Ние разширяваме мрежата или OpenVPN за смъртните
#tar -zxvf OpenVPN-2.0_rc21.tar.gz
#cd OpenVPN-2.0_rc21
#. / Configure
#make
#make инсталиране
#make чиста
Ако не е достатъчно това, което някои пакетчета чай, или се опитват да ги зададете чрез опция в ./configure за успешното изграждане. За удобство при работа на конфигуратора, аз обикновено използвам всеки две терминали или две Замазки сесия. От една писта:
# / Configure -help. | по-малко
И на другия пълнени различни флагове. По този начин, инсталацията изглежда да се сортира ... Обръщаме се към много по-интересен и предизвикателен част, а именно създаването на конфигурационни файлове и всички видове ключове.
За да я накара да работи, трябва да компилирате ядрото си със следните опции:
опции IPSEC
опции IPSEC_ESP
За да работи сървъра страна имаме нужда, не е много. Ако искате да прочетете по-нататък Стария:
Ако искате бързо да отидете на индиански поход, просто се повтаря след мен! Уау, вече започнах да пиша в рима! Така че, да редактирате конфигурационния файл:
За да се определи следното:
# OpenVPN демон OpenVPN попитам нашия сървър, за да се превърне в демон, аз ви съветваме да поставите този # линия само след цялата работа.
DEV Tun # използват този интерфейс
сървъра 10.1.0.0 255.255.255.0 # IP да посоча мрежа VPN сървър
тласък «маршрут 10.1.0.0 255.255.255.0» # - това парче ще добави маршрут мрежа VPN на
натиснете «маршрут 194.1.1.0 255.255.255.0» # - това ще добави клиенти marshut решетка за VPN сървър
натиснете «маршрут 192.168.0.0 255.255.255.0» # - това е пътят към домашната си мрежа
TLS-сървър # уточни, че на сървъра конфигурация
DH /etc/ssl/dh2048.pem # сертификат за криптиране на изграждането на връзката
ва /etc/ssl/CA_cert.pem # този сървър сертификати
серт /etc/ssl/certs/Cserv.pem #
ключ /etc/ssl/keys/Kserv.pem #
прото TCP-сървър # Кажете на сървъра, за да прегази TCP
# Порт 5000 TCP порт 5000
Потребител никой #, изпод която започва VPN сървър (не слагайте корен!)
група никой # Е, група
съединение-lzo # Активиране компресия
задържи-Тун # Използвайки същия интерфейс и ключа, когато сървърът се рестартира
задържи ключ
TLS удостоверяване е /etc/ssl/ta.key 0 # Защита от DOS атаки
KeepAlive 10 120 # Живот на неактивна сесия
глагол 4 # номер на информация за отстраняване на грешки (от 0 до 9)
Така че, всичко. На сървъра приключи. Издържа на клиента. За ключовете и сертификатите не се притеснявайте, ние ще ги създаде по-късно.
Windows OpenVPN клиент
Знаеш ли, това нещо може да се използва дори и на телефонна линия връзка-то, което не е маловажно за мен! Хвърлих ключовете така на инсталатора да Flash-ку и не се тревожи повече, дори и ако решите да посетите приятел напитка бира и ядат месо, а след това на шефа бих нарекъл и да започне да се закълна, че те имат нещо не работи, можете повиши клиент от приятел, но не го правят Предполагам, че копира ключовете си zhestak. Config копие и начините за промяна на ключ на клиента си на флаш-памет, тук. А, да ... Хайде.
Натискате Start-Programs-OpenVPN ... Ела до папката с конфигурационни файлове. Създаване home.ovpn и пишат или копиране на този конфигурационен:
Говорим клиент # клиент да вземете информация за маршрутите от сървъра (не забравяйте # опция тласък)
отдалечен IP-а # вместо IP-а се впише истинското си IP на сървъра се вижда в интернет
TLS-клиент # Това е конфигурацията на клиент
NS-серт тип сървър # Това е още една защита, този път от «човек в средата на» атаката.
ва «H: \\ конфигурационния OpenVPN \\ CA_cert.pem» # Това е просто начина, по клавишите (аз ги има върху флаш памет)
серт «H: \\ конфигурационния OpenVPN \\ chome.pem»
ключ «H: \\ конфигурационния OpenVPN \\ khome.pem»
TLS удостоверяване е «H: \\ конфигурационния OpenVPN \\ ta.key» # 1 Anti-DOS. Тук, за разлика от сървъра трябва # edinichka. Да не се смесва, Кутузов! 😉
прото TCP-клиент # клиент препълнена TCP
# 5000 порт Свързва до 5000 порт
комп-lzo # Това вече знаете
бъчва-MTU 1500 # Трябва само да копирате, ако не знаете мрежата, не мога да говоря за това в два реда #
бъчва-MTU-допълнително 32
mssfix 1450
Така, конфигурацията е готова. Ние сега се обръщат към по-интересни дейности, генериране на ключове и сертификати.
OpenSSL таксита
Stomp в / и т.н. / SSL. Има създаде 2 файла: index.txt и сериен. Сега можем да напиша нещо в сериала:
#cd / и т.н. / SSL
#touch index.txt
#touch сериен
#echo "01"> ./serial
Сега, нека създадем няколко папки:
#mkdir от сертифициращ
ключове #mkdir
#mkdir CRL
И сега, малко ние се грижим за сигурност и промените openssl.cnf. Разбирам, че имате луди ръце, така че не забравяйте да направите копие на този файл, така че просто огън. 😉
#cp ./openssl.cnf ./ openssl.cnf.backup
#vi openssl.cnf
Параметрите «default_days» и задайте го равна на 9125 (този брой на дните, преди да ни сертификати ще спре да работи). И това го подпише до края на довереник:
[Сървър]
basicConstraints = CA: FALSE
nsCertType = сървър
След като ще създаде сертификати, това нещо няма да даде всяко дете четете това списание за провеждане на обикновен «човек по средата» атаката. Ако сте пропуснали да се регистрират тази настройка «НЧ-серт тип сървър» в конфигурационния файл няма да работи.
Малко повече търпение и да правите това, което чакахме толкова дълго време. Вие го направихте!
Нека да се върне на пътя на истината:
#openssl REQ -Нови -x509 -keyout частен / CA_key.pem напускане CA_cert.pem
Въведете паролата си и не го забравя.
#openssl REQ -Нови -nodes -keyout ключове / Kserv.pem напускане REQ / Rserv.pem
По тази линия е важно, че параметър Наименование на организацията съвпадна с факта, че имате при генериране CA_cert.pem.
#openssl ва -extfile /etc/ssl/openssl.cnf -extensions сървъра напускане от сертифициращ / Cserv.pem -infiles REQ / Rserv.pem
Вие ще бъдете помолени няколко въпроса, които не мислят дълъг отговор «у».
Това беше за сървъра. Сега повторете всички едно и също нещо, но за клиента.
#openssl Req прохождащи ключове -keyout / Khome.pem напускане REQ / Rhome.pem
#openssl ва напускане от сертифициращ / Chome.pem -infiles REQ / Rhome.pem
Не забравяйте за ta.key:
#openvpn -genkey -secret ta.key
Така че, и на последно място създаване на Diffie-Hellman (ФИГ знаят как да пишат на руски) файл
#openssl dhparam напускане dh2048.pem 2048
След получаване на съобщението от дълга си към създаването, отидете да се пие една бира (аз наистина е създаден почти 20 минути).
Ние сме като нашите сертификати
Можете да копирате на дискета:
#mkdir / MNT / дискета
#mount -t MSDOS / сътрудничество / fd0a / MNT / дискета
# Cp /etc/ssl/certs/Cnode.pem / MNT / дискета
#cp /etc/ssl/keys/Knode.pem / MNT / дискета
#cp /etc/ssl/CA_cert.pem / MNT / дискета
#cp т.н. / SSL / ta.key / MNT / дискета
#umount -f / сътрудничество / fd0a
Или, ако сте смел ада, и за да направи всичко по редове, след като на сървъра, който използвате, SFTP клиент и отнемат всичко от servaka собствени.
Сега тече сървъра OpenVPN:
#openvpn -config /usr/local/etc/openvpn/office.conf
Създаване на малък openvpn.sh в /usr/local/etc/rc.d да се стартира автоматично при стартиране:
При «$ 1» в
започнете)
ехо -н «OpenVPN2 започне ...«
/ ЮЕсАр / местни / sbin / OpenVPN || изход 1
;;
стоп)
ехо -н «Изключване OpenVPN2 ...«
/ ЮЕсАр / хамбар / killall OpenVPN # 038;> / сътрудничество / нула || изход 1
;;
презареди | рестартиране)
$ 0 спирка # 038; # 038; сън 1 # 038; # 038; $ 0 начало || изход 1
;;
*)
ехо «Употреба: $ 0"
изход 1
ESAC
Обикновено се предписва на ipfw, да се даде възможност да се свържете с нас с вас демон:
#ipfw -q добавите пас TCP от всеки за мен 5000
#ipfw -q добавите пас TCP от всеки и да е чрез tun0
Само тогава можете да го добавите към вашия скрипт защитна стена.
За връзка с Windows-базирани клиенти използват графичния потребителски интерфейс, как да се регистрирате, за да го стартира автоматично за удобство, мисля, че и той ще разбере.
Покажете тази статия на приятел: