निम्न वाक्य रचना कहिलेकाहीं सेवा सुरु गर्न आवश्यक हुन सक्छ: systemctl start openvpn@server।

तपाईंको सर्भरको नेटवर्क इन्टरफेसहरू सूचीबद्ध गर्न ip addr चलाउँदा अब tun0 भनिने नयाँ इन्टरफेसमा लिङ्क आउटपुट गर्नुपर्छ। OpenVPN ले यसलाई आगमन ग्राहकहरूको सेवा गर्न सिर्जना गर्नेछ:

$ ip addr
[...]
4: tun0: mtu 1500 qdisc [...]
      link/none
      inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0
          valid_lft forever preferred_lft forever

तपाईंले सर्भर रिबुट गर्न आवश्यक हुन सक्छ सबै कुरा पूर्ण रूपमा काम गर्न सुरु गर्नु अघि। अर्को स्टप ग्राहक कम्प्युटर हो।

१०.१.२। OpenVPN क्लाइन्ट कन्फिगर गर्दै

परम्परागत रूपमा, सुरुङहरू कम्तिमा दुई निकासहरूसँग बनाइन्छ (अन्यथा हामी तिनीहरूलाई गुफाहरू भन्नेछौं)। सर्भरमा राम्रोसँग कन्फिगर गरिएको OpenVPN ले ट्राफिकलाई एक छेउमा सुरुङ भित्र र बाहिर निर्देशित गर्दछ। तर तपाईलाई क्लाइन्ट साइडमा चलिरहेको केही सफ्टवेयर पनि चाहिन्छ, त्यो सुरुङको अर्को छेउमा।

यस खण्डमा, म OpenVPN क्लाइन्टको रूपमा कार्य गर्न केही प्रकारको लिनक्स कम्प्युटर म्यानुअल रूपमा सेटअप गर्नमा ध्यान केन्द्रित गर्न जाँदैछु। तर यो एक मात्र तरिका होइन जसमा यो अवसर उपलब्ध छ। OpenVPN ले विन्डोज वा macOS चलिरहेको डेस्कटप र ल्यापटपहरू, साथै एन्ड्रोइड र आईओएस स्मार्टफोन र ट्याब्लेटहरूमा स्थापना र प्रयोग गर्न सकिने क्लाइन्ट अनुप्रयोगहरूलाई समर्थन गर्दछ। विवरणका लागि openvpn.net हेर्नुहोस्।

OpenVPN प्याकेजलाई क्लाइन्ट मेसिनमा स्थापना गर्न आवश्यक छ जुन सर्भरमा स्थापना गरिएको थियो, यद्यपि तपाईले प्रयोग गरिरहनुभएको कुञ्जीहरू पहिले नै अवस्थित भएकोले यहाँ सजिलो-rsa को आवश्यकता छैन। तपाईंले भर्खर सिर्जना गर्नुभएको /etc/openvpn/ डाइरेक्टरीमा client.conf टेम्प्लेट फाइल प्रतिलिपि गर्न आवश्यक छ। यस पटक फाइल zip गरिने छैन, त्यसैले नियमित cp आदेशले काम राम्रो गर्नेछ:

# apt install openvpn
# cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf 
  /etc/openvpn/

तपाईंको client.conf फाइलमा धेरै सेटिङहरू धेरै आत्म-व्याख्यात्मक हुनेछन्: तिनीहरू सर्भरमा मानहरूसँग मेल खानुपर्छ। तपाईले निम्न उदाहरण फाइलबाट देख्न सक्नुहुन्छ, अद्वितीय प्यारामिटर रिमोट 192.168.1.23 1194 हो, जसले ग्राहकलाई सर्भरको IP ठेगाना बताउँछ। फेरि, निश्चित गर्नुहोस् कि यो तपाइँको सर्भर ठेगाना हो। सम्भावित म्यान-इन-द-मिडल आक्रमण रोक्नको लागि तपाईंले क्लाइन्ट कम्प्यूटरलाई सर्भर प्रमाणपत्रको प्रमाणिकता प्रमाणित गर्न बाध्य पार्नु पर्छ। यो गर्ने एउटा तरिका लाइन remote-cert-tls सर्भर (सूची 10.3) थप्नु हो।

तपाईं अब /etc/openvpn/ डाइरेक्टरीमा जान सक्नुहुन्छ र सर्भरबाट प्रमाणीकरण कुञ्जीहरू निकाल्न सक्नुहुन्छ। उदाहरणमा सर्भर आईपी ठेगाना वा डोमेन नामलाई तपाईंको मानहरूसँग बदल्नुहोस्:

तपाईंले क्लाइन्टमा OpenVPN नचलाएसम्म रोमाञ्चक केही पनि हुने छैन। तपाईंले केही तर्कहरू पास गर्न आवश्यक भएकोले, तपाईंले यसलाई कमाण्ड लाइनबाट गर्नुहुनेछ। --tls-client तर्कले OpenVPN लाई बताउँछ कि तपाइँ ग्राहकको रूपमा कार्य गर्नुहुनेछ र TLS एन्क्रिप्शन मार्फत जडान गर्नुहुनेछ, र --config तपाइँको कन्फिगरेसन फाइलमा पोइन्टहरू:

# openvpn --tls-client --config /etc/openvpn/client.conf

कमाण्ड आउटपुट सावधानीपूर्वक पढ्नुहोस् कि तपाइँ ठीकसँग जडान हुनुहुन्छ भनेर सुनिश्चित गर्न। यदि पहिलो पटक केहि गलत भयो भने, यो सर्भर र क्लाइन्ट कन्फिगरेसन फाइलहरू वा नेटवर्क जडान/फायरवाल समस्या बीचको सेटिङहरूमा बेमेलको कारण हुन सक्छ। यहाँ केहि समस्या निवारण सुझावहरू छन्।

ग्राहकमा OpenVPN सञ्चालनको आउटपुट ध्यानपूर्वक पढ्नुहोस्। यसले प्रायः के गर्न सकिँदैन र किन गर्न सकिँदैन भन्ने बारे बहुमूल्य सल्लाह समावेश गर्दछ।
सर्भरमा /etc/openvpn/ डाइरेक्टरीमा openvpn.log र openvpn-status.log फाइलहरूमा त्रुटि सन्देशहरू जाँच गर्नुहोस्।
OpenVPN-सम्बन्धित र समयबद्ध सन्देशहरूको लागि सर्भर र क्लाइन्टमा प्रणाली लगहरू जाँच गर्नुहोस्। (journalctl -ce ले सबैभन्दा भर्खरको प्रविष्टिहरू प्रदर्शन गर्नेछ।)
निश्चित गर्नुहोस् कि तपाइँसँग सर्भर र क्लाइन्ट बीच एक सक्रिय नेटवर्क जडान छ (यस बारे थप अध्याय 14 मा)।

लेखकको बारेमा

डेभिड क्लिन्टन - प्रणाली प्रशासक, शिक्षक र लेखक। उनले लिनक्स प्रणाली, क्लाउड कम्प्युटिङ (विशेष गरी AWS), र डकर जस्ता कन्टेनर प्रविधिहरू सहित धेरै महत्त्वपूर्ण प्राविधिक विषयहरूको लागि प्रशासित, लेखेका र शैक्षिक सामग्रीहरू सिर्जना गरेका छन्। उनले लर्न अमेजन वेब सर्भिसेज इन अ मन्थ अफ लन्च (म्यानिङ, २०१७) नामक पुस्तक लेखे। उहाँका धेरै भिडियो प्रशिक्षण पाठ्यक्रमहरू Pluralsight.com मा फेला पार्न सकिन्छ, र उहाँका अन्य पुस्तकहरूको लिङ्कहरू (लिनक्स प्रशासन र सर्भर भर्चुअलाइजेशनमा) मा उपलब्ध छन्। bootstrap-it.com.

» पुस्तकको बारेमा थप विवरणहरू यहाँ पाउन सकिन्छ प्रकाशकको वेबसाइट
» सामग्रीको तालिका
» अंश

Khabrozhiteley को लागि कुपन प्रयोग गरेर 25% छुट - लिनक्स
पुस्तकको पेपर संस्करणको भुक्तानी गरेपछि, एक इलेक्ट्रोनिक पुस्तक इ-मेल मार्फत पठाइनेछ।

स्रोत: www.habr.com

पुस्तक "लिनक्स इन एक्शन"