Instal dan Konfigurasi OpenVPN Server FreeBSD 12

Selamat datang di panduan kami yang lain tentang cara menginstal dan mengkonfigurasi server OpenVPN FreeBSD 12. Kami mempelajari cara menginstal dan mengatur Server OpenVPN di Fedora 29/CentOS 7 pada panduan kami sebelumnya.

Instal dan Konfigurasi Server OpenVPN FreeBSD 12

Untuk memulai, Anda perlu memperbarui repositori paket FreeBSD 12 Anda.

pkg update

Instal paket OpenVPN dan Easy-RSA

pkg install openvpn easy-rsa

Buat direktori untuk menyimpan file konfigurasi server, CA, kunci server, dan file sertifikat.

mkdir -p /usr/local/etc/openvpn/easy-rsa

mkdir /usr/local/etc/openvpn/server

Salin contoh file konfigurasi contoh OpenVPN dan Easy-RSA ke direktori konfigurasi masing-masing yang dibuat di atas.

cp /usr/local/share/examples/openvpn/sample-config-files/server.conf /usr/local/etc/openvpn/server/

cp -r /usr/local/share/easy-rsa/* /usr/local/etc/openvpn/easy-rsa/

Buat file CA, Kunci, dan Sertifikat Lokal dengan EasyRSA

Variabel sertifikat diatur dalam /usr/local/etc/openvpn/easy-rsa/vars mengajukan. Untuk memudahkan pembuatan sertifikat, edit file ini, batalkan komentar, dan sesuaikan nilai sertifikat sebagai berikut;

vim /usr/local/etc/openvpn/easy-rsa/vars

set_var EASYRSA_REQ_COUNTRY "KE"set_var EASYRSA_REQ_PROVINCE "Nairobi"set_var EASYRSA_REQ_CITY "Nairobi"set_var EASYRSA_REQ_ORG "Kifarunix"set_var EASYRSA_REQ_EMAIL "[email protected]"set_var EASYRSA_REQ_OU "Infrastructure"set_var EASYRSA_KEY_SIZE 2048set_var EASYRSA_CA_EXPIRE 3650set_var EASYRSA_CERT_EXPIRE 3650

Easy-RSA dikirimkan dengan skrip pembuatan sertifikat yang disebut easyrsa.real . Untuk membuat file sertifikat, navigasikan ke /usr/local/etc/openvpn/easy-rsa/ direktori dan lanjutkan sebagai berikut;

Inisialisasi PKI

cd /usr/local/etc/openvpn/easy-rsa

sh ./easyrsa.real init-pkiCatatan:menggunakan konfigurasi Easy-RSA dari:./varsinit-pki complete; Anda sekarang dapat membuat CA atau meminta. Dir PKI Anda yang baru dibuat adalah:/usr/local/etc/openvpn/easy-rsa/pki

Bangun sertifikat CA dengan menjalankan perintah di bawah ini. Setel kata sandi CN dan enkripsi saat diminta.

sh ./easyrsa.real build-ca

Buat file kunci dan sertifikat untuk server dan klien.

sh ./easyrsa.real build-server-full server nopass

sh ./easyrsa.real build-client-full client nopass

Buat file kunci Diffie-Hellman yang dapat digunakan selama handshake TLS dengan menghubungkan klien.

sh ./easyrsa.real gen-dh 

Jika Anda perlu membatalkan sertifikat yang ditandatangani sebelumnya, buat sertifikat pencabutan.

sh ./easyrsa.real gen-crl

Buat kunci autentikasi pra-berbagi TLS/SSL

openvpn --genkey --secret /usr/local/etc/openvpn/easy-rsa/pki/ta.key

Salin semua kunci dan sertifikat server dari /usr/local/etc/openvpn/easy-rsa/pki/ ke direktori konfigurasi yang dibuat di atas.

cp -r /usr/local/etc/openvpn/easy-rsa/pki/{ca.crt,dh.pem,ta.key,issued,private} /usr/local/etc /openvpn/server/

Konfigurasi Server OpenVPN

Edit file konfigurasi server sehingga terlihat seperti di bawah ini tanpa komentar;

vim /usr/local/etc/openvpn/server/server.conf

port 1194proto udpdev tunca /usr/local/etc/openvpn/server/ca.crtcert /usr/local/etc/openvpn/server/issued/server.crtkey /usr/local/etc/openvpn/server/private/ server.keydh /usr/local/etc/openvpn/server/dh.pemtopology subnetserver 10.8.0.0 255.255.255.0ifconfig-pool-persist ipp.txtpush "redirect-gateway def1 bypass-dhcp"push "dhcp-option DNS 208.67.222.222 "push" dhcp-option DNS 208.67.220.220"keepalive 10 120tls-auth ta.key 0 # File ini adalah secretcipher AES-256-CBCcomp-lzouser nonegroup nonepersist-keypersist-tunstatus /var/log/openvpn/openvpn-status.loglog -append /var/log/openvpn/openvpn.logverb 3explicit-exit-notify 1auth sha512remote-cert-tls client

Buat direktori log;

mkdir /var/log/openvpn/

Konfigurasikan Perutean

Jalankan perintah di bawah ini untuk mengonfigurasi perutean IPv4 NAT. Ini mengaktifkan ipfw firewall yang diperlukan untuk natd

cat <> /etc/rc.conffirewall_enable="YES"firewall_type="open"gateway_enable="YES"natd_enable="YES"natd_interface="em1"natd_flags="-dynamic -m"EOF 

 Reboot server untuk melakukan perubahan yang dibuat di atas.
reboot
 

 Mulai dan atur OpenVPN start saat boot.
sysrc openvpn_enable=YESsysrc openvpn_configfile="/usr/local/etc/openvpn/server/server.conf"
 
layanan openvpn mulai
 

 Verifikasi bahwa OpenVPN berjalan dan mendengarkan pada port UDP 1194.
sockstat -4 -l | grep 1194nobody openvpn 2824 6 udp46 *:1194 *:*
 

 Verifikasi bahwa antarmuka telah dibuat.
ifconfig...tun0:flags=8051 metric 0 mtu 1500 options=80000 inet6 fe80::a00:27ff:fe06:ec18 %tun0 prefixlen 64 tentative scopeid 0x4 inet 10.8.0.1 --> 10.8.0.2 netmask 0xffffff00 groups:tun nd6 options=29 Dibuka oleh PID 2824
 
Konfigurasikan Klien
 

 Salin file kunci auth CA , TLS/SSL dan kunci klien dan file sertifikat ke klien.
/usr/local/etc/openvpn/server/ca.crt/usr/local/etc/openvpn/server/issued /client.crt/usr/local/etc/openvpn/server/private/client.key/usr/local/etc/openvpn/server/ta.key
 

 Buat file konfigurasi klien
cat < client.ovpnclienttls-clientpulldev tunproto udpremote 192.168.43.12 1194resolv-retry infinitenobinddhcp-option DNS 208.67.222.222user nonegroup nogrouppersist-keypersist-tunkey-direction 1tls-auth ta. lzoverb 3ca ca.crtcert client.crtkey client.keyauth SHA512remote-cert-tls serverEOF
 

 Untuk terhubung ke server VPN dari sistem Linux, jalankan perintah di bawah ini;
sudo openvpn client.ovpn
 

 Agung!! Itu saja yang diperlukan untuk menginstal dan mengkonfigurasi server OpenVPN FreeBSD 12. Terima kasih telah membaca.