Så här installerar och konfigurerar du OpenVPN på Debian

OpenVPN är utan tvekan det bästa sättet att säkert ansluta sig till ett nätverk via internet, OpenVPN är en öppen källkod VPN -resurs som tillåter oss som användare att maskera vår surfning för att undvika att bli offer i nätverket.

Det här är mycket viktiga aspekter på säkerhetsnivå som vi måste ta hänsyn till och den här gången ska vi analysera processen OpenVPN -konfiguration i en miljö Debian 8.

NoteraInnan installationsprocessen påbörjas är det viktigt att uppfylla vissa krav, dessa är:

  • Rotanvändare.
  • Droplet Debian 8, vi har för närvarande Debian 8.1

1. Så här installerar du OpenVPN


Det första steget vi kommer att ta är uppdatera alla paket i miljön med kommando:
 apt-get uppdatering

När paketen har laddats ner och uppdaterats låt oss installera OpenVPN med easy-RSA för krypteringsproblem. Vi kommer att utföra följande kommando:

 apt-get install openvpn easy-rsa

Sedan vi måste konfigurera vårt OpenVPN, OpenVPN -konfigurationsfilerna lagras i följande sökväg: / etc / openvpn och vi måste lägga till dessa i vår konfiguration, vi kommer att använda följande kommando:

 gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz> /etc/openvpn/server.conf
När vi har extraherat dessa filer i den valda sökvägen kommer vi att öppna dem med nanoredigeraren, vi kommer att utföra följande kommando:
 nano /etc/openvpn/server.conf
Vi kommer att se följande fönster:

När vi väl är där vi måste göra några ändringar i filen, dessa förändringar är i grunden:

  • Säkra servern med kryptering på hög nivå
  • Tillåt webbtrafik till destinationen
  • Förhindra att DNS -begäranden filtreras utanför VPN -anslutningen
  • Installationstillstånd

Vi ska dubbla längden på RSA -nyckeln som används när nycklarna till både servern och klienten genereras, för detta kommer vi att söka efter filen efter följande värden och vi kommer att ändra värdet dh1024.pem med värdet dh2048.pem:

 # Diffie hellman parametrar. # Generera din egen med: # openssl dhparam -out dh1024.pem 1024 # Ersätt 2048 med 1024 om du använder # 2048 bitnycklar. dh dh1024.pem

Nu ska vi se till att trafiken är korrekt omdirigerad till destinationen, låt oss inte kommentera "redirect-gateway def1 bypass-dhcp" genom att ta bort; i början av den. i filen server.conf:

 # Om det är aktiverat kommer detta direktiv att konfigurera # alla klienter att omdirigera sin standard # nätverksgateway via VPN, vilket gör att # all IP -trafik som webbsökning och # och DNS -sökningar går igenom VPN # (OpenVPN -servermaskinen kan behöva NAT # eller överbrygg TUN / TAP -gränssnittet till internet # i ***** för att detta ska fungera korrekt).; tryck på "redirect-gateway def1 bypass-dhcp"

Nästa steg blir säg till servern att använda OpenDNS för upplösning av DNS -namn Så länge det är möjligt, på så sätt undviker vi att DNS -förfrågningar ligger utanför VPN -anslutningen, måste vi hitta följande text i vår fil:

 # Vissa Windows-specifika nätverksinställningar # kan skickas till klienter, till exempel DNS # eller WINS-serveradresser. CAVEAT: # http://openvpn.net/faq.html#dhcpcaveats # Adresserna nedan hänvisar till de offentliga # DNS -servrarna som tillhandahålls av opendns.com.; push "dhcp-option DNS 208.67.222.222"; push "dhcp-option DNS 208.67.220.220"
Där måste vi avmarkera push "dhcp-option DNS 208.67.222.222" och push "dhcp-option DNS 208.67.220.220" kommentarer genom att ta bort; från början.

Slutligen kommer vi definiera behörigheter I samma fil som vi arbetar med lägger vi följande text:

 # Du kan kommentera detta på # andra system än Windows.; användare ingen; grupp nogroup
Vi fortsätter att avmarkera ta bort skylten; från början av texterna användare ingen Y gruppgrupp.

Som vi vet kör OpenVPN som standard som root -användare som tillåter redigering av alla parametrar, med den senaste ändringen kommer vi att begränsa den till ingen användare och nogroup -gruppen av säkerhetsskäl.
Vi sparar ändringarna med tangentkombinationen:

Ctrl + O

Och vi lämnar redaktören med:

Ctrl + X

Nu ska vi aktivera paketöverföring till det externa nätverket, för detta kommer vi att utföra följande kommando:

 echo 1> / proc / sys / net / ipv4 / ip_forward
Vi måste göra denna förändring permanent, inte att vi måste göra det varje gång vi startar systemet, för att göra det kontinuerligt kommer vi att ange systcl -filen med hjälp av nanoredigeraren, för detta kommer vi att utföra följande:
 nano /etc/sysctl.conf
Följande fönster visas:

Vi kommer att hitta följande rad:

 # Avmarkera nästa rad för att aktivera paketöverföring för IPv4 # net.ipv4.ip_forward = 1
NoteraKom ihåg att vi kan använda redigeringssökningen med tangentkombinationen:

Ctrl + W

Där kommer vi att avmarkera kommentaren net.ipv4.ip_forward = 1 ta bort # -symbolen.

Nästa steg vi måste ta är konfigurera UFW. UFW är en brandväggskonfiguration för ip -tabeller, därför kommer vi att göra några justeringar för att ändra UFW -säkerheten. Som ett första steg ska vi installera UFW -paketen med följande kommando:

 apt-get install ufw

När de nödvändiga UFW -paketen har laddats ner och installerats kommer vi att konfigurera UFW för att tillåta SSH -anslutningar, för detta kommer vi att utföra följande:

 ufw tillåter ssh

I vårt fall arbetar vi med port 1194 i UDP, vi måste konfigurera denna port för att kommunikationen ska bli tillfredsställande, vi anger följande:

 ufw tillåter 1194 / udp
NoteraVi kan se portarna på vår konsol med kommandot lsof -iUDP

Därefter kommer vi att redigera UFW -konfigurationsfilen för detta kommer vi att ange med nanoredigeraren i följande sökväg:

 nano / etc / default / ufw
Följande fönster öppnas:

Där ska vi göra några ändringar, vi kommer att hitta följande rad, var vi kommer att ändra DROP till ACCEPTERA.

 DEFAULT_FORWARD_POLICY = "DROP"
Nästa steg är lägg till några regler i UFW för översättning av nätverksadresserna och korrekt maskering av IP -adresserna av användare som ansluter. Låt oss öppna följande fil med nanoredigeraren:
 nano /etc/ufw/before.rules
Vi kommer att se att följande fönster visas:

Vi kommer att lägga till följande text:

 # START OPENVPN -REGLER # NAT -tabellregler * nat: POSTROUTING ACCEPT [0: 0] # Tillåt trafik från OpenVPN -klient till eth0 -A POSTROUTING -s 10.8.0.0/8 -o eth0 -j MASQUERADE COMMIT # END OPENVPN REGLER

När vi har gjort dessa ändringar fortsätter vi till aktivera UFW med följande kommando:

 ufw aktivera

Till kolla brandvägsreglerJag använder följande kommando:

 ufw -status 

2. Skapa OpenVPN -myndighetscertifikat


Nästa steg i vår process är skapa certifikat för inloggning via OpenVPNLåt oss komma ihåg att OpenVPN använder dessa certifikat för att kryptera trafiken. OpenVPN stöder dubbelriktad certifiering, det vill säga klienten måste autentisera serverns certifikat och vice versa.
Vi kommer att kopiera skripten över easy-RSA med följande kommando:
 cp -r / usr / share / easy -rsa / / etc / openvpn
Vi ska skapa en katalog för att lagra nycklarna, kommer vi att använda följande kommando:
 mkdir / etc / openvpn / easy-rsa / keys
Nästa steg är redigera certifikatparametrar, kommer vi att använda följande kommando:
 nano / etc / openvpn / easy-rsa / vars
Följande fönster visas:

Vi kommer att ändra följande parametrar enligt våra krav:

 export KEY_COUNTRY = "CO" export KEY_PROVINCE = "BO" export KEY_CITY = "Bogota" export KEY_ORG = "Solvetic" export KEY_EMAIL = "[email protected]" export KEY_OU = "Solvetic"

I samma fil kommer vi att redigera följande rad:

 # X509 Ämnesfältsexport KEY_NAME = "EasyRSA"
Vi ska ändra EasyRSA -värdet till namnet på den server du vill ha, kommer vi att använda namnet Solvetic.

Nu ska vi konfigurera Diffie-Helman-parametrar med hjälp av ett verktyg som levereras integrerat med OpenSSL som kallas dhparam. Vi kommer in och kör följande kommando:

 openssl dhparam -out /etc/openvpn/dh2048.pem 2048

När certifikatet har genererats gör vi det ändra easy-RSA-katalogen med kommando:

 cd / etc / openvpn / easy-rsa
Vi ska initiera PKI, kommer vi att använda kommandot:
… / Vars

Vi ska rensa de andra knapparna så att de inte stör installationen med kommandot:

 ./städa allt
Nu ska vi bygg certifikatet med följande OpenSSL -kommando:
 ./build-ca

Vi kommer att kunna se en rad frågor som är relaterade till informationen som tidigare matats in, på detta sätt har certifikatet genererats. Därefter ska vi starta vår OpenVPN -server för detta Vi kommer att redigera filen i sökvägen / etc / openvpn / easy-rsa med det tidigare angivna nyckelnamnet, i vårt fall Solvetic. Vi kommer att utföra följande kommando:

 ./build-key-server Solvetic

I raderna nedan kan vi lämna utrymmet tomt och tryck på Enter:

 Ange följande "extra" -attribut som ska skickas med din certifikatförfrågan Ett utmaningslösenord []: Ett valfritt företagsnamn []:
Följande fönster visas där vi måste ange bokstaven y (ja) för att acceptera följande två frågor: Signera certifikatet och begär certifikat.

Nu ska vi flytta både certifikat och nycklar till / etc / openvpn sökväg, kommer vi att utföra följande kommando:

 cp /etc/openvpn/easy-rsa/keys/[Solvetic.crt,Solvetic.key,ca.crt}/etc/openvpn
När denna process är klar gör vi det starta OpenVPN -tjänsten med kommando:
 service openvpn start
Till se status vi kommer att använda kommandot:
 tjänst oopenvpn -status

Vårt nästa steg blir att skapa certifikaten och nycklarna för de klienter som vill ansluta till VPN. För säkerhets skull har varje klient som ansluter till servern ett eget certifikat och en nyckel, dela det aldrig, som standard tillåter OpenVPN inte samtidiga anslutningar med samma certifikat och nyckel. Vi ska skapa nyckeln för vår klient, för detta anger vi följande kommando:

 ./build-key Client_Name, i vårt exempel kommer vi att använda följande kommando: ./build-key Tests

Vi fyller i de obligatoriska fälten och sedan gör vi det kopiera den genererade nyckeln till easy-RSA-katalogen.

 cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/easy-rsa/keys/client.ovpn.
Nu ska vi ladda ner Winscp -verktyget gratis från länken nedan. Med det här verktyget kan vi ansluta via SFTP eller FTP till vår Debian -maskin för att verifiera att filerna är korrekt skapade. När vi har laddat ner och kört det är detta fönstret som vi kan se:

Där anger vi IP -adressen för Debian -maskinen, kom ihåg att IP -adressen kan valideras med ifconfig -kommandot, vi anger inloggningsuppgif.webpterna och när vi klickar på Connect kan vi se följande:

FÖRSTORA

Där kan vi se till höger sida respektive filer för nycklarna och nycklarna. För att komma åt via OpenVPN kommer vi att ladda ner verktyget från följande länk OpenVPN version 2.3.11. När vi har laddat ner det måste vi ta hänsyn till att göra några ändringar i verktyget, det första vi ska göra är att kopiera nyckelfilerna och nycklarna i sökvägen där OpenVPN vanligtvis installeras:

 C: \ Program Files \ OpenVPN \ config
Senare kommer vi att skapa en fil i anteckningsblock eller textredigeraren som vi har med följande information:
 client dev tun proto udp remote 192.168.0.12 1194 key client.key cert client.crt ca ca.crt auth-user-pass persist-key persist-tun comp-lzo verb 3
NoteraIP -adressen är vår Debian -maskin och porten, som vi såg tidigare, är UDP 1194.
Denna fil måste sparas med tillägget .ovpn.

3. OpenVPN -klientåtkomsttest


Låt oss köra OPenVPN och detta kommer att vara den miljö med vilken vi kommer att befinna oss:

Vi anger användarens referenser för att ansluta och klicka på Okej och vi kan se följande

noteraVi gör denna anslutning från en Windows 7 -dator.

Nu kan vi se i meddelandefältet att anslutningen har lyckats och vi kan se den nya IP -adressen.

Om vi ​​högerklickar på verktyget (ikonen i meddelandefältet) har vi följande alternativ:

Härifrån kan vi utföra de uppgif.webpter som vi anser nödvändiga. Till exempel, ja vi väljer Visa status vi kommer att se följande:

4. OpenVPN -säkerhetsverktyg ']


Det råder ingen tvekan om att Internetsökning kan leda till säkerhetsproblem till exempel virus, informationsstöld, spionprogram etc., av den anledningen finns det några verktyg som vi kan implementera för att förbättra säkerheten på vår maskin när OpenVPN.

Låt oss prata om Clamav vilket är ett kraftfullt antivirusprogram som hjälper oss att behålla kontrollen över infekterade filer eller processer i vår Debian 8.1. Det är programvara med öppen källkod som gör att vi kan upptäcka trojaner, skadlig kod och andra latenta hot på våra datorer. Installationsprocessen är mycket enkel, för detta kommer vi att utföra följande kommando:

 Sudo apt-get install clamav

Senare kör vi färskmussla så att hela Clamav -databasen uppdateras.
För att köra en skanning på maskinen anger vi följande syntax:

 Clamscan -infekterad -borttag -recursiv / hem
Efter en stund kommer vi att se en sammanfattning av skanningsuppgif.webpten:

Ett annat verktyg som vi kan använda för att förbättra vår säkerhet är Privoxi som fungerar som en webbproxy och innehåller avancerade funktioner för att skydda integriteten, hantera cookies, kontrollera åtkomst, ta bort annonser, bland andra. För att installera det på vårt Debian 8.1 -system kör vi följande kommando:

 Sudo apt-get install privoxy

Kom ihåg att om vi är som rotanvändare är sudo inte nödvändigt. När alla Privoxy -paket har laddats ner och installerats kommer vi att ändra några parametrar i dess konfigurationsfil, för detta kommer vi att utföra följande kommando:

 Sudo nano / etc / privoxy / config
Följande kommer att visas:

Där måste vi lokalisera linjen lyssna-adress lokal värd: 8118 och vi måste lägga till 2 parametrar, lägg först till # -symbolen i början av den här raden och skriv under den termen lyssningsadress ip_of_nour-maskin: 8118, i vårt fall är det:

 lyssningsadress 192.168.0.10:8118.
När detta är gjort kommer vi att starta om tjänsten med:
 sudo /etc/init.d/privoxy starta om

Därefter går vi till webbläsaren som vi har i Debian och fortsätter att ändra proxy -parametrarna, vi måste bekräfta att IP: n är den som vi lade till och porten är 8118. I vårt exempel använder vi IceWeasel och vi måste ange:

  • preferenser
  • Avancerad
  • Netto
  • Anslutningsinställningar
  • Manuell proxykonfiguration

När vi har konfigurerat klickar vi på OK. Nu kan vi se hur Privoxy hjälper oss med säkerhet:

Det finns andra verktyg som kan hjälpa oss att förbättra navigering med vårt OpenVPN, vi kan implementera:

DnsmasqDet tillhandahåller oss DNS -tjänster på detta sätt använder vi bara DNS -cachen.

HAVPMed det här verktyget har vi en proxy med antivirus, det skannar all trafik på jakt efter virus eller något konstigt beteende.

Som vi kan se är det mycket viktigt att vidta åtgärder som hjälper oss att behålla kontrollen över vår navigering och vara mycket tydliga med att korrekt funktion av Debian 8.1

Låt oss fortsätta utforska alla de stora fördelarna som Debian 8.1 erbjuder oss och förbättra vår miljö eftersom många av oss är administratörer, samordnare eller ansvariga för IT -området och dessa tips hjälper oss att hantera vardagen lättare och med möjlighet att inte ha kritiska problem i framtiden som kan vara en stor huvudvärk.

Installera LAMP på Debian 8

wave wave wave wave wave