Hout ötezer OpenVPN, ez a blog

Ez egy kivonat hautushka számos cikket minimális leírást lépések és víz nélkül. Magától értetődik, hogy a CA és az OpenVPN szerver tartózkodnak ugyanazon a gépen. Különben is, fáradt minden alkalommal a google a témában, mert a legtöbb kézikönyvek is elavult, akkor hosszú időt vesz igénybe, hogy emelje fel a szolgáltatást.

config server

Tedd OpenVPN és hozzon létre egy felhasználói az azonos nevű, amelynek keretében működik a démont:

OpenVPN az alábbi tartalommal, hogy hozzon létre egy szerver konfiguráció:

Menj a home könyvtár, töltse le és csomagolja easyrsa 3 változatban:

Lépj be a könyvtárba easyrsa3 és állapítsa meg, változó, hogy:

Inicializálni a PKI (Public Key Infrastructure - PKI):

Hozzon létre egy gyökér tanúsítványt. Ügyeljen arra, hogy adjon meg egy bonyolult jelszót, és a közös név szerver, mint az én VPN:

Készítsen gombok DiffieHellman-:

Hozzon létre egy tanúsítvány iránti kérelmet OVPN szerver. Felhívom a figyelmet arra, hogy a tanúsítványt nezaparolen (paraméter nopass), egyébként minden kezdő OpenVPN kérni fogja a jelszót:

Légy te magad OVPN szerver tanúsítvány:

Másolás megkapta a kulcsokat egy működő könyvtár OpenVPN:

Készítsen «HMAC tűzfal» elleni DoS árvízi ATTAC és UDP port:

Készítsen jelszóval védett kulcs kérelem az ügyfél számára (meg kell adni minden egyes alkalommal, amikor kapcsolatba) a nevét Felhasználó:

Egy felhasználó létrehozása gombot (alapértelmezés szerint a var egy 10 éves időszakra):

Vagy korlátozása, hogy a tanúsítvány 90 napon belül (a lejárati idő után, akkor csak újra kiadása):

Ügyfél át ezeket a fájlokat:

tanúsítvány felülvizsgálat

Generation Fájl visszavont kulcsok:

Készíts egy szimbolikus linket a könyvtárat a gombokat (persze, és a fájl másolható, de meg kell csinálni minden alkalommal, amikor a tanúsítvány visszavonását):

A /etc/openvpn/server.conf hozzá egy sort

Értékelés tanúsítvány Felhasználó:

Minden alkalommal, amikor egy tanúsítvány visszavonásra, akkor frissíteni kell crl.pem. változtatni, hogy:

Megjegyzés: Ugyanaz a név kulcs fájl nem hozható létre visszavonásig régi. Amikor megpróbál létrehozni egy igazolást egy meglévő hibát generál:

Minimum beállítás iptables hozzáférés OpenVPN ügyfelek a helyi hálózathoz

Belebotlottam egy szál. neighing és úgy döntött, hogy adjunk hozzá egy megjegyzést. Ha OpenVPN csatlakoznia kell az internetre - meg kell tennie, hogy OpenVPN lett az alapértelmezett átjáró (alapértelmezett átjáró), valamint a megfelelő iptables szabályokat.
Valójában, a konfiguráció a szerver:

Configuration az ügyfél nem lesz más, mint a fenti.

Minimum beállítás iptables kiléphet OpenVPN ügyfelek az online

Hogy kizárja annak lehetőségét mitm támadás hiba, ami úgy néz ki, mint ez a naplóit:

Használja paraméter remote-cert-TLS szerver. amely már jelen van a kliens config.

A lista az érvényes és visszavont tanúsítványok

A lista az érvényes és visszavont tanúsítványok találhatók a fájlban

/easy-rsa-master/easyrsa3/pki/index.txt. Startvonalon oisaniya minden egyes igazolást kezdődik a betűk V vagy R. és mit jelent ez érvényes visszavonva, például:

Amint látható, az első és az ötödik érvényes tanúsítvány visszavont 2-4.

Ha az ügyfél a Windows

Tegye a OpenVPN GUI, itt letöltheti. Másolás a kliens kulcsot a C: \ Program Files \ OpenVPN \ config \. Másolás az ügyfél alakjára, és behelyezhető a client.ovpn fájlt. oda is. Összességében, a könyvtár öt fájlok - User.crt, User.key, ca.crt, ta.key, client.ovpn.
Ügyeljen arra, hogy futtassa a GUI OpenVPN rendszergazdaként. különben diffe nem prodnimutsya útvonalakat, és hogy a kapcsolat duplán kattintva az ikonra a tálcán (az óra mellett egy olyan terület, általában a jobb alsó sarok).

Hozzászólás navigáció

Mi van, ha

/easyrsa.real bejelentkezési req szerver vpn.1-ok.com
Megjegyzés: az Easy-RSA konfigurációt. / vars
Easy-RSA hiba:
Ismeretlen cert típus „szerver”

törött könyvtár struktúra valószínűleg. A forráskód van írva,

azaz $ EASYRSA_EXT_DIR = könnyen rsa-master / easyrsa3 / x509-típusokat. Feltételezem, hogy nem ez a könyvtár, vagy annak tartalmát.
Töltse le a könnyen rsa3 új és minden repülni.

Ha a Linux nem GUI, akkor indítsa újra /etc/init.d/openvpn
Ha a GUI, majd állítsa be a csatlakozás a Network Manager
Ha a Windows, akkor töltse le a kliens fájlokat és lök.

Köszönjük! Client málna (raspbian ziháló)
a parancs: openvpnt /etc/openvpn/client.conf írja:

csinálni újra? mi a baj?

Az is világos, mondja - nincs fájl User.crt Nem lehet betölteni tanúsítványfájlra User.crt. Nincs ilyen fájl vagy könyvtár. Gondolom, hogy a
1. Meg kell kezdeni a gyökér, azaz abban az esetben, Raspberry használat sudo
2. Mielőtt kezdve, hogy a cd / path / to / gombokkal, vagy használj teljes elérési utat a konfig