Cara Mengatur Server OpenVPN di CentOS 7

Baik Anda ingin mengakses Internet dengan aman dan terlindungi saat terhubung di jaringan Wi-Fi publik yang tidak dapat dipercaya, melewati konten yang dibatasi oleh Geografis, atau mengizinkan rekan kerja Anda terhubung dengan aman ke jaringan perusahaan Anda saat bekerja dari jarak jauh, menggunakan VPN adalah solusi terbaik.

VPN memungkinkan Anda terhubung ke server VPN jarak jauh, membuat koneksi Anda terenkripsi dan aman, serta menjelajahi web secara anonim dengan menjaga kerahasiaan data lalu lintas Anda.

Ada banyak penyedia VPN komersial yang dapat Anda pilih, tetapi Anda tidak pernah dapat benar-benar yakin bahwa penyedia tersebut tidak mencatat aktivitas Anda. Opsi teraman adalah menyiapkan server VPN Anda sendiri.

Tutorial ini akan membahas proses pengaturan server VPN Anda sendiri dengan menginstal dan mengkonfigurasi OpenVPN. Kami juga akan menunjukkan cara membuat sertifikat klien dan membuat file konfigurasi

OpenVPN adalah solusi VPN Open-source Secure Socket Layer (SSL) berfitur lengkap. Ini mengimplementasikan ekstensi jaringan aman OSI layer 2 atau 3 menggunakan protokol SSL/TLS.

Prasyarat #

Untuk menyelesaikan tutorial ini, Anda memerlukan:

• Sudo akses ke server CentOS 7 untuk meng-host instance OpenVPN Anda.
• Server harus memiliki firewall yang dikonfigurasi.
• Mesin khusus yang terpisah untuk digunakan sebagai CA (otoritas sertifikat) Anda. Jika Anda tidak ingin menggunakan mesin khusus untuk CA Anda, Anda dapat membangun CA di server OpenVPN atau mesin lokal Anda. Setelah Anda selesai membangun CA, disarankan untuk memindahkan direktori CA ke tempat yang aman atau offline.

Tutorial ini mengasumsikan bahwa CA berada di mesin Linux yang terpisah. Langkah yang sama (dengan sedikit modifikasi) akan berlaku jika Anda menggunakan server sebagai CA.

Alasan mengapa kami menggunakan mesin CA terpisah adalah untuk mencegah penyerang menyusup ke server. Jika penyerang berhasil mengakses kunci pribadi CA, mereka dapat menggunakannya untuk menandatangani sertifikat baru, yang akan memberi mereka akses ke server VPN.

Membangun CA dengan EasyRSA #

Saat menyiapkan server OpenVPN baru, langkah pertama adalah membangun Infrastruktur Kunci Publik (PKI). Untuk melakukannya, kita perlu membuat yang berikut ini:

• Sertifikat Otoritas Sertifikat (CA) dan kunci pribadi.
• Sertifikat terpisah dan pasangan kunci pribadi untuk server yang dikeluarkan oleh CA kami.
• Sertifikat terpisah dan pasangan kunci pribadi untuk setiap klien yang diterbitkan oleh CA kami.

Seperti yang disebutkan dalam prasyarat untuk alasan keamanan, kami akan membangun CA pada mesin yang berdiri sendiri.

Untuk membuat CA, permintaan sertifikat, dan menandatangani sertifikat, kami akan menggunakan utilitas CLI bernama EasyRSA.

Lakukan langkah-langkah berikut di mesin CA your .

1. Mulailah dengan mengunduh rilis terbaru EasyRSA dari repositori Github proyek dengan perintah wget berikut:

   cd && wget https://github.com/OpenVPN/easy-rsa/releases/download/v3.0.5/EasyRSA-nix-3.0.5.tgz

2. Setelah unduhan selesai, ekstrak arsip dengan mengetik:

   tar xzf EasyRSA-nix-3.0.5.tgz

3. Arahkan ke direktori EasyRSA dan buat file konfigurasi bernama vars dengan menyalin vars.example berkas:

   cd ~/EasyRSA-3.0.5/cp vars.example vars

4. Buka file dan batalkan komentar dan perbarui entri berikut agar sesuai dengan informasi Anda.

   nano ~/EasyRSA-3.0.5/vars

   ~/EasyRSA-3.0.5/vars

   set_var EASYRSA_REQ_COUNTRY    "US"
   set_var EASYRSA_REQ_PROVINCE   "Pennsylvania"
   set_var EASYRSA_REQ_CITY       "Pittsburgh"
   set_var EASYRSA_REQ_ORG        "Linuxize"
   set_var EASYRSA_REQ_EMAIL      "[email protected]"
   set_var EASYRSA_REQ_OU         "Community"

   Simpan dan tutup file.

5. Sebelum membuat pasangan kunci CA terlebih dahulu kita perlu menginisialisasi PKI baru dengan:

   ./easyrsa init-pki

   init-pki complete; you may now create a CA or requests.
   Your newly created PKI dir is: /home/causer/EasyRSA-3.0.5/pki

6. Langkah selanjutnya adalah membangun CA:

   ./easyrsa build-ca

   Jika Anda tidak ingin dimintai sandi setiap kali Anda menandatangani sertifikat, jalankan build-ca perintah menggunakan nopass opsi:./easyrsa build-ca nopass .

   ...
   Enter PEM pass phrase:
   Verifying - Enter PEM pass phrase:
   -----
   ...
   -----
   Common Name (eg: your user, host, or server name) [Easy-RSA CA]:
   
   CA creation complete and you may now import and sign cert requests.
   Your new CA certificate file for publishing is at:
   /home/causer/EasyRSA-3.0.5/pki/ca.crt

   Anda akan diminta untuk menyetel sandi untuk kunci CA dan memasukkan nama umum untuk CA Anda.

   Setelah selesai, skrip akan membuat dua file — sertifikat publik CA ca.crt dan kunci pribadi CA ca.key .

   Sekarang setelah Otoritas Sertifikat (CA) dibuat, Anda dapat menggunakannya untuk menandatangani permintaan sertifikat untuk satu atau beberapa server dan klien OpenVPN.

Menginstal OpenVPN dan EasyRSA #

Langkah kami selanjutnya adalah menginstal paket OpenVPN yang tersedia di repositori EPEL dan mengunduh EasyRSA versi terbaru.

Langkah-langkah berikut dilakukan di server OpenVPN .

1. Aktifkan repositori EPEL dengan mengetik:

   sudo yum install epel-release

2. Setelah repositori diaktifkan, instal OpenVPN dengan perintah berikut:

   sudo yum install openvpn

3. Unduh rilis terbaru EasyRSA:

   cd && wget https://github.com/OpenVPN/easy-rsa/releases/download/v3.0.5/EasyRSA-nix-3.0.5.tgz

   Setelah unduhan selesai, ketik perintah berikut untuk mengekstrak arsip:

   tar xzf EasyRSA-nix-3.0.5.tgz

   Meskipun kita telah menginisialisasi PKI di mesin CA, kita juga perlu membuat PKI baru di server OpenVPN. Untuk melakukannya, gunakan perintah yang sama seperti sebelumnya:

   cd ~/EasyRSA-3.0.5/./easyrsa init-pki

   Jika Anda masih bertanya-tanya mengapa kami memerlukan dua penginstalan EasyRSA, itu karena kami akan menggunakan instans EasyRSA ini untuk membuat permintaan sertifikat yang akan ditandatangani menggunakan instans EasyRSA pada mesin CA .

   Ini mungkin terdengar rumit, dan sedikit membingungkan, tetapi setelah Anda membaca seluruh tutorialnya, Anda akan melihat bahwa itu sebenarnya tidak rumit.

Membuat kunci Diffie-Hellman dan HMAC #

Di bagian ini, kami akan membuat kunci Diffie-Hellman yang kuat yang akan digunakan selama pertukaran kunci dan file tanda tangan HMAC untuk menambahkan lapisan keamanan tambahan ke koneksi.

1. Navigasikan ke direktori EasyRSA di server OpenVPN Anda dan membuat kunci Diffie-Hellman:.

   cd ~/EasyRSA-3.0.5/./easyrsa gen-dh

   Script akan menghasilkan parameter DH panjang 2048-bit. Ini bisa memakan waktu, terutama pada server dengan sedikit sumber daya. Setelah selesai, pesan berikut akan dicetak di layar Anda:

   DH parameters of size 2048 created at /home/serveruser/EasyRSA-3.0.5/pki/dh.pem

   Salin dh.pem file ke /etc/openvpn direktori:

   sudo cp ~/EasyRSA-3.0.5/pki/dh.pem /etc/openvpn/

2. Selanjutnya, buat tanda tangan HMAC menggunakan openvpn biner:

   openvpn --genkey --secret ta.key

   Setelah selesai salin ta.key file ke /etc/openvpn direktori:

   sudo cp ~/EasyRSA-3.0.5/ta.key /etc/openvpn/

Membuat Sertifikat Server dan Kunci Pribadi #

Bagian ini menjelaskan cara membuat kunci pribadi dan permintaan sertifikat untuk server OpenVPN.

1. Navigasikan ke direktori EasyRSA di server OpenVPN Anda dan buat kunci pribadi baru untuk server dan file permintaan sertifikat:

   cd ~/EasyRSA-3.0.5/./easyrsa gen-req server1 nopass

   Kami menggunakan nopass argumen karena kami ingin memulai server OpenVPN tanpa input kata sandi. Juga dalam contoh ini, kami menggunakan server1 sebagai pengidentifikasi nama server (entitas). Jika Anda memilih nama yang berbeda untuk server Anda, jangan lupa untuk menyesuaikan petunjuk di bawah di mana nama server digunakan.

   Perintah akan membuat dua file, kunci pribadi (server1.key ) dan file permintaan sertifikat (server1.req ).

   -----
   Common Name (eg: your user, host, or server name) [server1]:
   
   Keypair and certificate request completed. Your files are:
   req: /home/serveruser/EasyRSA-3.0.5/pki/reqs/server1.req
   key: /home/serveruser/EasyRSA-3.0.5/pki/private/server1.key

2. Salin kunci pribadi ke /etc/openvpn direktori:

   sudo cp ~/EasyRSA-3.0.5/pki/private/server1.key /etc/openvpn/

3. Transfer file permintaan sertifikat ke mesin CA Anda:

   scp ~/EasyRSA-3.0.5/pki/reqs/server1.req causer@your_ca_ip:/tmp

   Dalam contoh ini kita menggunakan scp untuk mentransfer file, Anda juga dapat menggunakan rsync melalui ssh atau metode aman lainnya.

4. Masuk ke mesin CA your Anda , pindah ke direktori EasyRSA dan impor file permintaan sertifikat:

   cd ~/EasyRSA-3.0.5./easyrsa import-req /tmp/server1.req server1

   Argumen pertama adalah jalur ke file permintaan sertifikat dan yang kedua adalah nama pendek (entitas) server. Dalam kasus kami, nama servernya adalah server1 .

   The request has been successfully imported with a short name of: server1
   You may now use this name to perform signing operations on this request.

   Perintah ini hanya menyalin file permintaan ke pki/reqs direktori.

5. Saat masih di direktori EasyRSA di mesin CA jalankan perintah berikut untuk menandatangani permintaan:

   cd ~/EasyRSA-3.0.5./easyrsa sign-req server server1

   Argumen pertama bisa berupa server atau client dan yang kedua adalah nama pendek (entitas) server.

   Anda akan diminta untuk memverifikasi bahwa permintaan tersebut berasal dari sumber tepercaya. Ketik yes dan tekan Enter untuk mengonfirmasi:

   You are about to sign the following certificate.
   Please check over the details shown below for accuracy. Note that this request
   has not been cryptographically verified. Please be sure it came from a trusted
   source or that you have verified the request checksum with the sender.
   
   Request subject, to be signed as a server certificate for 1080 days:
   
   subject=
       commonName                = server1
   
   
   Type the word 'yes' to continue, or any other input to abort.
   Confirm request details: yes
   ...

   Jika kunci CA Anda dilindungi kata sandi, Anda akan diminta untuk memasukkan kata sandi. Setelah diverifikasi, skrip akan menghasilkan sertifikat SSL dan mencetak path lengkap ke sana.

   ...
   Certificate is to be certified until Sep 17 10:54:48 2021 GMT (1080 days)
   
   Write out database with 1 new entries
   Data Base Updated
   
   Certificate created at: /home/causer/EasyRSA-3.0.5/pki/issued/server1.crt

6. Langkah selanjutnya adalah mentransfer sertifikat yang ditandatangani server1.crt dan ca.crt file kembali ke server OpenVPN Anda. Sekali lagi Anda dapat menggunakan scp , rsync atau metode aman lainnya:

   scp ~/EasyRSA-3.0.5/pki/issued/server1.crt serveruser@your_server_ip:/tmpscp ~/EasyRSA-3.0.5/pki/ca.crt serveruser@your_server_ip:/tmp

7. Masuk ke server OpenVPN Anda , dan pindahkan server1.crt dan ca.crt file ke dalam /etc/openvpn/ direktori:

   sudo mv /tmp/{server1,ca}.crt /etc/openvpn/

Setelah menyelesaikan langkah-langkah yang diuraikan di bagian ini, Anda akan memiliki file baru berikut di server OpenVPN :

• /etc/openvpn/ca.crt
• /etc/openvpn/dh.pem
• /etc/openvpn/ta.key
• /etc/openvpn/server1.crt
• /etc/openvpn/server1.key

Mengonfigurasi Layanan OpenVPN #

Sekarang setelah Anda memiliki sertifikat server yang ditandatangani oleh CA Anda dan ditransfer ke server OpenVPN Anda , saatnya mengkonfigurasi layanan OpenVPN.

Kami akan menggunakan contoh file konfigurasi yang disediakan dengan paket instalasi OpenVPN sebagai titik awal dan kemudian menambahkan opsi konfigurasi khusus kami sendiri ke dalamnya.

Mulailah dengan mengekstrak file konfigurasi ke /etc/openvpn/ direktori:

sudo cp /usr/share/doc/openvpn-*/sample/sample-config-files/server.conf /etc/openvpn/server1.conf

Buka file dengan editor teks favorit Anda:

sudo nano /etc/openvpn/server1.conf

• Temukan arahan parameter Sertifikat, Kunci dan DH dan ubah nama file:

  /etc/openvpn/server1.conf

  cert server1.crt
  key server1.key 
  
  dh dh.pem

• Untuk mengalihkan lalu lintas klien melalui VPN, temukan dan batalkan komentar pada redirect-gateway dan dhcp-option pilihan:

  /etc/openvpn/server1.conf

  push "redirect-gateway def1 bypass-dhcp"
  
  push "dhcp-option DNS 208.67.222.222"
  push "dhcp-option DNS 208.67.220.220"

  Secara default, resolver OpenDNS digunakan. Anda dapat mengubahnya dan menggunakan CloudFlare, Google, atau resolver DNS lain yang Anda inginkan.

• Temukan user dan group arahan dan batalkan komentar pengaturan ini dengan menghapus “; ” di awal setiap baris:

  /etc/openvpn/server1.conf

  user nobody
  group nogroup

• Tambahkan baris berikut di akhir file. Arahan ini akan mengubah algoritma otentikasi pesan (HMAC) dari SHA1 menjadi SHA256

  /etc/openvpn/server1.conf

  auth SHA256

Setelah Anda selesai, file konfigurasi server (tidak termasuk komentar) akan terlihat seperti ini:

/etc/openvpn/server1.conf

port 1194
proto udp
dev tun
ca ca.crt
cert server1.crt
key server1.key  # This file should be kept secret
dh dh.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
keepalive 10 120
tls-auth ta.key 0 # This file is secret
cipher AES-256-CBC
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3
explicit-exit-notify 1
auth SHA256

Memulai Layanan OpenVPN #

Dalam tutorial ini, kami telah menggunakan server1.conf sebagai file konfigurasi. Untuk memulai layanan OpenVPN dengan konfigurasi ini, kita perlu menentukan nama file konfigurasi setelah nama file unit systemd:

Di server OpenVPN . Anda jalankan perintah berikut untuk memulai layanan OpenVPN:

sudo systemctl start openvpn@server1

Verifikasi apakah layanan telah berhasil dimulai dengan mengetik:

sudo systemctl status openvpn@server1

Jika layanan aktif dan berjalan, output akan terlihat seperti ini:

● [email protected] - OpenVPN Robust And Highly Flexible Tunneling Application On server1
   Loaded: loaded (/usr/lib/systemd/system/[email protected]; disabled; vendor preset: disabled)
   Active: active (running) since Tue 2018-11-06 10:07:35 UTC; 7s ago
 Main PID: 19912 (openvpn)
   Status: "Initialization Sequence Completed"
   CGroup: /system.slice/system-openvpn.slice/[email protected]
           └─19912 /usr/sbin/openvpn --cd /etc/openvpn/ --config server1.conf

Aktifkan layanan untuk memulai secara otomatis saat boot dengan:

sudo systemctl enable openvpn@server1

Created symlink /etc/systemd/system/multi-user.target.wants/[email protected] → /lib/systemd/system/[email protected].

Jika layanan OpenVPN gagal memulai, periksa log dengan sudo journalctl -u openvpn@server1

Saat memulai, Server OpenVPN membuat perangkat tun tun0 . Untuk memeriksa apakah perangkat tersedia, ketik perintah ip berikut:

ip a show tun0

Outputnya akan terlihat seperti ini:

4: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
    link/none 
    inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0
       valid_lft forever preferred_lft forever
    inet6 fe80::f421:f382:3158:138f/64 scope link flags 800 
       valid_lft forever preferred_lft forever

Pada titik ini, server OpenVPN Anda telah dikonfigurasi dan berjalan dengan benar.

Konfigurasi Firewall dan Jaringan Server #

Untuk meneruskan paket jaringan dengan benar, kita perlu mengaktifkan penerusan IP.

Langkah-langkah berikut dilakukan di server OpenVPN .

Buka /etc/sysctl.conf file dan tambahkan baris berikut:

sudo nano /etc/sysctl.conf

/etc/sysctl.conf

net.ipv4.ip_forward = 1

Setelah selesai, simpan dan tutup file.

Terapkan pengaturan baru dengan menjalankan sysctl berikut ini perintah:

sudo sysctl -p

net.ipv4.ip_forward = 1

Jika Anda mengikuti prasyarat, Anda seharusnya sudah menjalankan firewall di server Anda.

Sekarang kita perlu menambahkan aturan firewall untuk membuka port OpenVPN dan mengaktifkan penyamaran.

Mulailah dengan menambahkan tun0 antarmuka ke trusted zona:

sudo firewall-cmd --permanent --zone=trusted --add-interface=tun0

Buka port openvpn default 1194 dengan menambahkan layanan openvpn ke daftar layanan yang diizinkan oleh firewalld :

sudo firewall-cmd --permanent --add-service openvpn

Setel penyamaran IP pada trusted zona:

sudo firewall-cmd --permanent --zone=trusted --add-masquerade 

Sebelum menambahkan aturan nat, Anda perlu mengetahui antarmuka jaringan publik Server CentOS OpenVPN Anda. Anda dapat dengan mudah menemukan antarmuka dengan menjalankan perintah berikut:

ip -o -4 route show to default | awk '{print $5}'

Dalam kasus kami, antarmuka diberi nama eth0 seperti yang ditunjukkan pada output di bawah ini. Antarmuka Anda mungkin memiliki nama yang berbeda.

eth0

Perintah berikut akan mengizinkan lalu lintas untuk meninggalkan VPN, memberikan klien VPN Anda akses ke Internet. Jangan lupa ganti eth0 untuk mencocokkan nama antarmuka jaringan publik yang Anda temukan di perintah sebelumnya.

sudo firewall-cmd --permanent --direct --passthrough ipv4 -t nat -A POSTROUTING -s  10.8.0.0/24 -o eth0 -j MASQUERADE

Terakhir, muat ulang aturan firewall agar perubahan diterapkan:

sudo firewall-cmd --reload

Membuat Infrastruktur Konfigurasi Klien #

Dalam tutorial ini, kita akan membuat sertifikat SSL terpisah dan membuat file konfigurasi yang berbeda untuk setiap klien VPN.

Kunci pribadi klien dan permintaan sertifikat dapat dibuat di mesin klien atau di server. Untuk mempermudah, kami akan membuat permintaan sertifikat di server dan kemudian mengirimkannya ke CA untuk ditandatangani.

Seluruh proses pembuatan sertifikat klien dan file konfigurasi adalah sebagai berikut:

1. Buat kunci pribadi dan permintaan sertifikat di server OpenVPN.
2. Kirim permintaan ke mesin CA untuk ditandatangani.
3. Salin sertifikat SSL yang ditandatangani ke server OpenVPN dan buat file konfigurasi.
4. Kirim file konfigurasi ke mesin klien VPN.

Mulailah dengan membuat satu set direktori untuk menyimpan file klien:

mkdir -p ~/openvpn-clients/{configs,base,files}

• base direktori akan menyimpan file dasar dan konfigurasi yang akan dibagikan ke semua file klien.
• configs direktori akan menyimpan konfigurasi klien yang dihasilkan.
• files direktori akan menyimpan pasangan sertifikat/kunci khusus klien.

Salin ca.crt dan ta.key file ke ~/openvpn-clients/base direktori:

cp ~/EasyRSA-3.0.5/ta.key ~/openvpn-clients/base/cp /etc/openvpn/ca.crt ~/openvpn-clients/base/

Selanjutnya salin contoh file konfigurasi klien VPN ke dalam client-~/openvpn-clients/base direktori. Kami akan menggunakan file ini sebagai konfigurasi dasar:

sudo cp /usr/share/doc/openvpn-*/sample/sample-config-files/client.conf ~/openvpn-clients/base/

Sekarang kita perlu mengedit file agar sesuai dengan pengaturan dan konfigurasi server kita. Buka file konfigurasi dengan editor teks Anda:

nano ~/openvpn-clients/base/client.conf

• Temukan arahan jarak jauh dan ubah placeholder default dengan alamat IP publik server OpenVPN Anda:

  ~/openvpn-clients/base/client.conf

  # The hostname/IP and port of the server.
  # You can have multiple remote entries
  # to load balance between the servers.
  remote YOUR_SERVER_IP 1194

• Cari dan komentari ca , cert , dan key arahan. Sertifikat dan kunci akan ditambahkan dalam file konfigurasi:

  ~/openvpn-clients/base/client.conf

  # SSL/TLS parms.
  # See the server config file for more
  # description.  It's best to use
  # a separate .crt/.key file pair
  # for each client.  A single ca
  # file can be used for all clients.
  # ca ca.crt
  # cert client.crt
  # key client.key

• Tambahkan baris berikut di akhir file agar sesuai dengan pengaturan server:

  ~/openvpn-clients/base/client.conf

  auth SHA256
  key-direction 1

Setelah Anda selesai, file konfigurasi server akan terlihat seperti ini:

~/openvpn-clients/base/client.conf

client
dev tun
proto udp
remote YOUR_SERVER_IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
verb 3
auth SHA256
key-direction 1

Selanjutnya, buat skrip bash sederhana yang akan menggabungkan konfigurasi dasar dan file dengan sertifikat dan kunci klien, dan simpan konfigurasi yang dihasilkan di ~/openvpn-clients/configs direktori.

Buka editor teks Anda dan buat skrip berikut:

nano ~/openvpn-clients/gen_config.sh

~/openvpn-clients/gen_config.sh

#!/bin/bash

FILES_DIR=$HOME/openvpn-clients/files
BASE_DIR=$HOME/openvpn-clients/base
CONFIGS_DIR=$HOME/openvpn-clients/configs

BASE_CONF=${BASE_DIR}/client.conf
CA_FILE=${BASE_DIR}/ca.crt
TA_FILE=${BASE_DIR}/ta.key

CLIENT_CERT=${FILES_DIR}/${1}.crt
CLIENT_KEY=${FILES_DIR}/${1}.key

# Test for files
for i in "$BASE_CONF" "$CA_FILE" "$TA_FILE" "$CLIENT_CERT" "$CLIENT_KEY"; do
    if [[ ! -f $i ]]; then
        echo " The file $i does not exist"
        exit 1
    fi

    if [[ ! -r $i ]]; then
        echo " The file $i is not readable."
        exit 1
    fi
done

# Generate client config
cat > ${CONFIGS_DIR}/${1}.ovpn <<EOF
$(cat ${BASE_CONF})
<key>
$(cat ${CLIENT_KEY})
</key>
<cert>
$(cat ${CLIENT_CERT})
</cert>
<ca>
$(cat ${CA_FILE})
</ca>
<tls-auth>
$(cat ${TA_FILE})
</tls-auth>
EOF

Simpan file dan buat agar dapat dieksekusi dengan chmod :

chmod u+x ~/openvpn-clients/gen_config.sh

Membuat Kunci Pribadi dan Konfigurasi Sertifikat Klien #

Proses pembuatan kunci pribadi klien dan permintaan sertifikat sama seperti yang kami lakukan saat membuat kunci server dan permintaan sertifikat.

Seperti yang telah kami sebutkan di bagian sebelumnya, kami akan membuat kunci pribadi klien dan permintaan sertifikat di server OpenVPN. Dalam contoh ini, nama klien VPN pertama adalah client1 .

1. Navigasikan ke direktori EasyRSA di server OpenVPN Anda dan buat kunci pribadi baru dan file permintaan sertifikat untuk klien:

   cd ~/EasyRSA-3.0.5/./easyrsa gen-req client1 nopass

   Perintah akan membuat dua file, kunci pribadi (client1.key ) dan file permintaan sertifikat (client1.req ).

   Common Name (eg: your user, host, or server name) [client1]:
   
   Keypair and certificate request completed. Your files are:
   req: /home/serveruser/EasyRSA-3.0.5/pki/reqs/client1.req
   key: /home/serveruser/EasyRSA-3.0.5/pki/private/client1.key

2. Salin kunci pribadi client1.key ke ~/openvpn-clients/files direktori yang Anda buat di bagian sebelumnya:

   cp ~/EasyRSA-3.0.5/pki/private/client1.key ~/openvpn-clients/files/

3. Transfer file permintaan sertifikat ke mesin CA Anda:

   scp ~/EasyRSA-3.0.5/pki/reqs/client1.req causer@your_ca_ip:/tmp

   Dalam contoh ini kita menggunakan scp untuk mentransfer file, Anda juga dapat menggunakan rsync melalui ssh atau metode aman lainnya.

4. Masuk ke mesin CA your Anda , pindah ke direktori EasyRSA dan impor file permintaan sertifikat:

   cd ~/EasyRSA-3.0.5./easyrsa import-req /tmp/client1.req client1

   Argumen pertama adalah jalur ke file permintaan sertifikat dan yang kedua adalah nama klien.

   The request has been successfully imported with a short name of: client1
   You may now use this name to perform signing operations on this request.

5. Dari dalam direktori EasyRSA di mesin CA jalankan perintah berikut untuk menandatangani permintaan:

   cd ~/EasyRSA-3.0.5./easyrsa sign-req client client1

   Anda akan diminta untuk memverifikasi bahwa permintaan tersebut berasal dari sumber tepercaya. Ketik yes dan tekan Enter untuk mengonfirmasi:

   Jika kunci CA Anda dilindungi kata sandi, Anda akan diminta untuk memasukkan kata sandi. Setelah diverifikasi, skrip akan menghasilkan sertifikat SSL dan mencetak path lengkap ke sana.

   ...
   Certificate created at: /home/causer/EasyRSA-3.0.5/pki/issued/client1.crt

6. Selanjutnya, transfer sertifikat yang ditandatangani client1.crt file kembali ke server OpenVPN Anda. Anda dapat menggunakan scp , rsync atau metode aman lainnya:

   scp ~/EasyRSA-3.0.5/pki/issued/client1.crt serveruser@your_server_ip:/tmp

7. Masuk ke server OpenVPN Anda , dan pindahkan client1.crt file ke dalam ~/openvpn-clients/files direktori:

   mv /tmp/client1.crt ~/openvpn-clients/files

8. Langkah terakhir adalah membuat konfigurasi klien menggunakan gen_config.sh naskah. Beralih ke ~/openvpn-clients direktori dan jalankan skrip menggunakan nama klien sebagai argumen:

   cd ~/openvpn-clients./gen_config.sh client1

   Script akan membuat file bernama client1.ovpn di ~/client-configs/configs direktori. Anda dapat memeriksa dengan mencantumkan direktori:

   ls ~/openvpn-clients/configs

   client1.ovpn

Pada titik ini konfigurasi klien dibuat. Sekarang Anda dapat mentransfer file konfigurasi ke perangkat yang ingin Anda gunakan sebagai klien.

Misalnya untuk mentransfer file konfigurasi ke mesin lokal Anda dengan scp Anda harus menjalankan perintah berikut:

scp ~/openvpn-clients/configs/client1.ovpn your_local_ip:/

Untuk menambahkan klien tambahan, cukup ulangi langkah yang sama.

Menghubungkan Klien #

Linux #

Distribusi atau lingkungan desktop Anda mungkin menyediakan alat atau antarmuka pengguna grafis untuk terhubung ke server OpenVPN. Dalam tutorial ini, kami akan menunjukkan cara terhubung ke server menggunakan openvpn alat.

• Instal OpenVPN di Ubuntu dan Debian

  sudo apt updatesudo apt install openvpn

• Instal OpenVPN di CentOS dan Fedora

  sudo yum install epel-releasesudo yum install openvpn

Setelah paket diinstal, untuk terhubung ke server VPN gunakan openvpn perintah dan tentukan file konfigurasi klien:

sudo openvpn --config client1.ovpn

macOS #

Tunnelblickadalah antarmuka pengguna grafis sumber terbuka gratis untuk OpenVPN di OS X dan macOS.

Windows #

Unduh dan instal versi terbaru aplikasi OpenVPN halaman Unduhan OpenVPN.

Salin .ovpn file ke folder konfigurasi OpenVPN (\Users\<Name>\OpenVPN\Config atau \Program Files\OpenVPN\config ).

Luncurkan aplikasi OpenVPN.

Klik kanan pada ikon baki sistem OpenVPN dan nama file konfigurasi OpenVPN yang Anda salin akan tercantum pada menu. Klik Hubungkan.

Android &iOS #

Aplikasi VPN yang dikembangkan oleh OpenVPN tersedia untuk Android dan iOS. Instal aplikasi dan impor klien .ovp berkas.

• Sambungan Android OpenVPN
• iOS OpenVPN Connect

Mencabut Sertifikat Klien #

Mencabut sertifikat berarti membatalkan sertifikat yang ditandatangani sehingga tidak dapat lagi digunakan untuk mengakses server OpenVPN.

Untuk mencabut sertifikat klien, ikuti langkah-langkah di bawah ini:

1. Masuk ke mesin CA your Anda dan beralih ke direktori EasyRSA:

   cd EasyRSA-3.0.5

2. Jalankan skrip easyrsa menggunakan revoke argumen, diikuti dengan nama klien yang ingin Anda cabut:

   ./easyrsa revoke client1

   Anda akan diminta untuk memverifikasi bahwa Anda ingin mencabut sertifikat. Ketik yes dan tekan enter untuk mengonfirmasi:

   Please confirm you wish to revoke the certificate with the following subject:
   
   subject=
       commonName                = client1
   
   Type the word 'yes' to continue, or any other input to abort.
   Continue with revocation: yes
   ...

   Jika kunci CA Anda dilindungi kata sandi, Anda akan diminta untuk memasukkan kata sandi. Setelah diverifikasi, skrip akan mencabut sertifikat.

   ...
   Revocation was successful. You must run gen-crl and upload a CRL to your
   infrastructure in order to prevent the revoked cert from being accepted.

3. Gunakan gen-crl opsi untuk membuat daftar pencabutan sertifikat (CRL):

   ./easyrsa gen-crl

   An updated CRL has been created.
   CRL file: /home/causer/EasyRSA-3.0.5/pki/crl.pem

4. Unggah file CRL ke server OpenVPN:

   scp ~/EasyRSA-3.0.5/pki/crl.pem serveruser@your_server_ip:/tmp

5. Masuk ke server OpenVPN Anda server dan pindahkan file ke /etc/openvpn direktori:

   sudo mv /tmp/crl.pem /etc/openvpn

6. Buka file konfigurasi server OpenVPN:

   sudo nano /etc/openvpn/server1.conf

   Tempel baris berikut di akhir file

   /etc/openvpn/server1.conf

   crl-verify crl.pem

   Simpan dan tutup file.

7. Mulai ulang layanan OpenVPN agar arahan pencabutan berlaku:

   sudo systemctl restart openvpn@server1

   Pada titik ini, klien seharusnya tidak lagi dapat mengakses server OpenVPN menggunakan sertifikat yang dicabut.

Jika Anda perlu mencabut sertifikat klien tambahan, ulangi saja langkah yang sama.