راه اندازی سرور openvpn روی لینوکس دبین

Openvpn یک نرم افزار vpn اوپن سورس است که به شما اجازه می دهد که یک شبکه خصوصی را به صورت امن در بستر عمومی اینترنت ایجاد کنید. به صورت خلاصه، به کاربران نهایی این اجازه را می دهد که اتصالات را بپوشانند و به صورت امن تر در شبکه غیرقابل اطمینان حرکت کنند.

با توجه به آنچه گفته شد، این مقاله به شما آموزش می دهد چگونه openvpn ، لایه سوکت امن اوپن سورس(ssl)را در لینوکس دبین ۸ راه اندازی کنید.

پیش نیازها

این مقاله فرض می کند که موارد زیر را دارید:

سرور مجازی دبین ۸٫۱

کاربر روت

اختیاری :پس از اتمام این مقاله از یک حساب کاربری غیر روت با sudo فعال به منظور نگهداری عمومی استفاده کنید.شما می توانید این کار را توسط گام های ۲ و ۳ این مقاله انجام دهید.

گام اول – نصب openvpn

قبل از نصب هر بسته ای ایندکس بسته apt را آپدیت کنید.

حالا ما می توانیم سرور openvpn را همراه با easy-RSA برای رمزگذاری نصب کنیم.

گام دوم – پیکربندی openvpn

فایل پیکربندی سرور vpn پیشرض ،باید به /etc/openvpn خارج شود بنابراین می توانیم آن را با نصب خود ترکیب کنیم.این کار با دستور زیر انجام می گیرد:

پس از استخراج،فایل پیکربندی سرور را با استفاده از  nanoیا ویرایشگر متن دلخواه خود باز کنید.

در این فایل ما احتیاج به چهار تغییر داریم(که هر کدام به صورت جزئی تغییر داده خواهد شد)

۱-سرور امن با رمزگذاری سطح بالا

۲-هدایت ترافیک وب به مقصد

۳-جلوگیری از درخوست های DNS از خارج از اتصالات VPN

۴-مجوزهای نصب

در ابتدا، طول کلید RSA استفاده شده را هنگام ایجاد کلیدهای کلاینت و سرور دوبرابر می کنیم.بعد از بلوک کامنت اصلی و چند تکه بیشتر به دنبال این خط بگردید:

dh1024.pem را به dh2048.pem تغییر دهید،بنابراین خط به این شکل تغییر می کند:

در مرحله دوم،ما اطمینان حاصل خواهیم کرد که تمام ترافیک به مکان مناسب هدایت می شود.در server.conf به دنبال بخش زیر بگردید:

push “redirect-gateway def1 bypass-dhcp را از حالت کامنت دربیاورید.بنابراین سرور vpn از ترافیک وب کلاینت ها به سمت مقصدش خواهد گذشت.وقتی که انجام شد باید شبیه زیر باشد:

در مرحله سوم،ما به سرور خواهیم گفت که از OpenDNS برای تحلیل دی ان اس در جائیکه ممکن است استفاده کند.این می تواند در ممانعت از درخواست های DNS از خارج از اتصالال VPN کمک کند.بلافاصله بعد از بلاک اصلاح شده قبلی، این را هم ویرایش کنید:

push “dhcp-option DNS 208.67.222.222” و “dhcp-option DNS 208.67.220.220” را از حالت کامنت دربیاورید.وقتی انجام شد باید شبیه زیر باشد:

در مرحله چهارم ، مجوزها را در server.conf تعریف خواهیم کرد:

user nobody و group nogroup را از حالت کامنت خارج کنید.وقتی انجام شد باید شبیه زیر باشد:

به صورت پیش فرض،Openvpn به عنوان کاربر روت اجرا می شود و بنابراین دسترسی روت کامل به سیستم دارد. ما به جای آن Openvpn را به کاربر nobody و گروه nogroup محدود خواهیم کرد.این یک کاربر غیرممتاز با قابلیت لاگین بدون پیش فرض است،اغلب برای اجرای برنامه های غیرقابل اعتماد مانند سرورهای web-facing ،رزرو می شود.

حالا تغییرات را ذخیره کرده و خارج شوید.

گام سوم- Packet Forwarding را فعال کنید

در این بخش ما به هسته سرور خواهیم گفت که ترافیک را از سرویس های کلاینت به سمت اینترنت بفرستد.اگر چه ترافیک در سرور متوقف خواهد شد.

Packet Forwarding را در طول زمان اجرا توسط وارد کردن این دستور فعال کنید:

سپس ما باید این را دائمی کنیم تا در صورت ریبوت سرور این تنظیمات همچنان ادامه داشته باشد.فایل پیکربندی sysctl را با کمک nano یا ویرایشگر متن دلخواه خود باز کنید.

نزدیک بالای فایل sysctl،این را خواهید دید:

 

net.ipv4.ip_forward را از حالت کامنت خارج کنید.وقتی انجام شد باید شبیه زیر باشد.

تغییرات را ذخیره کرده و خارج شوید.

گام چهارم-نصب و پیکربندی ufw

UFW یک ابزار در جلو برای IPTables است.ما باید فقط تعداد کمی رول و تغییرات پیکربندی ایجاد کنیم.سپس فایروال را روشن خواهیم کرد.به عنوان مرجع برای استفاده های بیشتر برای UFW این مقاله را مطالعه کنید.

در ابتدا، بسته ufw را نصب کنید.

در مرحله دوم، UFWرا برای اجازه دادن به ssh تنظیم کنید.

این مقاله از  openvpn بر رویUDP استفاده خواهد کرد،بنابراین UFW باید به ترافیکUDP از طریق پورت ۱۱۹۴ اجازه ورود دهد.

سیاست فورواردینگ UFW باید به خوبی تنظیم شده باشد.ما این کار را در فایل پیکربندی اصلی انجام خواهیم داد.

به دنبال خط زیر بگردید:

این باید از DROP به ACCEPTتغییر کرده باشد.وقتی انجام شد باید شبیه این باشد:

ذخیره کرده و خارج شوید.

سپس ما رول های  UFWبیشتری را برای ترجمه آدرس شبکه وماسک IP کلاینت های متصل،اضافه خواهیم کرد.

سپس،خط کد ۱۲ تا ۱۹ زیر را برای قوانین OPENVPNاضافه کنید.

ذخیره کرده و خارج شوید.

با تغییرات انجام شده بر روی UFW، ما اکنون می توانیم آن را فعال کنیم.در خط فرمان وارد کنید:

فعال کردن UFW این نتیجه را برخواهد گرداند:

جواب y این خروجی را خواهد داد:

برای چک کردن قوانین فایروال اصلی UFW:

دستور status باید ورودی های زیر را برگرداند:

 

منبع

برگردان : آرزو رنجبرپور

لینک کوتاه مقاله :