Eylemde Linux kitabı

Merhaba Khabro sakinleri! Kitapta David Clinton, yedekleme ve kurtarma sisteminizi otomatikleştirmek, Dropbox tarzı kişisel dosya bulutu kurmak ve kendi MediaWiki sunucunuzu oluşturmak dahil olmak üzere 12 gerçek hayattaki projeyi anlatıyor. İlginç vaka çalışmaları aracılığıyla sanallaştırma, felaket kurtarma, güvenlik, yedekleme, DevOps ve sistem sorunlarını gidermeyi keşfedeceksiniz. Her bölüm en iyi uygulamaların gözden geçirilmesi, yeni terimler sözlüğü ve alıştırmalarla sona ermektedir.

Alıntı “10.1. OpenVPN tüneli oluşturma"

Bu kitapta şifreleme hakkında zaten çok konuştum. SSH ve SCP, uzak bağlantılar üzerinden aktarılan verileri koruyabilir (Bölüm 3), dosya şifreleme, verileri sunucuda depolanırken koruyabilir (Bölüm 8) ve TLS/SSL sertifikaları, siteler ve istemci tarayıcıları arasında aktarılan verileri koruyabilir (Bölüm 9) . Ancak bazen verilerinizin daha geniş bir bağlantı yelpazesinde korunması gerekir. Örneğin, ekip üyelerinizden bazıları yoldayken halka açık erişim noktaları aracılığıyla Wi-Fi'ye bağlanıyor olabilir. Kesinlikle tüm bu erişim noktalarının güvenli olduğunu varsaymamalısınız, ancak çalışanlarınızın şirket kaynaklarına bağlanmak için bir yola ihtiyacı vardır ve VPN'in yardımcı olabileceği yer burasıdır.

Düzgün tasarlanmış bir VPN tüneli, uzak istemciler ile sunucu arasında, verileri güvenli olmayan bir ağ üzerinden geçerken gizleyecek şekilde doğrudan bağlantı sağlar. Ne olmuş? Bunu şifrelemeyle yapabilen birçok aracı zaten gördünüz. Bir VPN'in gerçek değeri, bir tünel açarak uzak ağları sanki hepsi yerelmiş gibi bağlayabilmenizdir. Bir anlamda bypass kullanıyorsunuz.

Yöneticiler bu genişletilmiş ağı kullanarak sunucuları üzerindeki çalışmalarını her yerden gerçekleştirebilirler. Ancak daha da önemlisi, kaynakları birden fazla lokasyona yayılmış bir şirket, bu kaynakları, nerede olurlarsa olsunlar, ihtiyaç duyan tüm gruplar için görünür ve erişilebilir hale getirebilir (Şekil 10.1).

Tünelin kendisi güvenliği garanti etmez. Ancak ağ yapısına şifreleme standartlarından biri dahil edilebilir ve bu da güvenlik düzeyini önemli ölçüde artırır. Açık kaynak OpenVPN paketi kullanılarak oluşturulan tüneller, daha önce okuduğunuz TLS/SSL şifrelemesinin aynısını kullanır. OpenVPN mevcut tek tünel seçeneği değildir ancak en iyi bilinenlerden biridir. IPsec şifrelemesini kullanan alternatif Katman 2 tünel protokolünden biraz daha hızlı ve daha güvenli olduğu düşünülmektedir.

Ekibinizdeki herkesin yoldayken veya farklı binalarda çalışırken birbiriyle güvenli bir şekilde iletişim kurmasını mı istiyorsunuz? Bunu yapmak için uygulama paylaşımına ve sunucunun yerel ağ ortamına erişime izin verecek bir OpenVPN sunucusu oluşturmanız gerekir. Bunun işe yaraması için yapmanız gereken tek şey iki sanal makine veya iki konteyner çalıştırmaktır: biri sunucu/ana bilgisayar, diğeri istemci görevi görecek. Bir VPN oluşturmak basit bir süreç değildir, bu nedenle büyük resmi akılda tutmak için muhtemelen birkaç dakikanızı ayırmaya değer.

10.1.1. OpenVPN Sunucu Yapılandırması

Başlamadan önce size bazı yararlı tavsiyeler vereceğim. Eğer bunu kendiniz yapacaksanız (ve kesinlikle yapmanızı tavsiye ederim), muhtemelen kendinizi Masaüstünüzde her biri farklı bir makineye bağlı birden fazla terminal penceresi açıkken bulacaksınız. Bir noktada pencereye yanlış komutu girmeniz riski vardır. Bunu önlemek için, komut satırında görüntülenen makine adını, nerede olduğunuzu açıkça söyleyen bir adla değiştirmek için ana bilgisayar adı komutunu kullanabilirsiniz. Bunu yaptıktan sonra, yeni ayarların etkili olması için sunucudan çıkış yapıp tekrar giriş yapmanız gerekecektir. Şuna benziyor:

Bu yaklaşımı takip ederek ve çalıştığınız makinelerin her birine uygun isimler vererek nerede olduğunuzu kolaylıkla takip edebilirsiniz.

Ana bilgisayar adını kullandıktan sonra, sonraki komutları çalıştırırken can sıkıcı Ana Bilgisayar OpenVPN-Sunucusu Çözümlenemiyor mesajlarıyla karşılaşabilirsiniz. /etc/hosts dosyasını uygun yeni ana bilgisayar adıyla güncellemek sorunu çözecektir.

Sunucunuzu OpenVPN için hazırlama

OpenVPN'i sunucunuza kurmak için iki pakete ihtiyacınız vardır: openvpn ve easy-rsa (şifreleme anahtarı oluşturma sürecini yönetmek için). CentOS kullanıcıları gerekirse Bölüm 2'de yaptığınız gibi ilk önce epel-release deposunu kurmalıdır. Sunucu uygulamasına erişimi test edebilmek için Apache web sunucusunu da kurabilirsiniz (Ubuntu'da Apache2 ve CentOS'ta httpd).

Sunucunuzu kurarken 22 (SSH) ve 1194 (OpenVPN'in varsayılan bağlantı noktası) dışındaki tüm bağlantı noktalarını engelleyen bir güvenlik duvarını etkinleştirmenizi öneririm. Bu örnek, ufw'nin Ubuntu'da nasıl çalışacağını göstermektedir ancak Bölüm 9'daki CentOS güvenlik duvarı programını hâlâ hatırladığınıza eminim:

# ufw enable
# ufw allow 22
# ufw allow 1194

Sunucudaki ağ arayüzleri arasında dahili yönlendirmeyi etkinleştirmek için /etc/sysctl.conf dosyasındaki bir satırın açıklamasını kaldırmanız gerekir (net.ipv4.ip_forward = 1). Bu, uzak istemcilerin bağlandıktan sonra gerektiği gibi yeniden yönlendirilmelerine olanak tanır. Yeni seçeneğin çalışmasını sağlamak için sysctl -p komutunu çalıştırın:

# nano /etc/sysctl.conf
# sysctl -p

Sunucu ortamınız artık tamamen yapılandırılmıştır, ancak hazır olmadan önce yapmanız gereken bir şey daha var: aşağıdaki adımları tamamlamanız gerekecek (bunları daha sonra ayrıntılı olarak ele alacağız).

1. Easy-rsa paketiyle sağlanan komut dosyalarını kullanarak sunucuda bir dizi ortak anahtar altyapısı (PKI) şifreleme anahtarı oluşturun. Temel olarak OpenVPN sunucusu aynı zamanda kendi sertifika yetkilisi (CA) olarak da hareket eder.
2. Müşteri için uygun anahtarları hazırlayın
3. Sunucu için server.conf dosyasını yapılandırın
4. OpenVPN istemcinizi kurun
5. VPN'inizi kontrol edin

Şifreleme anahtarları oluşturma

İşleri basitleştirmek için anahtar altyapınızı OpenVPN sunucusunun çalıştığı makineye kurabilirsiniz. Ancak en iyi güvenlik uygulamaları genellikle üretim dağıtımları için ayrı bir CA sunucusunun kullanılmasını önerir. OpenVPN'de kullanılmak üzere şifreleme anahtarı kaynaklarının oluşturulması ve dağıtılması süreci Şekil 10.2'de gösterilmektedir. XNUMX.

OpenVPN'i kurduğunuzda, /etc/openvpn/ dizini otomatik olarak oluşturuldu, ancak içinde henüz hiçbir şey yok. openvpn ve easy-rsa paketleri, yapılandırmanız için temel olarak kullanabileceğiniz örnek şablon dosyalarıyla birlikte gelir. Sertifikasyon sürecini başlatmak için easy-rsa şablon dizinini /usr/share/ dizininden /etc/openvpn dizinine kopyalayın ve easy-rsa/ dizinine değiştirin:

# cp -r /usr/share/easy-rsa/ /etc/openvpn
$ cd /etc/openvpn/easy-rsa

easy-rsa dizini artık pek çok komut dosyası içerecektir. Masada 10.1, anahtar oluşturmak için kullanacağınız araçları listeler.

Yukarıdaki işlemler root ayrıcalıkları gerektirir, dolayısıyla sudo su aracılığıyla root olmanız gerekir.

Çalışacağınız ilk dosyaya vars adı verilir ve easy-rsa'nın anahtarları oluştururken kullandığı ortam değişkenlerini içerir. Zaten mevcut olan varsayılan değerler yerine kendi değerlerinizi kullanacak şekilde dosyayı düzenlemeniz gerekir. Dosyam böyle görünecek (Liste 10.1).

Listeleme 10.1. /etc/openvpn/easy-rsa/vars dosyasının ana parçaları

export KEY_COUNTRY="CA"
export KEY_PROVINCE="ON"
export KEY_CITY="Toronto"
export KEY_ORG="Bootstrap IT"
export KEY_EMAIL="[email protected]"
export KEY_OU="IT"

Vars dosyasını çalıştırmak, değerlerini kabuk ortamına aktaracak ve burada yeni anahtarlarınızın içeriğine dahil edilecektir. Sudo komutu neden tek başına çalışmıyor? Çünkü ilk adımda vars isimli scripti düzenleyip uyguluyoruz. Uygulamak ve, vars dosyasının değerlerini, yeni anahtarlarınızın içeriğine dahil edilecekleri kabuk ortamına aktardığı anlamına gelir.

Tamamlanmamış işlemi tamamlamak için dosyayı yeni bir kabuk kullanarak yeniden çalıştırdığınızdan emin olun. Bu yapıldığında, komut dosyası sizden /etc/openvpn/easy-rsa/keys/ dizinindeki herhangi bir içeriği kaldırmak için başka bir komut dosyası (tümünü temizle) çalıştırmanızı isteyecektir:

Doğal olarak, bir sonraki adım, tümünü temizle komut dosyasını çalıştırmak ve ardından kök sertifikayı oluşturmak için pkitool komut dosyasını kullanan build-ca'yı çalıştırmaktır. Vars tarafından sağlanan kimlik ayarlarını onaylamanız istenecektir:

# ./clean-all
# ./build-ca
Generating a 2048 bit RSA private key

Daha sonra build-anahtar-sunucu betiği geliyor. Yeni kök sertifikayla birlikte aynı pkitool betiğini kullandığından, anahtar çiftinin oluşturulmasını onaylamak için aynı soruları göreceksiniz. Anahtarlar, ilettiğiniz argümanlara göre adlandırılacaktır; bu makinede birden fazla VPN çalıştırmıyorsanız, örnekte olduğu gibi genellikle sunucu olacaktır:

# ./build-key-server server
[...]
Certificate is to be certified until Aug 15 23:52:34 2027 GMT (3650 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

OpenVPN, yeni bağlantılar için kimlik doğrulama anlaşması yapmak üzere Diffie-Hellman algoritması tarafından oluşturulan parametreleri (build-dh kullanarak) kullanır. Burada oluşturulan dosyanın gizli olması gerekmez, ancak o anda etkin olan RSA anahtarları için build-dh betiği kullanılarak oluşturulması gerekir. Gelecekte yeni RSA anahtarları oluşturursanız Diffie-Hellman dosyasını da güncellemeniz gerekecektir:

# ./build-dh

Sunucu tarafı anahtarlarınız artık /etc/openvpn/easy-rsa/keys/ dizininde olacak, ancak OpenVPN bunu bilmiyor. Varsayılan olarak, OpenVPN anahtarları /etc/openvpn/ dizininde arayacaktır, bu nedenle bunları kopyalayın:

# cp /etc/openvpn/easy-rsa/keys/server* /etc/openvpn
# cp /etc/openvpn/easy-rsa/keys/dh2048.pem /etc/openvpn
# cp /etc/openvpn/easy-rsa/keys/ca.crt /etc/openvpn

İstemci Şifreleme Anahtarlarını Hazırlama

Daha önce de gördüğünüz gibi, TLS şifrelemesi eşleşen anahtar çiftlerini kullanır: biri sunucuda, diğeri uzak istemcide kuruludur. Bu, istemci anahtarlarına ihtiyacınız olacağı anlamına gelir. Eski dostumuz pkitool bunun için tam da ihtiyacınız olan şey. Bu örnekte, programı /etc/openvpn/easy-rsa/ dizininde çalıştırdığımızda, client.crt ve client.key adlı dosyaları oluşturmak için ona client argümanını iletiriz:

# ./pkitool client

Hala Keys/ dizininde bulunan orijinal ca.crt dosyasıyla birlikte iki istemci dosyası artık istemcinize güvenli bir şekilde aktarılmalıdır. Sahiplik ve erişim hakları nedeniyle bu o kadar kolay olmayabilir. En basit yaklaşım, kaynak dosyanın içeriğini (ve bu içerikten başka hiçbir şeyi) bilgisayarınızın masaüstünde çalışan bir terminale manuel olarak kopyalamaktır (metni seçin, üzerine sağ tıklayın ve menüden Kopyala seçeneğini seçin). Daha sonra bunu, istemcinize bağlı ikinci bir terminalde oluşturduğunuz aynı adda yeni bir dosyaya yapıştırın.

Ancak herkes kesip yapıştırabilir. Bunun yerine bir yönetici gibi düşünün çünkü kesme/yapıştırma işlemlerinin mümkün olduğu GUI'ye her zaman erişemezsiniz. Dosyaları kullanıcının ana dizinine kopyalayın (böylece uzak scp işlemi onlara erişebilir) ve ardından uzak scp eyleminin gerçekleştirilebilmesi için dosyaların sahipliğini root'tan root olmayan normal bir kullanıcıya değiştirmek için chown'ı kullanın. Tüm dosyalarınızın şu anda yüklü ve erişilebilir olduğundan emin olun. Bunları biraz sonra istemciye taşıyacaksınız:

# cp /etc/openvpn/easy-rsa/keys/client.key /home/ubuntu/
# cp /etc/openvpn/easy-rsa/keys/ca.crt /home/ubuntu/
# cp /etc/openvpn/easy-rsa/keys/client.crt /home/ubuntu/
# chown ubuntu:ubuntu /home/ubuntu/client.key
# chown ubuntu:ubuntu /home/ubuntu/client.crt
# chown ubuntu:ubuntu /home/ubuntu/ca.crt

Tam bir şifreleme anahtarı seti kullanıma hazır olduğundan, sunucuya VPN'yi nasıl oluşturmak istediğinizi söylemeniz gerekir. Bu, server.conf dosyası kullanılarak yapılır.

Tuş vuruşlarının sayısını azaltmak

Çok fazla yazı mı yazılıyor? Parantezlerle genişletme, bu altı komutun ikiye indirilmesine yardımcı olacaktır. Eminim bu iki örneği inceleyebilir ve neler olduğunu anlayabilirsiniz. Daha da önemlisi, bu ilkeleri onlarca, hatta yüzlerce unsuru içeren operasyonlara nasıl uygulayacağınızı anlayacaksınız:

# cp /etc/openvpn/easy-rsa/keys/{ca.crt,client.{key,crt}} /home/ubuntu/
# chown ubuntu:ubuntu /home/ubuntu/{ca.crt,client.{key,crt}}

Server.conf dosyasını ayarlama

Server.conf dosyasının nasıl görünmesi gerektiğini nasıl bilebilirsiniz? /usr/share/'den kopyaladığınız easy-rsa dizin şablonunu hatırlıyor musunuz? OpenVPN'i yüklediğinizde, elinizde /etc/openvpn/ dizinine kopyalayabileceğiniz sıkıştırılmış bir yapılandırma şablon dosyası kaldı. Şablonun arşivlenmiş olduğu gerçeğini temel alarak size yararlı bir araç tanıtacağım: zcat.

Cat komutunu kullanarak bir dosyanın metin içeriğini ekrana yazdırmayı zaten biliyorsunuz, peki ya dosya gzip kullanılarak sıkıştırılmışsa? Dosyayı istediğiniz zaman açabilirsiniz ve ardından cat memnuniyetle çıktısını alacaktır, ancak bu, gerekenden bir veya iki adım daha gerektirir. Bunun yerine, tahmin edebileceğiniz gibi, paketlenmemiş metni tek adımda belleğe yüklemek için zcat komutunu verebilirsiniz. Aşağıdaki örnekte, metni ekrana yazdırmak yerine onu server.conf adlı yeni bir dosyaya yönlendireceksiniz:

# zcat 
  /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz 
  > /etc/openvpn/server.conf
$ cd /etc/openvpn

Dosyayla birlikte gelen kapsamlı ve yararlı belgeleri bir kenara bırakalım ve düzenlemeyi tamamladığınızda nasıl görünebileceğini görelim. Noktalı virgülün (;) OpenVPN'e sonraki satırı okumamasını veya yürütmemesini söylediğini unutmayın (Liste 10.2).

Bu ayarlardan bazılarına göz atalım.

• OpenVPN varsayılan olarak 1194 numaralı bağlantı noktasında çalışır. Bunu, örneğin etkinliklerinizi daha fazla gizlemek veya diğer etkin tünellerle çakışmaları önlemek için değiştirebilirsiniz. 1194 müşterilerle minimum düzeyde koordinasyon gerektirdiğinden, bunu bu şekilde yapmak en iyisidir.
• OpenVPN, verileri iletmek için İletim Kontrol Protokolünü (TCP) veya Kullanıcı Datagram Protokolünü (UDP) kullanır. TCP biraz daha yavaş olabilir ancak daha güvenilirdir ve tünelin her iki ucunda çalışan uygulamalar tarafından anlaşılması daha olasıdır.
• Veri içeriğini taşıyan ve başka hiçbir şey taşımayan daha basit, daha verimli bir IP tüneli oluşturmak istediğinizde dev tun'u belirleyebilirsiniz. Öte yandan, bir Ethernet köprüsü oluşturarak birden fazla ağ arayüzünü (ve bunların temsil ettiği ağları) bağlamanız gerekiyorsa, geliştirici tap'ı seçmeniz gerekecektir. Tüm bunların ne anlama geldiğini anlamıyorsanız tun argümanını kullanın.
• Sonraki dört satır, OpenVPN'e sunucudaki üç kimlik doğrulama dosyasının ve daha önce oluşturduğunuz dh2048 seçenekler dosyasının adlarını verir.
• Sunucu satırı, oturum açma sırasında istemcilere IP adresleri atamak için kullanılacak aralığı ve alt ağ maskesini ayarlar.
• İsteğe bağlı push parametresi "route 10.0.3.0 255.255.255.0", uzak istemcilerin sunucunun arkasındaki özel alt ağlara erişmesine olanak tanır. Bu işi gerçekleştirmek ayrıca, özel alt ağın OpenVPN alt ağını (10.8.0.0) bilmesi için sunucunun kendisinde ağın kurulmasını gerektirir.
• Bağlantı noktası paylaşımı localhost 80 hattı, 1194 numaralı bağlantı noktasından gelen istemci trafiğini 80 numaralı bağlantı noktasını dinleyen yerel bir web sunucusuna yönlendirmenize olanak tanır. (VPN'inizi test etmek için web sunucusunu kullanacaksanız bu yararlı olacaktır.) Bu yalnızca işe yarar. daha sonra tcp protokolü seçildiğinde.
• Kullanıcının hiç kimse ve grup nogroup satırları noktalı virgül (;) kaldırılarak etkinleştirilmelidir. Uzak istemcileri hiç kimse ve hiçbir grup olarak çalışmaya zorlamak, sunucudaki oturumların ayrıcalıksız olmasını sağlar.
• log, OpenVPN her başlatıldığında mevcut günlük girişlerinin eski girişlerin üzerine yazılacağını belirtirken log-append, mevcut günlük dosyasına yeni girişler ekler. openvpn.log dosyasının kendisi /etc/openvpn/ dizinine yazılır.

Ek olarak, OpenVPN sunucusuna ek olarak birden fazla istemcinin birbirini görebilmesi için genellikle yapılandırma dosyasına istemciden istemciye bir değer de eklenir. Yapılandırmanızdan memnunsanız OpenVPN sunucusunu başlatabilirsiniz:

# systemctl start openvpn

OpenVPN ile systemd arasındaki ilişkinin değişen doğası nedeniyle, bazen bir hizmeti başlatmak için aşağıdaki söz dizimi gerekli olabilir: systemctl start openvpn@server.

Sunucunuzun ağ arayüzlerini listelemek için ip addr'ı çalıştırmak artık tun0 adı verilen yeni bir arayüze bir bağlantı çıkarmalıdır. OpenVPN onu gelen istemcilere hizmet vermek için oluşturacaktır:

$ ip addr
[...]
4: tun0: mtu 1500 qdisc [...]
      link/none
      inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0
          valid_lft forever preferred_lft forever

Her şey tam olarak çalışmaya başlamadan önce sunucuyu yeniden başlatmanız gerekebilir. Sonraki durak istemci bilgisayardır.

10.1.2. OpenVPN istemcisini yapılandırma

Geleneksel olarak tüneller en az iki çıkışla inşa edilir (aksi takdirde onlara mağara derdik). Sunucudaki uygun şekilde yapılandırılmış bir OpenVPN, tünele giren ve çıkan trafiği bir tarafa yönlendirir. Ancak istemci tarafında, yani tünelin diğer ucunda çalışan bazı yazılımlara da ihtiyacınız olacak.

Bu bölümde, bir tür Linux bilgisayarının OpenVPN istemcisi olarak görev yapacak şekilde manuel olarak ayarlanmasına odaklanacağım. Ancak bu fırsatın mevcut olmasının tek yolu bu değildir. OpenVPN, Windows veya macOS çalıştıran masaüstü ve dizüstü bilgisayarların yanı sıra Android ve iOS akıllı telefon ve tabletlere kurulabilen ve kullanılabilen istemci uygulamalarını destekler. Ayrıntılar için openvpn.net'e bakın.

OpenVPN paketinin sunucuya yüklendiği gibi istemci makineye de yüklenmesi gerekecektir, ancak kullandığınız anahtarlar zaten mevcut olduğundan burada easy-rsa'ya gerek yoktur. Client.conf şablon dosyasını yeni oluşturduğunuz /etc/openvpn/ dizinine kopyalamanız gerekir. Bu sefer dosya sıkıştırılmayacak, dolayısıyla normal cp komutu işi gayet iyi yapacak:

# apt install openvpn
# cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf 
  /etc/openvpn/

Client.conf dosyanızdaki ayarların çoğu oldukça açıklayıcı olacaktır: sunucudaki değerlerle eşleşmelidirler. Aşağıdaki örnek dosyadan görebileceğiniz gibi, istemciye sunucunun IP adresini bildiren benzersiz parametre uzak 192.168.1.23 1194'tür. Yine bunun sunucu adresiniz olduğundan emin olun. Ayrıca olası bir ortadaki adam saldırısını önlemek için istemci bilgisayarı sunucu sertifikasının orijinalliğini doğrulamaya zorlamalısınız. Bunu yapmanın bir yolu, Remote-cert-tls sunucusu satırını eklemektir (Liste 10.3).

Artık /etc/openvpn/ dizinine gidebilir ve sertifika anahtarlarını sunucudan çıkarabilirsiniz. Örnekteki sunucu IP adresini veya etki alanı adını kendi değerlerinizle değiştirin:

İstemcide OpenVPN'i çalıştırana kadar muhtemelen heyecan verici hiçbir şey olmayacak. Birkaç argüman iletmeniz gerektiğinden bunu komut satırından yapacaksınız. --tls-client argümanı OpenVPN'e istemci gibi davranacağınızı ve TLS şifrelemesi yoluyla bağlanacağınızı söyler ve --config yapılandırma dosyanızı işaret eder:

# openvpn --tls-client --config /etc/openvpn/client.conf

Doğru bağlandığınızdan emin olmak için komut çıktısını dikkatlice okuyun. İlk seferde bir şeyler ters giderse, bunun nedeni sunucu ve istemci yapılandırma dosyaları arasındaki ayarlardaki uyumsuzluk veya ağ bağlantısı/güvenlik duvarı sorunu olabilir. İşte bazı sorun giderme ipuçları.

• İstemcideki OpenVPN işleminin çıktısını dikkatlice okuyun. Genellikle tam olarak neyin yapılamayacağına ve neden yapılamayacağına dair değerli tavsiyeler içerir.
• Sunucudaki /etc/openvpn/ dizinindeki openvpn.log ve openvpn-status.log dosyalarındaki hata mesajlarını kontrol edin.
• OpenVPN ile ilgili ve zamanlanmış mesajlar için sunucu ve istemcideki sistem günlüklerini kontrol edin. (journalctl -ce en son girişleri gösterecektir.)
• Sunucu ve istemci arasında etkin bir ağ bağlantınızın olduğundan emin olun (bununla ilgili daha fazla bilgi Bölüm 14'te).

Yazar Hakkında

David Clinton - sistem yöneticisi, öğretmen ve yazar. Linux sistemleri, bulut bilişim (özellikle AWS) ve Docker gibi konteyner teknolojileri de dahil olmak üzere birçok önemli teknik disiplin için eğitim materyalleri yönetmiş, bunlar hakkında yazılar yazmış ve oluşturmuştur. Bir Aylık Öğle Yemeğinde Amazon Web Hizmetlerini Öğrenin (Manning, 2017) kitabını yazdı. Video eğitim kurslarının birçoğunu Pluralsight.com'da bulabilirsiniz ve diğer kitaplarının (Linux yönetimi ve sunucu sanallaştırması üzerine) bağlantılarına da şu adresten ulaşabilirsiniz: bootstrap-it.com.

» Kitapla ilgili daha detaylı bilgiye şu adresten ulaşabilirsiniz: yayıncının web sitesi
» içindekiler
» Alıntı

Khabrozhiteley için kupon kullanarak %25 indirim - Linux
Kitabın basılı versiyonunun ödenmesi üzerine e-posta yoluyla bir elektronik kitap gönderilecektir.

Kaynak: habr.com