Главная › Форумы › SOFTWARE › System settings › Настройка OpenVPN на CentOS 8
- В этой теме 0 ответов, 1 участник, последнее обновление 2 года назад сделано
Esmertec.
- АвторСообщения
- 29.04.2020 в 15:56 #1361
Esmertec
ХранительОС можно скачать с официального сайта CentoOS. Устанавливаем ОС в обычном режиме, я установил полностью «чистый» сервер без GUI, которая в принципе не нужна на серверной части. Так же желательно установить статический ip адрес, по которому сервер будет доступен в локальной сети (в статье для примера был использован адрес 10.59.0.55). После того как ОС полностью установилась логинимся под root пользователем. Первым делом выставляем правильную тайм зону, если Вы не сделали этого перед установкой ОС.
# \cp /usr/share/zoneinfo/Asia/Yekaterinburg /etc/localtime
В моем случае часовой пояс пользуется Екатеринбурга, впишите свой нужный сами.Если возникли проблемы с кодировкой в ОС и вы видите вместо букв “квадратики”, исправляется эта ошибка следующим образом. Идем в настройки и меняем параметры:
# nano /etc/vconsole.conf
В строчке FONT меняем значение, чтоб было следующее:
FONT="UniCyr_8x16"
После чего перезагружаем ОС и все будет в порядке!
Далее установим утилиту для синхронизации времени:
# dnf install chrony
Запускам ее и добавляем в автозагрузку:
# systemctl enable chronyd
# systemctl start chronyd
Можно проверить точность времени командой:
# date
Далее настроим SELinux. SELinux расширяет возможности стандартной системы безопасности (на основе прав доступа к файлам). Она позволяет ограничить доступ процессу, который запускается от имени пользователя, у которого прав больше, чем нужно данному процессу. Админить сервер будем только мы, по этому, просто отключим его xD он нам не пригодится…
# setenforce 0
Отключим ему автозагрузку при рестарте ОС. Открываем конфиг любым удобным вам редактором, мне больше нравится «nano».
# nano /etc/selinux/config
редактируем опцию SELINUX:
SELINUX=disabled
Настроим firewall нашей ОС. Если Вы хотите использовать не стандартный порт для работы ОС. Покажу на примере 443 порта и UDP протокола, как добавить правило для нашей ОС, меняйте параметры под свои нужды.
# firewall-cmd --permanent --add-port=443/udp
Применяем настройки firewall`а:
# firewall-cmd --reload
Так же сразу можно настроить автоматическое удаление старых ядер ОС, а так же настроить samba, либо vsftpd, для передачи сертификатов с сервера на клиенты. На этом подготовка ОС завершена, можно приступить к установке OpenVPN!
Устанавливаем репозиторий epel:
# dnf install epel-release
Устанавливаем необходимые пакеты следующей командой:
# dnf install openvpn easy-rsa
Я люблю, чтоб все файлы с которыми придется оперировать лежали в одном месте по этому перенесем каталог easy-rsa, в корневую директорию openvpn. При этом нужно будет посмотреть какая версия easy-rsa у Вас самая последняя и перенести именно ее. На момент написания версия easy-rsa была 3.0.7. Чтоб узнать какая у Вас переходим в директорию easy-rsa.
# cd /usr/share/easy-rsa
Вводим команду ls чтоб увидеть папки:
Копируем этот каталог в папку с openvpn:
# cp -r /usr/share/easy-rsa/3.0.7 /etc/openvpn/user-crts
Переходим в директорию user-crts. Чтобы упростить и ускорить процесс создания ключей, создаем следующий и редактируем следующий файл:
# cd /etc/openvpn/user-crts
# touch vars
# nano vars
Вписываем туда свои данные:
export KEY_COUNTRY="RU" export KEY_PROVINCE="Perm Kray" export KEY_CITY="Perm" export KEY_ORG="Geek-Speak Team" export KEY_EMAIL="esmertec@geek-speak.ru" export KEY_CN="GSTeam" export KEY_OU="GSTeam" export KEY_NAME="name-openvpn-server.geek-speak.ru" export KEY_ALTNAMES="name-openvpn-server"
* где KEY_CN и KEY_OU: рабочие подразделения (например, можно указать название отдела); KEY_NAME: адрес, по которому будет выполняться подключение (можно указать полное наименование сервера); KEY_ALTNAMES — альтернативный адрес.
* так как мы генерируем самоподписный сертификат, значения данных полей никак не повлияют на работу OpenVPN, однако, для удобства, лучше подставить реальные данные.Запускаем созданный файл на исполнение:
# . ./vars
После этого можно переходить к генерации ключей. Инициализируем PKI:
# ./easyrsa init-pki
Мы должны увидеть:
init-pki complete; you may now create a CA or requests. Your newly created PKI dir is: /usr/share/easy-rsa/3/pki
… а в текущем каталоге появится папка pki.
Генерируем корневой сертификат (CA):
# ./easyrsa build-ca
После ввода Enter обязательно задаем пароль дважды. На запрос ввести Common Name можно просто нажать ввод или написать свое имя:
Common Name (eg: your user, host, or server name) [Easy-RSA CA]:
Создаем ключ Диффи-Хеллмана:
# ./easyrsa gen-dh
Для создания сертификата сервера необходимо сначала создать файл запроса:
# ./easyrsa gen-req server nopass
* на запрос ввода Common Name просто вводим Enter, чтобы использовать настройку из файла vars; nopass можно упустить, если хотим повысить безопасность с помощью пароля на сертификат.
… и на его основе — сам сертификат:
# ./easyrsa sign-req server server
После ввода команды подтверждаем правильность данных, введя yes:
Confirm request details: yes
и вводим пароль, который указывали при создании корневого сертификата.Для создания ta ключа используем команду:
# openvpn --genkey --secret pki/ta.key
Сертификаты сервера готовы и находятся в каталоге pki.
Создаем каталог в /etc/openvpn, в котором будем хранить сертификаты:
# mkdir -p /etc/openvpn/server/keys
Переходим в каталог pki:
# cd pki
Копируем в него необходимые сертификаты:
# cp ca.crt /etc/openvpn/user-crts/pki/issued/server.crt /etc/openvpn/user-crts/pki/private/server.key /etc/openvpn/user-crts/pki/dh.pem /etc/openvpn/user-crts/pki/ta.key /etc/openvpn/server/keys/
Теперь настроим конфигурацию сервера! Создаем файл server.conf:
# touch /etc/openvpn/server/server.conf
После чего открываем его:
# nano /etc/openvpn/server/server.conf
Заполняем параметры:
port 443 # Порт по которому будет работать сервер proto udp # Протокол может быть udp, либо tcp, если есть необходимость в этом dev tun # Тип подключения tap, либо tun #=============================Сертификаты сервера==================================// ca /etc/openvpn/server/keys/ca.crt cert /etc/openvpn/server/keys/server.crt key /etc/openvpn/server/keys/server.key dh /etc/openvpn/server/keys/dh.pem tls-auth /etc/openvpn/server/keys/ta.key 0 #==================================================================================// #==============================Включаем TLS========================================// tls-server tls-timeout 120 auth SHA1 # по умолчанию SHA1, либо MD5 cipher BF-CBC #==================================================================================// server 10.2.0.0 255.255.255.0 # подсеть для туннеля, может быть любой route 192.168.20.0 255.255.255.0 # указываем подсеть, к которой будем обращаться через vpn push "route 10.59.0.0 255.255.255.0" # передаем маршрут клиентам topology subnet # Позволяет использовать все IP адреса в сети Openvpn используемые в файлах ccd ifconfig-pool-persist ipp.txt # файл с записями соответствий clinet - ip client-to-client # позволяет клиентам openvpn подключаться друг к другу client-config-dir /etc/openvpn/ccd # директория с индивидуальными настройками клиентов keepalive 10 120 max-clients 255 # Максимальное количество подключений к серверу #===Запретить OpenVPN менять размер буферов у сокета критично для tun подключения===// sndbuf 393216 # Установить отправляемый объем буфера сокета сервера rcvbuf 393216 # Установить принимаемый объем буфера сокету сервера push "sndbuf 393216" # Размер принудительно отправляемого буфера сокета клиенту push "rcvbuf 393216" # Размер принудительно принимаемого буфера сокета от клиента #=====================Использовать если Openvpn "тормозит"==========================// persist-key persist-tun status /etc/openvpn/openvpn-status.log # Статус подключения клиентов к серверу log-append /etc/openvpn/logs/openvpn.log # Логи OpenVPN сервера verb 3 # Качество логирования сервера mute 20 daemon mode server comp-lzo no # Сжатие трафика в туннеле
ВНИМАНИЕ! Параметры sndbuf и rcfbuf НЕ работают, а иной раз снижают скорость у tap подключения, крайне не рекомендуется использовать эти параметры если вы собираетесь использовать именно этот тип подключения!
Создаем каталог для логов сервера и для индивидуальных настроек клиента:
# mkdir /etc/openvpn/logs
# mkdir /etc/openvpn/ccd
Разрешаем автоматический старт сервиса vpn:
# systemctl enable openvpn-server@server
И запускаем его:
# systemctl start openvpn-server@server
Проверяем запустился сервер или нет. Можно проверить в iconfig где увидите новый интерфейс, либо командой:
# systemctl status openvpn-server@server
Если сервер не работает смотрим логи в папке /etc/openvpn/logs и исправляем. Если все в порядке создаем ключи для клиента. Для настройки клиента необходимо на сервере сгенерировать сертификаты, а на клиентском компьютере установить программу openvpn и настроить ее.
Для генерации ключей идем в папку easy-rsa которую мы скопировали в корень openvpn каталога:
# cd /etc/openvpn/user-crts
Запускаем vars:
# . ./vars
Создаем клиентский сертификат:
# ./easyrsa gen-req adm-1 nopass
# ./easyrsa sign-req client adm-1
Мы должны увидеть запрос на подтверждение намерения выпустить сертификат — вводим yes:
Confirm request details: yes
* в данном примере будет создан сертификат для adm-1.Копируем ключи в директорию, которую Вы выбрали для выкачивания сертификатов, через FTP, либо SMB протокол в самом начале (Настройка SMB, настройка FTP). Я использую FTP с специально созданным пользователем по этому путь копирования сертификатов у меня выглядит следующим образом:
# cp /etc/openvpn/user-crts/pki/issued/adm-1.crt /etc/openvpn/user-crts/pki/private/adm-1.key /etc/openvpn/user-crts/pki/ca.crt /etc/openvpn/user-crts/pki/ta.key /home/ftpuser/FTP
Даем права на перемещение файлов с сервера локальному ПК:
# chmod -R a+r /home/ftpuser/FTP
Сертификат для клиента Adm-1 готов, идем настраивать клиентский ПК! Если ПК на windows, скачиваем софт с официального сайта openvpn. Устанавливаем в корень диска C:\. Должен получиться путь C:\openvpn. Далее в корне папки openvpn создаем папку ssl, куда нужно будет скопировать ключи и сертификаты клиента adm-1. После чего из папки sample-config копируем конфиг client.openvpn в директорию C:\openvpn\config. Открываем его блокнотом или любым другим удобным текстовым редактором. Удаляем из него все, и заполняем нужными нам параметрами:
remote 10.59.0.55 443 # локальный, либо внешний IP и порт сервера client # Авторизоваться как клиент dev tun # Тип подключения tap, либо tun proto udp # Протокол может быть udp, либо tcp, в зависимости какой использует сервер resolv-retry infinite nobind #user nobody # Параметр для linux пользователей в Windows НЕ нужно #group nogroup # Параметр для linux пользователей в Windows НЕ нужно persist-key persist-tun #========================Сертификаты для подключения================================// ca C:\\OpenVPN\\ssl\\ca.crt cert C:\\OpenVPN\\ssl\\adm-1.crt key C:\\OpenVPN\\ssl\\adm-1.key #===================================================================================// comp-lzo no verb 4 mute 20 float #==============================TLS аутентификация===================================// tls-client tls-auth C:\\OpenVPN\\ssl\\ta.key 1 auth-nocache auth SHA1 # по-умолчанию. Можно MD5 remote-cert-tls server #===================================================================================// #============Запретить OpenVPN менять размер буферов у сокета=======================// sndbuf 0 rcvbuf 0 #===================================================================================//
После чего запускаем с рабочего стола программу «OpenVPN GUI» от имени администратора. Нажимаем правой кнопкой по появившемуся в трее значку и выбираем «Подключиться»:
Либо включаем автозапуск при старте системы в службах windows:
Если клиент так же на linux как и сервер, устанавливаем клиента из репозитория свей системы:
Debian и ее производные:
# apt install openvpn
red hat и ее производные:
# yum install epel-release
# yum install openvpn
После чего копируем в каталог /etc/openvpn/client ключи и сертификаты с сервера. В корне openvpn создаем конфиг файл для подключения:
# touch /etc/openvpn/client.conf
Открываем его любым удобным вам редактором я использую «nano»:
# nano /etc/openvpn/client.conf
Заполняем его:
remote 10.59.0.55 443 # IP и порт сервера client # Авторизоваться как клиент dev tun # Тип подключения tap, либо tun proto udp # Протокол может быть udp, либо tcp, в зависимости какой использует сервер resolv-retry infinite nobind user nobody # Параметр для linux пользователей в Windows НЕ нужно group nogroup # Параметр для linux пользователей в Windows НЕ нужно persist-key persist-tun #========================Сертификаты для подключения================================// ca /etc/openvpn/client/ca.crt cert /etc/openvpn/client/adm-1.crt key /etc/openvpn/client/adm-1.key #===================================================================================// comp-lzo no verb 4 mute 20 float #==============================TLS аутентификация===================================// tls-client tls-auth /etc/openvpn/client/ta.key 1 auth-nocache auth SHA1 # по-умолчанию. Можно MD5 remote-cert-tls server #===================================================================================// #============Запретить OpenVPN менять размер буферов у сокета=======================// sndbuf 0 rcvbuf 0 #===================================================================================//
Создаем каталог для логов клиента Openvpn:
# mkdir /var/log/openvpn
После чего запускаем клиент.
Debian и ее производные:
# service start openvpn@client
# service enable openvpn@client
red hat и ее производные:
# systemctl start openvpn@client
# systemctl enable openvpn@client
Чтоб проверить вводим команду ifconfig так же увидим новый адаптер, либо через проверку статуса, или же смотрим сразу логи.
Настройка индивидуальных параметров клиента. Создадим файл с названием сертификата, кому хотим выделить персональные настройки, в каталоге сервера /etc/openvpn/ccd. Я для примера создам для нашего клиента adm-1:
# touch /etc/openvpn/ccd/adm-1
откроем файл любым удобным Вам редактором:
# nano /etc/openvpn/ccd/adm-1
Заполним файл следующими параметрами:
ifconfig-push 10.2.0.10 255.255.255.0 # Желаемый статический IP адрес и маска клиента в тунеле iroute 192.168.0.0 255.255.255.0 # Локальная сеть клиента push route 10.59.0.0 255.255.255.0 # Передать клиенту роут в сеть сервера, может быть абсолютно любой, экспериментируйте =), либо удалите или закомментируйте параметр
На этом настройка завершена!
Полезные статьи по поводу, медленной скорости openvpn внутри туннеля: статья 1, статья 2 - АвторСообщения
- Для ответа в этой теме необходимо авторизоваться.