ProHoster > Blog > administratë > Libri "Linux në veprim"

Libri "Linux në veprim"

Libri "Linux në veprim" Përshëndetje, banorë të Khabro! Në libër, David Clinton përshkruan 12 projekte të jetës reale, duke përfshirë automatizimin e sistemit tuaj të kopjimit dhe rikuperimit, vendosjen e një reje skedarësh personal të stilit Dropbox dhe krijimin e serverit tuaj MediaWiki. Ju do të eksploroni virtualizimin, rikuperimin nga fatkeqësitë, sigurinë, rezervimin, DevOps dhe zgjidhjen e problemeve të sistemit përmes studimeve interesante të rasteve. Çdo kapitull përfundon me një përmbledhje të praktikave më të mira, një fjalorth të termave të rinj dhe ushtrimeve.

Fragmenti “10.1. Krijimi i një tuneli OpenVPN"

Unë kam folur tashmë shumë për enkriptimin në këtë libër. SSH dhe SCP mund të mbrojnë të dhënat e transferuara përmes lidhjeve në distancë (Kapitulli 3), enkriptimi i skedarëve mund të mbrojë të dhënat ndërsa ruhen në server (Kapitulli 8) dhe certifikatat TLS/SSL mund të mbrojnë të dhënat e transferuara midis sajteve dhe shfletuesve të klientit (Kapitulli 9) . Por ndonjëherë të dhënat tuaja duhet të mbrohen në një gamë më të gjerë lidhjesh. Për shembull, ndoshta disa nga anëtarët e ekipit tuaj punojnë në rrugë ndërsa lidhen me Wi-Fi nëpërmjet pikave të nxehta publike. Ju patjetër nuk duhet të supozoni se të gjitha pikat e tilla të aksesit janë të sigurta, por njerëzit tuaj kanë nevojë për një mënyrë për t'u lidhur me burimet e kompanisë - dhe këtu mund të ndihmojë një VPN.

Një tunel i projektuar siç duhet VPN siguron një lidhje të drejtpërdrejtë midis klientëve të largët dhe serverit në një mënyrë që fsheh të dhënat ndërsa udhëton në një rrjet të pasigurt. Edhe çfarë? Ju keni parë tashmë shumë mjete që mund ta bëjnë këtë me kriptim. Vlera e vërtetë e një VPN është se duke hapur një tunel, ju mund të lidhni rrjete në distancë sikur të ishin të gjitha lokale. Në njëfarë kuptimi, ju jeni duke përdorur një anashkalim.

Duke përdorur këtë rrjet të zgjeruar, administratorët mund të kryejnë punën e tyre në serverët e tyre nga kudo. Por më e rëndësishmja, një kompani me burime të shpërndara nëpër vende të shumta mund t'i bëjë të gjitha të dukshme dhe të aksesueshme për të gjitha grupet që kanë nevojë për to, kudo që të jenë (Figura 10.1).

Vetë tuneli nuk garanton siguri. Por një nga standardet e kriptimit mund të përfshihet në strukturën e rrjetit, gjë që rrit ndjeshëm nivelin e sigurisë. Tunelet e krijuara duke përdorur paketën OpenVPN me burim të hapur përdorin të njëjtin kriptim TLS/SSL për të cilin keni lexuar tashmë. OpenVPN nuk është i vetmi opsion i disponueshëm i tunelit, por është një nga më të njohurit. Konsiderohet të jetë pak më i shpejtë dhe më i sigurt se protokolli alternativ i tunelit Layer 2 që përdor enkriptimin IPsec.

Dëshironi që të gjithë në ekipin tuaj të komunikojnë të sigurt me njëri-tjetrin gjatë rrugës ose duke punuar në ndërtesa të ndryshme? Për ta bërë këtë, duhet të krijoni një server OpenVPN për të lejuar ndarjen e aplikacioneve dhe aksesin në mjedisin e rrjetit lokal të serverit. Që kjo të funksionojë, gjithçka që duhet të bëni është të ekzekutoni dy makina virtuale ose dy kontejnerë: një për të vepruar si server/host dhe një për të vepruar si klient. Ndërtimi i një VPN nuk është një proces i thjeshtë, kështu që ndoshta ia vlen të kushtoni disa minuta për të marrë në mendje pamjen e madhe.

Libri "Linux në veprim"

10.1.1. Konfigurimi i serverit OpenVPN

Para se të filloni, unë do t'ju jap disa këshilla të dobishme. Nëse do ta bëni vetë (dhe ju rekomandoj shumë), ndoshta do ta gjeni veten duke punuar me dritare të shumta terminale të hapura në Desktopin tuaj, secila e lidhur me një makinë të ndryshme. Ekziston rreziku që në një moment të futni komandën e gabuar në dritare. Për të shmangur këtë, mund të përdorni komandën hostname për të ndryshuar emrin e makinës të shfaqur në vijën e komandës në diçka që ju tregon qartë se ku jeni. Pasi ta bëni këtë, do t'ju duhet të dilni nga serveri dhe të identifikoheni përsëri që cilësimet e reja të hyjnë në fuqi. Kështu duket:

Libri "Linux në veprim"
Duke ndjekur këtë qasje dhe duke i dhënë emrat e duhur secilës prej makinerive me të cilat punoni, mund të mbani me lehtësi gjurmët se ku jeni.

Pas përdorimit të emrit të hostit, mund të hasni mesazhe të bezdisshme të Pamundësia për të zgjidhur Host OpenVPN-Server kur ekzekutoni komandat pasuese. Përditësimi i skedarit /etc/hosts me emrin e duhur të hostit duhet të zgjidhë problemin.

Përgatitja e serverit tuaj për OpenVPN

Për të instaluar OpenVPN në serverin tuaj, ju nevojiten dy paketa: openvpn dhe easy-rsa (për të menaxhuar procesin e gjenerimit të çelësit të enkriptimit). Përdoruesit e CentOS duhet së pari të instalojnë depon e epel-release nëse është e nevojshme, siç bëtë në Kapitullin 2. Për të qenë në gjendje të testoni aksesin në aplikacionin e serverit, mund të instaloni gjithashtu serverin në internet Apache (apache2 në Ubuntu dhe httpd në CentOS).

Ndërsa po konfiguroni serverin tuaj, unë rekomandoj aktivizimin e një muri zjarri që bllokon të gjitha portet përveç 22 (SSH) dhe 1194 (porti i paracaktuar i OpenVPN). Ky shembull ilustron se si ufw do të funksiononte në Ubuntu, por jam i sigurt se ju ende e mbani mend programin e murit të zjarrit CentOS nga Kapitulli 9:

# ufw enable
# ufw allow 22
# ufw allow 1194

Për të mundësuar rrugëzimin e brendshëm ndërmjet ndërfaqeve të rrjetit në server, duhet të hiqni komentin e një rreshti (net.ipv4.ip_forward = 1) në skedarin /etc/sysctl.conf. Kjo do të lejojë që klientët në distancë të ridrejtohen sipas nevojës pasi të lidhen. Për të funksionuar opsionin e ri, ekzekutoni sysctl -p:

# nano /etc/sysctl.conf
# sysctl -p

Mjedisi i serverit tuaj tani është plotësisht i konfiguruar, por ka ende një gjë tjetër për të bërë përpara se të jeni gati: do t'ju duhet të përfundoni hapat e mëposhtëm (ne do t'i mbulojmë ato në detaje në vijim).

  1. Krijoni një grup çelësash enkriptimi të infrastrukturës së çelësit publik (PKI) në server duke përdorur skriptet e ofruara me paketën easy-rsa. Në thelb, serveri OpenVPN vepron gjithashtu si autoriteti i tij i certifikatës (CA).
  2. Përgatitni çelësat e duhur për klientin
  3. Konfiguro skedarin server.conf për serverin
  4. Vendosni klientin tuaj OpenVPN
  5. Kontrolloni VPN-në tuaj

Gjenerimi i çelësave të enkriptimit

Për t'i mbajtur gjërat të thjeshta, mund të konfiguroni infrastrukturën tuaj kryesore në të njëjtën makinë ku funksionon serveri OpenVPN. Sidoqoftë, praktikat më të mira të sigurisë sugjerojnë zakonisht përdorimin e një serveri të veçantë CA për vendosjen e prodhimit. Procesi i gjenerimit dhe shpërndarjes së burimeve kryesore të kriptimit për përdorim në OpenVPN është ilustruar në Fig. 10.2.

Libri "Linux në veprim"
Kur instaluat OpenVPN, direktoria /etc/openvpn/ u krijua automatikisht, por ende nuk ka asgjë në të. Paketat openvpn dhe easy-rsa vijnë me skedarë shabllonesh shembull që mund t'i përdorni si bazë për konfigurimin tuaj. Për të filluar procesin e certifikimit, kopjoni direktorinë e shabllonit easy-rsa nga /usr/share/ në /etc/openvpn dhe kaloni në direktorinë easy-rsa/:

# cp -r /usr/share/easy-rsa/ /etc/openvpn
$ cd /etc/openvpn/easy-rsa

Drejtoria easy-rsa tani do të përmbajë mjaft skripta. Në tabelë 10.1 liston mjetet që do të përdorni për të krijuar çelësa.

Libri "Linux në veprim"

Operacionet e mësipërme kërkojnë privilegje root, kështu që ju duhet të bëheni root nëpërmjet sudo su.

Skedari i parë me të cilin do të punoni quhet vars dhe përmban variablat e mjedisit që easy-rsa përdor kur gjeneron çelësa. Ju duhet të redaktoni skedarin për të përdorur vlerat tuaja në vend të vlerave të paracaktuara që janë tashmë atje. Kështu do të duket skedari im (Lista 10.1).

Listimi 10.1. Fragmentet kryesore të skedarit /etc/openvpn/easy-rsa/vars

export KEY_COUNTRY="CA"
export KEY_PROVINCE="ON"
export KEY_CITY="Toronto"
export KEY_ORG="Bootstrap IT"
export KEY_EMAIL="[email protected]"
export KEY_OU="IT"

Ekzekutimi i skedarit vars do t'i kalojë vlerat e tij në mjedisin e guaskës, ku ato do të përfshihen në përmbajtjen e çelësave tuaj të rinj. Pse komanda sudo nuk funksionon vetvetiu? Sepse në hapin e parë ne editojmë skriptin me emrin vars dhe më pas e aplikojmë. Aplikimi dhe do të thotë që skedari vars i kalon vlerat e tij në mjedisin e guaskës, ku ato do të përfshihen në përmbajtjen e çelësave tuaj të rinj.

Sigurohuni që ta ridrejtoni skedarin duke përdorur një guaskë të re për të përfunduar procesin e papërfunduar. Kur kjo të bëhet, skripti do t'ju kërkojë të ekzekutoni një skript tjetër, të pastër-të gjitha, për të hequr çdo përmbajtje në drejtorinë /etc/openvpn/easy-rsa/keys/:

Libri "Linux në veprim"
Natyrisht, hapi tjetër është ekzekutimi i skriptit clean-all, i ndjekur nga build-ca, i cili përdor skriptin pkitool për të krijuar certifikatën rrënjë. Do t'ju kërkohet të konfirmoni cilësimet e identitetit të ofruara nga vars:

# ./clean-all
# ./build-ca
Generating a 2048 bit RSA private key

Më pas vjen skripti build-key-server. Meqenëse përdor të njëjtin skenar pkitool së bashku me një certifikatë të re rrënjë, do të shihni të njëjtat pyetje për të konfirmuar krijimin e çiftit të çelësave. Çelësat do të emërtohen në bazë të argumenteve që kaloni, të cilat, nëse nuk përdorni shumë VPN në këtë makinë, zakonisht do të jenë server, si në shembullin:

# ./build-key-server server
[...]
Certificate is to be certified until Aug 15 23:52:34 2027 GMT (3650 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

OpenVPN përdor parametrat e krijuar nga algoritmi Diffie-Hellman (duke përdorur build-dh) për të negociuar vërtetimin për lidhje të reja. Skedari i krijuar këtu nuk ka nevojë të jetë sekret, por duhet të gjenerohet duke përdorur skriptin build-dh për çelësat RSA që janë aktualisht aktivë. Nëse krijoni çelësa të rinj RSA në të ardhmen, do t'ju duhet gjithashtu të përditësoni skedarin Diffie-Hellman:

# ./build-dh

Çelësat e serverit tuaj tani do të përfundojnë në drejtorinë /etc/openvpn/easy-rsa/keys/, por OpenVPN nuk e di këtë. Si parazgjedhje, OpenVPN do të kërkojë çelësat në /etc/openvpn/, kështu që kopjoni ato:

# cp /etc/openvpn/easy-rsa/keys/server* /etc/openvpn
# cp /etc/openvpn/easy-rsa/keys/dh2048.pem /etc/openvpn
# cp /etc/openvpn/easy-rsa/keys/ca.crt /etc/openvpn

Përgatitja e çelësave të enkriptimit të klientit

Siç e keni parë tashmë, kriptimi TLS përdor çifte çelësash që përputhen: një të instaluar në server dhe një të instaluar në klientin në distancë. Kjo do të thotë se do t'ju duhen çelësat e klientit. Miku ynë i vjetër pkitool është pikërisht ajo që ju nevojitet për këtë. Në këtë shembull, kur e ekzekutojmë programin në drejtorinë /etc/openvpn/easy-rsa/, ne i kalojmë atij një argument klienti për të gjeneruar skedarë të quajtur client.crt dhe client.key:

# ./pkitool client

Dy skedarët e klientit, së bashku me skedarin origjinal ca.crt që është ende në drejtorinë e çelësave/, tani duhet të transferohen në mënyrë të sigurt te klienti juaj. Për shkak të të drejtave të tyre të pronësisë dhe aksesit, kjo mund të mos jetë aq e lehtë. Qasja më e thjeshtë është të kopjoni manualisht përmbajtjen e skedarit burimor (dhe asgjë përveç asaj përmbajtje) në një terminal që funksionon në desktopin e kompjuterit tuaj (zgjidhni tekstin, klikoni me të djathtën mbi të dhe zgjidhni Kopjo nga menyja). Pastaj ngjiteni këtë në një skedar të ri me të njëjtin emër që krijoni në një terminal të dytë të lidhur me klientin tuaj.

Por kushdo mund të prerë dhe ngjitë. Në vend të kësaj, mendoni si një administrator sepse nuk do të keni gjithmonë akses në GUI ku operacionet e prerjes/ngjitjes janë të mundshme. Kopjoni skedarët në drejtorinë kryesore të përdoruesit tuaj (në mënyrë që operacioni scp në distancë të mund t'i qaset) dhe më pas përdorni chown për të ndryshuar pronësinë e skedarëve nga root në një përdorues të rregullt jo-root, në mënyrë që të mund të kryhet veprimi i scp në distancë. Sigurohuni që të gjithë skedarët tuaj janë aktualisht të instaluar dhe të aksesueshëm. Ju do t'i transferoni ato te klienti pak më vonë:

# cp /etc/openvpn/easy-rsa/keys/client.key /home/ubuntu/
# cp /etc/openvpn/easy-rsa/keys/ca.crt /home/ubuntu/
# cp /etc/openvpn/easy-rsa/keys/client.crt /home/ubuntu/
# chown ubuntu:ubuntu /home/ubuntu/client.key
# chown ubuntu:ubuntu /home/ubuntu/client.crt
# chown ubuntu:ubuntu /home/ubuntu/ca.crt

Me një grup të plotë çelësash enkriptimi gati për t'u përdorur, duhet t'i tregoni serverit se si dëshironi të krijoni VPN. Kjo bëhet duke përdorur skedarin server.conf.

Reduktimi i numrit të goditjeve të tasteve

A ka shumë shtypje? Zgjerimi me kllapa do të ndihmojë në uljen e këtyre gjashtë komandave në dy. Jam i sigurt që mund t'i studioni këta dy shembuj dhe të kuptoni se çfarë po ndodh. Më e rëndësishmja, ju do të jeni në gjendje të kuptoni se si t'i zbatoni këto parime në operacionet që përfshijnë dhjetëra apo edhe qindra elementë:

# cp /etc/openvpn/easy-rsa/keys/{ca.crt,client.{key,crt}} /home/ubuntu/
# chown ubuntu:ubuntu /home/ubuntu/{ca.crt,client.{key,crt}}

Konfigurimi i skedarit server.conf

Si mund ta dini se si duhet të duket skedari server.conf? E mbani mend shabllonin e drejtorisë easy-rsa që keni kopjuar nga /usr/share/? Kur instaluat OpenVPN, ju mbeti një skedar i ngjeshur i modelit të konfigurimit që mund ta kopjoni në /etc/openvpn/. Unë do të mbështetem në faktin se shablloni është i arkivuar dhe do t'ju prezantoj me një mjet të dobishëm: zcat.

Ju tashmë dini për printimin e përmbajtjes së tekstit të një skedari në ekran duke përdorur komandën cat, por çfarë nëse skedari kompresohet duke përdorur gzip? Gjithmonë mund ta zbërtheni skedarin dhe më pas cat do ta nxjerrë atë me kënaqësi, por kjo është një ose dy hapa më shumë se sa duhet. Në vend të kësaj, siç mund ta keni menduar, mund të lëshoni komandën zcat për të ngarkuar tekstin e papaketuar në memorie në një hap. Në shembullin e mëposhtëm, në vend që të printoni tekstin në ekran, do ta ridrejtoni atë në një skedar të ri të quajtur server.conf:

# zcat 
  /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz 
  > /etc/openvpn/server.conf
$ cd /etc/openvpn

Le të lëmë mënjanë dokumentacionin e gjerë dhe të dobishëm që vjen me skedarin dhe të shohim se si mund të duket kur të mbaroni së redaktimi. Vini re se pikëpresja (;) i thotë OpenVPN të mos lexojë ose ekzekutojë rreshtin tjetër (Lista 10.2).

Libri "Linux në veprim"
Le të kalojmë nëpër disa nga këto cilësime.

  • Si parazgjedhje, OpenVPN funksionon në portin 1194. Ju mund ta ndryshoni këtë, për shembull, për të fshehur më tej aktivitetet tuaja ose për të shmangur konfliktet me tunele të tjerë aktivë. Meqenëse 1194 kërkon një koordinim minimal me klientët, është më mirë ta bëni këtë në këtë mënyrë.
  • OpenVPN përdor ose Protokollin e Kontrollit të Transmetimit (TCP) ose Protokollin e të Dhënave të Përdoruesit (UDP) për të transmetuar të dhëna. TCP mund të jetë pak më i ngadalshëm, por është më i besueshëm dhe ka më shumë gjasa të kuptohet nga aplikacionet që funksionojnë në të dy skajet e tunelit.
  • Mund të specifikoni dev tun kur dëshironi të krijoni një tunel IP më të thjeshtë dhe më efikas që mbart përmbajtje të dhënash dhe asgjë tjetër. Nëse, nga ana tjetër, ju duhet të lidhni ndërfaqe të shumta rrjeti (dhe rrjetet që ato përfaqësojnë), duke krijuar një urë Ethernet, do t'ju duhet të zgjidhni dev tap. Nëse nuk e kuptoni se çfarë do të thotë e gjithë kjo, përdorni argumentin tun.
  • Katër rreshtat e ardhshëm i japin OpenVPN emrat e tre skedarëve të vërtetimit në server dhe skedarin e opsioneve dh2048 që keni krijuar më parë.
  • Linja e serverit cakton rrezen dhe maskën e nënrrjetit që do të përdoret për të caktuar adresat IP të klientëve pas hyrjes.
  • Parametri opsional i shtytjes "rruga 10.0.3.0 255.255.255.0" u lejon klientëve të largët të hyjnë në nënrrjetet private pas serverit. Për ta bërë këtë punë kërkon gjithashtu vendosjen e rrjetit në vetë serverin në mënyrë që nënrrjeti privat të dijë për nënrrjetin OpenVPN (10.8.0.0).
  • Linja port-share localhost 80 ju lejon të ridrejtoni trafikun e klientit që vjen në portin 1194 në një server lokal të internetit që dëgjon në portin 80. (Kjo do të jetë e dobishme nëse do të përdorni serverin e uebit për të testuar VPN-në tuaj.) Kjo funksionon vetëm atëherë kur zgjidhet protokolli tcp.
  • Linjat e përdoruesve askush dhe grupi i asnjë grupi duhet të aktivizohen duke hequr pikëpresje (;). Detyrimi i klientëve në distancë të ekzekutohen si askush dhe asnjë grup siguron që seancat në server janë të paprivilegjuara.
  • log specifikon që hyrjet aktuale të regjistrit do të mbishkruajnë shënimet e vjetra sa herë që hapet OpenVPN, ndërsa log-append shton hyrje të reja në skedarin ekzistues të regjistrit. Vetë skedari openvpn.log është shkruar në drejtorinë /etc/openvpn/.

Për më tepër, një vlerë klient-tek-klient gjithashtu shtohet shpesh në skedarin e konfigurimit në mënyrë që shumë klientë të mund të shohin njëri-tjetrin përveç serverit OpenVPN. Nëse jeni të kënaqur me konfigurimin tuaj, mund të filloni serverin OpenVPN:

# systemctl start openvpn

Për shkak të ndryshimit të natyrës së marrëdhënies midis OpenVPN dhe systemd, sintaksa e mëposhtme ndonjëherë mund të kërkohet për të nisur një shërbim: systemctl start openvpn@server.

Ekzekutimi i ip addr për të listuar ndërfaqet e rrjetit të serverit tuaj tani duhet të nxjerrë një lidhje me një ndërfaqe të re të quajtur tun0. OpenVPN do ta krijojë atë për t'u shërbyer klientëve në hyrje:

$ ip addr
[...]
4: tun0: mtu 1500 qdisc [...]
      link/none
      inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0
          valid_lft forever preferred_lft forever

Mund t'ju duhet të rindizni serverin përpara se gjithçka të fillojë të funksionojë plotësisht. Ndalesa tjetër është kompjuteri i klientit.

10.1.2. Konfigurimi i klientit OpenVPN

Tradicionalisht, tunelet ndërtohen me të paktën dy dalje (ndryshe do t'i quanim shpella). Një OpenVPN e konfiguruar siç duhet në server drejton trafikun brenda dhe jashtë tunelit në njërën anë. Por do t'ju duhet gjithashtu disa softuer që funksionojnë në anën e klientit, domethënë në anën tjetër të tunelit.

Në këtë seksion, unë do të fokusohem në konfigurimin manual të një lloji kompjuteri Linux për të vepruar si një klient OpenVPN. Por kjo nuk është mënyra e vetme në të cilën kjo mundësi është në dispozicion. OpenVPN mbështet aplikacionet e klientëve që mund të instalohen dhe përdoren në desktop dhe laptopë me Windows ose macOS, si dhe në smartphone dhe tableta Android dhe iOS. Shikoni openvpn.net për detaje.

Paketa OpenVPN do të duhet të instalohet në makinën e klientit siç është instaluar në server, megjithëse nuk ka nevojë për easy-rsa këtu pasi çelësat që po përdorni ekzistojnë tashmë. Duhet të kopjoni skedarin e shabllonit client.conf në drejtorinë /etc/openvpn/ që sapo keni krijuar. Këtë herë skedari nuk do të ziphet, kështu që komanda e rregullt cp do ta bëjë punën mirë:

# apt install openvpn
# cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf 
  /etc/openvpn/

Shumica e cilësimeve në skedarin tuaj client.conf do të jenë mjaft vetë-shpjeguese: ato duhet të përputhen me vlerat në server. Siç mund ta shihni nga skedari i shembullit të mëposhtëm, parametri unik është 192.168.1.23 1194 në distancë, i cili i tregon klientit adresën IP të serverit. Përsëri, sigurohuni që kjo është adresa e serverit tuaj. Ju gjithashtu duhet të detyroni kompjuterin e klientit të verifikojë vërtetësinë e certifikatës së serverit për të parandaluar një sulm të mundshëm njeriu në mes. Një mënyrë për ta bërë këtë është të shtoni serverin e linjës remote-cert-tls (Lista 10.3).

Libri "Linux në veprim"
Tani mund të shkoni te drejtoria /etc/openvpn/ dhe të nxirrni çelësat e certifikimit nga serveri. Zëvendësoni adresën IP të serverit ose emrin e domenit në shembull me vlerat tuaja:

Libri "Linux në veprim"
Asgjë emocionuese nuk do të ndodhë derisa të ekzekutoni OpenVPN në klient. Meqenëse duhet të kaloni disa argumente, do ta bëni atë nga linja e komandës. Argumenti --tls-client i thotë OpenVPN se ju do të veproni si klient dhe do të lidheni nëpërmjet enkriptimit TLS, dhe --config tregon skedarin tuaj të konfigurimit:

# openvpn --tls-client --config /etc/openvpn/client.conf

Lexoni me kujdes daljen e komandës për t'u siguruar që jeni lidhur saktë. Nëse diçka shkon keq herën e parë, mund të jetë për shkak të mospërputhjes së cilësimeve midis skedarëve të konfigurimit të serverit dhe klientit ose një problemi të lidhjes/firewall-it të rrjetit. Këtu janë disa këshilla për zgjidhjen e problemeve.

  • Lexoni me kujdes daljen e operacionit OpenVPN në klient. Shpesh përmban këshilla të vlefshme se çfarë saktësisht nuk mund të bëhet dhe pse.
  • Kontrolloni mesazhet e gabimit në skedarët openvpn.log dhe openvpn-status.log në drejtorinë /etc/openvpn/ në server.
  • Kontrolloni regjistrat e sistemit në server dhe klient për mesazhe të lidhura me OpenVPN dhe me kohë. (journalctl -ce do të shfaqë hyrjet më të fundit.)
  • Убедитесь, что у вас есть активное сетевое соединение между сервером и клиентом (подробнее — в главе 14).

Rreth Autorit

David Clinton - administrator i sistemit, mësues dhe shkrimtar. Ai ka administruar, shkruar dhe krijuar materiale edukative për shumë disiplina të rëndësishme teknike, duke përfshirë sistemet Linux, cloud computing (veçanërisht AWS) dhe teknologjitë e kontejnerëve si Docker. Ai shkroi librin Mësoni shërbimet e uebit të Amazon në një muaj dreka (Manning, 2017). Shumë nga kurset e tij të trajnimit me video mund të gjenden në Pluralsight.com dhe lidhjet me librat e tij të tjerë (mbi administrimin e Linux dhe virtualizimin e serverit) janë në dispozicion në bootstrap-it.com.

» Më shumë detaje rreth librit mund të gjenden në faqen e internetit të botuesit
» Përmbajtje
» Fragment

Për Khabrozhiteley 25% zbritje duke përdorur kupon - Linux
Pas pagesës së versionit në letër të librit, një libër elektronik do të dërgohet me e-mail.

Burimi: www.habr.com

Shto një koment