Настройка VPN на Ubuntu Server (способ второй)

Чтобы поднять свой VPN, нам потребуется сервер с Ubuntu или Debian, пакет OpenVPN и Easy-RSA. Если сервер у вас уже есть, хорошо. Если нет, то не расстраивайтесь. Приобрести сервер сейчас не так уж и сложно. В интернете предложение сейчас навалом.
Содержание
- Установка OpenVPN
- Настройка сертификатов OpenVPN
- Настройка конфигурационного файла OpenVPN сервера
- Настройка конфигурационного файла OpenVPN клиента
Установка OpenVPN на Ubuntu Server 16.04 | 17.04 | 18.04
Приступим к установке пакетов на нашем сервере. В терминале набираем:
sudo apt update
sudo apt install openvpn -y
Раньше в OpenVPN входила утилита под названием easy-rsa,- предназначенная для генерации ключей и сертификатов. Начиная с версии 2.3 эту утилиту из пакета выпилили, поэтому придется скачать и собрать ее самостоятельно:
Для этого перейдем в директорию /tmp и скачаем пакет Easy-RSA
cd /tmp
wget https://github.com/OpenVPN/easy-rsa/archive/master.zip
Распакуем скачанный архив
unzip master.zip
Теперь соберём пакет
./easy-rsa-master/build/build-dist.sh
Распакуем собранный пакет
unzip ./EasyRSA-git-development.zip
Дальнейшие изменения будем делать от root для этого набираем:
sudo -su
Перенесем директорию easy-rsa в директорию openvpn
sudo mv ./easy-rsa-master/EasyRSA-git-development/easyrsa3 /etc/openvpn/easy-rsa
Далее нужно будет настроить сертификаты для нашего VPN сервера
Настройка сертификатов OpenVPN
Переходим в нашу директорию
cd /etc/openvpn/easy-rsa
Отредактируем файл vars.exemple. Нужно будет раскоментировать и внести изменения в некоторые строки как у меня в примере:
set_var EASYRSA_REQ_COUNTRY "RU"
set_var EASYRSA_REQ_PROVINCE "Russia"
set_var EASYRSA_REQ_CITY "Moscow"
set_var EASYRSA_REQ_ORG "Copyleft Certificate Co"
set_var EASYRSA_REQ_EMAIL "admin@pro-ram.ru"
set_var EASYRSA_REQ_OU "My Organizational Unit"
Генерируем все необходимые ключи и сертификаты.
./easyrsa init-pki
Это команда создаст директорию /etc/openvpn/pki, где будут располагаться наши сертификаты
Далее сертификат ЦС:
./easyrsa build-ca
При создании сертификата ЦС необходимо будет ввести пароль
Создаем сертификат сервера:
./easyrsa build-server-full server
При создании сертификата сервера необходимо ввести пароль для сертификата сервера, а также пароль ЦС
Сертификат Диффи-Хеллмана:
./easyrsa gen-dh
При создании ключа Диффи-Хеллмана придется набраться терпения :)
Далее сертификат клиента:
./easyrsa build-client-full client1
При создании сертификата клиента необходимо ввести пароль для сертификата клиента, а также пароль ЦС
Cоздаем ключ для tls-аутификации.
openvpn --genkey --secret ./pki/private/ta.key
Переносим полученные ключи и сертификаты в каталог /etc/openvpn/
:
mv ./pki/dh.pem /etc/openvpn/keys/dh2048.pem
mv ./pki/private/client1.key /etc/openvpn/keys/
mv ./pki/private/server.key /etc/openvpn/keys/
mv ./pki/ca.crt /etc/openvpn/keys/
mv ./pki/issued/client1.crt /etc/openvpn/keys/
mv ./pki/issued/server.crt /etc/openvpn/keys/
на этом установка openvpn закончена
Настройка конфигурационного файла OpenVPN сервера
Далее создаем конфигурационный файл openvpn.
sudo touch /etc/openvpn/server.conf
Со следующим содержимым:
# Порт на котором будет крутиться наш VPN (по умолчанию 1194)
port 1194
# Протокол может быть UDP или TCP.
proto udp
#Сообщение серверу о конце сессии (если укажите TCP,то ставим 0)
explicit-exit-notify 2
# Название интерфейса.
dev tun
# Указываем директории с нашими ключами
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh2048.pem
# Задаем IP и маску виртуальной сети. Произвольно, но если не уверены лучше делайте как показано здесь
server 10.8.0.0 255.255.255.0
# Указываем, где хранятся файлы с настройками IP-адресов клиентов (создадим ниже)
client-config-dir ccd
# Запоминать динамически выданные адреса для VPN-клиентов и при последующих подключениях назначать те же значения.
ifconfig-pool-persist ipp.txt
### Включаем TLS
tls-server
# Для сервера 0 для клиента 1
tls-auth /etc/openvpn/keys/ta.key 0
tls-timeout 120
# Проверка подлинности пакетов
auth SHA256
# Шифровать методом
cipher AES-256-CBC
# Чтобы клиенты видели друг друга
client-to-client
# Один IP на клиента
topology subnet
# Разрешить дублирующие сертификаты
;duplicate-cn
# Пинг клиента каждые 10 сек. и разрыв соединения если нет пинга в течении 120 сек.
keepalive 10 120
# Сжатие трафика старые клиенты
comp-lzo
#Новые v2.4+
;compress lz4-v2
;push "compress lz4-v2"
# Максимум клиентов
max-clients 10
# Права для клиентов-только для Linux
user nobody
group nogroup
# Не перечитывать ключи, не закрывать и переоткрывать TUN\TAP устройства, после получения SIGUSR1 или ping-restart
persist-key
persist-tun
# Логи
status openvpn-status.log
log /var/log/openvpn/openvpn.log
# Детальность логирования
verb 3
# Защита от повторов (максимум 20 одинаковых сообщений подряд)
mute 20
# Файл отозванных сертификатов. Раскомментировать, когда такие сертификаты появятся.
;crl-verify /etc/openvpn/crl.pem
Создадим директорию для клиентских конфигов
mkdir /etc/openvpn/ccd
Можно запускать наш сервер OpenVPN
service openvpn restart
Далее приступаем к настройке клиентской части
Настройка конфигурационного файла OpenVPN клиента.
Теперь что касается клиентской стороны. Нам необходимо скопировать файлы client1.crt, client1.key, ta.crt и ca.crt с сервера на клиентскую машину. Для этого в консоле клиента набираем:
scp /etc/openvpn/keys/{client1.crt,client1.key,ca.crt,ta.key} user@user-host:/etc/openvpn/
где,
user — это пользователь на сервере
user-host — это IP адрес вашего клиента
Если не удаётся скопировать сертификаты, то необходимо поменять права на данные файлы
Создадим файл client.conf:
sudo nano /etc/openvpn/client.conf
с содержимым:
client
proto udp
dev tun
# !!! замените на настоящий ip адрес сервера
remote 111.111.111.111 1194
# следующие две строчки актуальны только для Linux систем
# на практике они не очень удобны, так как OpenVPN не сможет
# нормально все за собой почистить по завершению работы
user nobody
group nogroup
# Не перечитывать ключи, не закрывать и переоткрывать TUN\TAP устройства
persist-key
persist-tun
# Пути где располагаются сертификаты
ca ca.crt
cert client1.crt
key client1.key
# Используемое шифрование
cipher AES-256-CBC
auth SHA256
# Сжатие трафика
comp-lzo
# Детальность логирования
verb 3
Подрубаемся к серверу, внимательно читаем логи:
sudo openvpn --config client.conf
В соседнем терминале говорим:
ping 10.8.0.1
Если все было сделано правильно, вы обнаружите, что пинги успешно доходят до 10.8.0.1
Авто запуск openvpn при старте
Разрешаем автозапуск службы:
systemctl enable openvpn
Если есть вопросы, то пишем в комментариях.
Также можете вступить в Телеграм канал, ВКонтакте или подписаться на Twitter. Ссылки в шапке страницы.
Заранее всем спасибо!!!