ProHoster > Π‘Π»ΠΎΠ³ > Maamulka > Linux ee buuga Action

Linux ee buuga Action

Linux ee buuga Action Hello, reer Khabro! Buugga dhexdiisa, David Clinton waxa uu ku qeexay 12 mashruuc oo nolosha dhabta ah, oo ay ku jiraan in la habeeyo nidaamkaaga kaydinta iyo soo kabashada, samaynta daruur fayl shakhsi ah oo Dropbox ah, iyo abuurista server-kaaga MediaWiki. Waxaad sahamin doontaa qaabaynta, soo kabashada musiibada, amniga, kaabta, DevOps, iyo cilad-saarka nidaamka iyada oo loo marayo daraasado kiis oo xiiso leh. Cutub kastaa wuxuu ku dhamaanayaa dib u eegis lagu sameeyo dhaqamada ugu wanagsan, qaamuuska ereyada cusub, iyo layliyada.

Xigasho "10.1. Abuuritaanka tunnel OpenVPN"

In badan ayaan hore uga hadlay sirta buuggan. SSH iyo SCP waxa ay ilaalin karaan xogta lagu wareejiyo xidhiidhada fog (Cutubka 3), sirta faylka waxa ay ilaalin kartaa xogta inta lagu kaydinayo server-ka (Cutubka 8), iyo shahaadooyinka TLS/SSL waxa ay ilaalin karaan xogta u dhaxaysa baraha iyo daalacashada macmiilka (Cutubka 9) . Laakiin mararka qaarkood xogtaadu waxay u baahan tahay in lagu ilaaliyo xidhiidho kala duwan oo ballaadhan. Tusaale ahaan, waxaa laga yaabaa in qaar ka mid ah xubnaha kooxdaadu ay ka shaqeeyaan wadada marka ay ku xidhmayaan Wi-Fi iyaga oo isticmaalaya goobaha dadweynaha. Dhab ahaantii waa inaadan u qaadan in dhammaan goobaha gelitaanka noocaas ahi ay ammaan yihiin, laakiin dadkaagu waxay u baahan yihiin hab ay ku xidhmaan ilaha shirkadda - waana meesha VPN ku caawin karto.

Tunnel-ka VPN ee si habboon loo qaabeeyey waxa uu bixiyaa xidhiidh toos ah oo ka dhexeeya macaamiisha fogfog iyo server-ka si uu u qariyo xogta marka uu ku dul safrayo shabakad aan ammaan ahayn. Haddaba waa maxay? Waxaad hore u aragtay qalabyo badan oo tan ku samayn kara sir. Qiimaha dhabta ah ee VPN waa in marka la furo tunnel, waxaad ku xidhi kartaa shabakadaha fog sida haddii ay dhamaantood yihiin kuwa maxaliga ah. Macne ahaan, waxaad isticmaaleysaa meel dhaaf.

Isticmaalka shabakadan la dheereeyey, maamulayaashu waxay shaqadooda ku qabsan karaan server-kooda meel kasta. Laakiin waxaa ka sii muhiimsan, shirkad leh kheyraad ku baahsan meelo badan waxay ka dhigi kartaa dhammaantood la arki karo oo la heli karo dhammaan kooxaha u baahan, meel kasta oo ay joogaan (Jaantus 10.1).

Tunnel lafteedu ma dammaanad qaadayso ammaanka. Laakiin mid ka mid ah heerarka sirta ah ayaa lagu dari karaa qaab dhismeedka shabakadda, taas oo si weyn u kordhisa heerka amniga. Tunnel-yada la sameeyay iyadoo la adeegsanayo isha furan ee xirmada OpenVPN waxay isticmaashaa sirta TLS/SSL ee aad hore uga akhriday. OpenVPN maaha ikhtiyaarka tunneling kaliya ee la heli karo, laakiin waa mid ka mid ah kuwa ugu caansan. Waxa loo tixgalinayaa in ay ka dhakhso badan tahay kana ammaan badan tahay habka kale ee lakabka 2 tunnel borotokoolka isticmaala sirta IPsec.

Ma doonaysaa in qof kasta oo kooxdaada ka mid ahi uu si badbaado leh ula xidhiidho midba midka kale marka uu waddada ku jiro ama ka shaqaynayo dhismayaal kala duwan? Si tan loo sameeyo, waxaad u baahan tahay inaad abuurto adeegaha OpenVPN si aad ugu oggolaato wadaagista codsiga iyo gelitaanka deegaanka shabakadaha deegaanka ee serferka. Si ay tani u shaqeyso, waxa kaliya ee aad u baahan tahay inaad sameyso waa inaad socodsiiso laba mashiin ama laba weel: mid u dhaqmo sidii server/martigeliyaha iyo mid u dhaqmo sidii macmiilka. Dhisida VPN ma aha hawl fudud, marka waxa ay u badan tahay in ay mudan tahay in la qaato dhawr daqiiqo si aad maskaxda ugu hayso sawirka weyn.

Linux ee buuga Action

10.1.1. Isku xidhka Server OpenVPN

Kahor intaadan bilaabin, waxaan ku siin doonaa talo waxtar leh. Haddii aad rabto inaad adigu sameyso (oo aan aad ugula talinayo inaad sameyso), waxay u badan tahay inaad isku aragto inaad la shaqeyneyso daaqado badan oo terminal ah oo ka furan Desktop-kaaga, mid walbana wuxuu ku xiran yahay mashiin kale. Waxaa jirta khatar ah in mar uun aad geli doonto amarka qaldan daaqadda. Si taas looga fogaado, waxaad isticmaali kartaa amarka hostname si aad u bedesho magaca mashiinka ee lagu soo bandhigay khadka taliska wax si cad kuugu sheegaya meesha aad joogto. Markaad tan sameyso, waxaad u baahan doontaa inaad ka baxdo server-ka oo aad dib u gasho si goobaha cusubi u dhaqan galo. Tani waa sida ay u egtahay:

Linux ee buuga Action
Markaad raacdo habkan oo aad siiso magacyo ku habboon mid kasta oo ka mid ah mishiinnada aad ku shaqeyso, waxaad si fudud ula socon kartaa meesha aad joogto.

Ka dib markaad isticmaasho magaca martida, waxaad la kulmi kartaa xanaaq aan awoodin inaad xalliso farriimaha furanVPN-Server-ka martigeliyaha markaad fulinayso amarrada xiga. Cusbooneysiinta faylka /etc/hosts oo leh magaca martida cusub ee ku habboon waa in ay xallisaa arrinta.

U diyaarinta serverkaaga OpenVPN

Si aad ugu rakibto OpenVPN server-kaaga, waxaad u baahan tahay laba xirmo: openvpn iyo easy-rsa (si aad u maareyso habka abuurista furaha sirta ah). Isticmaalayaasha CentOS waa inay marka hore rakibaan kaydka epel-lease haddii loo baahdo, sida aad ku samaysay cutubka 2. Si aad awood ugu yeelatid inaad tijaabiso gelitaanka arjiga serverka, waxaad sidoo kale ku rakibi kartaa server-ka Apache (apache2 ee Ubuntu iyo httpd ee CentOS).

Inta aad dejinayso server-kaaga, waxaan ku talinayaa in aad dhaqaajiso firewall-ka xannibaya dhammaan dekedaha marka laga reebo 22 (SSH) iyo 1194 (Dekedda furan ee OpenVPN). Tusaalahani wuxuu muujinayaa sida ufw uu uga shaqayn doono Ubuntu, laakiin waxaan hubaa inaad wali xasuusan tahay barnaamijka CentOS firewalld ee cutubka 9:

# ufw enable
# ufw allow 22
# ufw allow 1194

Si aad awood ugu yeelatid marin-u-socodka gudaha ee u dhexeeya shabakadaha isku-xidhka ee server-ka, waxaad u baahan tahay inaad ka xumaato hal xariiq (net.ipv4.ip_forward = 1) ee faylka /etc/sysctl.conf. Tani waxay u oggolaan doontaa macaamiisha fog-fog in dib loo jiheeyo markii loo baahdo marka la isku xiro. Si aad ikhtiyaarka cusub uga dhigto mid shaqayn, orod sysctl -p:

# nano /etc/sysctl.conf
# sysctl -p

Deegaanka server-kaaga hadda si buuxda ayaa loo habeeyey, laakiin weli waxaa jira hal shay oo kale oo la sameeyo ka hor intaadan diyaar ahayn: waxaad u baahan doontaa inaad dhammaystirto tillaabooyinka soo socda (waxaan si faahfaahsan u dabooli doonaa xiga).

  1. Ku samee furayaasha sirta ah ee kaabayaasha muhiimka ah ee dadweynaha (PKI) serferka adiga oo isticmaalaya qoraalada lagu siiyay xirmada fudud-rsa. Asal ahaan, server-ka OpenVPN sidoo kale wuxuu u shaqeeyaa sidii awooddiisa shahaadada (CA).
  2. U diyaari furayaasha ku habboon macmiilka
  3. Ku habeyn faylka server-ka.conf ee server-ka
  4. Deji macmiilkaaga OpenVPN
  5. Hubi VPN kaaga

Abuurista furayaasha sirta

Si aad wax u fududaato, waxaad ku dejin kartaa kaabayaashaaga muhiimka ah isla mishiinka halka uu ku shaqeeyo OpenVPN server. Si kastaba ha ahaatee, hababka ugu fiican ee amniga ayaa caadi ahaan soo jeedinaya in la isticmaalo server CA gaar ah oo la geeyo wax soo saarka. Habka abuurista iyo qaybinta sirta agabka muhiimka ah ee loogu isticmaalo OpenVPN waxa lagu muujiyay shaxanka. 10.2.

Linux ee buuga Action
Markaad rakibtay OpenVPN, buugga /etc/openvpn/ si toos ah ayaa loo sameeyay, laakiin wali waxba kuma jiraan. Xirmooyinka openvpn iyo easy-rsa waxay wataan tusaale faylal template ah oo aad u isticmaali karto aasaaska qaabayntaada. Si aad u bilowdo nidaamka shahaadaynta, koobiyayso tusaha template Easy-rsa ee /usr/share/ ilaa /etc/openvpn oo u beddel fudud-rsa/ hagaha:

# cp -r /usr/share/easy-rsa/ /etc/openvpn
$ cd /etc/openvpn/easy-rsa

Tusaha fudud-rsa wuxuu hadda ka koobnaan doonaa qoraallo aad u yar. Miiska ku jira 10.1 ayaa taxaysa qalabka aad isticmaali doonto si aad u abuurto furayaasha.

Linux ee buuga Action

Hawlgallada kor ku xusan waxay u baahan yihiin mudnaanta xididka, markaa waxaad u baahan tahay inaad xidid ku noqoto sudo su.

Faylka ugu horreeya ee aad la shaqayn doonto waxaa loo yaqaan vars wuxuuna ka kooban yahay doorsoomayaasha deegaanka ee fudud-rsa isticmaalo marka furayaasha la dhalinayo. Waxaad u baahan tahay inaad wax ka beddesho faylka si aad u isticmaasho qiimayaashaada halkii aad ka isticmaali lahayd qiyamka caadiga ah ee horeba u jiray. Tani waa sida faylkaygu u ekaan doono (Liiska 10.1).

Liiska 10.1. Qaybaha ugu muhiimsan ee faylka /etc/openvpn/easy-rsa/vars

export KEY_COUNTRY="CA"
export KEY_PROVINCE="ON"
export KEY_CITY="Toronto"
export KEY_ORG="Bootstrap IT"
export KEY_EMAIL="[email protected]"
export KEY_OU="IT"

Ku socodsiinta faylka vars wuxuu u gudbin doonaa qiyamkiisa deegaanka qolofka, halkaas oo lagu dari doono waxa ku jira furayaashaada cusub. Waa maxay sababta sudo taliska laftiisa uma shaqeeyo? Sababtoo ah talaabada ugu horeysa waxaan tafatireynaa qoraalka magaca vars ka dibna ku dabaqno. Codsashada oo macnaheedu yahay in faylka varsku u gudbiyo qiyamkiisa deegaanka qolofka, halkaas oo lagu dari doono waxa ku jira furayaashaada cusub.

Hubi inaad dib u socodsiiso faylka adoo isticmaalaya qolof cusub si aad u dhamaystirto habka aan dhamaystirnayn. Marka tan la sameeyo, qoraalku wuxuu kugu kicin doonaa inaad socodsiiso qoraal kale, nadiif ah, si aad meesha uga saarto wax kasta oo ku jira /etc/openvpn/easy-rsa/keys/ directory:

Linux ee buuga Action
Dabiici ahaan, tallaabada xigta waa in la socodsiiyo qoraalka nadiifka ah, oo ay ku xigto build-ca, kaas oo adeegsada qoraalka pkitool si loo abuuro shahaadada xididka. Waxaa lagu weydiin doonaa inaad xaqiijiso dejinta aqoonsiga ay bixiyeen vars:

# ./clean-all
# ./build-ca
Generating a 2048 bit RSA private key

Waxa ku xiga qoraalka dhis-keydka-serverka. Maadaama ay isticmaasho isla farta pkitool oo ay la socoto shahaadada xididka cusub, waxaad arki doontaa isla su'aalaha si aad u xaqiijiso abuurista lamaanaha muhiimka ah. Furayaasha waxaa lagu magacaabi doonaa iyadoo lagu saleynayo doodaha aad gudbiso, kuwaas oo, haddii aadan ku shaqeynin VPN-yo badan mashiinkan, badanaa waxay noqon doonaan server, sida tusaale ahaan:

# ./build-key-server server
[...]
Certificate is to be certified until Aug 15 23:52:34 2027 GMT (3650 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

OpenVPN waxay isticmaashaa cabirrada ay soo saartay Diffie-Hellman algorithm (adoo isticmaalaya build-dh) si ay uga gorgortanto xaqiijinta xidhiidhada cusub. Faylka halkan lagu sameeyay uma baahna inuu ahaado sir, laakiin waa in la abuuraa iyadoo la isticmaalayo qoraalka dhis-dh ee furayaasha RSA ee hadda shaqaynaya. Haddii aad mustaqbalka abuurto furayaal cusub oo RSA ah, waxaad sidoo kale u baahan doontaa inaad cusboonaysiiso faylka Diffie-Hellman:

# ./build-dh

Furayaasha dhinaca server-kaaga hadda waxay ku dhamaan doonaan /etc/openvpn/easy-rsa/keys/ directory, laakiin OpenVPN tan ma garanayso. Sida caadiga ah, OpenVPN waxay ka raadin doontaa furayaasha /etc/openvpn/, markaa nuqul ka samee:

# cp /etc/openvpn/easy-rsa/keys/server* /etc/openvpn
# cp /etc/openvpn/easy-rsa/keys/dh2048.pem /etc/openvpn
# cp /etc/openvpn/easy-rsa/keys/ca.crt /etc/openvpn

Diyaarinta Furayaasha sirta Macmiilka

Sidaad horeyba u aragtay, sirta TLS waxay isticmaashaa labo-labo oo furayaal iswaafaqaya: mid lagu rakibay server-ka iyo mid lagu rakibay macmiilka fog. Tani waxay ka dhigan tahay inaad u baahan doonto furayaasha macmiilka. Saxiibkeeni hore pkitool waa waxa aad uga baahan tahay tan. Tusaalahan, marka aan ku wadno barnaamijka /etc/openvpn/easy-rsa/ directory, waxaanu u gudbinaa doodaha macmiilka si aanu u soo saarno faylal la yiraahdo client.crt iyo client.key:

# ./pkitool client

Labada fayl ee macmiilka, iyo faylka ca.crt ee asalka ah ee wali ku jira furayaasha/ hagaha, waa in si ammaan ah loogu wareejiyo macmiilkaaga. Lahaanshahooda iyo xuquuqdooda gelitaanka awgeed, tani waxa laga yaabaa inaanay sidaa u fududayn. Habka ugu fudud ayaa ah in gacanta lagu koobiyeeyo waxa ku jira faylka isha (iyo wax aan ahayn waxa ku jira) oo la galiyo terminal ku socda kombuyutarka PC-gaaga (door qoraalka, midig-guji oo ka dooro nuqul ka menu-ka). Dabadeed tan ku dheji fayl cusub oo wata isla magaca aad ku abuurtay terminalka labaad ee ku xidhan macmiilkaaga.

Laakiin qof kastaa wuu gooyn karaa oo dhejin karaa. Taa baddalkeeda, u fakar sida maamule sababtoo ah had iyo jeer ma heli doontid GUI halkaas oo ay suurtagal tahay in la gooyo / dhejiyo. Ku koobbi faylasha tusaha guriga isticmaalahaaga (si hawl-galka fog ee scp uu u galo iyaga), ka dibna isticmaal chown si aad u beddesho lahaanshaha faylasha xidid ilaa isticmaale caadi ah oo aan xidid lahayn si ficilka fogaanta scp loo sameeyo. Hubi in dhammaan faylashaada hadda la rakibay oo la heli karo. Waxaad u wareejin doontaa macmiilka wax yar ka dib:

# cp /etc/openvpn/easy-rsa/keys/client.key /home/ubuntu/
# cp /etc/openvpn/easy-rsa/keys/ca.crt /home/ubuntu/
# cp /etc/openvpn/easy-rsa/keys/client.crt /home/ubuntu/
# chown ubuntu:ubuntu /home/ubuntu/client.key
# chown ubuntu:ubuntu /home/ubuntu/client.crt
# chown ubuntu:ubuntu /home/ubuntu/ca.crt

Furayaasha sirta ah oo buuxa oo diyaar u ah inay tagaan, waxaad u baahan tahay inaad u sheegto server-ka sida aad rabto inaad u abuurto VPN. Tan waxaa lagu sameeyaa iyadoo la isticmaalayo faylka server.conf.

Yaraynta tirada furayaasha

Ma jiraan wax qorid aad u badan? Balaadhinta biraha waxay kaa caawin doontaa in lixdan amar laga dhigo laba. Waxaan hubaa inaad labadan tusaale baran karto oo aad fahmi karto waxa socda. Tan ka sii muhiimsan, waxaad awoodi doontaa inaad fahamto sida loo dabaqo mabaadi'dan hawlgallada ku lug leh tobanaan ama xitaa boqolaal walxood:

# cp /etc/openvpn/easy-rsa/keys/{ca.crt,client.{key,crt}} /home/ubuntu/
# chown ubuntu:ubuntu /home/ubuntu/{ca.crt,client.{key,crt}}

Dejinta faylka server.conf

Sidee ku ogaan kartaa sida uu u ekaan karo faylka server.conf? Xusuusnow qaab-tusaha fudud-rsa ee aad ka guurisay/usr/share/? Markii aad rakibtay OpenVPN, waxaa lagugu reebay faylka qaabeynta qaabeynta oo cufan oo aad koobi ka qaadi karto /etc/openvpn/. Waxaan ku dhisi doonaa xaqiiqda ah in template-ka la kaydiyay oo aan ku baro qalab waxtar leh: zcat.

Horey ayaad u ogeyd in qoraalka faylka lagu daabaco shaashadda adoo isticmaalaya amarka bisadda, laakiin ka waran haddii faylka la cufan yahay gzip? Had iyo jeer waad furi kartaa faylka ka dibna bisad ayaa si farxad leh u soo saari doonta, laakiin taasi waa hal ama laba tillaabo oo ka badan intii loo baahnaa. Taa beddelkeeda, sida aad qiyaasi lahayd, waxaad soo saari kartaa amarka zcat si aad qoraalka aan baakadaysan ugu shubto xusuusta hal tallaabo. Tusaalaha soo socda, halkii aad qoraalka ku daabaci lahayd shaashadda, waxaad u wareejin doontaa fayl cusub oo la yiraahdo server.conf:

# zcat 
  /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz 
  > /etc/openvpn/server.conf
$ cd /etc/openvpn

Aan dhinac iska dhigno dukumeentiyada ballaaran ee waxtarka leh ee la socda faylka oo aan aragno sida uu u ekaan karo marka aad dhammeysato tafatirka. Ogsoonow in semicolon (;) uu u sheegayo OpenVPN inuusan akhriyin ama fulin xariiqa xiga (Liiska 10.2).

Linux ee buuga Action
Aynu dhex marno qaar ka mid ah goobahan.

  • Sida caadiga ah, OpenVPN waxay ku shaqeysaa dekedda 1194. Waxaad bedeli kartaa tan, tusaale ahaan, si aad u sii qariso hawlahaaga ama aad uga fogaato isku dhacyada tunnelyada kale ee firfircoon. Maadaama 1194 ay u baahan tahay isuduwidda ugu yar ee macaamiisha, waxaa fiican in sidan loo sameeyo.
  • OpenVPN waxay isticmaashaa Hab-maamuuska Xakamaynta Gudbinta (TCP) ama Protocol-ka Isticmaalaha Datagram (UDP) si ay u gudbiyaan xogta. TCP waxa laga yaabaa inay yara gaabis noqoto, laakiin waa la isku halayn karaa waxayna u badan tahay in la fahmo codsiyada ku socda labada daraf ee tunnelka.
  • Waxaad cayimi kartaa dev tun marka aad rabto inaad abuurto tunnel IP ka fudud, ka hufan oo sidda xogta wax kale oo aan ahayn. Haddii, dhanka kale, aad u baahan tahay inaad ku xidho shabakado badan oo is-dhexgal (iyo shabakadaha ay matalaan), abuurista buundada Ethernet, waa inaad doorataa dev tap. Haddii aadan fahmin waxa ay tani ka dhigan tahay, isticmaal doodda tun.
  • Afarta xariiq ee soo socota waxay siinayaan OpenVPN magacyada saddexda faylal ee xaqiijinta ee server-ka iyo faylka dh2048 ee aad hore u abuurtay.
  • Khadka server-ka ayaa dejinaya baaxadda iyo maaskaro-hoosaadka loo isticmaali doono in lagu meeleeyo ciwaannada IP-ga macaamiisha marka la soo galo.
  • Halbeegga riixitaanka ikhtiyaariga ah "dariiqa 10.0.3.0 255.255.255.0" wuxuu u oggolaanayaa macaamiisha fog inay galaan shabakadaha gaarka ah ee ka dambeeya serverka. Samaynta shaqadan waxay sidoo kale u baahan tahay in la dejiyo shabakada server-ka laftiisa si subnet-ka gaarka ah u ogaado wax ku saabsan OpenVPN subnet (10.8.0.0).
  • Dekadda-share localhost 80 ayaa kuu ogolaanaysa inaad u jihayso taraafikada macmiilka ee ku soo socota dekeda 1194 server maxalli ah oo dhegaysanaya dekeda 80. ka dibna marka tcp borotokoolka la doorto.
  • Isticmaalaha qofna iyo khadadka koox-kooxeedka waa in la dhaqaajiyaa iyadoo meesha laga saarayo hal-koobyada (;). Ku qasbida macaamiisha fog-fog inay u shaqeeyaan sidii qofna iyo koox-la'aani waxay hubisaa in fadhiyada serferka ay yihiin kuwo aan mudnayn.
  • Loggu wuxuu qeexayaa in galitaanka hadda jira ay dib u qori doonaan gelitaanadii hore mar kasta oo OpenVPN la bilaabo, halka log-append-ku ku lifaaqo gelitaano cusub faylka log ee jira. Faylka openvpn.log laftiisa waxaa lagu qoraa /etc/openvpn/ directory.

Intaa waxaa dheer, qiimaha macmiilka-macmiilka ayaa sidoo kale inta badan lagu daraa faylka qaabeynta si macaamiil badan ay isu arkaan marka lagu daro server-ka OpenVPN. Haddii aad ku qanacsan tahay qaabkaaga, waxaad bilaabi kartaa server-ka OpenVPN:

# systemctl start openvpn

Sababo la xiriira isbedelka dabeecadda xiriirka ka dhexeeya OpenVPN iyo systemd, syntax soo socda ayaa laga yaabaa in mararka qaarkood loo baahdo si loo bilaabo adeeg: systemctl start openvpn@server.

Ku socodsiinta ip addr si aad u taxdo is-dhexgalka shabakadaha server-ka waa inay hadda soo saartaa isku xirka interface cusub oo loo yaqaan tun0. OpenVPN waxay u abuuri doontaa si ay ugu adeegto macaamiisha soo socota:

$ ip addr
[...]
4: tun0: mtu 1500 qdisc [...]
      link/none
      inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0
          valid_lft forever preferred_lft forever

Waxaa laga yaabaa inaad u baahato inaad dib u kiciso server-ka ka hor intaysan wax walba bilaabin inay si buuxda u shaqeeyaan. Joogsiga xiga waa kumbuyuutarka macmiilka.

10.1.2. Dejinta macmiilka OpenVPN

Dhaqan ahaan, tunnel-yada waxaa la dhisaa ugu yaraan laba bixid (hadii kale waxaan ugu yeeri karnaa godad). Si sax ah loo habeeyey OpenVPN oo ku yaal server-ka ayaa haga taraafikada gudaha iyo ka bixista tunnelka ee hal dhinac ah. Laakiin waxaad sidoo kale u baahan doontaa xoogaa software ah oo ku socda dhinaca macmiilka, taas oo ah, dhinaca kale ee tunnel-ka.

Qaybtan, waxaan diirada saari doonaa inaan gacanta ku dhejiyo nooc ka mid ah kumbuyuutarka Linux si aan ugu dhaqmo macmiilka OpenVPN. Laakiin tani maaha habka kaliya ee fursaddan lagu heli karo. OpenVPN waxay taageertaa codsiyada macmiilka ee lagu rakibi karo oo lagu isticmaali karo kombuyuutarrada iyo laptop-yada ku shaqeeya Windows ama macOS, iyo sidoo kale Android iyo iOS casriga ah iyo tablet-yada. Faahfaahinta ka eeg openvpn.net

Xirmada OpenVPN waxay u baahan doontaa in lagu rakibo mashiinka macmiilka sida loogu rakibay server-ka, inkasta oo aysan jirin baahi sahlan-rsa halkan maadaama furayaasha aad isticmaalayso ay hore u jireen. Waxaad u baahan tahay inaad koobiyayso faylka macmiilka.conf qaabka /etc/openvpn/ directory ee aad hadda abuurtay. Markan faylka lama soo dhejin doono, markaa amarka cp ee caadiga ah ayaa si fiican u qaban doona shaqada:

# apt install openvpn
# cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf 
  /etc/openvpn/

Inta badan goobaha ku jira faylka macmiilkaaga.conf waxay noqon doonaan kuwo is-sharaxaya: waa inay ku habboonaadaan qiyamka server-ka. Sida aad ka arki karto faylka tusaalaha soo socda, halbeegga gaarka ah waa fog yahay 192.168.1.23 1194, kaas oo u sheegaya macmiilka cinwaanka IP-ga ee server-ka. Mar labaad, hubi in kanu yahay ciwaanka serverka. Waa inaad sidoo kale ku qasabtaa kombayutarka macmiilka inuu xaqiijiyo saxnimada shahaadada server-ka si looga hortago weerar dhex-dhexaad ah oo suurtagal ah. Hal dariiqo oo tan lagu sameeyo waa in lagu daro khadka fog-cert-tls server (Liiska 10.3).

Linux ee buuga Action
Hadda waxaad aadi kartaa /etc/openvpn/ directory oo aad ka soo saartaa furayaasha shahaadaynta server-ka. Ku beddel ciwaanka IP-ga ee server-ka ama magaca domainka tusaale ahaan qiimayaashaada:

Linux ee buuga Action
Ma jiro wax xiiso leh oo dhici doona ilaa aad ku socodsiiso OpenVPN macmiilka. Maadaama aad u baahan tahay inaad ka gudubto laba doodood, waxaad ka samayn doontaa khadka taliska. Doodda -tls-client waxay u sheegaysaa OpenVPN inaad u shaqayn doonto sidii macmiil oo aad ku xidhi doonto sirta TLS, iyo --config waxay tilmaamaysaa faylkaaga qaabaynta:

# openvpn --tls-client --config /etc/openvpn/client.conf

Si taxaddar leh u akhri soo-saarka amarka si aad u hubiso inaad si sax ah ugu xidhan tahay. Haddii ay wax khaldamaan markii ugu horeysay, waxaa laga yaabaa inay sabab u tahay is-waafajinta ka dhex jirta server-ka iyo faylalka qaabeynta macmiilka ama isku xirka shabakada / arrinta dab-damiska. Waa kuwan qaar ka mid ah talooyinka cilad-raadinta.

  • Si taxadar leh u akhri wax soo saarka hawlgalka OpenVPN ee macmiilka. Waxay inta badan ka kooban tahay talo qiimo leh oo ku saabsan waxa aan dhab ahaan la samayn karin iyo sababta.
  • Hubi fariimaha khaladka ah ee ku jira openvpn.log iyo openvpn-status.log faylasha ku jira /etc/openvpn/ directory ee server-ka.
  • Ka hubi diiwaanka nidaamka serverka iyo macmiilka fariimaha la xidhiidha OpenVPN iyo fariimaha wakhtiga (journalctl-ce ayaa soo bandhigi doona gelitaanadii ugu dambeeyay.)
  • Hubi inaad leedahay xidhiidh firfircoon oo ka dhexeeya server-ka iyo macmiilka (wax badan oo arrintan ku saabsan cutubka 14).

Ku saabsan qoraaga

David Clinton - maamulaha nidaamka, macalinka iyo qoraaga. Wuxuu maamulay, wax ka qoray, oo u abuuray agab waxbarasho oo loogu talagalay qaybo badan oo farsamo oo muhiim ah, oo ay ku jiraan nidaamyada Linux, xisaabinta daruuraha (gaar ahaan AWS), iyo tignoolajiyada weelka sida Docker. Waxa uu qoray buuga Baro Adeegyada Shabakadda ee Amazon in a Month of Lunches (Manning, 2017). Qaar badan oo ka mid ah koorasyadiisa tababbarka fiidiyowga waxaa laga heli karaa Pluralsight.com, iyo xiriirinta buugaagtiisa kale (maamulka Linux iyo tarjumaadda serverka) ayaa laga heli karaa at bootstrap-it.com.

Β» Faahfaahin dheeraad ah oo ku saabsan buugga waxaad ka heli kartaa at website-ka daabacaha
Β» Tusmada
Β» Qoraal

Khabrozhiteley 25% qiimo dhimis iyadoo la isticmaalayo coupon - Linux
Marka la bixiyo nooca warqadda ee buugga, buug elektaroonig ah ayaa lagu soo diri doonaa e-mail.

Source: www.habr.com

Add a comment