ספר "לינוקס אין קאַמף"

העלא, כאַבראָ רעזידאַנץ! אין דעם בוך, David Clinton באשרייבט 12 פאַקטיש-לעבן פּראַדזשעקס, אַרייַנגערעכנט אָטאַמייטינג דיין באַקאַפּ און אָפּזוך סיסטעם, באַשטעטיקן אַ דראָפּבאָקס-נוסח פערזענלעכע טעקע וואָלקן און קריייטינג דיין אייגענע מעדיאַוויקי סערווער. איר וועט ויספאָרשן ווירטואַליזאַטיאָן, ומגליק אָפּזוך, זיכערהייט, באַקאַפּ, DevOps און סיסטעם טראָובלעשאָאָטינג דורך טשיקאַווע פאַל שטודיום. יעדער קאַפּיטל ענדס מיט אַ רעצענזיע פון ​​בעסטער פּראַקטיסיז, אַ גלאָסאַר פון נייַע טערמינען און עקסערסייזיז.

אויסצוג "10.1. שאפן אַן OpenVPN טונעל"

איך האָב שוין אַ סך גערעדט וועגן ענקריפּשאַן אין דעם בוך. SSH און SCP קענען באַשיצן דאַטן טראַנספערד איבער ווייַט קאַנעקשאַנז (טשאַפּטער 3), טעקע ענקריפּשאַן קענען באַשיצן דאַטן בשעת עס איז סטאָרד אויף די סערווער (טשאַפּטער 8), און TLS / SSL סערטיפיקאַץ קענען באַשיצן דאַטן טראַנספערד צווישן זייטלעך און קליענט בראַוזערז (טשאַפּטער 9) . אָבער מאל דיין דאַטן דאַרף זיין פּראָטעקטעד דורך אַ ברייט קייט פון קאַנעקשאַנז. פֿאַר בייַשפּיל, אפֿשר עטלעכע פון ​​דיין מאַנשאַפֿט מיטגלידער אַרבעט אויף די וועג בשעת קאַנעקטינג צו Wi-Fi דורך עפנטלעך האָצפּאָץ. איר באשטימט זאָל נישט יבערנעמען אַז אַלע אַזאַ אַקסעס פונקטן זענען זיכער, אָבער דיין מענטשן דאַרפֿן אַ וועג צו פאַרבינדן צו פירמע רעסורסן - און דאָס איז ווו אַ VPN קען העלפֿן.

א רעכט דיזיינד VPN טונעל גיט אַ דירעקט פֿאַרבינדונג צווישן ווייַט קלייאַנץ און די סערווער אין אַ וועג וואָס כיידז דאַטן ווען עס טראַוואַלז איבער אַ ינסאַקיער נעץ. איז וואס? איר האָט שוין געזען פילע מכשירים וואָס קענען טאָן דאָס מיט ענקריפּשאַן. די פאַקטיש ווערט פון אַ וופּן איז אַז דורך עפן אַ טונעל, איר קענען פאַרבינדן ווייַט נעטוואָרקס ווי אויב זיי זענען אַלע היגע. אין אַ זינען, איר נוצן אַ בייפּאַס.

מיט דעם עקסטענדעד נעץ, אַדמיניסטראַטאָרס קענען דורכפירן זייער אַרבעט אויף זייער סערווערס פֿון ערגעץ. אָבער מער ימפּאָרטאַנטלי, אַ פירמע מיט רעסורסן פאַרשפּרייטן איבער קייפל לאָוקיישאַנז קענען מאַכן זיי אַלע קענטיק און צוטריטלעך צו אַלע גרופּעס וואָס דאַרפֿן זיי, ווו נאָר זיי זענען (פיגורע 10.1).

דער טונעל זיך טוט נישט גאַראַנטירן זיכערהייט. אָבער איינער פון די ענקריפּשאַן סטאַנדאַרדס קענען זיין אַרייַנגערעכנט אין די נעץ סטרוקטור, וואָס ינקריסיז די מדרגה פון זיכערהייט באטייטיק. טאַנאַלז באשאפן מיט די אָפֿן מקור OpenVPN פּעקל נוצן די זעלבע TLS / SSL ענקריפּשאַן איר האָט שוין לייענען וועגן. OpenVPN איז נישט דער בלויז טאַנאַלינג אָפּציע בנימצא, אָבער עס איז איינער פון די מערסט באַוווסט. עס איז באטראכט צו זיין אַ ביסל פאַסטער און מער זיכער ווי די אָלטערנאַטיוו לייַער 2 טונעל פּראָטאָקאָל וואָס ניצט IPsec ענקריפּשאַן.

צי איר ווילן אַז אַלעמען אין דיין מאַנשאַפֿט זאָל יבערגעבן סיקיורלי מיט יעדער אנדערע בשעת זיי זענען אויף די וועג אָדער ארבעטן אין פאַרשידענע בנינים? צו טאָן דאָס, איר דאַרפֿן צו שאַפֿן אַן OpenVPN סערווער צו לאָזן אַפּלאַקיישאַן ייַנטיילונג און אַקסעס צו די היגע נעץ סוויווע פון ​​​​די סערווער. פֿאַר דעם צו אַרבעטן, אַלע איר דאַרפֿן צו טאָן איז לויפן צוויי ווירטואַל מאשינען אָדער צוויי קאַנטיינערז: איינער צו שפּילן ווי דער סערווער / באַלעבאָס און איינער צו שפּילן ווי דער קליענט. בויען אַ VPN איז נישט אַ פּשוט פּראָצעס, אַזוי עס איז מיסטאָמע ווערט צו נעמען אַ ביסל מינוט צו באַקומען די גרויס בילד אין זינען.

10.1.1. OpenVPN סערווירער קאַנפיגיעריישאַן

איידער איר אָנהייבן, איך וועט געבן איר עטלעכע נוציק עצה. אויב איר 'רע געגאנגען צו טאָן עס זיך (און איך העכסט רעקאָמענדירן איר טאָן), איר וועט מיסטאָמע געפֿינען זיך ארבעטן מיט קייפל וואָקזאַל פֿענצטער עפענען אויף דיין דעסקטאָפּ, יעדער קאָננעקטעד צו אַ אַנדערש מאַשין. עס איז אַ ריזיקירן אַז אין עטלעכע פונט איר וועט אַרייַן די אומרעכט באַפֿעל אין די פֿענצטער. צו ויסמיידן דעם, איר קענען נוצן די האָסטנאַמע באַפֿעל צו טוישן די מאַשין נאָמען געוויזן אויף די באַפֿעל שורה צו עפּעס וואָס קלאר דערציילט איר ווו איר זענט. אַמאָל איר טאָן דאָס, איר דאַרפֿן צו קלאָץ אויס פון די סערווער און קלאָץ צוריק אין פֿאַר די נייַע סעטטינגס צו נעמען ווירקונג. דאָס איז ווי עס קוקט ווי:

דורך נאָכפאָלגן דעם צוגאַנג און געבן צונעמען נעמען צו יעדער פון די מאשינען מיט וואָס איר אַרבעט, איר קענען לייכט האַלטן שפּור פון ווו איר זענט.

נאָך ניצן האָסטנאַמע, איר קען טרעפן אַנויינג ניט געקענט צו האַלטן האָסט OpenVPN-Server אַרטיקלען ווען עקסאַקיוטינג סאַבסאַקוואַנט קאַמאַנדז. אַפּדייטינג די /etc/hosts טעקע מיט די צונעמען נייַ האָסטנאַמע זאָל האַלטן די אַרויסגעבן.

פּריפּערינג דיין סערווער פֿאַר OpenVPN

צו ינסטאַלירן OpenVPN אויף דיין סערווער, איר דאַרפֿן צוויי פּאַקאַדזשאַז: openvpn און easy-rsa (צו פירן די ענקריפּשאַן שליסל דור פּראָצעס). סענטאָס יוזערז זאָל ערשטער ינסטאַלירן די epel-release ריפּאַזאַטאָרי אויב נייטיק, ווי איר האָט געטאן אין טשאַפּטער 2. צו קענען צו פּרובירן אַקסעס צו די סערווער אַפּלאַקיישאַן, איר קענען אויך ינסטאַלירן די אַפּאַטשי וועב סערווער (אַפּאַטשע2 אויף ובונטו און הטטפּד אויף סענטאָס).

בשעת איר באַשטעטיקן דיין סערווער, איך רעקאָמענדירן אַקטאַווייטינג אַ פיירוואַל וואָס בלאַקס אַלע פּאָרץ אַחוץ 22 (SSH) און 1194 (די פעליקייַט פּאָרט פון OpenVPN). דער ביישפּיל ילאַסטרייץ ווי ufw וואָלט אַרבעט אויף ובונטו, אָבער איך בין זיכער איר נאָך געדענקען די CentOS Firewalld פּראָגראַם פֿון טשאַפּטער 9:

# ufw enable
# ufw allow 22
# ufw allow 1194

צו געבן ינערלעך רוטינג צווישן נעץ ינטערפייסיז אויף די סערווער, איר דאַרפֿן צו ונקאָממענט איין שורה (net.ipv4.ip_forward = 1) אין די /etc/sysctl.conf טעקע. דאָס וועט לאָזן ווייַט קלייאַנץ צו זיין רידערעקטיד ווי דארף אַמאָל זיי זענען קאָננעקטעד. צו מאַכן די נייַע אָפּציע אַרבעט, לויפן sysctl -p:

# nano /etc/sysctl.conf
# sysctl -p

דיין סערווער סוויווע איז איצט גאָר קאַנפיגיערד, אָבער עס איז נאָך איין זאַך צו טאָן איידער איר זענט גרייט: איר וועט דאַרפֿן צו פאַרענדיקן די פאלגענדע סטעפּס (מיר וועלן דעקן זיי אין דעטאַל ווייַטער).

1. שאַפֿן אַ סכום פון עפנטלעך שליסל ינפראַסטראַקטשער (PKI) ענקריפּשאַן שליסלען אויף די סערווער ניצן די סקריפּס צוגעשטעלט מיט די Easy-rsa פּעקל. יסענשאַלי, די OpenVPN סערווער אויך אקטן ווי זיין אייגענע באַווייַזן אויטאָריטעט (CA).
2. צוגרייטן צונעמען שליסלען פֿאַר דעם קליענט
3. קאַנפיגיער די server.conf טעקע פֿאַר די סערווער
4. באַשטעטיק דיין OpenVPN קליענט
5. קאָנטראָלירן דיין VPN

דזשענערייטינג ענקריפּשאַן שליסלען

צו האַלטן טינגז פּשוט, איר קענען שטעלן דיין שליסל ינפראַסטראַקטשער אויף דער זעלביקער מאַשין ווו די OpenVPN סערווער איז פליסנדיק. אָבער, בעסטער זיכערהייט פּראַקטיסיז טיפּיקלי פֿאָרשלאָגן ניצן אַ באַזונדער CA סערווער פֿאַר פּראָדוקציע דיפּלוימאַנץ. דער פּראָצעס פון דזשענערייטינג און דיסטריביוטינג ענקריפּשאַן שליסל רעסורסן פֿאַר נוצן אין OpenVPN איז ילאַסטרייטיד אין פיגורע. 10.2.

ווען איר אינסטאַלירן OpenVPN, די /etc/openvpn/ וועגווייַזער איז אויטאָמאַטיש באשאפן, אָבער עס איז גאָרנישט אין עס נאָך. די openvpn און easy-rsa פּאַקידזשיז קומען מיט ביישפילן מוסטער טעקעס וואָס איר קענען נוצן ווי אַ יקער פֿאַר דיין קאַנפיגיעריישאַן. צו אָנהייבן דעם סערטאַפאַקיישאַן פּראָצעס, נאָכמאַכן די easy-rsa מוסטער וועגווייַזער פון /usr/share/ צו /etc/openvpn און טוישן צו די easy-rsa/ וועגווייַזער:

# cp -r /usr/share/easy-rsa/ /etc/openvpn
$ cd /etc/openvpn/easy-rsa

די easy-rsa וועגווייַזער וועט איצט אַנטהאַלטן גאַנץ אַ ביסל סקריפּס. אין טיש 10.1 רשימות די מכשירים איר וועט נוצן צו שאַפֿן שליסלען.

די אויבן אַפּעריישאַנז דאַרפן וואָרצל פּריווילאַדזשאַז, אַזוי איר דאַרפֿן צו ווערן וואָרצל דורך sudo su.

דער ערשטער טעקע מיט וואָס איר וועט אַרבעטן איז גערופֿן וואַרס און כּולל די סוויווע וועריאַבאַלז אַז easy-rsa ניצט ווען דזשענערייטינג שליסלען. איר דאַרפֿן צו רעדאַגירן די טעקע צו נוצן דיין אייגענע וואַלועס אַנשטאָט פון די פעליקייַט וואַלועס וואָס זענען שוין דאָרט. דאָס איז וואָס מיין טעקע וועט קוקן ווי (ליסטינג 10.1).

ליסטינג 10.1. הויפּט פראַגמאַנץ פון דער טעקע /etc/openvpn/easy-rsa/vars

export KEY_COUNTRY="CA"
export KEY_PROVINCE="ON"
export KEY_CITY="Toronto"
export KEY_ORG="Bootstrap IT"
export KEY_EMAIL="[email protected]"
export KEY_OU="IT"

לויפן די וואַרס טעקע וועט פאָרן די וואַלועס צו די שאָל סוויווע, ווו זיי וועלן זיין אַרייַנגערעכנט אין די אינהאַלט פון דיין נייַע שליסלען. פארוואס טוט נישט דער סודאָ באַפֿעל אַליין אַרבעט? ווייַל אין דער ערשטער שריט מיר רעדאַגירן די שריפט געהייסן וואַרס און דעמאָלט צולייגן עס. אַפּלייינג און מיטל אַז די וואַרס טעקע פּאַסיז זיין וואַלועס צו די שאָל סוויווע, ווו זיי וועלן זיין אַרייַנגערעכנט אין די אינהאַלט פון דיין נייַע שליסלען.

זייט זיכער צו לויפן די טעקע מיט אַ נייַע שאָל צו פאַרענדיקן דעם אַנפינישט פּראָצעס. ווען דאָס איז געשען, דער שריפט וועט בעטן איר צו לויפן אן אנדער שריפט, ריין-אַלע, צו באַזייַטיקן קיין אינהאַלט אין די /etc/openvpn/easy-rsa/keys/ וועגווייַזער:

געוויינטלעך, דער ווייַטער שריט איז צו לויפן די ריין-אַלע שריפט, נאכגעגאנגען דורך build-ca, וואָס ניצט די pkitool שריפט צו שאַפֿן די וואָרצל באַווייַזן. איר וועט זיין געבעטן צו באַשטעטיקן די אידענטיטעט סעטטינגס צוגעשטעלט דורך vars:

# ./clean-all
# ./build-ca
Generating a 2048 bit RSA private key

ווייַטער קומט די בויען-שליסל-סערווער שריפט. זינט עס ניצט די זעלבע פּקיטאָאָל שריפט צוזאַמען מיט אַ נייַע וואָרצל באַווייַזן, איר וועט זען די זעלבע פֿראגן צו באַשטעטיקן די שאַפונג פון די שליסל פּאָר. די קיז וועט זיין געהייסן באזירט אויף די אַרגומענטן איר פאָרן, וואָס, אויב איר לויפן קייפל וופּן אויף דעם מאַשין, וועט יוזשאַוואַלי זיין סערווער, ווי אין דעם בייַשפּיל:

# ./build-key-server server
[...]
Certificate is to be certified until Aug 15 23:52:34 2027 GMT (3650 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

OpenVPN ניצט פּאַראַמעטערס דזשענערייטאַד דורך די Diffie-Hellman אַלגערידאַם (ניצן build-dh) צו פאַרהאַנדלען אָטענטאַקיישאַן פֿאַר נייַע קאַנעקשאַנז. דער טעקע באשאפן דאָ דאַרף ניט זיין סוד, אָבער מוזן זיין דזשענערייטאַד מיט די build-dh שריפט פֿאַר די RSA שליסלען וואָס זענען דערווייַל אַקטיוו. אויב איר שאַפֿן נייַע RSA שליסלען אין דער צוקונפֿט, איר וועט אויך דאַרפֿן צו דערהייַנטיקן די Diffie-Hellman טעקע:

# ./build-dh

דיין סערווער זייַט שליסלען וועט איצט סוף אַרויף אין די /etc/openvpn/easy-rsa/keys/ וועגווייַזער, אָבער OpenVPN קען נישט וויסן דעם. דורך פעליקייַט, OpenVPN וועט קוקן פֿאַר שליסלען אין /etc/openvpn/, אַזוי נאָכמאַכן זיי:

# cp /etc/openvpn/easy-rsa/keys/server* /etc/openvpn
# cp /etc/openvpn/easy-rsa/keys/dh2048.pem /etc/openvpn
# cp /etc/openvpn/easy-rsa/keys/ca.crt /etc/openvpn

פּריפּערינג קליענט ענקריפּשאַן קיז

ווי איר האָט שוין געזען, TLS ענקריפּשאַן ניצט פּערז פון וואָס ריכטן שליסלען: איינער אינסטאַלירן אויף די סערווער און איינער אינסטאַלירן אויף די ווייַט קליענט. דעם מיטל איר וועט דאַרפֿן קליענט שליסלען. אונדזער אַלט פרייַנד pkitool איז פּונקט וואָס איר דאַרפֿן פֿאַר דעם. אין דעם בייַשפּיל, ווען מיר לויפן די פּראָגראַם אין די /etc/openvpn/easy-rsa/ וועגווייַזער, מיר פאָרן די קליענט אַרגומענט צו דזשענערייט טעקעס גערופן client.crt און client.key:

# ./pkitool client

די צוויי קליענט טעקעס, צוזאַמען מיט דער אָריגינעל ca.crt טעקע וואָס איז נאָך אין די שליסלען / וועגווייַזער, זאָל איצט זיין סיקיורלי טראַנספערד צו דיין קליענט. רעכט צו זייער אָונערשיפּ און אַקסעס רעכט, דאָס קען נישט זיין אַזוי גרינג. די סימפּלאַסט צוגאַנג איז צו מאַניואַלי נאָכמאַכן די אינהאַלט פון די מקור טעקע (און גאָרנישט אָבער דעם אינהאַלט) אין אַ וואָקזאַל פליסנדיק אויף דיין פּיסי ס דעסקטאַפּ (סעלעקטירן די טעקסט, רעכט גיט אויף עס און סעלעקטירן קאָפּי פון די מעניו). דערנאָך פּאַפּ דאָס אין אַ נייַע טעקע מיט די זעלבע נאָמען וואָס איר מאַכן אין אַ צווייט וואָקזאַל קאָננעקטעד צו דיין קליענט.

אבער ווער עס יז קענען שנייַדן און פּאַפּ. אַנשטאָט, טראַכטן ווי אַ אַדמיניסטראַטאָר ווייַל איר וועט ניט שטענדיק האָבן אַקסעס צו די GUI ווו שנייַדן / פּאַפּ אַפּעריישאַנז זענען מעגלעך. נאָכמאַכן די טעקעס צו דיין באַניצער 'ס היים וועגווייַזער (אַזוי אַז די ווייַט סקפּ אָפּעראַציע קענען אַקסעס זיי), און דעמאָלט נוצן טשאָוון צו טוישן די אָונערשיפּ פון די טעקעס פֿון וואָרצל צו אַ רעגולער ניט-וואָרצל באַניצער אַזוי אַז די ווייַט סקפּ קאַמף קענען זיין דורכגעקאָכט. מאַכן זיכער אַז אַלע דיין טעקעס זענען איצט אינסטאַלירן און צוטריטלעך. איר וועט מאַך זיי צו דעם קליענט אַ ביסל שפּעטער:

# cp /etc/openvpn/easy-rsa/keys/client.key /home/ubuntu/
# cp /etc/openvpn/easy-rsa/keys/ca.crt /home/ubuntu/
# cp /etc/openvpn/easy-rsa/keys/client.crt /home/ubuntu/
# chown ubuntu:ubuntu /home/ubuntu/client.key
# chown ubuntu:ubuntu /home/ubuntu/client.crt
# chown ubuntu:ubuntu /home/ubuntu/ca.crt

מיט אַ פול גאַנג פון ענקריפּשאַן שליסלען גרייט צו גיין, איר דאַרפֿן צו זאָגן די סערווער ווי איר ווילן צו שאַפֿן די וופּן. דעם איז געטאן ניצן די server.conf טעקע.

רידוסינג די נומער פון קיסטראָוקס

איז עס צו פיל טייפּינג? יקספּאַנשאַן מיט בראַקאַץ וועט העלפֿן רעדוצירן די זעקס קאַמאַנדז צו צוויי. איך בין זיכער אַז איר קענען לערנען די צוויי ביישפילן און פֿאַרשטיין וואָס איז געשעעניש. מער ימפּאָרטאַנטלי, איר וועט קענען צו פֿאַרשטיין ווי צו צולייגן די פּרינסאַפּאַלז צו אַפּעריישאַנז מיט טענס אָדער אפילו הונדערטער פון עלעמענטן:

# cp /etc/openvpn/easy-rsa/keys/{ca.crt,client.{key,crt}} /home/ubuntu/
# chown ubuntu:ubuntu /home/ubuntu/{ca.crt,client.{key,crt}}

באַשטעטיקן די server.conf טעקע

ווי קענען איר וויסן ווי די server.conf טעקע זאָל קוקן ווי? געדענקט די Easy-rsa Directory מוסטער וואָס איר קאַפּיד פֿון /usr/share/? ווען איר אינסטאַלירן OpenVPN, איר האָט לינקס מיט אַ קאַמפּרעסט קאַנפיגיעריישאַן טעמפּלאַטע טעקע וואָס איר קענען נאָכמאַכן צו /etc/openvpn/. איך וועל בויען אויף דעם פאַקט אַז דער מוסטער איז אַרטשיוועד און באַקענען איר מיט אַ נוציק געצייַג: zcat.

איר שוין וויסן וועגן דרוקן די טעקסט אינהאַלט פון אַ טעקע צו די פאַרשטעלן מיט די קאַץ באַפֿעל, אָבער וואָס אויב די טעקע איז קאַמפּרעסט מיט gzip? איר קענען שטענדיק אַנזיפּ די טעקע און דעמאָלט קאַץ וועט גליק רעזולטאַט, אָבער דאָס איז איינער אָדער צוויי מער סטעפּס ווי נייטיק. אַנשטאָט, ווי איר קען האָבן געסט, איר קענען אַרויסגעבן די zcat באַפֿעל צו לאָדן די אַנפּאַקט טעקסט אין זכּרון אין איין שריט. אין די פאלגענדע בייַשפּיל, אַנשטאָט פון דרוקן טעקסט צו דעם עקראַן, איר וועט רידערעקט עס צו אַ נייַע טעקע גערופן server.conf:

# zcat 
  /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz 
  > /etc/openvpn/server.conf
$ cd /etc/openvpn

זאל ס שטעלן באַזונדער די ברייט און נוציק דאַקיומענטיישאַן וואָס קומט מיט דער טעקע און זען ווי עס קען קוקן ווי ווען איר פאַרטיק עדיטינג. באַמערקונג אַז די סימקאָלאָן (;) דערציילט OpenVPN נישט צו לייענען אָדער ויספירן די ווייַטער שורה (ליסטינג 10.2).

זאל ס גיין דורך עטלעכע פון ​​די סעטטינגס.

• דורך פעליקייַט, OpenVPN לויפט אויף פּאָרט 1194. איר קענען טוישן דעם, פֿאַר בייַשפּיל, צו ווייַטער באַהאַלטן דיין אַקטיוויטעטן אָדער ויסמיידן קאָנפליקט מיט אנדערע אַקטיוו טאַנאַלז. זינט 1194 ריקווייערז מינימאַל קאָואָרדאַניישאַן מיט קלייאַנץ, עס איז בעסטער צו טאָן דאָס.
• OpenVPN ניצט טראַנסמיסיע קאָנטראָל פּראָטאָקאָל (TCP) אָדער User Datagram Protocol (UDP) צו אַריבערפירן דאַטן. TCP קען זיין אַ ביסל סלאָוער, אָבער עס איז מער פאַרלאָזלעך און מער מסתּמא צו זיין פארשטאנען דורך אַפּלאַקיישאַנז וואָס לויפן אויף ביידע ענדס פון דעם טונעל.
• איר קענען ספּעציפיצירן דעוו טון ווען איר ווילן צו שאַפֿן אַ סימפּלער, מער עפעקטיוו IP טונעל וואָס קאַריז דאַטן אינהאַלט און גאָרנישט אַנדערש. אויב, אויף די אנדערע האַנט, איר דאַרפֿן צו פאַרבינדן קייפל נעץ ינטערפייסיז (און די נעטוואָרקס זיי פאָרשטעלן), שאַפֿן אַן עטהערנעט בריק, איר וועט האָבן צו קלייַבן דעוו צאַפּן. אויב איר טאָן ניט פֿאַרשטיין וואָס דאָס אַלע מיטל, נוצן די טון אַרגומענט.
• די ווייַטער פיר שורות געבן OpenVPN די נעמען פון די דריי אָטענטאַקיישאַן טעקעס אויף די סערווער און די dh2048 אָפּציעס טעקע איר באשאפן פריער.
• די סערווער שורה שטעלט די קייט און סובנעט מאַסקע וואָס וועט זיין גענוצט צו באַשטימען IP אַדרעסעס צו קלייאַנץ ביי לאָגין.
• די אַפּשאַנאַל שטופּן פּאַראַמעטער "וועג 10.0.3.0 255.255.255.0" אַלאַוז ווייַט קלייאַנץ צו אַקסעס פּריוואַט סובנעץ הינטער די סערווער. צו מאַכן דעם אַרבעט אויך ריקווייערז באַשטעטיקן די נעץ אויף די סערווער זיך אַזוי אַז די פּריוואַט סובנעט ווייסט וועגן די OpenVPN סובנעט (10.8.0.0).
• די פּאָרט-ייַנטיילן לאָקאַלהאָסט 80 שורה אַלאַוז איר צו רידערעקט קליענט פאַרקער קומענדיק אויף פּאָרט 1194 צו אַ היגע וועב סערווער צוגעהערט אויף פּאָרט 80. (דאָס וועט זיין נוציק אויב איר וועט נוצן די וועב סערווער צו פּרובירן דיין וופּן.) דאָס נאָר אַרבעט ווען דער tcp פּראָטאָקאָל איז אויסגעקליבן.
• דער באַניצער קיינער און גרופּע נאָגראָופּ שורות מוזן זיין ענייבאַלד דורך רימוווינג די סעמיקאָלאָנס (;). פאָרסינג ווייַט קלייאַנץ צו לויפן ווי קיינער און נאָגראָופּ ינשורז אַז סעשאַנז אויף די סערווער זענען אַנפּריווילאַדזשד.
• קלאָץ ספּעציפיצירט אַז קראַנט קלאָץ איינסן וועט אָווועררייט אַלט איינסן יעדער מאָל OpenVPN איז סטאַרטעד, כוועראַז לאָג-צוגעבן אַפּענדז נייַ איינסן צו די יגזיסטינג קלאָץ טעקע. די openvpn.log טעקע זיך איז געשריבן צו די /etc/openvpn/ וועגווייַזער.

אַדדיטיאָנאַללי, אַ קליענט-צו-קליענט ווערט איז אויך אָפט מוסיף צו די קאַנפיגיעריישאַן טעקע אַזוי אַז קייפל קלייאַנץ קענען זען יעדער אנדערע אין אַדישאַן צו די OpenVPN סערווער. אויב איר זענט צופֿרידן מיט דיין קאַנפיגיעריישאַן, איר קענען אָנהייבן די OpenVPN סערווער:

# systemctl start openvpn

רעכט צו דער טשאַנגינג נאַטור פון די שייכות צווישן OpenVPN און systemd, די פאלגענדע סינטאַקס קען מאל זיין פארלאנגט צו אָנהייבן אַ דינסט: systemctl start openvpn@server.

פליסנדיק יפּ אַדר צו רשימה דיין סערווער ס נעץ ינטערפייסיז זאָל איצט רעזולטאַט אַ לינק צו אַ נייַע צובינד גערופן tun0. OpenVPN וועט מאַכן עס צו דינען ינקאַמינג קלייאַנץ:

$ ip addr
[...]
4: tun0: mtu 1500 qdisc [...]
      link/none
      inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0
          valid_lft forever preferred_lft forever

איר קען דאַרפֿן צו רעבאָאָט די סערווער איידער אַלץ סטאַרץ ארבעטן גאָר. ווייַטער האַלטן איז דער קליענט קאָמפּיוטער.

10.1.2. קאַנפיגיער די OpenVPN קליענט

טראַדישאַנאַלי, טאַנאַלז זענען געבויט מיט בייַ מינדסטער צוויי עגזיץ (אַנדערש מיר וואָלט רופן זיי קאַוועס). א רעכט קאַנפיגיערד OpenVPN אויף די סערווער דירעקטעד פאַרקער אין און אויס פון דעם טונעל אויף איין זייַט. אָבער איר וועט אויך דאַרפֿן עטלעכע ווייכווארג פליסנדיק אויף די קליענט זייַט, דאָס איז, אויף די אנדערע סוף פון דעם טונעל.

אין דעם אָפּטיילונג, איך בין געגאנגען צו פאָקוס אויף מאַניואַלי באַשטעטיקן עטלעכע טיפּ פון לינוקס קאָמפּיוטער צו שפּילן ווי אַ OpenVPN קליענט. אבער דאָס איז נישט דער בלויז וועג אין וואָס די געלעגנהייט איז בנימצא. OpenVPN שטיצט קליענט אַפּלאַקיישאַנז וואָס קענען זיין אינסטאַלירן און געוויינט אויף דעסקטאַפּס און לאַפּטאַפּס מיט Windows אָדער macOS, ווי געזונט ווי אַנדרויד און יאָס סמאַרטפאָנעס און טאַבלאַץ. זען openvpn.net פֿאַר דעטאַילס.

די OpenVPN פּעקל וועט זיין אינסטאַלירן אויף דעם קליענט מאַשין ווי עס איז געווען אינסטאַלירן אויף די סערווער, כאָטש עס איז ניט נויטיק פֿאַר Easy-rsa דאָ זינט די שליסלען איר נוצן שוין עקסיסטירן. איר דאַרפֿן צו נאָכמאַכן די client.conf טעמפּלאַטע טעקע צו די /etc/openvpn/ וועגווייַזער וואָס איר נאָר באשאפן. דאָס מאָל די טעקע וועט נישט זיין זיפּט, אַזוי די רעגולער קפּ באַפֿעל וועט טאָן די אַרבעט פּונקט פייַן:

# apt install openvpn
# cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf 
  /etc/openvpn/

רובֿ פון די סעטטינגס אין דיין client.conf טעקע וועט זיין שיין זיך-יקספּלאַנאַטאָרי: זיי זאָל גלייַכן די וואַלועס אויף די סערווער. ווי איר קענען זען פֿון די פאלגענדע בייַשפּיל טעקע, די יינציק פּאַראַמעטער איז ווייַט 192.168.1.23 1194, וואָס דערציילט דעם קליענט די IP אַדרעס פון די סערווער. ווידער, מאַכן זיכער אַז דאָס איז דיין סערווער אַדרעס. איר זאָל אויך צווינגען דעם קליענט קאָמפּיוטער צו באַשטעטיקן די אָטאַנטיסיטי פון די סערווער באַווייַזן צו פאַרמייַדן אַ מעגלעך מענטש-אין-דעם-מיטן באַפאַלן. איין וועג צו טאָן דאָס איז צו לייגן די שורה ווייַט-סערט-טלס סערווער (ליסטינג 10.3).

איר קענט איצט גיין צו די /etc/openvpn/ וועגווייַזער און עקסטראַקט די סערטאַפאַקיישאַן שליסלען פון די סערווער. פאַרבייַטן די סערווער IP אַדרעס אָדער פעלד נאָמען אין דעם בייַשפּיל מיט דיין וואַלועס:

גאָרנישט יקסייטינג וועט מסתּמא פּאַסירן ביז איר לויפן OpenVPN אויף דעם קליענט. זינט איר דאַרפֿן צו פאָרן אַ פּאָר פון אַרגומענטן, איר וועט טאָן דאָס פֿון די באַפֿעלן שורה. די --tls-client אַרגומענט דערציילט OpenVPN אַז איר וועט שפּילן ווי אַ קליענט און פאַרבינדן דורך TLS ענקריפּשאַן, און -config ווייזט צו דיין קאַנפיגיעריישאַן טעקע:

# openvpn --tls-client --config /etc/openvpn/client.conf

לייענען די באַפֿעל רעזולטאַט קערפאַלי צו מאַכן זיכער אַז איר זענט קאָננעקטעד ריכטיק. אויב עפּעס גייט פאַלש דער ערשטער מאָל, עס קען זיין רעכט צו אַ מיסמאַטש אין סעטטינגס צווישן די סערווער און קליענט קאַנפיגיעריישאַן טעקעס אָדער אַ נעץ קשר / פיירוואַל אַרויסגעבן. דאָ זענען עטלעכע עצות פֿאַר טראָובלעשאָאָטינג.

• לייענען קערפאַלי די רעזולטאַט פון די OpenVPN אָפּעראַציע אויף דעם קליענט. עס אָפט כּולל ווערטפול עצה וועגן וואָס פּונקט קענען ניט זיין געטאן און וואָס.
• קוק די טעות אַרטיקלען אין די openvpn.log און openvpn-status.log טעקעס אין די /etc/openvpn/ וועגווייַזער אויף די סערווער.
• קאָנטראָלירן די סיסטעם לאָגס אויף די סערווער און קליענט פֿאַר OpenVPN-פֿאַרבונדענע און טיימד אַרטיקלען. (journalctl -ce וועט ווייַזן די לעצטע איינסן.)
• מאַכן זיכער אַז איר האָבן אַן אַקטיוו נעץ פֿאַרבינדונג צווישן די סערווער און דעם קליענט (מער וועגן דעם אין טשאַפּטער 14).

וועגן די מחבר

דוד קלינטאן - סיסטעם אַדמיניסטראַטאָר, לערער און שרייַבער. ער האט אַדמינאַסטערד, געשריבן וועגן און באשאפן בילדונגקרייז מאַטעריאַלס פֿאַר פילע וויכטיק טעכניש דיסאַפּלאַנז, אַרייַנגערעכנט לינוקס סיסטעמען, וואָלקן קאַמפּיוטינג (ספּעציעל AWS), און קאַנטיינער טעקנאַלאַדזשיז אַזאַ ווי דאָקקער. ער האָט געשריבן דעם בוך לערן אַמאַזאָן וועב באַדינונגס אין אַ חודש פון לאַנטשיז (מאַנינג, 2017). פילע פון ​​זיין ווידעא טריינינג קאָרסאַז קענען זיין געפֿונען ביי Pluralsight.com, און פֿאַרבינדונגען צו זיין אנדערע ביכער (אויף לינוקס אַדמיניסטראַציע און סערווער ווירטואַליזאַטיאָן) זענען בארעכטיגט ביי bootstrap-it.com.

» מער דעטאַילס וועגן דעם בוך קענען זיין געפֿונען אין אַרויסגעבער ס וועבזייַטל
» טיש פון אינהאַלט
» עקססערפּט

פֿאַר Khabrozhiteley 25% אַראָפּרעכענען מיט קופּאָן - לינוקס
ביי צאָלונג פון די פּאַפּיר ווערסיע פון ​​דעם בוך, אַן עלעקטראָניש בוך וועט זיין געשיקט דורך E- פּאָסט.

מקור: www.habr.com