Uvod
Želite li sigurno pristupati internetu sa svog pametnog telefona ili prijenosnog računala kada se povezujete na nepouzdanu mrežu (npr. WiFi u hotelu ili kafiću)? Srećom, postoji način da vam se želje ostvare. Možete se sigurno povezati na nepouzdanu mrežu kao da ste na privatnoj mreži koristeći Virtualnu privatnu mrežu (VPN).
Što je VPN?
VPN je skraćenica za Virtualnu privatnu mrežu (Virtual Private Network). Nudi mogućnost otvaranja sigurnog tunela do pouzdanog poslužitelja. Svi se zahtjevi tada šalju i primaju putem tog poslužitelja. Prednost je osiguravanje vašeg pristupa i transakcija pri korištenju javnih mreža kao što je besplatni WiFi u hotelu.
Putem VPN-a svi se podaci šifriraju i obrađuju putem poslužitelja. Uređaji koji se nalaze između, poput usmjerivača trećih strana i slično, nemaju načina za preusmjeravanje prometa na neželjena odredišta. Također, nakon što se veza uspješno uspostavi, postajete dio mreže poslužitelja. Drugi poslužitelji, računala ili uređaji poput pisača koji bi inače bili dostupni samo u lokalnoj mreži poslužitelja sada se također mogu dohvatiti putem VPN tunela. Međutim, budući da se svi podaci ne moraju slati kroz šifrirani tunel, moguće je konfigurirati VPN klijent tako da se samo definirani dio zahtjeva šalje kroz VPN tunel. Ostatak prometa obrađuje se normalno putem interneta.
U ovom vodiču provest ćemo vas kroz korake postavljanja OpenVPN poslužitelja na Ubuntu 18.04.
Zahtjevi
Morate imati pristup Ubuntu 18.04 poslužitelju kako biste ugostili svoju OpenVPN uslugu kako biste dovršili ovaj vodič. Prije početka ovog vodiča, također trebate konfigurirati ne-root korisnika sa sudo ovlastima. Svoj poslužitelj možete jednostavno instalirati prateći naš vodič za postavljanje Ubuntu poslužitelja.
Osim toga, trebat će vam zasebno računalo koje će služiti kao certifikacijsko tijelo (CA). Tehnički, možete koristiti svoj OpenVPN poslužitelj ili svoje lokalno računalo kao certifikacijsko tijelo. Međutim, to ne preporučujemo jer će izložiti vaš VPN sigurnosnim propustima. Prema službenoj OpenVPN dokumentaciji, certifikacijsko tijelo trebali biste smjestiti na zasebno računalo namijenjeno uvozu i potpisivanju zahtjeva za certifikate. Dakle, pretpostavljamo da se vaše certifikacijsko tijelo nalazi na zasebnom Ubuntu 18.04 poslužitelju koji također ima ne-root korisnika sa sudo ovlastima i osnovni vatrozid. Kroz ovaj vodič, svi koraci instalacije i konfiguracije bit će što jednostavniji za svaku od instalacija. Također možete pogledati naš vodič o tome kako postaviti Open VPN poslužitelj pod Dockerom.
Korak 1 – Instalirajte OpenVPN i EasyRSA
Najprije ažurirajte indeks paketa vašeg VPN poslužitelja i instalirajte OpenVPN. OpenVPN možete instalirati pomoću apt-a jer je dostupan u zadanim repozitorijima Ubuntua:
|
1 2 |
sudo apt update sudo apt install openvpn |
Korak 2: Stvorite certifikacijsko tijelo
Stvorite jednostavno certifikacijsko tijelo (CA) za izdavanje pouzdanih certifikata za OpenVPN poslužitelj. Da biste to učinili, preuzmite najnoviju verziju EasyRSA na svoje CA računalo i OpenVPN poslužitelj pomoću wget-a. Da biste dobiti najnoviju verziju, idite na stranicu Releases službenog EasyRSA GitHub projekta, kopirajte poveznicu za preuzimanje datoteke koja završava na .tgz i zalijepite je u sljedeću naredbu:
|
1 |
wget -P ~/ https://github.com/OpenVPN/easy-rsa/releases/download/v3.0.4/EasyRSA-3.0.4.tgz <span class="s1">--no-check-certificate</span> |
Zatim raspakirajte tarball:
|
1 2 |
cd ~ tar xvf EasyRSA-3.0.4.tgz |
U ovom trenutku, sav potreban softver uspješno je instaliran na vaše CA računalo i poslužitelj.
Korak 3 – Konfigurirajte EasyRSA varijable i izgradite CA
EasyRSA dolazi s konfiguracijskom datotekom koju možete urediti kako biste definirali niz varijabli za svoj CA pomoću ove naredbe:
|
1 |
cd ~/EasyRSA-3.0.4/ |
U direktoriju se nalazi datoteka pod nazivom vars.example. Napravite kopiju ove datoteke i nazovite kopiju vars bez ekstenzije datoteke:
|
1 |
cp vars.example vars |
Upotrijebite svoj omiljeni uređivač teksta da biste otvorili ovu novu datoteku:
|
1 |
nano vars |
Zatim pronađite postavke koje postavljaju zadane vrijednosti polja za nove certifikate. To će izgledati slično ovome:
|
1 2 3 4 5 6 |
#set_var EASYRSA_REQ_COUNTRY "US" #set_var EASYRSA_REQ_PROVINCE "California" #set_var EASYRSA_REQ_CITY "San Francisco" #set_var EASYRSA_REQ_ORG "Copyleft Certificate Co" #set_var EASYRSA_REQ_EMAIL "me@example.net" #set_var EASYRSA_REQ_OU "My Organizational Unit" |
Ažurirajte ove varijable na ono što želite kao što je prikazano u nastavku:
|
1 2 3 4 5 6 |
set_var EASYRSA_REQ_COUNTRY "SL" set_var EASYRSA_REQ_PROVINCE "Zurich" set_var EASYRSA_REQ_CITY "Zurich City" set_var EASYRSA_REQ_ORG "CloudSigma" set_var EASYRSA_REQ_EMAIL "admin@example.com" set_var EASYRSA_REQ_OU "Community" |
Spremite i zatvorite datoteku kada budete spremni. Sljedeći korak je pozivanje skripte easyrsa i njezino pokretanje s opcijom init-pki kako biste pokrenuli infrastrukturu javnog ključa na CA poslužitelju:
|
1 |
./easyrsa init-pki |
Zatim pokrenite naredbu build-ca s opcijom nopass kako se od vas ne bi tražila lozinka svaki put kada komunicirate sa svojim CA:
|
1 |
./easyrsa build-ca nopass |
U izlazu će se od vas tražiti da potvrdite uobičajeni naziv za svoj CA:
Time je vaš CA postavljen i spreman za početak potpisivanja zahtjeva za certifikate.
Korak 4 – Generiranje certifikata poslužitelja, ključa i datoteka za šifriranje
Nakon što je CA spreman, možete generirati privatni ključ i zahtjev za certifikat s poslužitelja, a zatim ga poslati CA-u na potpisivanje stvaranjem potrebnog certifikata. Prvo idite u direktorij EasyRSA na OpenVPN poslužitelju:
|
1 |
cd EasyRSA-3.0.4 |
Odande pokrenite skriptu easyrsa s opcijom init-pki. Iako ste već pokrenuli ovu naredbu na CA računalu, ova se naredba mora pokrenuti i ovdje. To je zato što su PKI direktoriji poslužitelja i CA različiti:
|
1 |
./easyrsa init-pki |
Zatim ponovno pozovite skriptu easyrsa, ovaj put s opcijom gen-req, nakon čega slijedi generički naziv računala:
|
1 |
./easyrsa gen-req server nopass |
To će stvoriti privatni ključ za poslužitelj i datoteku zahtjeva za certifikat pod nazivom server.req. Kopirajte ključ poslužitelja u direktorij /etc/openvpn/:
|
1 |
sudo cp ~/EasyRSA-3.0.4/pki/private/server.key /etc/openvpn/ |
Prenesite datoteku server.req na svoje CA računalo koristeći sigurnu metodu (kao što je SCP u sljedećem primjeru):
|
1 |
scp ~/EasyRSA-3.0.4/pki/reqs/server.req cloudsigma@your_CA_ip:/tmp |
Zatim idite u direktorij EasyRSA na svom CA računalu:
|
1 |
cd EasyRSA-3.0.4/ |
Ponovno upotrijebite skriptu easyrsa za uvoz datoteke server.req i dodajte njezin uobičajeni naziv nakon putanje datoteke:
|
1 |
./easyrsa import-req /tmp/server.req server |
Zatim potpišite zahtjev pokretanjem skripte easyrsa s opcijom sign-req, nakon čega slijede vrsta zahtjeva i uobičajeni naziv. Za zahtjev za certifikat OpenVPN poslužitelja, provjerite koristite li vrstu zahtjeva server:
|
1 |
./easyrsa sign-req server server |
Izlaz od vas traži da potvrdite da je zahtjev iz pouzdanog izvora. Upišite yes i pritisnite Enter za potvrdu. Provjerite pojedinosti prikazane u nastavku kako biste osigurali točnost. Napominjemo da ovaj zahtjev još nije potvrđen lozinkom.
Zatražite subjekt i potpišite ga kao certifikat poslužitelja na 3650 dana:
Ako ste šifrirali CA ključ, u ovom trenutku bit ćete upitani za lozinku. Zatim upotrijebite sigurnu metodu za prijenos potpisanog certifikata natrag na vaš VPN poslužitelj:
|
1 |
scp pki/issued/server.crt siigma@your_server_ip:/tmp |
Prenesite datoteku ca.rt na poslužitelj prije nego što se odjavite s CA računala:
|
1 |
scp pki/ca.crt siigma@our_server_ip:/tmp |
Zatim se ponovno prijavite na svoj OpenVPN poslužitelj i kopirajte datoteke server.crt i ca.crt u svoj direktorij /etc/openvpn/
|
1 |
sudo cp /tmp/{server.crt,ca.crt} /etc/openvpn/ |
Zatim idite u svoj EasyRSA direktorij:
|
1 |
cd ~/EasyRSA-3.0.4/ |
Unesite sljedeći kod kako biste stvorili jaki Diffie-Hellman ključ koji možete koristiti tijekom razmjene ključeva:
|
1 |
./easyrsa gen-dh |
Kada završite, generirajte HMAC potpis kako biste poboljšali funkcionalnost TLS provjere ispravnosti poslužitelja:
|
1 |
openvpn --genkey --secret ta.key |
Kada naredba završi, kopirajte dvije nove datoteke u direktorij / etc / openvpn /:
|
1 2 |
sudo cp ~/EasyRSA-3.0.4/ta.key /etc/openvpn/ sudo cp ~/EasyRSA-3.0.4/pki/dh.pem /etc/openvpn/ |
Na taj način generiraju se svi certifikati i datoteke ključeva koje poslužitelj zahtijeva. Sada možete stvoriti odgovarajući certifikat i ključ koji će klijentsko računalo koristiti za pristup OpenVPN poslužitelju.
Korak 4 – Generiranje klijentskog certifikata i para ključeva
Zatim ćemo stvoriti klijentski ključ i nekoliko certifikata. Ako imate više klijenata, možete ponoviti ovaj postupak za svakog klijenta. Imajte na umu, međutim, da skripti morate proslijediti jedinstvenu vrijednost naziva za svakog klijenta. U ovom vodiču, prvi par certifikata/ključa nazvat ćemo client1. Najprije stvorite strukturu direktorija u svom matičnom direktoriju za pohranu klijentskih certifikata i datoteka ključeva:
|
1 |
mkdir -p ~/client-configs/keys |
Budući da iz sigurnosnih razloga u ovaj direktorij spremate par certifikata/ključa i klijentovu konfiguracijsku datoteku, sada biste trebali opozvati dopuštenja:
|
1 |
chmod -R 700 ~/client-configs |
Zatim se vratite u EasyRSA direktorij i pokrenite easyrsa skriptu s opcijama gen-req i nopass, kao i generičkim nazivom klijenta:
|
1 2 |
cd ~/EasyRSA-3.0.4/ ./easyrsa gen-req client1 nopass |
Pritisnite Enter za potvrdu uobičajenog naziva. Nakon toga kopirajte datoteku client1.key u prethodno stvoreni direktorij / client-configs / keys /:
|
1 |
cp pki/private/client1.key ~/client-configs/keys/ |
Zatim upotrijebite sigurnu metodu za prijenos datoteke client1.req na svoje CA računalo:
|
1 |
scp pki/reqs/client1.req sigma@your_CA_ip:/tmp |
Prijavite se na svoje CA računalo, idite u EasyRSA direktorij i uvezite zahtjev za certifikat:
|
1 2 3 |
ssh siigma@your_CA_ip cd EasyRSA-3.0.4/ ./easyrsa import-req /tmp/client1.req client1 |
Zatim, kao i u prethodnom koraku, potpišite zahtjev na poslužitelju. Ali ovaj put morate navesti vrstu zahtjeva klijenta:
|
1 |
./easyrsa sign-req client client1 |
Na upit upišite yes kako biste potvrdili da želite potpisati zahtjev za certifikat i da je zahtjev za certifikat iz pouzdanog izvora. Unesite riječ “yes” za nastavak ili unesite bilo što drugo za odbacivanje:
|
1 |
Confirm Request Details: Yes |
Ako ste šifrirali CA ključ, ovdje će se od vas također tražiti da unesete lozinku. To će stvoriti datoteku klijentskog certifikata pod nazivom client1.crt. Prenesite ovu datoteku natrag na poslužitelj:
|
1 |
scp pki/issued/client1.crt siigma@your_server_ip:/tmp |
Povežite se ponovno putem SSH-a na svoj OpenVPN poslužitelj i kopirajte klijentski certifikat u direktorij / client-configs / keys /:
|
1 |
cp /tmp/client1.crt ~/client-configs/keys/ |
Zatim kopirajte datoteke ca.crt i ta.key u direktorij / client-configs / keys /:
|
1 2 |
cp ~/EasyRSA-3.0.4/ta.key ~/client-configs/keys/ sudo cp /etc/openvpn/ca.crt ~/client-configs/keys/ |
Ujedno su svi certifikati i ključevi poslužitelja i klijenta generirani i spremljeni u odgovarajuće direktorije na poslužitelju. Sada možete nastaviti s postavljanjem OpenVPN-a na poslužitelju.
Korak 5 – Konfiguriranje OpenVPN usluge
Nakon generiranja klijentskih i poslužiteljskih certifikata, možete konfigurirati OpenVPN uslugu za korištenje ovih vjerodajnica. Prvo kopirajte oglednu konfiguracijsku datoteku OpenVPN-a u svoj konfiguracijski direktorij, a zatim je raspakirajte kako biste je koristili kao osnovu za postavljanje:
|
1 2 |
sudo cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/ sudo gzip -d /etc/openvpn/server.conf.gz |
Otvorite konfiguracijsku datoteku poslužitelja u svom željenom uređivaču teksta:
|
1 |
sudo nano /etc/openvpn/server.conf |
Zatim pronađite HMAC dio tražeći naredbu tls-auth:
|
1 |
tls-auth ta.key 0 # Ova datoteka je tajna |
Pronađite dio za šifriranje tražeći komentiranu liniju za šifriranje. Šifriranje AES-256-CBC nudi dobru razinu šifriranja i dobro je podržano. Linija ne bi trebala biti komentirana, ali ako jest, obrišite “;” ispred nje:
|
1 |
cipher AES-256-CBC |
Ispod toga dodajte naredbu Auth za odabir HMAC algoritma sažetka poruke. SHA256 je dobar izbor za to:
|
1 |
auth SHA256 |
Zatim pronađite liniju s izjavom dh koja definira Diffie-Hellmanove parametre. Zbog nekih nedavnih promjena u EasyRSA-u, naziv datoteke Diffie-Hellmanovog ključa može se razlikovati od naziva datoteke navedenog u oglednoj konfiguracijskoj datoteci poslužitelja. Ako je potrebno, promijenite ovdje navedeni naziv datoteke brisanjem 2048 kako biste ga uskladili s ključem iz prethodnog koraka:
|
1 |
dh dh.pem |
Na kraju, pronađite postavke za korisnika (user) i grupu (group) i obrišite “;” na početku svakog retka:
|
1 2 |
user nobody group nogroup |
Do sada bi promjene koje ste unijeli u oglednu datoteku server.conf trebale omogućiti rad OpenVPN-a.
Step 6 – Mrežna konfiguracija poslužitelja
Konfigurirajte prosljeđivanje IP-a kako biste ispravno usmjeravali promet kroz VPN. To je ključno za VPN funkcionalnost koju pruža vaš poslužitelj:
|
1 |
sudo nano /etc/sysctl.conf |
Potražite komentiranu liniju koja postavlja net.ipv4.ip_forward. Uklonite znak “#” s početka linije kako biste dekomentirali ovu postavku:
|
1 |
net.ipv4.ip_forward=1 |
Spremite datoteku i zatvorite je kada završite. Kako biste pročitali datoteku i prilagodili vrijednosti za trenutnu sesiju, upišite:
|
1 |
sudo sysctl -p |
Zatim dodajte javno mrežno sučelje svog računala:
|
1 |
ip route | grep default |
Vaše javno sučelje je niz unutar izlaza ove naredbe koji slijedi nakon riječi “dev”. Na primjer, ovaj rezultat prikazuje sučelje pod nazivom ens3.
Otvorite datoteku /etc/ufw/before.rules kako biste dodali odgovarajuću konfiguraciju:
|
1 |
$ sudo nano /etc/ufw/before.rules |
Pri vrhu datoteke dodajte istaknute retke u nastavku kako biste postavili zadano pravilo za lanac POSTROUTING u tablici nat i maskirali sav promet koji dolazi s VPN-a. Zamijenite ens3 u retku -A POSTROUTING u nastavku sa sučeljem koje ste pronašli u gornjoj naredbi:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 |
# rules.before # Pravila koja se trebaju pokrenuti prije pravila dodanih putem ufw naredbenog retka. Prilagođena # pravila bi se trebala dodati u jedan od ovih lanaca: # ufw-before-input # ufw-before-output # ufw-before-forward # START OPENVPN RULES # Pravila NAT tablice *nat :POSTROUTING ACCEPT [0:0] # Dopusti promet od OpenVPN klijenta prema wlp11s0 (promijenite u sučelje koje ste otkrili!) -A POSTROUTING -s 10.8.0.0/8 -o ens3 -j MASQUERADE COMMIT # END OPENVPN RULES # Nemojte brisati ove obavezne retke, inače će doći do pogrešaka . . . |
Spremite datoteku i zatvorite je nakon što završite. Zatim trebate reći UFW-u da prema zadanim postavkama dopusti i prosljeđivanje paketa. Da biste to učinili, otvorite datoteku /etc/default/ufw:
|
1 |
sudo nano /etc/default/ufw |
Unutar datoteke pronađite direktivu DEFAULT_FORWARD_POLICY i promijenite vrijednost iz DROP u ACCEPT:
|
1 |
DEFAULT_FORWARD_POLICY="ACCEPT" |
Spremite i zatvorite datoteku kada završite. Zatim prilagodite vatrozid kako biste omogućili promet prema OpenVPN-u. Ako niste promijenili port i protokol u datoteci /etc/openvpn/server.conf, morat ćete otvoriti UDP promet prema portu 1194. Ako ste izmijenili port i/ili protokol, ovdje zamijenite vrijednosti onima koje ste odabrali. U slučaju da ste zaboravili dodati SSH port prilikom praćenja preduvjetnog vodiča, dodajte ga i ovdje:
|
1 2 |
sudo ufw allow 1194/udp sudo ufw allow OpenSSH |
Nakon dodavanja tih pravila, onemogućite i ponovno omogućite UFW kako biste ga ponovno pokrenuli i učitali promjene iz svih datoteka koje ste izmijenili:
|
1 2 |
sudo ufw disable sudo ufw enable |
Čestitamo, vaš je poslužitelj sada konfiguriran za ispravno rukovanje OpenVPN prometom!
Zaključak
Ako ste pratili ovaj vodič do kraja, sada možete sigurno pregledavati internet. Moći ćete sačuvati svoj identitet, lokaciju i promet od znatiželjnih pogleda.
Sretno s radom!
Komentari
Još nema komentara. Budite prvi.