3.4.1.2 Jak skonfigurować połączenie VPN za pomocą OpenVPN na Ubuntu 20.04

Zaloguj się do swojego Serwera i zainstaluj OpenVPN (poradnik obowiązuje również dla instalacji po stronie Klienta).
 
Uwaga: OpenVPN jest dostępny w oficjalnych instalacjach Ubuntu, więc nie ma potrzeby wgrywania dodatkowych plików.

Wprowadź:
 

$ sudo apt update
$ sudo apt install openvpn

Po wykonaniu operacji OpenVPN zostanie zainstalowany na serwerze.
 

Pobierz EasyRSA na swój serwer oraz CA poprzez wprowadzenie komendy na obu maszynach:
 

$ wget -P ~/ https://github.com/OpenVPN/easy-rsa/releases/download/v3.0.4/EasyRSA-3.0.4.tgz

 Możesz pobrać najnowszą wersję ze strony https://github.com/OpenVPN/easy-rsa/releases
 

$ cd ~
$ sudo tar xvf EasyRSA-3.0.4.tgz

Uwaga: Nazwa może się różnić zależnie od pobranej wersji.

Zakończ konfigurację serwera za pomocą komend:
 

$ sudo cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/
$ sudo gzip -d /etc/openvpn/server.conf.gz
$ sudo nano /etc/openvpn/server.conf

Znajdź sekcję odnoszącą się do HMAC ("tls-auth"). Jeśli linia jest zakomentowana, usuń ";".
Znajdź sekcję szyfrowania ("cipher"). Jeśli jest zakomentowana, usuń ";". Pod spodem dodaj nową linię zawierającą tekst "auth SHA256".
najdź sekcję "dh" definiującą parametry Diffie-Hellman i usuń "2048" z nazwy (powinieneś uzyskać "dh dh.pem").
Znajdź sekcje "user" oraz "group" i usuń ";" w celu odkomentowania linii.

Zainstalowanie EasyRSA wiąże się z utworzeniem pliku konfiguracyjnego do definiowania zmiennych CA. Wprowadź:
 

$ cd ~/EasyRSA-3.0.4/
$ sudo cp vars.example vars
$ sudo nano vars

Usuń "#" dla instrukcji z obrazka poniżej:



Uruchom skrypt "easyrsa" w celu zainicjowania Public Key Infrastructure (PKI):
 

$ sudo ./easyrsa init-pki
$ sudo ./easyrsa build-ca nopass

Za pomocą komendy zostaną utworzone dwa pliki:

• ca.crt: publiczny certyfikat CA wykorzystywany przez serwery oraz klienty do wzajemnego przekazywania informacji o przynależności do zaufanej sieci.
• ca.key: klucz prywatny wykorzystywany przez maszynę CA w celu podpisywania kluczy oraz certyfikatów dla serwerów i klientów. Ten plik musi znajdować się na maszynie CA (niedostępnej dla stron trzecich), gdyż w przeciwnym wypadku bezpieczeństwo sieci może zostać naruszone.

Zostaniesz poproszony o wprowadzenie nazwy. Pozostaw pole puste i wciśnij Enter.

Po skonfigurowaniu maszyny CA, wygeneruj klucz prywatny oraz żądanie certyfikatu na serwerze i prześlij je na maszynę CA w celu podpisania:
 

$ cd ~/EasyRSA-3.0.4
$ sudo ./easyrsa init-pki
$ sudo ./easyrsa gen-req server nopass

Dla uproszczenia pozostaw "server" jako nazwę serwera, aby uniknąć wykonywania dodatkowych zmian.

Właśnie stworzyłeś klucz prywatny dla serwera i żądanie certyfikatu o nazwie "server.req":
 

$ sudo cp ~/EasyRSA-v3.0.6/pki/private/server.key /etc/openvpn/

Skopiuj plik server.req na maszynę CA:
 

$ sudo scp ~/EasyRSA-3.0.4/pki/reqs/server.req user@your_CA_ip:/tmp

Zaimportuj przekopiowany plik do folderu EasyRSA na maszynie CA i podpisz go:
 

$ cd ~/EasyRSA-3.0.4/
$ sudo ./easyrsa import-req /tmp/server.req server
$ sudo ./easyrsa sign-req server server

Wprowadź “yes” i wciśnij Enter.

Przenieś podpisany certyfikat i ca.crt na Serwer VPN:
 

$ sudo scp pki/issued/server.crt user@your_server_ip:/tmp
$ sudo scp pki/ca.crt user@your_server_ip:/tmp

Następnie przekopiuj otrzymane pliki do odpowiednich lokalizacji na serwerze:
 

$ sudo cp /tmp/{server.crt,ca.crt} /etc/openvpn/
$ cd ~/EasyRSA-3.0.4/

i wygeneruj wymianę kluczy:
 

$ sudo ./easyrsa gen-dh
$ sudo openvpn --genkey --secret ta.key

Przekopiuj wygenerowane pliki do folderu "/ etc / openvpn /"
 

$ sudo cp ~/EasyRSA-3.0.4/ta.key /etc/openvpn/
$ sudo cp ~/EasyRSA-3.0.4/pki/dh.pem /etc/openvpn/

W niniejszym kroku będziesz potrzebował dostępu do maszyny Ubuntu, która będzie Klientem w połączeniu VPN.

Po zainstalowaniu OpenVPN na maszynie, stwórz folder do przechowywania certyfikatów i kluczy klienta (poradnik przedstawia tylko jeden klucz o nazwie ‘client1’, ale operacja musi zostać powtórzona dla każdego klienta, który korzysta z innej denominacji).
 

$ sudo mkdir -p ~/client-configs/keys
$ sudo chmod -R 700 ~/client-configs
$ cd ~/EasyRSA-3.0.4/
$ sudo ./easyrsa gen-req client1 nopass

Wciśnij Enter żeby zaakceptować zaproponowaną standardową nazwę.
Przekopiuj klucz Klienta do wcześniej utworzonego folderu:
 

$ sudo cp pki/private/client1.key ~/client-configs/keys/

Prześlij plik client1.req na maszynę CA:
 

$ sudo scp pki/reqs/client1.req user@your_CA_IP:/tmp

Zaimportuj żądanie certyfikatu na CA:
 

$ cd ~/EasyRSA-3.0.4/
$ sudo ./easyrsa import-req /tmp/client1.req client1
$ sudo ./easyrsa sign-req client client1

Wprowadź "yes" w celu autoryzacji podpisu.
Przenieś certyfikat na Serwer:
 

$ sudo scp pki/issued/client1.crt utente@IP_SERVER:/tmp

Przekopiuj następujące pliki do odpowiednich folderów na Serwerze:
 

$ sudo mkdir -p ~/client-configs/keys
$ sudo chmod -R 700 ~/client-configs
$ sudo cp /tmp/client1.crt ~/client-configs/keys/
$ sudo cp ~/EasyRSA-3.0.4/ta.key ~/client-configs/keys/
$ sudo cp /etc/openvpn/ca.crt ~/client-configs/keys/

Teraz zarówno certyfikaty, jak i klucze serwera oraz klienta zostały wygenerowane.

Zmień zasady przekazywania IP:
 

$ sudo nano /etc/sysctl.conf

Znajdź sekcję "net.ipv4.ip_forward" i usuń "#" w celu odkomentowania instrukcji

Zmień reguły firewall w celu poprawnego kierowania połączeń klienta.
 

$ ip route | grep default

Zapamiętaj nazwę po "dev" ("eth0" w przykładzie poniżej)

$ sudo nano /etc/ufw/before.rules

Dodaj komendy jak na obrazku poniżej, zmieniając "eth0" na nazwę swojego interfejsu sieciowego.



Zapisz i wyjdź.
 

$ sudo nano /etc/default/ufw

Zmień wartość parametru "DEFAULT_FORWARD_POLICY" na "ACCEPT"

Dodaj port 1194 dla ruchu UDP i port 22 dla ruchu SSH:
 

$ sudo ufw allow 1194/udp $ sudo ufw allow OpenSSH

Zrestartuj firewall:
 

$ sudo ufw disable
$ sudo ufw enable

Uruchom usługę OpenVPN:
 

$ sudo systemctl start openvpn

Sprawdź status usługi. Jeśli proces został zakończony powodzeniem, wyświetlona zostanie informacja jak poniżej.
 

$ sudo systemctl status openvpn

Ustaw uruchomienie usługi przy włączeniu serwera:
 

$ sudo systemctl enable openvpn

Stwórz podstawową konfigurację dla Klientów:
 

$ sudo mkdir -p ~/client-configs/files
$ sudo cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf ~/client-configs/base.conf
$ sudo nano ~/client-configs/base.conf

Znajdź sekcję "remote" i upewnij się, że przedstawia wartość "remote IP_Server 1194"
 

• IP_Server: Wprowadź adres IP Serwera
• 1194: wcześniej wybrany port

Znajdź sekcję "proto" i upewnij się, że serwer jest ustawiony na UDP (linia TCP powinna być zakomentowana przez ";").

Znajdź sekcje "user" oraz "group" i usuń ";", aby je odkomentować.

Znajdź sekcje "ca.crt" - "client.crt" - "client.key" - "ta.key" i zakomentuj je dodając "#" na początku każdej linii.

Znajdź sekcję "cipher" i dodaj linię "auth SHA256" pod "cipher AES-256-CBC".

Dodaj linię "key-direction 1" w dowolnym miejscu

Dodaj poniższe, zakomentowane linie w dowolnym miejscu. Jeśli klientem jest maszyna Linux, odkomentuj je.
 

# script-security 2
# up /etc/openvpn/update-resolv-conf
# down /etc/openvpn/update-resolv-conf

Zapisz i wyjdź.

Na swoim serwerze stwórz skrypt do automatycznej kompilacji konfiguracji klienta:
 

$ sudo nano ~/client-configs/make_config.sh

Skopiuj i wklej tekst:
 

#!/bin/bash
# First argument: Client identifier
KEY_DIR=~/client-configs/keys
OUTPUT_DIR=~/client-configs/files
BASE_CONFIG=~/client-configs/base.conf
cat ${BASE_CONFIG} \
    <(echo -e '<ca>') \
    ${KEY_DIR}/ca.crt \
    <(echo -e '</ca>\n<cert>') \
    ${KEY_DIR}/${1}.crt \
    <(echo -e '</cert>\n<key>') \
    ${KEY_DIR}/${1}.key \
    <(echo -e '</key>\n<tls-auth>') \
    ${KEY_DIR}/ta.key \
    <(echo -e '</tls-auth>') \
    > ${OUTPUT_DIR}/${1}.ovpn

Zapisz plik i upewnij się, że jest wykonywalny:
 

$ sudo chmod 700 ~/client-configs/make_config.sh

Spróbuj wygenerować konfigurację Klienta:
 

$ cd ~/client-configs
$ sudo ./make_config.sh client1

Zostanie utworzony plik “client1.ovpn”.

Przenieś plik na urządzenie, z którego chcesz korzystać. Będzie on wykorzystywany przez oprogramowanie VPN do ustanowienia połączenia.

W celu unieważnienia certyfikatu Klienta, wprowadź następujące komendy na maszynie CA:
 

$ cd EasyRSA-3.0.4/
$ sudo ./easyrsa revoke client1

client1 to nazwa klienta, którego uprawnienia zostały cofnięte

Wprowadź "yes", aby zatwierdzić.

Wygeneruj plik crl.pem i prześlij go na swój serwer:
 

$ sudo ./easyrsa gen-crl
$ sudo scp ~/EasyRSA-3.0.4/pki/crl.pem user@IP_Server:/tmp

Zaktualizuj konfigurację na serwerze, aby zweryfikować cofnięcie certyfikatu:
 

$ sudo cp /tmp/crl.pem /etc/openvpn
$ sudo nano /etc/openvpn/server.conf

Na końcu pliku dodaj "crl-verify crl.pem".

Zapisz i wyjdź.
 

$ sudo systemctl restart openvpn@server

Zrestartuj serwer w celu wprowadzenia zmian.