GNU/Linux >> Belajar Linux >  >> Debian

Cara Mengatur Server OpenVPN di Debian 9

Baik Anda ingin mengakses Internet dengan aman dan terlindungi saat terhubung di jaringan Wi-Fi publik yang tidak dapat dipercaya, melewati konten yang dibatasi oleh Geografis, atau mengizinkan rekan kerja Anda terhubung dengan aman ke jaringan perusahaan Anda saat bekerja dari jarak jauh, menggunakan VPN adalah solusi terbaik.

VPN memungkinkan Anda terhubung ke server VPN jarak jauh, membuat koneksi Anda terenkripsi dan aman, serta menjelajahi web secara anonim dengan menjaga kerahasiaan data lalu lintas Anda.

Ada banyak penyedia VPN komersial yang dapat Anda pilih, tetapi Anda tidak pernah dapat benar-benar yakin bahwa penyedia tersebut tidak mencatat aktivitas Anda. Opsi teraman adalah menyiapkan server VPN Anda sendiri.

Tutorial ini akan menjelaskan cara menginstal dan mengkonfigurasi OpenVPN di Debian 9. Kami juga akan menunjukkan cara membuat sertifikat klien dan membuat file konfigurasi

OpenVPN adalah solusi VPN Open-source Secure Socket Layer (SSL) berfitur lengkap. Ini mengimplementasikan ekstensi jaringan aman OSI layer 2 atau 3 menggunakan protokol SSL/TLS.

Prasyarat #

Untuk menyelesaikan tutorial ini, Anda memerlukan:

  • Sudo akses ke server Debian 9 dengan firewall UFW dasar yang dikonfigurasi di mana kami akan menginstal layanan OpenVPN.
  • Mesin khusus yang terpisah untuk digunakan sebagai CA (otoritas sertifikat) Anda. Jika Anda tidak ingin menggunakan mesin khusus untuk CA Anda, Anda dapat membangun CA di server OpenVPN atau mesin lokal Anda. Setelah Anda selesai membangun CA, disarankan untuk memindahkan direktori CA ke tempat yang aman atau offline.

Tutorial ini mengasumsikan bahwa CA berada pada mesin Debian 9 yang terpisah. Langkah yang sama (dengan sedikit modifikasi) akan berlaku jika Anda menggunakan server sebagai CA.

Kami menggunakan mesin CA terpisah untuk mencegah penyerang menyusup ke server. Jika penyerang berhasil mengakses kunci pribadi CA, mereka dapat menggunakannya untuk menandatangani sertifikat baru, yang akan memberi mereka akses ke server VPN.

Membangun CA dengan EasyRSA #

Langkah pertama adalah membangun Public Key Infrastructure (PKI) yang meliputi:

  • Sertifikat Otoritas Sertifikat (CA) dan kunci pribadi.
  • Sertifikat terpisah dan pasangan kunci pribadi untuk server yang dikeluarkan oleh CA kami.
  • Sertifikat terpisah dan pasangan kunci pribadi untuk setiap klien yang diterbitkan oleh CA kami.

Seperti yang disebutkan dalam prasyarat untuk alasan keamanan, kami akan membangun CA pada mesin yang berdiri sendiri.

Kami akan menggunakan utilitas CLI bernama EasyRSA untuk membuat CA, menghasilkan permintaan sertifikat, dan menandatangani sertifikat.

Lakukan langkah-langkah berikut di mesin CA your :

  1. Mulailah dengan mengunduh rilis terbaru EasyRSA dari repositori Github proyek dengan perintah wget berikut:

    cd && wget https://github.com/OpenVPN/easy-rsa/releases/download/v3.0.6/EasyRSA-unix-v3.0.6.tgz
  2. Setelah unduhan selesai, ekstrak arsip:

    tar xzf EasyRSA-unix-v3.0.6.tgz
  3. Arahkan ke direktori EasyRSA dan buat file konfigurasi bernama vars dengan menyalin vars.example berkas:

    cd ~/EasyRSA-v3.0.6/cp vars.example vars
  4. Buka file dan batalkan komentar dan perbarui entri berikut agar sesuai dengan informasi Anda.

    nano ~/EasyRSA-v3.0.6/vars
    "set_var EASYRSA_REQ_COUNTRY "US" set_var EASYRSA_REQ_PROVINCE "Pennsylvania" set_var EASYRSA_REQ_CITY "Pittsburgh" set_var EASYRSA_REQ_ORG "Linuxize" set_var EASYRSA_REQ_EMAIL "[email protected]" set_var EASYRSA_REQ_OU "Community"
  5. Sebelum membuat pasangan kunci CA terlebih dahulu, Anda perlu menginisialisasi PKI baru dengan:

    ./easyrsa init-pki
    init-pki complete; you may now create a CA or requests.
    Your newly created PKI dir is: /home/causer/EasyRSA-v3.0.6/pki
  6. Langkah selanjutnya adalah membangun CA:

    ./easyrsa build-ca

    Jika Anda tidak ingin dimintai sandi setiap kali Anda menandatangani sertifikat, jalankan build-ca perintah menggunakan nopass opsi:./easyrsa build-ca nopass .

    ...
    Enter PEM pass phrase:
    Verifying - Enter PEM pass phrase:
    -----
    ...
    -----
    Common Name (eg: your user, host, or server name) [Easy-RSA CA]:
    
    CA creation complete and you may now import and sign cert requests.
    Your new CA certificate file for publishing is at:
    /home/causer/EasyRSA-v3.0.6/pki/ca.crt

    Anda akan diminta untuk menyetel sandi untuk kunci CA dan memasukkan nama umum untuk CA Anda.

    Setelah selesai, skrip akan membuat dua file — sertifikat publik CA ca.crt dan kunci pribadi CA ca.key .

    Kami akan menggunakan file Certificate Authority (CA) untuk menandatangani permintaan sertifikat untuk server dan klien OpenVPN kami.

Menginstal OpenVPN dan EasyRSA #

Langkah selanjutnya adalah menginstal paket OpenVPN yang tersedia di repositori Debian dan mengunduh versi terbaru EasyRSA di server OpenVPN.

Langkah-langkah berikut dilakukan di server OpenVPN .

  1. Instalasi OpenVPN cukup mudah, jalankan saja perintah berikut di server OpenVPN :

    sudo apt updatesudo apt install openvpn
  2. Unduh rilis terbaru EasyRSA:

    cd && wget https://github.com/OpenVPN/easy-rsa/releases/download/v3.0.6/EasyRSA-unix-v3.0.6.tgz

    Setelah unduhan selesai, ketik perintah berikut untuk mengekstrak arsip:

    tar xzf EasyRSA-unix-v3.0.6.tgz

    Meskipun kita telah menginisialisasi PKI di mesin CA, kita juga perlu membuat PKI baru di server OpenVPN. Untuk melakukannya, gunakan perintah yang sama seperti sebelumnya:

    cd ~/EasyRSA-v3.0.6/./easyrsa init-pki

    Jika Anda masih bertanya-tanya mengapa kami memerlukan dua penginstalan EasyRSA, itu karena kami akan menggunakan instans EasyRSA ini untuk membuat permintaan sertifikat yang akan ditandatangani menggunakan instans EasyRSA pada mesin CA .

    Ini mungkin terdengar rumit, dan sedikit membingungkan, tetapi setelah Anda membaca seluruh tutorialnya, Anda akan melihat bahwa itu sebenarnya tidak rumit.

Membuat kunci Diffie-Hellman dan HMAC #

Di bagian ini, kami akan membuat kunci Diffie-Hellman yang kuat yang akan digunakan selama pertukaran kunci dan file tanda tangan HMAC untuk menambahkan lapisan keamanan tambahan ke koneksi.

  1. Pertama, navigasikan ke direktori EasyRSA di server OpenVPN Anda .

    cd ~/EasyRSA-v3.0.6/
  2. Buat kunci Diffie-Hellman:

    ./easyrsa gen-dh

    Script akan menghasilkan parameter DH panjang 2048-bit. Bergantung pada sumber daya sistem Anda, pembuatannya mungkin memakan waktu. Setelah selesai, pesan berikut akan dicetak di layar Anda:

    DH parameters of size 2048 created at /home/serveruser/EasyRSA-v3.0.6/pki/dh.pem

    Salin dh.pem file ke /etc/openvpn direktori:

    sudo cp ~/EasyRSA-v3.0.6/pki/dh.pem /etc/openvpn/
  3. Buat tanda tangan HMAC:

    openvpn --genkey --secret ta.key

    Setelah selesai salin ta.key file ke /etc/openvpn direktori:

    sudo cp ~/EasyRSA-v3.0.6/ta.key /etc/openvpn/

Membuat Sertifikat Server dan Kunci Pribadi #

Bagian ini menjelaskan cara membuat kunci pribadi dan permintaan sertifikat untuk server OpenVPN.

  1. Navigasikan ke direktori EasyRSA di server OpenVPN Anda dan buat kunci pribadi baru untuk server dan file permintaan sertifikat:

    cd ~/EasyRSA-v3.0.6/./easyrsa gen-req server1 nopass

    Kami menggunakan nopass argumen karena kami ingin memulai server OpenVPN tanpa input kata sandi. Juga dalam contoh ini, kami menggunakan server1 sebagai pengidentifikasi nama server (entitas). Jika Anda memilih nama yang berbeda untuk server Anda, jangan lupa untuk menyesuaikan petunjuk di bawah di mana nama server digunakan.

    Perintah akan membuat dua file, kunci pribadi (server1.key ) dan file permintaan sertifikat (server1.req ).

    -----
    Common Name (eg: your user, host, or server name) [server1]:
    
    Keypair and certificate request completed. Your files are:
    req: /home/serveruser/EasyRSA-v3.0.6/pki/reqs/server1.req
    key: /home/serveruser/EasyRSA-v3.0.6/pki/private/server1.key
  2. Salin kunci pribadi ke /etc/openvpn direktori:

    sudo cp ~/EasyRSA-v3.0.6/pki/private/server1.key /etc/openvpn/
  3. Transfer file permintaan sertifikat ke mesin CA Anda:

    scp ~/EasyRSA-v3.0.6/pki/reqs/server1.req causer@your_ca_ip:/tmp

    Dalam contoh ini kita menggunakan scp untuk mentransfer file, Anda juga dapat menggunakan rsync melalui ssh atau metode aman lainnya.

  4. Masuk ke mesin CA your Anda , pindah ke direktori EasyRSA dan impor file permintaan sertifikat:

    cd ~/EasyRSA-v3.0.6./easyrsa import-req /tmp/server1.req server1

    Argumen pertama adalah jalur ke file permintaan sertifikat dan yang kedua adalah nama pendek (entitas) server. Dalam kasus kami, nama servernya adalah server1 .

    The request has been successfully imported with a short name of: server1
    You may now use this name to perform signing operations on this request.

    Perintah ini hanya menyalin file permintaan ke pki/reqs direktori.

  5. Saat masih di direktori EasyRSA di mesin CA jalankan perintah berikut untuk menandatangani permintaan:

    cd ~/EasyRSA-v3.0.6./easyrsa sign-req server server1

    Argumen pertama bisa berupa server atau client dan yang kedua adalah nama pendek (entitas) server.

    Anda akan diminta untuk memverifikasi bahwa permintaan tersebut berasal dari sumber tepercaya. Ketik yes dan tekan enter untuk mengonfirmasi:

    You are about to sign the following certificate.
    Please check over the details shown below for accuracy. Note that this request
    has not been cryptographically verified. Please be sure it came from a trusted
    source or that you have verified the request checksum with the sender.
    
    Request subject, to be signed as a server certificate for 1080 days:
    
    subject=
        commonName                = server1
    
    Type the word 'yes' to continue, or any other input to abort.
    Confirm request details: yes
    ...

    Jika kunci CA Anda dilindungi kata sandi, Anda akan diminta untuk memasukkan kata sandi. Setelah diverifikasi, skrip akan menghasilkan sertifikat SSL dan mencetak path lengkap ke sana.

    ...
    Certificate is to be certified until Sep 17 10:54:48 2021 GMT (1080 days)
    
    Write out database with 1 new entries
    Data Base Updated
    
    Certificate created at: /home/causer/EasyRSA-v3.0.6/pki/issued/server1.crt
  6. Langkah selanjutnya adalah mentransfer sertifikat yang ditandatangani server1.crt dan ca.crt file kembali ke server OpenVPN Anda. Sekali lagi Anda dapat menggunakan scp , rsync atau metode aman lainnya:

    scp ~/EasyRSA-v3.0.6/pki/issued/server1.crt serveruser@your_server_ip:/tmpscp ~/EasyRSA-v3.0.6/pki/ca.crt serveruser@your_server_ip:/tmp
  7. Masuk ke server OpenVPN Anda , dan pindahkan server1.crt dan ca.crt file ke dalam /etc/openvpn/ direktori:

    sudo mv /tmp/{server1,ca}.crt /etc/openvpn/

Setelah menyelesaikan langkah-langkah yang diuraikan di bagian ini, Anda akan memiliki file baru berikut di server OpenVPN :

  • /etc/openvpn/ca.crt
  • /etc/openvpn/dh.pem
  • /etc/openvpn/ta.key
  • /etc/openvpn/server1.crt
  • /etc/openvpn/server1.key

Mengonfigurasi Layanan OpenVPN #

Sekarang setelah Anda memiliki sertifikat server yang ditandatangani oleh CA Anda dan ditransfer ke server OpenVPN Anda , saatnya mengkonfigurasi layanan OpenVPN.

Kami akan menggunakan contoh file konfigurasi yang disediakan dengan paket instalasi OpenVPN sebagai titik awal dan kemudian menambahkan opsi konfigurasi khusus kami sendiri ke dalamnya.

Mulailah dengan mengekstrak file konfigurasi ke /etc/openvpn/ direktori:

sudo sh -c "gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz > /etc/openvpn/server1.conf"

Buka file dengan editor teks favorit Anda:

sudo nano /etc/openvpn/server1.conf
  • Temukan arahan parameter Sertifikat, Kunci dan DH dan ubah nama file:

    /etc/openvpn/server1.conf
    cert server1.crt
    key server1.key 
    
    dh dh.pem
  • Untuk mengalihkan lalu lintas klien melalui VPN, temukan dan batalkan komentar pada redirect-gateway dan dhcp-option pilihan:

    /etc/openvpn/server1.conf
    push "redirect-gateway def1 bypass-dhcp"
    
    push "dhcp-option DNS 208.67.222.222"
    push "dhcp-option DNS 208.67.220.220"

    Secara default, resolver OpenDNS digunakan. Anda dapat mengubahnya dan menggunakan CloudFlare, Google, atau resolver DNS lain yang Anda inginkan.

  • Temukan user dan group arahan dan batalkan komentar pengaturan ini dengan menghapus “; ” di awal setiap baris:

    /etc/openvpn/server1.conf
    user nobody
    group nogroup
  • Tambahkan baris berikut di akhir file. Arahan ini akan mengubah algoritma otentikasi pesan (HMAC) dari SHA1 menjadi SHA256

    /etc/openvpn/server1.conf
    auth SHA256

Setelah Anda selesai, file konfigurasi server (tidak termasuk komentar) akan terlihat seperti ini:

/etc/openvpn/server1.conf
port 1194
proto udp
dev tun
ca ca.crt
cert server1.crt
key server1.key  # This file should be kept secret
dh dh.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist /var/log/openvpn/ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
keepalive 10 120
tls-auth ta.key 0 # This file is secret
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
verb 3
explicit-exit-notify 1
auth SHA256

Memulai Layanan OpenVPN #

Dalam tutorial ini, kami telah menggunakan server1.conf sebagai file konfigurasi. Untuk memulai layanan OpenVPN dengan konfigurasi ini, kita perlu menentukan nama file konfigurasi setelah nama file unit systemd:

Di server OpenVPN . Anda jalankan perintah berikut untuk memulai layanan OpenVPN:

sudo systemctl start openvpn@server1

Verifikasi apakah layanan telah berhasil dimulai dengan mengetik:

sudo systemctl status openvpn@server1

Jika layanan aktif dan berjalan, output akan terlihat seperti ini:

[email protected] - OpenVPN connection to server1
   Loaded: loaded (/lib/systemd/system/[email protected]; disabled; vendor preset: enabled)
   Active: active (running) since Tue 2019-03-19 03:49:53 PDT; 3s ago
     Docs: man:openvpn(8)
           https://community.openvpn.net/openvpn/wiki/Openvpn23ManPage
           https://community.openvpn.net/openvpn/wiki/HOWTO
  Process: 1722 ExecStart=/usr/sbin/openvpn --daemon ovpn-server1 --status /run/openvpn/server1.status 10 --cd /etc/openvpn --config /etc/openvpn/server1.conf --writepid /run/openvpn/server1.pid (code=exited, status=0/SUCCESS)
 Main PID: 1723 (openvpn)
    Tasks: 1 (limit: 4915)
   CGroup: /system.slice/system-openvpn.slice/[email protected]
           └─1723 /usr/sbin/openvpn --daemon ovpn-server1 --status /run/openvpn/server1.status 10 --cd /etc/openvpn --config /etc/openvpn/server1.conf --writepid /run/openvpn/server1.pid

Aktifkan layanan untuk memulai secara otomatis saat boot dengan:

sudo systemctl enable openvpn@server1
Created symlink /etc/systemd/system/multi-user.target.wants/[email protected] → /lib/systemd/system/[email protected].
Jika layanan OpenVPN gagal memulai, periksa log dengan sudo journalctl -u openvpn@server1

Saat memulai, Server OpenVPN membuat perangkat tun tun0 . Untuk memverifikasinya gunakan perintah ip berikut:

ip a show tun0

Outputnya akan terlihat seperti ini:

3: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
    link/none 
    inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0
       valid_lft forever preferred_lft forever

Pada titik ini, server OpenVPN Anda telah dikonfigurasi dan berjalan dengan benar.

Konfigurasi Firewall dan Jaringan Server #

Untuk meneruskan paket jaringan dengan benar, kita perlu mengaktifkan penerusan IP.

Langkah-langkah berikut dilakukan di server OpenVPN .

Buka /etc/sysctl.conf file dan tambahkan atau batalkan komentar pada baris yang bertuliskan net.ipv4.ip_forward = 1 :

sudo nano /etc/sysctl.conf
/etc/sysctl.conf
# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward=1

Setelah selesai, simpan dan tutup file.

Terapkan pengaturan baru dengan menjalankan sysctl berikut ini perintah:

sudo sysctl -p
net.ipv4.ip_forward = 1

Jika Anda mengikuti prasyarat, Anda seharusnya sudah memiliki firewall UFW yang berjalan di server Anda.

Sekarang kita perlu menambahkan aturan firewall untuk mengaktifkan penyamaran. Ini akan memungkinkan lalu lintas keluar dari VPN, memberi klien VPN Anda akses ke Internet.

Sebelum menambahkan aturan, Anda perlu mengetahui antarmuka jaringan publik Server OpenVPN Debian Anda. Anda dapat dengan mudah menemukan antarmuka dengan menjalankan perintah berikut:

ip -o -4 route show to default | awk '{print $5}'

Dalam kasus kami, antarmuka diberi nama eth0 seperti yang ditunjukkan pada output di bawah ini. Antarmuka Anda mungkin akan memiliki nama yang berbeda.

eth0

Secara default, saat menggunakan UFW, paket yang diteruskan akan dihapus. Kami harus mengubahnya dan menginstruksikan firewall kami untuk mengizinkan paket yang diteruskan.

Buka file konfigurasi UFW, cari DEFAULT_FORWARD_POLICY kunci dan ubah nilainya dari DROP untuk ACCEPT :

sudo nano /etc/default/ufw
/etc/default/ufw
...
# Set the default forward policy to ACCEPT, DROP or REJECT.  Please note that
# if you change this you will most likely want to adjust your rules
DEFAULT_FORWARD_POLICY="ACCEPT"
...

Selanjutnya, kita perlu menetapkan kebijakan default untuk POSTROUTING rantai di tabel nat dan atur aturan penyamaran.

Untuk melakukannya, buka /etc/ufw/before.rules file dan tambahkan baris yang disorot dengan warna kuning seperti yang ditunjukkan di bawah ini.

sudo nano /etc/ufw/before.rules

Jangan lupa ganti eth0 di -A POSTROUTING baris untuk mencocokkan nama antarmuka jaringan publik yang Anda temukan di perintah sebelumnya. Tempel baris setelah baris terakhir yang dimulai dengan COMMIT .

/etc/ufw/before.rules
...
# don't delete the 'COMMIT' line or these rules won't be processed
COMMIT

#NAT table rules
*nat
:POSTROUTING ACCEPT [0:0]

# Forward traffic through eth0 - Change to public network interface
-A POSTROUTING -s 10.8.0.0/16 -o eth0 -j MASQUERADE

# don't delete the 'COMMIT' line or these rules won't be processed
COMMIT

Setelah selesai, simpan dan tutup file.

Kita juga perlu membuka lalu lintas UDP pada port 1194 yang merupakan port OpenVPN default. Untuk melakukannya, jalankan perintah berikut:

sudo ufw allow 1194/udp

Jika Anda lupa membuka port SSH, agar tidak terkunci, jalankan perintah berikut untuk membuka port:

sudo ufw allow OpenSSH

Terakhir, muat ulang aturan UFW dengan menonaktifkan dan mengaktifkan kembali UFW:

sudo ufw disablesudo ufw enable

Untuk memverifikasi perubahan, jalankan perintah berikut untuk membuat daftar aturan POSTROUTING:

sudo iptables -nvL POSTROUTING -t nat
Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 MASQUERADE  all  --  *      eth0    10.8.0.0/16          0.0.0.0/0  

Membuat Infrastruktur Konfigurasi Klien #

Dalam tutorial ini, kita akan membuat sertifikat SSL terpisah dan membuat file konfigurasi yang berbeda untuk setiap klien VPN.

Kunci pribadi klien dan permintaan sertifikat dapat dibuat di mesin klien atau di server. Untuk mempermudah, kami akan membuat permintaan sertifikat di server dan kemudian mengirimkannya ke CA untuk ditandatangani.

Seluruh proses pembuatan sertifikat klien dan file konfigurasi adalah sebagai berikut:

  1. Buat kunci pribadi dan permintaan sertifikat di server OpenVPN.
  2. Kirim permintaan ke mesin CA untuk ditandatangani.
  3. Salin sertifikat SSL yang ditandatangani ke server OpenVPN dan buat file konfigurasi.
  4. Kirim file konfigurasi ke mesin klien VPN.

Mulailah dengan membuat satu set direktori untuk menyimpan file klien:

mkdir -p ~/openvpn-clients/{configs,base,files}
  • base direktori akan menyimpan file dasar dan konfigurasi yang akan dibagikan ke semua file klien.
  • configs direktori akan menyimpan konfigurasi klien yang dihasilkan.
  • files direktori akan menyimpan pasangan sertifikat/kunci khusus klien.

Salin ca.crt dan ta.key file ke ~/openvpn-clients/base direktori:

cp ~/EasyRSA-v3.0.6/ta.key ~/openvpn-clients/base/cp /etc/openvpn/ca.crt ~/openvpn-clients/base/

Selanjutnya salin contoh file konfigurasi klien VPN ke dalam client-~/openvpn-clients/base direktori. Kami akan menggunakan file ini sebagai konfigurasi dasar:

cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf ~/openvpn-clients/base/

Sekarang kita perlu mengedit file agar sesuai dengan pengaturan dan konfigurasi server kita. Buka file konfigurasi dengan editor teks Anda:

nano ~/openvpn-clients/base/client.conf
  • Temukan arahan jarak jauh dan ubah placeholder default dengan alamat IP publik server OpenVPN Anda:

    ~/openvpn-clients/base/client.conf
    # The hostname/IP and port of the server.
    # You can have multiple remote entries
    # to load balance between the servers.
    remote YOUR_SERVER_IP 1194
  • Cari dan komentari ca , cert , dan key arahan. Sertifikat dan kunci akan ditambahkan dalam file konfigurasi:

    ~/openvpn-clients/base/client.conf
    # SSL/TLS parms.
    # See the server config file for more
    # description.  It's best to use
    # a separate .crt/.key file pair
    # for each client.  A single ca
    # file can be used for all clients.
    # ca ca.crt
    # cert client.crt
    # key client.key
  • Tambahkan baris berikut di akhir file agar sesuai dengan pengaturan server:

    ~/openvpn-clients/base/client.conf
    auth SHA256

Setelah Anda selesai, file konfigurasi server akan terlihat seperti ini:

~/openvpn-clients/base/client.conf
client
dev tun
proto udp
remote YOUR_SERVER_IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
verb 3
auth SHA256
key-direction 1

Selanjutnya, buat skrip bash sederhana yang akan menggabungkan konfigurasi dasar dan file dengan sertifikat dan kunci klien, dan simpan konfigurasi yang dihasilkan di ~/openvpn-clients/configs direktori.

Buka editor teks Anda dan buat skrip berikut:

nano ~/openvpn-clients/gen_config.sh
~/openvpn-clients/gen_config.sh
#!/bin/bash

FILES_DIR=$HOME/openvpn-clients/files
BASE_DIR=$HOME/openvpn-clients/base
CONFIGS_DIR=$HOME/openvpn-clients/configs

BASE_CONF=${BASE_DIR}/client.conf
CA_FILE=${BASE_DIR}/ca.crt
TA_FILE=${BASE_DIR}/ta.key

CLIENT_CERT=${FILES_DIR}/${1}.crt
CLIENT_KEY=${FILES_DIR}/${1}.key

# Test for files
for i in "$BASE_CONF" "$CA_FILE" "$TA_FILE" "$CLIENT_CERT" "$CLIENT_KEY"; do
    if [[ ! -f $i ]]; then
        echo " The file $i does not exist"
        exit 1
    fi

    if [[ ! -r $i ]]; then
        echo " The file $i is not readable."
        exit 1
    fi
done

# Generate client config
cat > ${CONFIGS_DIR}/${1}.ovpn <<EOF
$(cat ${BASE_CONF})
<key>
$(cat ${CLIENT_KEY})
</key>
<cert>
$(cat ${CLIENT_CERT})
</cert>
<ca>
$(cat ${CA_FILE})
</ca>
<tls-auth>
$(cat ${TA_FILE})
</tls-auth>
EOF

Simpan file dan buat agar dapat dieksekusi dengan chmod :

chmod u+x ~/openvpn-clients/gen_config.sh

Membuat Kunci Pribadi dan Konfigurasi Sertifikat Klien #

Proses pembuatan kunci pribadi klien dan permintaan sertifikat sama seperti yang kami lakukan saat membuat kunci server dan permintaan sertifikat.

Seperti yang telah kami sebutkan di bagian sebelumnya, kami akan membuat kunci pribadi klien dan permintaan sertifikat di server OpenVPN. Dalam contoh ini, nama klien VPN pertama adalah client1 .

  1. Navigasikan ke direktori EasyRSA di server OpenVPN Anda dan buat kunci pribadi baru dan file permintaan sertifikat untuk klien:

    cd ~/EasyRSA-v3.0.6/./easyrsa gen-req client1 nopass

    Perintah akan membuat dua file, kunci pribadi (client1.key ) dan file permintaan sertifikat (client1.req ).

    Common Name (eg: your user, host, or server name) [client1]:
    
    Keypair and certificate request completed. Your files are:
    req: /home/serveruser/EasyRSA-v3.0.6/pki/reqs/client1.req
    key: /home/serveruser/EasyRSA-v3.0.6/pki/private/client1.key
  2. Salin kunci pribadi client1.key ke ~/openvpn-clients/files direktori yang Anda buat di bagian sebelumnya:

    cp ~/EasyRSA-v3.0.6/pki/private/client1.key ~/openvpn-clients/files/
  3. Transfer file permintaan sertifikat ke mesin CA Anda:

    scp ~/EasyRSA-v3.0.6/pki/reqs/client1.req causer@your_ca_ip:/tmp

    Dalam contoh ini kita menggunakan scp untuk mentransfer file, Anda juga dapat menggunakan rsync melalui ssh atau metode aman lainnya.

  4. Masuk ke mesin CA your Anda , pindah ke direktori EasyRSA dan impor file permintaan sertifikat:

    cd ~/EasyRSA-v3.0.6./easyrsa import-req /tmp/client1.req client1

    Argumen pertama adalah jalur ke file permintaan sertifikat dan yang kedua adalah nama klien.

    The request has been successfully imported with a short name of: client1
    You may now use this name to perform signing operations on this request.
  5. Dari dalam direktori EasyRSA di mesin CA jalankan perintah berikut untuk menandatangani permintaan:

    cd ~/EasyRSA-v3.0.6./easyrsa sign-req client client1

    Anda akan diminta untuk memverifikasi bahwa permintaan tersebut berasal dari sumber tepercaya. Ketik yes dan tekan enter untuk mengonfirmasi:

    Jika kunci CA Anda dilindungi kata sandi, Anda akan diminta untuk memasukkan kata sandi. Setelah diverifikasi, skrip akan menghasilkan sertifikat SSL dan mencetak path lengkap ke sana.

    ...
    Certificate created at: /home/causer/EasyRSA-v3.0.6/pki/issued/client1.crt
  6. Selanjutnya, transfer sertifikat yang ditandatangani client1.crt file kembali ke server OpenVPN Anda. Anda dapat menggunakan scp , rsync atau metode aman lainnya:

    scp ~/EasyRSA-v3.0.6/pki/issued/client1.crt serveruser@your_server_ip:/tmp
  7. Masuk ke server OpenVPN Anda , dan pindahkan client1.crt file ke dalam ~/openvpn-clients/files direktori:

    mv /tmp/client1.crt ~/openvpn-clients/files
  8. Langkah terakhir adalah membuat konfigurasi klien menggunakan gen_config.sh naskah. Beralih ke ~/openvpn-clients direktori dan jalankan skrip menggunakan nama klien sebagai argumen:

    cd ~/openvpn-clients./gen_config.sh client1

    Script akan membuat file bernama client1.ovpn di ~/client-configs/configs direktori. Anda dapat memeriksa dengan mencantumkan direktori:

    ls ~/openvpn-clients/configs
    client1.ovpn

Pada titik ini konfigurasi klien dibuat. Sekarang Anda dapat mentransfer file konfigurasi ke perangkat yang ingin Anda gunakan sebagai klien.

Misalnya untuk mentransfer file konfigurasi ke mesin lokal Anda dengan scp Anda harus menjalankan perintah berikut:

scp ~/openvpn-clients/configs/client1.ovpn your_local_ip:/

Untuk menambahkan klien tambahan, cukup ulangi langkah yang sama.

Menghubungkan Klien #

Linux #

Distribusi atau lingkungan desktop Anda mungkin menyediakan alat atau antarmuka pengguna grafis untuk terhubung ke server OpenVPN. Dalam tutorial ini, kami akan menunjukkan cara terhubung ke server menggunakan openvpn alat.

  • Instal OpenVPN di Ubuntu dan Debian

    sudo apt updatesudo apt install openvpn
  • Instal OpenVPN di CentOS dan Fedora

    sudo yum install epel-releasesudo yum install openvpn

Setelah paket diinstal, untuk terhubung ke server VPN gunakan openvpn perintah dan tentukan file konfigurasi klien:

sudo openvpn --config client1.ovpn

macOS #

Tunnelblickadalah antarmuka pengguna grafis sumber terbuka gratis untuk OpenVPN di OS X dan macOS.

Windows #

Unduh dan instal versi terbaru aplikasi OpenVPN halaman Unduhan OpenVPN.

Salin .ovpn file ke folder konfigurasi OpenVPN (\Users\<Name>\OpenVPN\Config atau \Program Files\OpenVPN\config ).

Luncurkan aplikasi OpenVPN.

Klik kanan pada ikon baki sistem OpenVPN dan nama file konfigurasi OpenVPN yang Anda salin akan tercantum pada menu. Klik Hubungkan.

Android &iOS #

Aplikasi VPN yang dikembangkan oleh OpenVPN tersedia untuk Android dan iOS. Instal aplikasi dan impor klien .ovp berkas.

  • Sambungan Android OpenVPN
  • iOS OpenVPN Connect

Mencabut Sertifikat Klien #

Mencabut sertifikat berarti membatalkan sertifikat yang ditandatangani sehingga tidak dapat lagi digunakan untuk mengakses server OpenVPN.

Untuk mencabut sertifikat klien, ikuti langkah-langkah di bawah ini:

  1. Masuk ke mesin CA your Anda dan beralih ke direktori EasyRSA:

    cd EasyRSA-v3.0.6
  2. Jalankan skrip easyrsa menggunakan revoke argumen, diikuti dengan nama klien yang ingin Anda cabut:

    ./easyrsa revoke client1

    Anda akan diminta untuk memverifikasi bahwa Anda ingin mencabut sertifikat. Ketik yes dan tekan enter untuk mengonfirmasi:

    Please confirm you wish to revoke the certificate with the following subject:
    
    subject=
        commonName                = client1
    
    Type the word 'yes' to continue, or any other input to abort.
    Continue with revocation: yes
    ...

    Jika kunci CA Anda dilindungi kata sandi, Anda akan diminta untuk memasukkan kata sandi. Setelah diverifikasi, skrip akan mencabut sertifikat.

    ...
    Revocation was successful. You must run gen-crl and upload a CRL to your
    infrastructure in order to prevent the revoked cert from being accepted.
  3. Gunakan gen-crl opsi untuk membuat daftar pencabutan sertifikat (CRL):

    ./easyrsa gen-crl
    An updated CRL has been created.
    CRL file: /home/causer/EasyRSA-v3.0.6/pki/crl.pem
  4. Unggah file CRL ke server OpenVPN:

    scp ~/EasyRSA-v3.0.6/pki/crl.pem serveruser@your_server_ip:/tmp
  5. Masuk ke server OpenVPN Anda server dan pindahkan file ke /etc/openvpn direktori:

    sudo mv /tmp/crl.pem /etc/openvpn
  6. Buka file konfigurasi server OpenVPN:

    sudo nano /etc/openvpn/server1.conf

    Tempel baris berikut di akhir file

    /etc/openvpn/server1.conf
    crl-verify crl.pem

    Simpan dan tutup file.

  7. Mulai ulang layanan OpenVPN agar arahan pencabutan berlaku:

    sudo systemctl restart openvpn@server1

    Pada titik ini, klien seharusnya tidak lagi dapat mengakses server OpenVPN menggunakan sertifikat yang dicabut.

Jika Anda perlu mencabut sertifikat klien tambahan, ulangi saja langkah yang sama.


Debian
  1. Menyetel IP Statis di Debian 11 - Bagaimana cara melakukannya?

  2. Cara mengatur server SFTP di Server Debian 11

  3. Cara Mengatur Server OpenVPN di Debian 10

  1. Cara Mengatur Server Samba di Debian 10 Buster

  2. Cara Mengatur Server LAMP di Debian 10 Buster

  3. Cara Mengatur Server NFS di Debian 10 Buster

  1. Cara Mengatur Server OpenVPN di Ubuntu 18.04

  2. Cara Mengatur Server OpenVPN di CentOS 7

  3. Cara Mengatur VPN WireGuard di Debian 10