Εισαγωγή
Θέλετε να έχετε ασφαλή πρόσβαση στο Διαδίκτυο από το smartphone ή το laptop σας όταν συνδέεστε σε ένα μη αξιόπιστο δίκτυο (π.χ. WiFi σε ξενοδοχείο ή καφετέρια); Ευτυχώς, υπάρχει τρόπος να πραγματοποιήσετε την επιθυμία σας. Μπορείτε να συνδεθείτε με ασφάλεια σε ένα μη αξιόπιστο δίκτυο σαν να βρίσκεστε σε ένα ιδιωτικό δίκτυο χρησιμοποιώντας ένα Εικονικό Ιδιωτικό Δίκτυο (VPN).
Τι είναι το VPN;
Το VPN σημαίνει Εικονικό Ιδιωτικό Δίκτυο (Virtual Private Network). Προσφέρει τη δυνατότητα να ανοίξετε μια ασφαλή σήραγγα προς έναν αξιόπιστο διακομιστή. Όλα τα αιτήματα στη συνέχεια στέλνονται και λαμβάνονται μέσω αυτού του διακομιστή. Το πλεονέκτημα είναι η διασφάλιση της πρόσβασης και των συναλλαγών σας κατά τη χρήση δημόσιων δικτύων, όπως το δωρεάν WiFi σε ένα ξενοδοχείο.
Μέσω του VPN, όλα τα δεδομένα κρυπτογραφούνται και υποβάλλονται σε επεξεργασία μέσω του διακομιστή. Οι ενδιάμεσες συσκευές, όπως δρομολογητές τρίτων και παρόμοια, δεν έχουν τρόπο να ανακατευθύνουν την κίνηση σε ανεπιθύμητους προορισμούς. Επίσης, μόλις η σύνδεση δημιουργηθεί με επιτυχία, είστε μέρος του δικτύου του διακομιστή. Άλλοι διακομιστές, υπολογιστές ή συσκευές όπως εκτυπωτές που κανονικά θα ήταν προσβάσιμοι μόνο στο τοπικό δίκτυο του διακομιστή, μπορούν τώρα να προσεγγιστούν και μέσω της σήραγγας VPN. Ωστόσο, επειδή δεν χρειάζεται να αποστέλλονται όλα τα δεδομένα μέσω μιας κρυπτογραφημένης σήραγγας, είναι δυνατό να ρυθμίσετε τον πελάτη VPN έτσι ώστε μόνο ένα καθορισμένο μέρος των αιτημάτων να αποστέλλεται μέσω της σήραγγας VPN. Η υπόλοιπη κίνηση υποβάλλεται σε κανονική επεξεργασία μέσω του Διαδικτύου.
Σε αυτόν τον οδηγό, θα σας καθοδηγήσουμε στα βήματα εγκατάστασης ενός διακομιστή OpenVPN σε Ubuntu 18.04.
Προϋποθέσεις
Πρέπει να έχετε πρόσβαση σε έναν διακομιστή Ubuntu 18.04 για να φιλοξενήσετε την υπηρεσία σας OpenVPN για να ολοκληρώσετε αυτόν τον οδηγό. Πριν ξεκινήσετε αυτόν τον οδηγό, πρέπει επίσης να ρυθμίσετε έναν χρήστη μη-root με δικαιώματα sudo. Μπορείτε εύκολα να εγκαταστήσετε τον διακομιστή σας ακολουθώντας τον οδηγό μας για τη ρύθμιση ενός διακομιστή Ubuntu.
Επιπλέον, θα χρειαστείτε έναν ξεχωριστό υπολογιστή που θα λειτουργεί ως αρχή έκδοσης πιστοποιητικών (CA). Τεχνικά, μπορείτε να χρησιμοποιήσετε τον διακομιστή OpenVPN ή τον τοπικό σας υπολογιστή ως αρχή έκδοσης πιστοποιητικών. Ωστόσο, δεν το συνιστούμε αυτό καθώς θα εκθέσει το VPN σας σε κενά ασφαλείας. Σύμφωνα με την επίσημη τεκμηρίωση του OpenVPN, θα πρέπει να τοποθετήσετε την αρχή έκδοσης πιστοποιητικών σε έναν ξεχωριστό υπολογιστή αποκλειστικά για την εισαγωγή και την υπογραφή αιτημάτων πιστοποιητικών. Έτσι, υποθέτουμε ότι η αρχή έκδοσης πιστοποιητικών σας βρίσκεται σε έναν ξεχωριστό διακομιστή Ubuntu 18.04 που διαθέτει επίσης έναν χρήστη μη-root με δικαιώματα sudo και ένα βασικό τείχος προστασίας (firewall). Σε όλο αυτόν τον οδηγό, όλα τα βήματα εγκατάστασης και ρύθμισης θα είναι όσο το δυνατόν πιο απλά για καθεμία από τις εγκαταστάσεις. Μπορείτε επίσης να ρίξετε μια ματιά στον οδηγό μας για το πώς να στήσετε έναν διακομιστή Open VPN στο Docker.
Βήμα 1 – Εγκατάσταση του OpenVPN και του EasyRSA
Αρχικά, ενημερώστε το ευρετήριο πακέτων του διακομιστή VPN σας και εγκαταστήστε το OpenVPN. Μπορείτε να εγκαταστήσετε το OpenVPN χρησιμοποιώντας το apt επειδή είναι διαθέσιμο στα προεπιλεγμένα αποθετήρια του Ubuntu:
|
1 2 |
sudo apt update sudo apt install openvpn |
Βήμα 2: Δημιουργία αρχής έκδοσης πιστοποιητικών
Δημιουργήστε μια απλή αρχή έκδοσης πιστοποιητικών (CA) για την έκδοση αξιόπιστων πιστοποιητικών για τον διακομιστή OpenVPN. Για να το κάνετε αυτό, κάντε λήψη της τελευταίας έκδοσης του EasyRSA τόσο στο μηχάνημα CA όσο και στον διακομιστή OpenVPN χρησιμοποιώντας το wget. Για να λάβετε την τελευταία έκδοση, μεταβείτε στη σελίδα Releases του επίσημου έργου EasyRSA στο GitHub, αντιγράψτε τον σύνδεσμο λήψης για το αρχείο που λήγει σε .tgz και επικολλήστε τον στην ακόλουθη εντολή:
|
1 |
wget -P ~/ https://github.com/OpenVPN/easy-rsa/releases/download/v3.0.4/EasyRSA-3.0.4.tgz <span class="s1">--no-check-certificate</span> |
Στη συνέχεια, εξαγάγετε το αρχείο tarball:
|
1 2 |
cd ~ tar xvf EasyRSA-3.0.4.tgz |
Σε αυτό το σημείο, όλο το απαιτούμενο λογισμικό έχει εγκατασταθεί με επιτυχία στον υπολογιστή CA και στον διακομιστή σας.
Βήμα 3 – Διαμόρφωση των μεταβλητών EasyRSA και δημιουργία της CA
Το EasyRSA συνοδεύεται από ένα αρχείο ρυθμίσεων το οποίο μπορείτε να επεξεργαστείτε για να ορίσετε μια σειρά από μεταβλητές για την CA σας χρησιμοποιώντας αυτήν την εντολή:
|
1 |
cd ~/EasyRSA-3.0.4/ |
Υπάρχει ένα αρχείο στον κατάλογο με το όνομα vars.example. Δημιουργήστε ένα αντίγραφο αυτού του αρχείου και ονομάστε το αντίγραφο vars χωρίς επέκταση αρχείου:
|
1 |
cp vars.example vars |
Χρησιμοποιήστε τον προτιμώμενο επεξεργαστή κειμένου σας για να ανοίξετε αυτό το νέο αρχείο:
|
1 |
nano vars |
Στη συνέχεια, βρείτε τις ρυθμίσεις που ορίζουν τις προεπιλογές πεδίων για τα νέα πιστοποιητικά. Θα είναι παρόμοιο με αυτό:
|
1 2 3 4 5 6 |
#set_var EASYRSA_REQ_COUNTRY "US" #set_var EASYRSA_REQ_PROVINCE "California" #set_var EASYRSA_REQ_CITY "San Francisco" #set_var EASYRSA_REQ_ORG "Copyleft Certificate Co" #set_var EASYRSA_REQ_EMAIL "me@example.net" #set_var EASYRSA_REQ_OU "My Organizational Unit" |
Ενημερώστε αυτές τις μεταβλητές σε ό,τι επιθυμείτε, όπως φαίνεται παρακάτω:
|
1 2 3 4 5 6 |
set_var EASYRSA_REQ_COUNTRY "SL" set_var EASYRSA_REQ_PROVINCE "Zurich" set_var EASYRSA_REQ_CITY "Zurich City" set_var EASYRSA_REQ_ORG "CloudSigma" set_var EASYRSA_REQ_EMAIL "admin@example.com" set_var EASYRSA_REQ_OU "Community" |
Αποθηκεύστε και κλείστε το αρχείο μόλις είστε έτοιμοι. Το επόμενο βήμα είναι να καλέσετε το σενάριο easyrsa και να το εκτελέσετε με την επιλογή init-pki για να ξεκινήσετε την υποδομή δημοσίου κλειδιού στον διακομιστή CA:
|
1 |
./easyrsa init-pki |
Στη συνέχεια, εκτελέστε την εντολή build-ca με την επιλογή nopass, ώστε να μην σας ζητείται κωδικός πρόσβασης κάθε φορά που αλληλεπιδράτε με την CA σας:
|
1 |
./easyrsa build-ca nopass |
Στο αποτέλεσμα, θα σας ζητηθεί να επιβεβαιώσετε το κοινό όνομα για την CA σας:
Με αυτό, η CA σας είναι έτοιμη και μπορεί να ξεκινήσει την υπογραφή αιτημάτων πιστοποιητικών.
Βήμα 4 – Δημιουργία πιστοποιητικού διακομιστή, κλειδιού και αρχείων κρυπτογράφησης
Αφού η CA είναι έτοιμη, μπορείτε να δημιουργήσετε το ιδιωτικό κλειδί και το αίτημα πιστοποιητικού από τον διακομιστή και στη συνέχεια να το στείλετε στην CA για υπογραφή, δημιουργώντας το απαιτούμενο πιστοποιητικό. Αρχικά, μεταβείτε στον κατάλογο EasyRSA στον διακομιστή OpenVPN:
|
1 |
cd EasyRSA-3.0.4 |
Από εκεί, εκτελέστε το σενάριο easyrsa με την επιλογή init-pki. Παρόλο που έχετε ήδη εκτελέσει αυτήν την εντολή στον υπολογιστή της CA, αυτή η εντολή πρέπει να εκτελεστεί και εδώ. Αυτό συμβαίνει επειδή οι κατάλογοι PKI του διακομιστή και της CA είναι διαφορετικοί:
|
1 |
./easyrsa init-pki |
Στη συνέχεια, καλέστε ξανά το σενάριο easyrsa, αυτή τη φορά με την επιλογή gen-req, ακολουθούμενη από το γενικό όνομα του υπολογιστή’s:
|
1 |
./easyrsa gen-req server nopass |
Αυτό θα δημιουργήσει ένα ιδιωτικό κλειδί για τον διακομιστή και ένα αρχείο αιτήματος πιστοποιητικού με το όνομα server.req. Αντιγράψτε το κλειδί του διακομιστή στον κατάλογο /etc/openvpn/:
|
1 |
sudo cp ~/EasyRSA-3.0.4/pki/private/server.key /etc/openvpn/ |
Μεταφέρετε το αρχείο server.req στον υπολογιστή της CA σας χρησιμοποιώντας μια ασφαλή μέθοδο (όπως το SCP στο ακόλουθο παράδειγμα):
|
1 |
scp ~/EasyRSA-3.0.4/pki/reqs/server.req cloudsigma@your_CA_ip:/tmp |
Στη συνέχεια, μεταβείτε στον κατάλογο EasyRSA στον υπολογιστή της CA σας:
|
1 |
cd EasyRSA-3.0.4/ |
Χρησιμοποιήστε ξανά το σενάριο easyrsa για να εισαγάγετε το αρχείο server.req και να προσθέσετε το κοινό του όνομα μετά τη διαδρομή του αρχείου:
|
1 |
./easyrsa import-req /tmp/server.req server |
Στη συνέχεια, υπογράψτε το αίτημα εκτελώντας το σενάριο easyrsa με την επιλογή sign-req, ακολουθούμενη από τον τύπο αιτήματος και το κοινό όνομα. Για το αίτημα πιστοποιητικού του διακομιστή OpenVPN, βεβαιωθείτε ότι χρησιμοποιείτε τον τύπο αιτήματος server:
|
1 |
./easyrsa sign-req server server |
Το αποτέλεσμα σας ζητά να επαληθεύσετε ότι το αίτημα προέρχεται από αξιόπιστη πηγή. Πληκτρολογήστε yes και πατήστε Enter για επιβεβαίωση. Ελέγξτε τις λεπτομέρειες που εμφανίζονται παρακάτω για να διασφαλίσετε την ακρίβεια. Λάβετε υπόψη ότι αυτό το αίτημα δεν έχει ακόμη επαληθευτεί με κωδικό πρόσβασης.
Ζητήστε το θέμα και υπογράψτε το ως πιστοποιητικό διακομιστή για 3650 ημέρες:
Εάν έχετε κρυπτογραφήσει το κλειδί CA, θα σας ζητηθεί ο κωδικός πρόσβασης σε αυτό το σημείο. Στη συνέχεια, χρησιμοποιήστε μια ασφαλή μέθοδο για να μεταφέρετε το υπογεγραμμένο πιστοποιητικό πίσω στον διακομιστή VPN σας:
|
1 |
scp pki/issued/server.crt siigma@your_server_ip:/tmp |
Μεταφέρετε το αρχείο ca.rt στον διακομιστή προτού αποσυνδεθείτε από τον υπολογιστή CA:
|
1 |
scp pki/ca.crt siigma@our_server_ip:/tmp |
Στη συνέχεια, συνδεθείτε ξανά στον διακομιστή OpenVPN και αντιγράψτε τα αρχεία server.crt και ca.crt στον κατάλογό σας /etc/openvpn/:
|
1 |
sudo cp /tmp/{server.crt,ca.crt} /etc/openvpn/ |
Στη συνέχεια, μεταβείτε στον κατάλογο EasyRSA:
|
1 |
cd ~/EasyRSA-3.0.4/ |
Εισαγάγετε τον ακόλουθο κώδικα για να δημιουργήσετε ένα ισχυρό κλειδί Diffie-Hellman που μπορείτε να χρησιμοποιήσετε κατά την ανταλλαγή κλειδιών:
|
1 |
./easyrsa gen-dh |
Όταν τελειώσετε, δημιουργήστε μια υπογραφή HMAC για να βελτιώσετε τη λειτουργικότητα ελέγχου υγείας TLS του διακομιστή:
|
1 |
openvpn --genkey --secret ta.key |
Όταν ολοκληρωθεί η εντολή, αντιγράψτε τα δύο νέα αρχεία στον κατάλογο / etc / openvpn /:
|
1 2 |
sudo cp ~/EasyRSA-3.0.4/ta.key /etc/openvpn/ sudo cp ~/EasyRSA-3.0.4/pki/dh.pem /etc/openvpn/ |
Με αυτόν τον τρόπο, δημιουργούνται όλα τα πιστοποιητικά και τα αρχεία κλειδιών που απαιτούνται από τον διακομιστή. Τώρα, μπορείτε να δημιουργήσετε το κατάλληλο πιστοποιητικό και κλειδί που θα χρησιμοποιήσει ο υπολογιστής-πελάτης για να αποκτήσει πρόσβαση στον διακομιστή OpenVPN.
Βήμα 4 – Δημιουργία πιστοποιητικού πελάτη και ζεύγους κλειδιών
Στη συνέχεια, θα δημιουργήσουμε ένα κλειδί πελάτη και αρκετά πιστοποιητικά. Εάν έχετε πολλούς πελάτες, μπορείτε να επαναλάβετε αυτή τη διαδικασία για κάθε πελάτη. Σημειώστε, ωστόσο, ότι πρέπει να περάσετε μια μοναδική τιμή ονόματος στο σενάριο για κάθε πελάτη. Σε αυτόν τον οδηγό, θα ονομάσουμε το πρώτο ζεύγος πιστοποιητικού/κλειδιού client1. Αρχικά, δημιουργήστε μια δομή καταλόγου στον αρχικό σας κατάλογο για να αποθηκεύσετε τα πιστοποιητικά πελάτη και τα αρχεία κλειδιών:
|
1 |
mkdir -p ~/client-configs/keys |
Επειδή αποθηκεύετε το ζεύγος πιστοποιητικού/κλειδιού και το αρχείο ρυθμίσεων του πελάτη σε αυτόν τον κατάλογο για λόγους ασφαλείας, θα πρέπει τώρα να ανακαλέσετε τα δικαιώματα:
|
1 |
chmod -R 700 ~/client-configs |
Στη συνέχεια, επιστρέψτε στον κατάλογο EasyRSA και εκτελέστε το σενάριο easyrsa με τις επιλογές gen-req και nopass καθώς και το γενικό όνομα του πελάτη:
|
1 2 |
cd ~/EasyRSA-3.0.4/ ./easyrsa gen-req client1 nopass |
Πατήστε Enter για να επιβεβαιώσετε το κοινό όνομα. Μετά από αυτό, αντιγράψτε το αρχείο client1.key στον κατάλογο / client-configs / keys / που δημιουργήσατε προηγουμένως:
|
1 |
cp pki/private/client1.key ~/client-configs/keys/ |
Στη συνέχεια, χρησιμοποιήστε μια ασφαλή μέθοδο για να μεταφέρετε το αρχείο client1.req στον υπολογιστή CA σας:
|
1 |
scp pki/reqs/client1.req sigma@your_CA_ip:/tmp |
Συνδεθείτε στον υπολογιστή CA σας, μεταβείτε στον κατάλογο EasyRSA και εισαγάγετε το αίτημα πιστοποιητικού:
|
1 2 3 |
ssh siigma@your_CA_ip cd EasyRSA-3.0.4/ ./easyrsa import-req /tmp/client1.req client1 |
Στη συνέχεια, όπως και στο προηγούμενο βήμα, υπογράψτε το αίτημα στον διακομιστή. Αλλά αυτή τη φορά πρέπει να καθορίσετε τον τύπο αιτήματος πελάτη:
|
1 |
./easyrsa sign-req client client1 |
Στο μήνυμα προτροπής, πληκτρολογήστε yes για να επιβεβαιώσετε ότι θέλετε να υπογράψετε το αίτημα πιστοποιητικού και ότι το αίτημα πιστοποιητικού προέρχεται από αξιόπιστη πηγή. Εισαγάγετε τη λέξη “yes” για να συνεχίσετε ή εισαγάγετε οτιδήποτε άλλο για απόρριψη:
|
1 |
Επιβεβαίωση Αιτήματος Λεπτομέρειες: Yes |
Εάν έχετε κρυπτογραφήσει το κλειδί CA, θα σας ζητηθεί επίσης να εισαγάγετε τον κωδικό πρόσβασης εδώ. Αυτό θα δημιουργήσει ένα αρχείο πιστοποιητικού πελάτη με όνομα client1.crt. Μεταφέρετε αυτό το αρχείο πίσω στον διακομιστή:
|
1 |
scp pki/issued/client1.crt siigma@your_server_ip:/tmp |
Συνδεθείτε ξανά μέσω SSH στον OpenVPN διακομιστή σας και αντιγράψτε το πιστοποιητικό πελάτη στον κατάλογο / client-configs / keys /:
|
1 |
cp /tmp/client1.crt ~/client-configs/keys/ |
Στη συνέχεια, αντιγράψτε τα αρχεία ca.crt και ta.key στον κατάλογο / client-configs / keys /:
|
1 2 |
cp ~/EasyRSA-3.0.4/ta.key ~/client-configs/keys/ sudo cp /etc/openvpn/ca.crt ~/client-configs/keys/ |
Παράλληλα, όλα τα πιστοποιητικά και τα κλειδιά του διακομιστή και του πελάτη δημιουργήθηκαν και αποθηκεύτηκαν στους αντίστοιχους καταλόγους στον διακομιστή. Τώρα μπορείτε να συνεχίσετε με τη ρύθμιση του OpenVPN στον διακομιστή.
Βήμα 5 – Ρύθμιση της υπηρεσίας OpenVPN
Μετά τη δημιουργία των πιστοποιητικών πελάτη και διακομιστή, μπορείτε να ρυθμίσετε την υπηρεσία OpenVPN ώστε να χρησιμοποιεί αυτά τα διαπιστευτήρια. Αρχικά, αντιγράψτε το δείγμα αρχείου ρυθμίσεων του OpenVPN στον κατάλογο ρυθμίσεών σας και στη συνέχεια εξαγάγετέ το για να το χρησιμοποιήσετε ως βάση για τη ρύθμιση:
|
1 2 |
sudo cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/ sudo gzip -d /etc/openvpn/server.conf.gz |
Ανοίξτε το αρχείο ρυθμίσεων του διακομιστή στον επεξεργαστή κειμένου της προτίμησής σας:
|
1 |
sudo nano /etc/openvpn/server.conf |
Στη συνέχεια, βρείτε το τμήμα HMAC αναζητώντας την εντολή tls-auth:
|
1 |
tls-auth ta.key 0 # Αυτό το αρχείο είναι μυστικό |
Βρείτε το τμήμα του κωδικού αναζητώντας τη γραμμή κωδικού που είναι σε σχόλιο. Η κρυπτογράφηση AES-256-CBC προσφέρει ένα καλό επίπεδο κρυπτογράφησης και υποστηρίζεται καλά. Η γραμμή δεν πρέπει να είναι σε σχόλιο, αλλά αν δεν είναι, διαγράψτε το “;” πριν:
|
1 |
cipher AES-256-CBC |
Κάτω από αυτό, προσθέστε μια εντολή Auth για να επιλέξετε τον αλγόριθμο σύνοψης μηνύματος HMAC. Το SHA256 είναι μια καλή επιλογή για αυτό:
|
1 |
auth SHA256 |
Στη συνέχεια, βρείτε τη γραμμή με τη δήλωση dh που ορίζει τις παραμέτρους Diffie-Hellman. Λόγω ορισμένων πρόσφατων αλλαγών στο EasyRSA, το όνομα αρχείου του κλειδιού Diffie-Hellman ενδέχεται να διαφέρει από το όνομα αρχείου που αναφέρεται στο δείγμα αρχείου ρυθμίσεων του διακομιστή. Εάν είναι απαραίτητο, αλλάξτε το όνομα αρχείου που αναφέρεται εδώ διαγράφοντας το 2048 για να το ευθυγραμμίσετε με το κλειδί του προηγούμενου βήματος:
|
1 |
dh dh.pem |
Τέλος, βρείτε τις ρυθμίσεις χρήστη και ομάδας και διαγράψτε το “;” στην αρχή κάθε γραμμής:
|
1 2 |
user nobody group nogroup |
Μέχρι στιγμής, οι αλλαγές που κάνατε στο δείγμα αρχείου server.conf θα πρέπει να επιτρέπουν τη λειτουργία του OpenVPN.
Step 6 – Server network configuration
Ρυθμίστε την προώθηση IP για τη σωστή δρομολόγηση της κίνησης μέσω του VPN. Αυτό είναι απαραίτητο για τη λειτουργικότητα VPN που παρέχει ο διακομιστής σας:
|
1 |
sudo nano /etc/sysctl.conf |
Αναζητήστε τη γραμμή σε σχόλιο που ορίζει το net.ipv4.ip_forward. Αφαιρέστε τον χαρακτήρα «#» από την αρχή της γραμμής για να ενεργοποιήσετε αυτήν τη ρύθμιση:
|
1 |
net.ipv4.ip_forward=1 |
Αποθηκεύστε το αρχείο και κλείστε το μόλις τελειώσετε. Για να διαβάσετε το αρχείο και να προσαρμόσετε τις τιμές για την τρέχουσα συνεδρία, πληκτρολογήστε:
|
1 |
sudo sysctl -p |
Στη συνέχεια, προσθέστε τη δημόσια διεπαφή δικτύου του μηχανήματός σας:
|
1 |
ip route | grep default |
Η δημόσια διεπαφή σας είναι η συμβολοσειρά στην έξοδο αυτής της εντολής που ακολουθεί τη λέξη «dev». Για παράδειγμα, αυτό το αποτέλεσμα δείχνει τη διεπαφή με το όνομα ens3.
Ανοίξτε το αρχείο /etc/ufw/before.rules για να προσθέσετε τη σχετική ρύθμιση:
|
1 |
$ sudo nano /etc/ufw/before.rules |
Προς το πάνω μέρος του αρχείου, προσθέστε τις επισημασμένες γραμμές παρακάτω για να ορίσετε την προεπιλεγμένη πολιτική για την αλυσίδα POSTROUTING στον πίνακα nat και να κάνετε masquerade οποιαδήποτε κίνηση προέρχεται από το VPN. Αντικαταστήστε το ens3 στη γραμμή -A POSTROUTING παρακάτω με τη διεπαφή που βρήκατε στην παραπάνω εντολή:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 |
# rules.before # Κανόνες που πρέπει να εκτελούνται πριν από τους κανόνες που προστέθηκαν από τη γραμμή εντολών του ufw. Προσαρμοσμένοι # οι κανόνες θα πρέπει να προστεθούν σε μία από αυτές τις αλυσίδες: # ufw-before-input # ufw-before-output # ufw-before-forward # ΕΝΑΡΞΗ ΚΑΝΟΝΩΝ OPENVPN # Κανόνες πίνακα NAT *nat :POSTROUTING ACCEPT [0:0] # Επιτρέψτε την κίνηση από τον πελάτη OpenVPN προς το wlp11s0 (αλλάξτε στη διεπαφή που ανακαλύψατε!) -A POSTROUTING -s 10.8.0.0/8 -o ens3 -j MASQUERADE COMMIT # ΛΗΞΗ ΚΑΝΟΝΩΝ OPENVPN # Μην διαγράψετε αυτές τις απαιτούμενες γραμμές, διαφορετικά θα υπάρξουν σφάλματα . . . |
Αποθηκεύστε το αρχείο και κλείστε το μόλις τελειώσετε. Στη συνέχεια, πρέπει να πείτε στο UFW να επιτρέπει επίσης τα προωθούμενα πακέτα από προεπιλογή. Για να το κάνετε αυτό, ανοίξτε το αρχείο /etc/default/ufw:
|
1 |
sudo nano /etc/default/ufw |
Μέσα, βρείτε την οδηγία DEFAULT_FORWARD_POLICY και αλλάξτε την τιμή από DROP σε ACCEPT:
|
1 |
DEFAULT_FORWARD_POLICY="ACCEPT" |
Αποθηκεύστε και κλείστε το αρχείο όταν τελειώσετε. Στη συνέχεια, προσαρμόστε το τείχος προστασίας για να επιτρέψετε την κίνηση προς το OpenVPN. Εάν δεν αλλάξατε τη θύρα και το πρωτόκολλο στο αρχείο /etc/openvpn/server.conf, θα πρέπει να ανοίξετε την κίνηση UDP στη θύρα 1194. Εάν τροποποιήσατε τη θύρα ή/και το πρωτόκολλο, αντικαταστήστε τις τιμές που επιλέξατε εδώ. Σε περίπτωση που ξεχάσατε να προσθέσετε τη θύρα SSH κατά την παρακολούθηση του προαπαιτούμενου οδηγού, προσθέστε την και εδώ:
|
1 2 |
sudo ufw allow 1194/udp sudo ufw allow OpenSSH |
Αφού προσθέσετε αυτούς τους κανόνες, απενεργοποιήστε και ενεργοποιήστε ξανά το UFW για να το επανεκκινήσετε και να φορτώσετε τις αλλαγές από όλα τα αρχεία που έχετε τροποποιήσει:
|
1 2 |
sudo ufw disable sudo ufw enable |
Συγχαρητήρια, ο διακομιστής σας είναι πλέον ρυθμισμένος ώστε να διαχειρίζεται σωστά την κίνηση OpenVPN!
Συμπέρασμα
Εάν ακολουθήσατε αυτόν τον οδηγό μέχρι το τέλος, είστε πλέον σε θέση να περιηγείστε στο Διαδίκτυο με ασφάλεια. Θα μπορείτε να κρατήσετε την ταυτότητά σας, την τοποθεσία σας και την κίνησή σας μακριά από αδιάκριτα βλέμματα.
Καλή συνέχεια!
Σχόλια
Δεν υπάρχουν σχόλια ακόμα. Γράψτε το πρώτο.