Pamācība vpn serveru iestatīšanai ubuntu. Vienkāršākais veids, kā iestatīt Ubuntu kā VPN serveri. Sertifikācijas iestādes izveide
Ja ($atbildes_skaitītājs == 1): ?> endif; ?>
ATJAUNINĀT. Kas attiecas uz Sierra, macOS vairs neatbalsta PPTP vpn. Šī atbilde nav derīga MacOS Sierra klientiem un citiem.
PPTP, izmantojot PoPToP, ir vienkārša
- apt-get install pptpd
- rediģējiet /etc/pptpd.conf un iestatiet remoteip opciju uz vērtību jūsu tīklā, kuru NEAPkalpo jūsu DHCP serveris.
- rediģējiet /etc/ppp/chap-secrets un pievienojiet lietotājvārdu un paroli
piemēram.
vpnuser pptpd vpnpassword*
Tas ir viss, kas nepieciešams, lai instalētu pptp. Tagad pārbaudiet to ar savu OS X klientu.
Atbildēja Jay _silly_evarlast_ Wren 04/06/2012 plkst. 23:24
BRĪDINĀJUMS: PPTP IR NEDRĪGS PROTOKOLS! Šifrēšana ir ne tikai pārkāpta, bet arī nosūta jūsu autentifikāciju skaidrā tekstā un ir viegli pārtverama. Ir aprēķināts, ka paroles rupjai piespiešanai nepieciešamais laiks ir aptuveni līdzvērtīgs laikam, kas nepieciešams vienas DES atslēgas brutālai piespiešanai. Apsveriet iespēju PPTP vietā izmantot OpenVPN vai citu VPN arhitektūru!
Atbildēja Qasim 10.06.2013 plkst.16:09
Citas atbildes šajā pavedienā manā gadījumā bija tikai daļējas atbildes. Lūk, kas man strādāja Ubuntu 12.04.3
sudo apt-get install pptpd
Pievienojiet šo failu /etc/pptpd.conf: (IP adresei nav nozīmes, tās ir tikai jūsu ppp0 interfeisa IP adreses.)
localip 10.0.0.1 remoteip 10.0.0.100-200
Pievienojiet DNS serverus /etc/ppp/pptpd-options
ms-dns 8.8.8.8 ms-dns 8.8.4.4
Iespējot IP adreses pārsūtīšanu
sudo vim /etc/sysctl.confAtceliet šīs rindas komentārus
sudo sysctl -p /etc/sysctl.conf
Rediģējiet /etc/ppp/chap-secrets, pievienojiet VPN lietotāju šādā formātā:
# Noslēpumi autentifikācijai, izmantojot CHAP # klienta servera slepenās IP adreses lietotājvārds pptpd supersecretpassword *
Restartējiet PPTP
Pakalpojuma pptpd restartēšana
Palaidiet ifconfig un atrodiet savu noklusējuma saskarni, manā gadījumā tā bija br0(Es to mainīju, lai ļautu manas fiziskās mašīnas virtuālajām mašīnām koplietot interfeisu. Droši vien tā būs lv0)
iptables dublējums
iptables-save > ~/iptables.save
Tagad iptables izmaiņas izmanto tās noklusējuma saskarni, kā parādīts ifconfig.
VPN savienojuma iestatīšana vietnē Debian
Šeit ir piemērs VPN savienojuma iestatīšanai Debian Linux, izmantojot komandrindu. Bet tas būs ne mazāk noderīgi uz Debian balstītu izplatījumu īpašniekiem, piemēram, Ubuntu.
- Vispirms jums ir nepieciešama pptp pakotne:
# apt-get instalēt pptp-linux - Rediģējiet (vai izveidojiet, ja tāda nav) failu /etc/ppp/options.pptp. Tajā jāiekļauj šādi parametri:
slēdzene
noauth
nobsdcomp
nodeflēt - Pēc tam failam /etc/ppp/chap-secrets jāpievieno šāda rinda:
"lietotājvārds" PPTP "parole" * - Izveidojiet failu /etc/ppp/peers/XXX (XXX ir tīkla nosaukums). Ievadiet tajā sekojošo:
pty "pptp vpn.XXX.ru --nolaunchpppd"
vārds "lietotājvārds"
attālais nosaukums PPTP
failu /etc/ppp/options.pptp
noklusējuma maršruts
“lietotājvārds” un “parole” jāaizstāj ar jūsu lietotājvārdu un paroli bez pēdiņām, kā norādīts jūsu līgumā. vpn.XXX.ru — vpn servera adrese — jautājiet savam pakalpojumu sniedzējam. - Lai automātiski aizstātu noklusējuma maršrutu, izveidojiet /etc/ppp/ip-up.d/routes-up failu:
# pieskarieties /etc/ppp/ip-up.d/routes-up
# su chown a+x /etc/ppp/ip-up.d/routes-upUn ievadiet tajā sekojošo:
#!/bin/sh
/sbin/route del default
/sbin/route pievieno noklusējuma dev ppp0
Izveidojiet failu /etc/ppp/ip-down.d/routes-down:
# pieskarieties /etc/ppp/ip-down.d/routes-down
# su chown a+x /etc/ppp/ip-down.d/routes-down
Un ievadiet tajā sekojošo:
#!/bin/sh
/sbin/route del default
/sbin/route pievieno noklusējuma dev eth0 - Tagad varat izveidot savienojumu ar komandu:
# su pon XXX
Lai iegūtu detalizētu informāciju par savienojuma procesu, ierakstiet:
# su pon XXX atkļūdošanas dump logfd 2 nodetach
Varat pārbaudīt, vai ir izveidots savienojums ar VPN, ierakstot komandu ifconfig. Ja tā izvadē ir sadaļa ppp0, tad esat izveidojis savienojumu un varat sākt strādāt ar internetu. Lai atspējotu, nospiediet ctrl+c vai ierakstiet:
# su poff XXX - Lai jūsu dators varētu saņemt maršrutus no mūsu servera, /etc/dhcp3/dhclient.conf failā ir jābūt šādām rindām:
#
opcija rfc3442-classless-static-routes kods 121 = neparakstīta vesela skaitļa masīvs 8;
opcija ms-classless-static-routes kods 249 = neparakstīta vesela skaitļa masīvs 8;
#
pieprasījuma apakštīkla maska, apraides adrese, laika nobīde, maršrutētāji, domēna nosaukums, domēna nosaukuma serveri, domēna meklēšana, resursdatora nosaukums, netbios-name-servers, netbios darbības joma, interfeiss-mtu, statiskais maršruts , rfc3442-classless-static-routes, ms-classless-static-routes;
# - Lai operētājsistēmas sāknēšanas laikā automātiski izveidotu savienojumu ar internetu, izveidojiet failu /etc/init.d/XXX
# pieskarieties /etc/init.d/XXX
# su chown a+x /etc/init.d/XXX
# su ln -s /etc/init.d/XXX /etc/rc2.d/S99XXX
Rakstīsim šādi:
#!/bin/sh
su /usr/bin/ponXXX
Visās komandās XXX ir jūsu tīkla nosaukums.
Patiess privātais virtuālais tīkls jeb virtuālais privātais tīkls (VPN) ir šifrēts savienots tunelis starp diviem tīkliem, kas savieno divus uzticamus punktus. Šis nav HTTPS tīmekļa protokols, kas visus klientus uzskata par uzticamiem. Pieslēgties VPN var tikai tie klienti, kuriem ir īpašas piekļuves atslēgas.
Mūsdienās VPN jēdziens ir kļuvis ļoti izstiepts, parādoties privātiem virtuālajiem tīkliem, kas uzticas visiem, un izplatoties HTTPS. Daudzi VPN ir komerciāli risinājumi ar minimālu konfigurāciju, lai darbinieki varētu piekļūt attālināti. Bet ne visi uzticas šiem lēmumiem. Privāts virtuālais tīkls savieno divus tīklus vienā, piemēram, biroja tīklu un darbinieka mājas tīklu. VPN serveris ir nepieciešams, lai serveris un klients varētu autentificēties viens ar otru.
Servera un klienta autentifikācijas iestatīšana prasa daudz darba, un tāpēc komerciālie risinājumi ar minimāliem iestatījumiem šajā ziņā zaudē. Bet patiesībā nav tik grūti iestatīt OpenVPN serveri. Lai iestatītu testa vidi, jums būs nepieciešami divi mezgli dažādos tīklos, piemēram, varat izmantot vairākas virtuālās mašīnas vai reālus serverus. Kā jūs jau sapratāt, šajā rakstā tiks apskatīta OpenVPN iestatīšana Ubuntu, lai izveidotu pilnvērtīgu privāto virtuālo tīklu.
Abās mašīnās jābūt instalētai OpenVPN, tā ir diezgan populāra programma, tāpēc varat to instalēt no oficiālajām krātuvēm. Mums ir nepieciešams arī Easy-RSA, lai strādātu ar slepenajām atslēgām. Lai instalētu programmas Ubuntu, izmantojiet šo komandu:
sudo apt instalēt openvpn easy-rsa
Abām pakotnēm jābūt instalētām gan serverī, gan klientā. Tie būs nepieciešami programmas konfigurēšanai. Tagad ir pabeigts pirmais openvpn instalēšanas un konfigurēšanas raksta posms.
Sertifikācijas iestādes izveide
Vispirms serverī ir jāiestata atbilstoša publiskās atslēgas infrastruktūra. Mēs uzskatām, ka serveris ir mašīna, ar kuru lietotāji izveidos savienojumu. Savai CA ir vairākas priekšrocības, jums būs savs CA, kas atvieglo atslēgu izplatīšanu un pārvaldību. Piemēram, jūs varat atsaukt klienta sertifikātus serverī. Tāpat tagad nav nepieciešams glabāt visus klientu sertifikātus, pietiks, lai sertifikācijas iestāde zinātu, ka sertifikātu paraksta CA. Papildus sarežģītai atslēgu sistēmai varat izmantot statiskās atslēgas, ja vēlaties piešķirt piekļuvi tikai dažiem lietotājiem.
Lūdzu, ņemiet vērā, ka visām slepenajām atslēgām ir jāatrodas drošā vietā. OpenVPN publisko atslēgu sauc par sertifikātu un tai ir .crt paplašinājums, bet privāto atslēgu sauc par atslēgu, tās paplašinājums ir .key.
Vispirms izveidojiet mapi Easy-RSA sertifikātu glabāšanai. Faktiski OpenVPN konfigurācija tiek veikta manuāli, tāpēc mapi var novietot jebkurā vietā:
sudo mkdir /etc/openvpn/easy-rsa
Pēc tam kopējiet visus nepieciešamos easy-rsa skriptus šajā mapē:
cd /etc/openvpn/easy-rsa/
sudo -i
# avots ./vars
# ./nodzēst visu
# ./build-ca
Ar pirmo komandu pārslēdzamies uz konsoli superlietotāja vārdā, ar otro ielādējam vides mainīgos no faila ./vars. Komanda ./clear-all izveido atslēgu mapi, ja tā neeksistē, un notīra tās saturu. Un pēdējā komanda inicializē mūsu sertifikātu iestādi. Tagad visi nepieciešamie taustiņi ir parādījušies mapē .keys:
Klienta sertifikātu iestatīšana
sudo cp -R /usr/share/easy-rsa /etc/openvpn/
Tagad mums ir jākopē sertifikāts, .crt fails, visu klientu mapē /etc/openvpn. Piemēram, lejupielādēsim šo failu mūsu klientam, izmantojot scp:
sudo scp user@host: /etc/openvpn/easy-rsa/keys/ca.crt /etc/openvpn/easy-rsa/keys
Tikai tagad varat izveidot savu privāto atslēgu, pamatojoties uz CA sertifikātu:
cd /etc/openvpn/easy-rsa/
sudo -i
# avots ./vars
# build-req Sergiy
Lūdzu, ņemiet vērā, ka ca.crt ir jābūt atslēgu mapē, pretējā gadījumā nekas nedarbosies. Tagad utilīta izveidos atslēgu, uz kuras pamata jūs varat izveidot savienojumu ar OpenVPN serveri, taču jums tā joprojām ir jāparaksta serverī. Nosūtiet iegūto .csr failu uz serveri, izmantojot to pašu scp:
scp /etc/openvpn/easy-rsa/keys/Sergiy.csr user@host:~/
Pēc tam serverī mapē /etc/openvpn/easy-rsa ir jāizpilda sertifikāta parakstīšanas komanda:
./sign-req ~/Sergijs
Jāpārbauda sertifikāta paraksts. Pēc tam programma ziņos, ka tā ir parakstīta un pievienota datu bāzei. .crt fails parādīsies mapē ar csr sertifikātu, kas ir jāatdod atpakaļ klienta datorā:
sudo scp user@host:/home/Sergiy.crt /etc/openvpn/easy-rsa/keys
Tikai pēc tam serverim un klientam ir visas nepieciešamās atslēgas, lai izveidotu savienojumu un izveidotu saziņu. Ir atlikuši vēl daži iestatījumi. Ja plānojat izmantot TLS šifrēšanu, serverī ir jāizveido Difija-Hafmena datu kopa, šim nolūkam izmantojiet komandu:
OpenVPN konfigurēšana
Tagad tiek konfigurēts OpenVPN serveris. Pēc noklusējuma OpenVPN konfigurācijas failu mapē nav nekā. Tie ir jāizveido pašam atkarībā no tā, ko plānojat konfigurēt, serveri vai klientu. Nepieciešamo OpenVPN konfigurācijas failu var atrast vietnē /usr/share/doc/openvpn/examples/sample-config-files/. Vispirms izveidosim servera konfigurācijas failu:
zcat /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | sudo tee /etc/openvpn/server.conf
Šeit jums ir jāpielāgo daži iestatījumi:
osta un proto- ports un protokols, uz kura programma darbosies;
ports 1194
proto udp
Visas izveidotās atslēgas ir jāreģistrē konfigurācijas failā. Mūsu atslēgas tiek glabātas /etc/openvpn/easy-rsa/keys:
cert /etc/openvpn/easy-rsa/keys/ca.crt
taustiņu /etc/openvpn/easy-rsa/keys/ca.key
dh /etc/openvpn/easy-rsa/keys/dh.pem
Mēs izveidojām virkni adrešu virtuālajam tīklam, mūsu serveris būs pieejams pirmajā no tiem - 10.8.0.1:
serveris 10.8.0.0 255.255.255.0
Pēc konfigurācijas pabeigšanas saglabājiet izmaiņas failā, varat ielīmēt visu šo konfigurāciju pats vai rediģēt failu ar piemēru. Gatavi darba servera iestatījumi:
ports 1194
proto udp
komp lzo
izstrādātāja melodija
ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt
cert /etc/openvpn/easy-rsa/2.0/keys/ca.crt
dh /etc/openvpn/easy-rsa/2.0/keys/dh2048.pem
apakštīkla topoloģija
serveris 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
sudo cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/client.conf
Varat izveidot vairākus klienta konfigurācijas failus, lai izveidotu savienojumu ar dažādiem serveriem. Atveriet konfigurācijas failu un mainiet tajā šādus parametrus:
tālvadības pults ir jūsu OpenVPN servera adrese, adresei un portam ir jāatbilst serverī konfigurētajiem, piemēram:
tālvadības pults 194.67.215.125 1194
apm- atslēga, kuru saņēmāt no sertifikācijas iestādes, mēs to atradām mapē /etc/openvpn/.
sertifikāts un atslēga- tās ir klienta publiskās un privātās atslēgas, ar to palīdzību jūs izveidosiet savienojumu ar serveri. Kā jūs atceraties, mēs tos saglabājām mapē /etc/openvpn/easy-rsa/keys/.
ca /etc/openvpn/easy-rsa/keys/ca.crt
Pārējos iestatījumus var atstāt tādus, kādi tie ir. Šeit ir pilns konfigurācijas fails, kuru varat kopēt:
klients
izstrādātāja melodija
proto udp
tālvadības pults 194.67.215.125 1194
Resolv-retry infinite
nobind
saglabāšanas atslēga
persist-tun
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/Sergiy.crt
atslēga /etc/openvpn/easy-rsa/keys/Sergiy.key
tls-auth ta.key 1
komp lzo
darbības vārds 3
Saglabājiet iestatījumus, klients tagad ir gatavs savienojuma izveidei. Lūdzu, ņemiet vērā, ka konfigurācijas failiem pēc iespējas jāatbilst, jo noteiktu opciju trūkums vienā no failiem var izraisīt kļūdas. Tas nenozīmē, ka faili būs identiski, taču pamata openvpn parametriem jābūt vienādiem. Viss, kas jums jādara, ir šajā mašīnā palaist OpenVPN, izmantojot šo konfigurācijas failu:
openvpn /etc/openvpn/client.conf
Gatavs, tagad viss darbojas, ja palaižat ifconfig, jūs redzēsit, ka ir pievienots tun0 interfeiss:
Varat arī mēģināt pārbaudīt adresi 10.8.0.1, šī ir adrese, ko konfigurējām mūsu OpenVPN serverim, ping paketes tiks nosūtītas kā parasti. Ja paketes nenāk, vai kaut kas cits nedarbojas, pievērsiet uzmanību abu programmu izvadei, var būt kādas kļūdas vai brīdinājumi, kā arī pārliecinieties, vai servera ugunsmūris ļauj piekļūt no ārpuses caur udp portā 1194. Varat arī startējiet serveri vai klientu, konfigurācijā iestatot verbositātes līmeni uz maksimālo darbības vārdu 9. Ļoti bieži tas palīdz saprast, kāpēc kaut kas nedarbojas. Bet jūs vēl nevarat virzīt satiksmi caur tuneli. Lai to izdarītu, ir jāiespējo pārsūtīšana un jāpievieno daži iptables noteikumi. Pirmkārt, mēs atļaujam pakešu tranzītu serverī:
sysctl -w net.ipv4.ip_forward=1
Pēc tam pievienojiet šos noteikumus. Mēs ļaujam ikvienam izveidot savienojumu ar mūsu serveri:
iptables -A IEVADE -p udp -dport 1194 -j ACCEPT
Mēs ļaujam OpenVPN lietotājiem piekļūt internetam:
iptables -I FORWARD -i tun0 -o eth0 -j ACCEPT
# iptables -I FORWARD -i eth0 -o tun0 -j ACCEPT
# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
secinājumus
Šajā rakstā mēs apskatījām, kā tiek instalēts un konfigurēts OpenVPN Ubuntu, kā arī kā konfigurēt openvpn darbam ar atslēgas autentifikāciju. Privāto virtuālo tīklu organizēšana var būt ļoti noderīga ne tikai organizācijās, bet arī, teiksim, datu apmaiņai starp jūsu diviem datoriem vai tīkla drošības uzlabošanai.
Instrukcija
Pārbaudiet, vai jūsu operētājsistēmas kodolā pastāv PPP atbalsts. Vienkāršākais veids, kā to izdarīt, ir pašreizējā kodola konfigurācijas failā apskatīt opciju vērtības ar prefiksu CONFIG_PPP. Tas parasti tiek instalēts /boot direktorijā, un tam ir nosaukums, kas sākas ar config. Uzziniet šī faila nosaukumu ar komandu
ls /boot
vai
ls /boot | grep konf
Drukājiet vajadzīgās rindas ar komandu cat, filtrējot ar grep. Piemēram:
cat /boot/config-2.6.30-std-def-alt15 | grep PPP
Parsēt rindas, kas satur CONFIG_PPP, CONFIG_PPP_ASYNC, CONFIG_PPP_SYNC_TTY opcijas. Ja to priekšā nav # rakstzīmes, ir pieejams atbilstošās funkcionalitātes atbalsts (m vērtībām - ārēja moduļa veidā, y vērtībām - iekļautas kodolā).
Pārbaudiet, vai sistēmā ir instalēta klienta programmatūra VPN savienojumu izveidei. Nepieciešamās pakotnes nosaukums parasti sākas ar pptp. Izmantojiet apt-cache ar meklēšanas opciju, lai meklētu nepieciešamo pakotni pieejamajās krātuvēs, un rpm ar opciju -qa, lai pārbaudītu, vai pakotne ir instalēta. Strādājot grafiskā vidē, var būt lietderīgi izmantot tādas programmas kā synaptic.
Instalējiet trūkstošo programmatūru. Izmantojiet piemērotus pakotņu pārvaldniekus (apt-get, rpm konsolē, synaptic grafiskajā vidē utt.). Ja esat instalējis ppp pakotni ar kodola moduļiem, lai atbalstītu atbilstošo protokolu, restartējiet datoru.
Mēģiniet iestatīt VPN, izmantojot konfigurācijas skriptus, piemēram, pptp-command vai pptpsetup. Tie bieži tiek komplektēti ar klienta programmatūru VPN savienojumu izveidei. Lai saņemtu palīdzību par šo utilītu komandrindas parametriem, palaidiet tās ar opciju --help. Piemēram:
pptpsetup — palīdzība
Ja konfigurācijas skripti nav instalēti, turpiniet ar nākamo darbību, lai manuāli konfigurētu VPN.
Izveidojiet direktoriju /etc/ppp un tajā failu ar nosaukumu chap-secrets. Atveriet failu teksta redaktorā. Pievienojiet tai līdzīgu rindiņu:
PIETEIKŠANĀS SERVERA PAROLE *
LOGIN un PASSWORD vērtības ir lietotājvārds un parole. Tie ir jānodrošina VPN piekļuves pakalpojumu sniedzējam. SERVER vietā norādiet patvaļīgu savienojuma nosaukumu vai *.
Izveidojiet direktoriju /etc/ppp/peers. Izveidojiet tajā failu, kuram ir tāds pats nosaukums kā SERVER vērtībai iepriekšējā darbībā (vai patvaļīgu nosaukumu, ja tika norādīts *). Rediģējiet šo failu, lai pievienotu tādu informāciju kā:
pty "pptp SERVER --nolaunchpppd"
vārds LOGIN
iparam SERVER
attālais nosaukums SERVER
slēdzene
noauth
nodeflēt
nobsdcomp
LOGIN un SERVER vērtības šeit ir tādas pašas kā 5. darbībā. Tādējādi tiek pabeigta VPN iestatīšana operētājsistēmā Linux.
Vai vēlaties nodrošināt drošu piekļuvi internetam no viedtālruņa vai klēpjdatora, kad ir izveidots savienojums ar nedrošu tīklu, izmantojot viesnīcas vai kafejnīcas WiFi? Virtuālais privātais tīkls (VPN) ļauj izmantot nenodrošinātus tīklus tā, it kā jūs atrastos privātā tīklā. Visa jūsu trafika šajā gadījumā notiek caur VPN serveri.
Kopā ar HTTPS savienojuma izmantošanu tālāk aprakstītie iestatījumi ļaus jums aizsargāt savu privāto informāciju, piemēram, pieteikumvārdus un paroles, kā arī jūsu pirkumus. Turklāt jūs varat apiet reģionālos ierobežojumus un cenzūru, kā arī paslēpt savu atrašanās vietu un nešifrēto HTTP trafiku no nedrošā tīkla.
Varat pārsūtīt profilu no datora uz tālruni, savienojot Android ierīci ar datoru, izmantojot USB, un kopējot failu. Varat arī pārvietot profila failu, izmantojot SD karti, kopējot profilu kartē un ievietojot karti Android ierīcē.
Palaidiet lietojumprogrammu OpenVPN un noklikšķiniet uz izvēlnes, lai importētu profilu.
Savienojums
Lai izveidotu savienojumu, nospiediet pogu Savienot. Jums tiks jautāts, vai uzticaties OpenVPN lietotnei. Atbildēt labi lai izveidotu savienojumu. Lai pārtrauktu savienojumu, atveriet lietotni OpenVPN un atlasiet Atvienot.
13. darbība VPN savienojuma pārbaude
Kad viss ir instalēts un konfigurēts, pārliecinieties, vai viss darbojas pareizi. Neizveidojot VPN savienojumu, atveriet pārlūkprogrammu un dodieties uz DNSLeakTest.
Šī vietne atgriezīs IP adresi, ko jums piešķīris jūsu ISP. Lai pārbaudītu, kuri DNS serveri tiek izmantoti, noklikšķiniet uz pagarināts tests.
Tagad izveidojiet savienojumu, izmantojot savu VPN klientu, un atsvaidziniet lapu savā pārlūkprogrammā. Jums piešķirtajai IP adresei ir jābūt pilnīgi atšķirīgai. Tagad jūs izmantojat šo jauno IP adresi visiem interneta lietotājiem. Klikšķis pagarināts tests vēlreiz, lai pārbaudītu savus DNS iestatījumus un pārliecinātos, ka tagad izmantojat VPN DNS serveri.
14. darbība. Atsauciet klienta sertifikātus
Laiku pa laikam jums, iespējams, būs jāatsauc klienta sertifikāts, lai novērstu piekļuvi VPN serverim
Lai to izdarītu, dodieties uz sertifikātu iestādes direktoriju un ievadiet komandas:
- cd ~/openvpn-ca
- avots vars
- ./revoke-pilns klients3
Šīs komandas izvade beigsies ar kļūdu 23. Tas ir normāli. Darba rezultātā atslēgu direktorijā tiks izveidots fails crl.pem ar sertifikāta atsaukšanai nepieciešamo informāciju.
Pārvietojiet šo failu uz /etc/openvpn direktoriju:
- sudo cp ~/openvpn-ca/keys/crl.pem /etc/openvpn
- sudo nano /etc/openvpn/server.conf
Faila beigās pievienojiet crl-verify. OpenVPN serveris pārbaudīs CRL katru reizi, kad kāds izveido savienojumu ar serveri.
/etc/openvpn/server.conf
crl-verify crl.pem
Saglabājiet un aizveriet failu.
Restartējiet OpenVPN, lai pabeigtu sertifikāta atsaukšanas procesu:
- sudo systemctl restart [aizsargāts ar e-pastu]
Tagad klients nevarēs izveidot savienojumu ar OpenVPN serveri, izmantojot veco sertifikātu.
Lai atsauktu papildu sertifikātus, veiciet tālāk norādītās darbības.
Ģenerējiet jaunu atsaukto sertifikātu sarakstu, izmantojot komandu avota vars direktorijā ~/openvpn-ca un izdodot atsaukšanas pilnu komandu ar klienta nosaukumu.
Kopējiet jauno atsaukto sertifikātu sarakstu direktorijā /etc/openvpn, tādējādi pārrakstot veco sarakstu.
Restartējiet OpenVPN pakalpojumu.
Šo procedūru var izmantot, lai atsauktu visus iepriekš izveidotos sertifikātus.
Secinājums
Apsveicam! Tagad jūs varat droši piekļūt internetam, visa jūsu trafika ir aizsargāta no cenzoru un iebrucēju noklausīšanās.
Lai konfigurētu papildu klientus, atkārtojiet darbības 6 un 11-13 katrai jaunai ierīcei. Lai atsauktu klienta piekļuvi, veiciet darbību 14 .
