OpenVPN Tutorial: instalare, configurare server VPN și conexiune

prins

  • Ce este acesta?
  • Ce este pentru?
  • Pași de urmat pentru a cultiva cu OpenVPN
  • Principalele probleme și eșecuri de conexiune la conexiune
    • REZOLVĂ: Nu se cumva a clarifica expedia gazdei: xxxx.no-ip.org:11949 (Gazda necunoscută.)
    • Nu s-a solid provoca protocolul IPv4 / IPv6
    • SIGUSR1 [soft, init_instance] nebun, repornirea procesului
    • MANAGEMENT:> STAT: 1603127258, AȘTEPȚI ,,,,,,
    • NOTĂ: –opțiunea utilizator nu este implementată pe Windows
    • NOTĂ: opțiunea de tabara nu este implementată pe Windows
    • AVERTISMENT: Ignorând opțiunea „dh” în valoare absoluta tls-client, vă rugăm să o includeți fuga în configurația serverului
    • vina tls-crypt unwrap: autentificarea pachetelor a eșuat și vina TLS: tls-crypt despachetare eșuată de la [AF_INET]
    • Eroare TLS: pasca de inspectie nerotabil nebun de la [AF_INET] și Eroare TLS: cheile TLS locale / la distanță sunt sincronizate
    • Eroare TLS: Pachet de inspectie nerotabil nebun de la
    • AVERTISMENT: „link-mtu” este vechi inconstant, sediu = „link-mtu 1549 ′, remote =„ link-mtu 1550 ′
    • AVERTISMENT: ‘comp-lzo’ este atentie în config de la distanță, dar lipsește în config sediu, remote=”comp-lzo”
    • Eroare TLS: strângerea de mână TLS a eșuat
  • Actualizări și știri în noile versiuni de OpenVPN

Ce este acesta?

OpenVPN este un soft bazat pe soft infruc-tuos fiecare ne a ingadui să construim o rețea privată virtuală (VPN), să ne conectăm de la distanță la server. Acest soft ne a ingadui să configurăm două tipuri de arhitecturi VPN:

Tutorial OpenVPN

  • Acces VPN de la distanță: avem un server VPN prin-cipal și mai mulți clienți VPN cu software-ul tins pe computerul dvs., smartphone, tabletă sau alt mestesug și toți se conectează prin-cipal la serverul VPN.
  • VPN site-to-site: această arhitectură ne a ingadui să comunicăm între diferite site-uri pentru a partaja resurse printr-o rețea sigură, protejată cu criptare end-to-end. Acest tip de VPN ne a ingadui să intercomunicăm birouri, sedii ale companiei etc.

Unele caracteristici vartos importante ale OpenVPN sunt că acceptă o configurație extinsă, atât pentru a îmbunătăți performanța, cât și pentru siguranta. Se bazează pe SSL / TLS, prin continuare, putem a face certificate digitale pentru autentificarea clienților VPN, în surplus, ne-am a se cuveni legaliza și cu certificate surplus un nume de botez de utilizator / parolă pe fiecare le adăugăm la ansamblu. OpenVPN este numeros mai ușor de configurat decât IPsec și, datorită sprijinului admirabil din partea comunității, vom a se cuveni găsi OpenVPN pe toate sistemele de operare desktop, servere și clar pe smartphone-uri și tablete.

Ce este pentru?

Dacă creăm un server OpenVPN în lada noastră, cesta ne cumva a protegui să ne conectăm la Internet într-un pretext sigură din orisice rețea, fie ea cu fir sau WiFi, cu criptare WEP / WPA sau fără criptare. Tot traficul va fi criptat printr-un tunel de la computerul nostru fiindca ne conectăm la lada noastră și de colo va intra la Internet, este ca și cum ați fi conectat la internet acasă. Trebuie să ținem spate de mai mulți factori, cum ar fi o viteză bună de încărcare (30 Mbps sau mai multime) și o adresă IP publică în lada noastră, deoarece dacă avem CG-NAT nu ne vom a se cuveni conecta pentru că nu vom fi competent să efectueze redirecționarea porturilor în router.

Prin montarea unui server OpenVPN în lada noastră, putem accesa și fiesce dintre resursele partajate pe fiecare le avem, cum ar fi serverele Samba, FTP și clar accesul la imprimantă, camerele IP pe fiecare le-am conectat etc. Toate permisele de criza ar fi la fel ca și când am fi corporal în lada noastră. OpenVPN este o soluție pentru VPN fiecare implementează conexiunile de standard 2 sau 3, în funcție de valoare absoluta de conexiune select, va funcționa într-un fel sau celalalt, în surplus, un amanunt solemn este că marea majorat a sistemelor de operare de astăzi acceptă OpenVPN, deși nu este de narav încorporat de producătorii de hardware pentru firewall-uri sau routere.

OpenVPN folosește un set de protocoale SSL / TLS fiecare funcționează la nivelul de caratura și avem două tipuri de operațiuni:

  • TUN : TUN controlerul emulează un mestesug punct-la-punct, este vechi pentru a a face tuneluri virtuale fiecare funcționează cu protocolul IP . În iest fel, toate pachetele fiecare sunt transportate prin el pot fi încapsulate ca segmente TCP sau datagrame UDP (mai târziu veți zari că alegem UDP în loc de TCP și veți întreba de ce, deoarece TCP este conectiv, fiabil și lamurit către conexiune ). Mașinile din spatele fiecărui capăt al legăturii vor aparține unor subrețele diferite.
  • TAP : Simulează o interfață de rețea Ethernet, mai clasic cunoscută sub numele de bridge sau valoare absoluta bridge, aceste tunele virtuale încapsulează sfoara pachetele Ethernet . Această situație a ingadui ambalarea țesăturilor diferite de IP. Mașinile din spatele fiecărui capăt al legăturii pot funcționa ca sectiune a aceleiași subrețele (dacă este utilizat protocolul IP). Modul de operare bridge este anumit de trebuitor pentru conectarea utilizatorilor la distanță, deoarece aceștia se pot conecta la același server și pot a executa sectiune utilitarist din rețeaua principală, totuși, dacă rețeaua privată fiindca este conectată originea a se suprapune cu destinația, vom a detine probleme de rutare iar comunicarea nu va funcționa.

În fizic vom prii TUN și vom zari cum creăm o subrețea virtuală 10.8.0.0/24 în fiecare vor fi clienții OpenVPN apoi când se conectează. În iest fel, va fi numeros mai ușor să identificăm clienții VPN pe fiecare i-am conectat în rețeaua locală.

În iest fizic voi intelege cum să o fac GNU / Linux (în Debian 10) , deși în esență, este la fel pentru ferestre din , exclusiv comenzile din consolă (cmd.exe), certificatele și cheile se schimbă, sunt aceleași pentru ambele , adică puteți a face TOTUL în GNU / Linux și atunci treceți-o la ferestre din pentru a-l circula (cumparator sau server), musai exclusiv să schimbați fișierul cumparator server extensie .conf la .ovpn , deși în cele mai recente versiuni OpenVPN pentru Windows ne a ingadui inca să recunoaștem și să folosim fișierele de configurare .conf, asadar nu va a cauta să schimbăm extensia.

În iest fizic vă voi arăta cum să realizați o configurație OpenVPN vartos sigură, personalizând algoritmii de criptare simetrică, asimetrică și hash. În iest fel, putem a detine cea mai bună criptare posibilă a comunicațiilor.

Rezumatul criptografiei de utilizat

  • Certificate digitale : Noi vom prii EC (curbe eliptice) pentru crearea Infrastructura cheii publice . Vom a face atât certificatele CA (Autoritatea de confirmare), cât și certificatele serverului și ale clienților VPN fiecare doresc să se conecteze. Algoritmul EC utilizat este secp521r1, deși avem multe altele disponibile. Algoritmul hash pe fiecare îl vom prii va fi SHA512 . Un amanunt solemn este că nu toți clienții / serverele OpenVPN îl acceptă, musai să avem actualizate bibliotecile noastre OpenVPN și criptografice, dar în zilele noastre este rar să ne găsim într-un montare fiecare nu este compatibil.
  • Canal de inspectie OpenVPN : vom prii cel puțin TLS 1.2 și întotdeauna folosind PFS (Perfect Forward Secrecy) bazat pe Diffie-Hellmann cu curbe eliptice (ECDHE). Adică, vom prii o selecție de suite criptografice sigure, cum ar fi TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384. Dacă doriți să verificați dacă serverul sau clientul dvs. acceptă iest tip de criptare, ar a cauta să puneți în consolă „openvpn –show-tls”.
  • Canal de date OpenVPN : Vom prii AES-256-GCM algoritm de criptare simetrică, cel mai convins în atentie și fiecare a fost încorporat în OpenVPN 2.4 și versiuni ulterioare. Dacă doriți să verificați dacă serverul sau clientul dvs. acceptă iest tip de criptare, musai să introduceți a parigorisi « openvpn –show-cifers «. Dacă folosim AES-256-GCM ca criptare a canalelor de date, nu vom prii niciun algoritm HASH deoarece este AEAD, totuși, dacă folosim AES-256-CBC vom prii SHA512.

În surplus față de aceste măsuri de siguranta, vom cuprinde o semnătură HMAC suplimentară pentru rata de asigurare negociatie TLS, în iest fel, vom partini sistemul de eventuale atacuri de contestare a serviciului, atacuri UDP Port Flooding și, de atare, atacuri TCP SYN. La conectarea la server, dacă clientul nu are semnătura HMAC corectă, cesta va fi blocat. În versiunile anterioare ale OpenVPN 2.4 instructiune era tls-auth , fiecare a fost gestionar fuga pentru autentificarea unei ghizd pre-partajate generată clar de OpenVPN. Acum, în versiunile mai a lati decât OpenVPN 2.4 se numește tls-criptă , diferența principală este că, pe lângă legalizare, criptează și canalul, asadar încât nestine să nu poată prada cheia pre-partajată. Configurația este vartos similară, generația cheii este bine aceeași în ambele.

În cele din urmă, vom prii protocolul UDP în locul TCP, deoarece este mai redutabil împotriva atacurilor de respingere de post, musai să ne amintim că UDP este neconectiv, indecis și lamurit despre conexiune. Cu toate acestea, putem prii TCP fără nicio problemă pentru a procura VPN-ului toate avantajele acestui registru.

Pași de urmat pentru a cultiva cu OpenVPN

Mai jos veți a se cuveni zari în amanunt cum să instalați iest soft și, de atare, tot ce aveți cerinta pentru al a purcede cu cea mai bună siguranta posibilă oferită de această soluție pentru a a face o rețea privată virtuală.

Descărcați și instalați

Primul obiect pe fiecare musai să-l facem este să instalăm OpenVPN pe computerul nostru, fie cu Windows, fie cu Linux. Dacă utilizați Windows musai să mergeți la site-ul oficialitati de descărcare OpenVPN și instalați totul în expertul de stabilire. Dacă utilizați un ansamblu de operare prep Debian (vom prii Debian 10 în iest fizic), va a cauta să introduceți următoarea comandă:

sudo apt update

sudo apt instalează openvpn

Descărcare Easy-RSA 3 pentru certificate

Odată tins, musai să descărcăm pachetul soft Easy-RSA 3, iest pasca soft este utilizat pentru a a face certificate digitale ușor și iute. Putem reforma lungimea cheii, tipul de acordor, dacă dorim să punem o parolă la cheile private etc. Pe site-ul oficialitati al proiectului Easy-RSA 3 pe GitHub aveți toate informațiile și posibilitatea de a descărca un .zip cu tot.

Dacă sunteți pe un ansamblu Linux, vă recomandăm să utilizați conducere wget pentru a descărca .zip:

wget https://github.com/OpenVPN/easy-rsa/releases/download/v3.0.8/EasyRSA-3.0.8.tgz

Apoi, musai să dezarhivăm iest fișier descărcat și să introducem folderul pentru a începe configurarea fișierului vars.

tar -zxvf EasyRSA-3.0.8.tgz

Configurați Easy-RSA 3 «vars»

vars.oglinda fișierul este centrul întregii configurații a certificatelor, este locul fiindca musai să definim dacă dorim să creăm certificate bazate pe RSA sau bazate pe EC. De atare, ne va a ingadui să semnăm certificatele cu SHA256 sau SHA512 intre altele. Adică, musai să configurăm cinstit iest fișier de configurare pentru a a face posterior certificatele digitale.

Primul obiect pe fiecare musai să-l facem este să copiați fișierul vars.example în același folder cu numele „vars”, dacă nu-l avem cu iest nume de botez „vars” nu va funcționa. De atare, avem posibilitatea de a redenumi fișierul vars.example în „vars”, dar vă recomandăm să faceți mai corect o fotocopie de rezervă în cazul în fiecare ștergeți oaresicare și apoi nu funcționează pentru dvs.

Mergem în folderul central al Easy-RSA3 și copiem fișierul în iest fel:

cp vars.example vars

Odată ce avem fișierul „vars”, musai să-l edităm cu orisice librar de fișiere prin consolă sau interfață grafică, vom prii nano datorită ușurinței sauca. În următorul fișier de configurare «vars» puteți zari cum ar arăta EC cu algoritmul secp521r1, iscalit cu SHA512 și am vechi un DN (nume de botez caracteristic) plasând CN (nume de botez obisnuit) în loc de «datele organizației» tipice. am făcut întotdeauna înainte, în iest fel, facilităm crearea certificatelor, cu toate acestea, am a se cuveni a executa iest obiect și prin indicarea datelor tipice ale organizației.

Vezi mai mult:  EMUI 10: Ce înseamnă toate pictogramele din bara de stare

În fișierul în sine sunt comentariile originale în engleză, iar în spaniolă le-am pus pe ale noastre pentru a usura localizarea a ceea ce musai metamorfozat. Un amanunt vartos solemn, WordPress a se aseza instinctiv aceste simboluri << și >> apoi când ar a cauta să pună exclusiv semnele citarii duble: »

# Setări de parametri Easy-RSA 3

# NOTĂ: Dacă ați tins Easy-RSA din managerul de pachete al distribuției, nu editați
# iest fișier în loc – ar a cauta să copiați întregul director easy-rsa
# într-o altă locație, asadar încât actualizările viitoare să nu șteargă modificările dvs.

# CUM SĂ UTILIZAȚI ACEST FIȘIER
#
# vars.example conține exemple încorporate în setările Easy-RSA. TREBUIE să numiți
# iest fișier „vars” dacă doriți să fie vechi ca fișier de configurare. Dacă faci
# nu, NU va fi invatat instinctiv când apelați comenzi easyrsa.
#
# Nu este indispensabil să utilizați iest fișier de configurare decât dacă doriți să modificați
# implicite operaționale. Aceste valori implicite ar a cauta să fie bune pentru multe utilizări fără
# musai să copiați și să editați fișierul „vars”.
#
# Toate setările editabile sunt afișate comentate și încep cu conducere
# ‘set_var’ – aceasta înseamnă că orisice comandă set_var necomentată a fost
# metamorfozat de utilizator. Dacă sunteți mulțumit de un prestabilit, nu este indispensabil
# definește valoarea la valoarea implicită.

# NOTE PENTRU UTILIZATORII WINDOWS
#
# Căi pentru Windows * TREBUIE * să utilizeze bare oblice înainte sau opțional dublu-escapate
# backslashes (se recomandă oblice simple înainte). Aceasta înseamnă calea către
# binarul openssl ar a se cuveni arăta asadar:
# „C: / Program Files / OpenSSL-Win32 / bin / openssl.exe”

# Puțină familie: NU EDITAȚI ACEASTA SECȚIUNE
#
# Easy-RSA 3.x nu are izvod sfoara în mijloc.
# Reclamați-vă dacă un utilizator încearcă să facă iest obiect:
dacă [-z „$ EASYRSA_CALLER”]; apoi
rasunet „Se pare că obțineți un fișier„ Vars ”Easy-RSA.” > & 2
rasunet «Acest obiect nu mai este indispensabil și este suprimat. Consultați secțiunea numită »> & 2
rasunet „„ Cum se folosește iest fișier ”lângă comentariile de sus pentru mai multe detalii.” > & 2
returnați 1
fi

# MODIFICĂRILE DUMNEAVOASTRĂ DUPĂ ACEST PUNCT

# Această variabilă este utilizată ca locație de bază a fișierelor de configurare necesare
# easyrsa. Variabile mai specifice pentru anumite fișiere (de oglinda, EASYRSA_SSL_CONF)
# cumva suprascrie această nivel implicită.
#
# Valoarea implicită a acestei variabile este locația scriptului easyrsa
# în sine, fiecare este, de atare, fiindca se află fișierele de configurare în
# arbore easy-rsa.

#set_var EASYRSA „$ {0% / *}”

# Dacă conducere dvs. OpenSSL nu se află în sistemul PATH, va a cauta să definiți
# pretext către el aoace. În mod obisnuit, aceasta înseamnă o pretext completă către executabil, altcumva
# l-ați fi solid lăsa neclar aoace și va fi utilizată valoarea implicită afișată.
#
# Utilizatori de Windows, nu uitați să utilizați căi cu bare oblice (sau evadate
# back-slashes.) Utilizatorii Windows ar a cauta să declare calea completă către openssl
# binar aoace dacă nu este în sistemul lor PATH.

#set_var EASYRSA_OPENSSL „openssl”
#
# Acest eșantion este în sintaxa Windows – editați-l pentru calea dvs. dacă nu utilizați PATH:
#set_var EASYRSA_OPENSSL „C: / Fișiere de platforma / OpenSSL-Win32 / bin / openssl.exe”

# Editați această variabilă pentru a a permite directorul de ghizd fiecare va fi creat în curând. De
# implicit, cesta va fi „$ PWD / pki” (adică subdirectorul „pki” al
# director în fiecare vă aflați în atentie).
#
# AVERTISMENT: init-pki va a executa un rm -rf în iest director, asadar asigurați-vă că definiți
# cinstit! (Modul interactiv va a soli înainte de a acționa.)

#set_var EASYRSA_PKI „$ PWD / pki”

# Definiți valoare absoluta X509 DN.
# Aceasta este utilizată pentru a a potrivi ce elemente sunt incluse în câmpul Subiect ca DN
# (cesta este «Numele Distins».)
# Rețineți că în valoare absoluta cn_only nu sunt utilizate câmpurile organizaționale de mai jos.
#
# Alegerile sunt:
# cn_only – utilizați exclusiv o nivel CN
# org – utilizați „tradiționala” Țară / Provincie / Oraș / Org / OU / e-mail / Format CN

#ELEGIMOS cn_only PENTRU CREAREA CERTIFICATELOR

set_var EASYRSA_DN „cn_only”

# Câmpuri organizaționale (utilizate cu valoare absoluta „org” și ignorate în valoare absoluta „cn_only”.)
# Acestea sunt valorile implicite pentru câmpurile fiecare vor fi plasate în
# zapisca. Nu lăsați niciunul dintre aceste câmpuri goale, deși interactiv
# puteți a sari orisice câmp caracteristic tastând «.» imagine (nu este autentic pentru
# e-mail.)

#set_var EASYRSA_REQ_COUNTRY „SUA”
#set_var EASYRSA_REQ_PROVINCE „California”
#set_var EASYRSA_REQ_CITY „San Francisco”
#set_var EASYRSA_REQ_ORG „Copyleft Certificate Co”
#set_var EASYRSA_REQ_EMAIL „eu@example.net”
#set_var EASYRSA_REQ_OU „Unitatea mea organizatorică”

# Alegeți o calibru în biți pentru perechile de ghizd. Valoarea recomandată este 2048. Utilizarea
Cheile # 2048-biți sunt considerate mai numeros decât suficiente pentru mulți ani în
# perspectiva. Dimensiunile mai a lati ale tastelor vor încetini negocierea TLS și vor a executa cheia / DH param
# generația durează numeros mai numeros. Valorile până la 4096 ar a cauta acceptate de majoritatea
# soft. Folosit fuga când cavou alg este rsa (iata mai jos.)

#set_var EASYRSA_KEY_SIZE 2048

# Modul de criptare implicit este rsa; ec cumva a munci suportul curbei eliptice.
# Rețineți că nu toate software-urile acceptă ECC, asadar aveți grijă apoi când îl activați.
# Opțiunile pentru cavou alg sunt: ​​(fiesce cu litere a se scurta)
# * rsa
# * ec

# ALEGEM CURBA ELIPTICĂ PENTRU CREAREA CERTIFICATELOR, ÎN PREDIUNERE ESTE RSA

set_var EASYRSA_ALGO ec

# DEFINIM NUMELE CURBEI ELIPTICE ALESE

set_var EASYRSA_CURVE secp521r1

# CONFIGURĂM EXPIRAREA AC

set_var EASYRSA_CA_EXPIRE 3650

# CONFIGURĂM EXPIRAREA CERTIFICATELOR CREATE.

set_var EASYRSA_CERT_EXPIRE 1080

# Câte zile până la următoarea dată de tragere a CRL? Rețineți că CRL cumva fi în urmare
# analizat după ce curge iest rastimp de rodul-pamantului. Se folosește exclusiv pentru un perspectiva așteptat
# termen publicării.

# Câte zile înainte de termen expirării sauca este autorizatie să fie un zapisca
# reînnoit?
#set_var EASYRSA_CERT_RENEW 30

#set_var EASYRSA_CRL_DAYS 180

# Sprijiniți extensiile „Netscape” învechite? (opțiunile „da” sau „nu”.) Implicit
# este „nu” pentru a a demoraliza utilizarea extensiilor depreciate. Dacă aveți cerinta de iest obiect
# caracteristică de utilizat cu –ns-cert-type, setați această opțiune „da” aoace. Acest ajutor
# ar a cauta înlocuit cu funcția mai modernă –remote-cert-tls. Dacă faci
# nu utilizați –ns-cert-type în configurațiile dvs., este convins (și nimerit) să plecați
# iest obiect este determinat ca „nu”. Când este setat la „da”, certificatele semnate de server primesc
# nsCertType = insusire server și, de atare, obțineți orisice NS_COMMENT determinat mai jos în
# nsCâmp explicatie.

#set_var EASYRSA_NS_SUPPORT „nu”

# Când NS_SUPPORT este setat la «da», iest câmp este adăugat ca câmp nsComment.
# Setați iest spațiu necompletat pentru al a sari. Cu NS_SUPPORT setat la „nu”, iest câmp este ignorat.

#set_var EASYRSA_NS_COMMENT „Certificat generat Easy-RSA”

# Un fișier provizoriu utilizat pentru realizarea extensiilor de confirmare în timpul semnării. Valoarea implicită ar a cauta
# să fie corect pentru majoritatea utilizatorilor; cu toate acestea, unii utilizatori ar a se cuveni a ravni o alternativă sub
# RAM- FS bazat, cum ar fi / dev / shm sau / tmp pe unele sisteme.

#set_var EASYRSA_TEMP_FILE „$ EASYRSA_PKI / extensions.temp”

# !!
# NOTĂ: OPȚIUNI AVANSATE SUB ACEST PUNCT
# JOACĂ-TE CU ELOR PE RISCUL TĂU
# !!

# Aliasuri de comandă de shell spintecat: Dacă aveți un shell în multime sectiune spintecat, este
# lipsesc fiecare dintre aceste comenzi necesare POSIX utilizate de Easy-RSA, veți a detine cerinta
# pentru a a se caracteriza un alias la calea corectă pentru comandă. Simptomul va fi
# o formă de vina „conducere nu a fost găsită” din shell. Aceasta înseamnă a ta
# shell este RUPT, dar puteți hack aoace dacă aveți cerinta. estos
# valorile afișate nu sunt implicite: a spanzura de dvs. să știți ce faceți dacă
# le atingi pe acestea.
#
#alias awk = »/ alt / bin / awk»
#alias cat = »/ alt / bin / cat»

# Director extensii X509:
# Dacă doriți să personalizați extensiile X509 utilizate, setați directorul să arate
# pentru extensii aoace. Fiecare tip de zapisca pe fiecare îl semnați musai să aibă un nume de botez de fișier corespunzător,
# și un fișier opțional reputat „COMMON” este inclus mai întâi apoi când este atentie. Rețineți că
# când este neclar aoace, comportamentul implicit este să arăți mai întâi în $ EASYRSA_PKI, atunci
# rezervă la $ EASYRSA pentru direcția „x509-types”. Puteți a ridica iest obiect
# detectare cu un director clar aoace.
#
#set_var EASYRSA_EXT_DIR „$ EASYRSA / x509-types”

# Fișier de configurare OpenSSL:
# Dacă musai să utilizați un osebit fișier de configurare openssl, îl puteți a se consfatui aoace.
# În mod obisnuit, iest fișier este detectat instinctiv dintr-un fișier reputat openssl-easyrsa.cnf din
# EASYRSA_PKI sau EASYRSA dir (în această tocmeala.) Rețineți că iest fișier este Easy-RSA
# caracteristic și nu puteți circula exclusiv un fișier de configurare nivel, asadar cesta este un fișier
# caracteristică avansată.

#set_var EASYRSA_SSL_CONF „$ EASYRSA / openssl-easyrsa.cnf”

# CN implicit:
# Este cel mai corect să rămâi unic. În mod interactiv, veți seta iest obiect fizic și BATCH
# apelanți sunt așteptați să seteze iest obiect ei înșiși.

#set_var EASYRSA_REQ_CN „ChangeMe”

# Rezumat criptografic de utilizat.
# Nu modificați această nivel implicită decât dacă înțelegeți implicațiile de siguranta.
# Alegerile valide includ: md5, sha1, sha256, sha224, sha384, sha512

# AM SELECTAT HASH SHA512

set_var EASYRSA_DIGEST „sha512”

# Modul lot. Lăsați iest obiect dezactivat, cu excepția cazului în fiecare intenționați să apelați în mod clar Easy-RSA
# în valoare absoluta batch fără nicio alee de utilizator, confirmarea operațiunilor periculoase,
# sau cea mai multime ieșire. Setarea acestuia la orisice șir ne-gol activează valoare absoluta lot.

#set_var EASYRSA_BATCH «»

Odată ce am metamorfozat totul, salvăm fișierul, deoarece posterior îl vom prii cu aceste valori.

Crearea PKI: certificate CA, server și cumparator

Când avem fișierul «vars» configurat, continuăm să creăm substruc-tura cu acordor publică (PKI) cu următoarea comandă (presupunem că vă aflați încă în directorul central Easy-RSA3):

./easyrsa init-pki

root @ debian-vm: /home/bron/EasyRSA-v3.0.6# ./easyrsa init-pki

Notă: folosind configurația Easy-RSA de la: ./vars

init-pki intreg; numaidecat puteți a face un CA sau solicitări.
Direcția dvs. PKI nou creată este: /home/bron/EasyRSA-v3.0.6/pki

Odată ce PKI este inițializat, musai să creăm Autoritatea de confirmare (CA):

./easyrsa build-ca

Odată executat, musai să urmăm expertul neornat de provocare CA. Parola pe fiecare ne-o cereți este să protejați cheia privată a CA, oaresicare esential.

root @ debian-vm: /home/bron/EasyRSA-v3.0.6# ./easyrsa build-ca

Notă: folosind configurația Easy-RSA de la: ./vars

Folosind SSL: openssl OpenSSL 1.1.1d 10 Sep 2019

Introduceți o nouă forma de criza pentru cheia CA:
Reintroduceți nouar forma de criza pentru cheia CA:
citiți cheia EC
scriind cheia EC
Nu se cumva încărca /home/bron/EasyRSA-v3.0.6/pki/.rnd în RNG
139864421569664: vina: 2406F079: generator de numere aleatorii: RAND_load_file: Nu se cumva destupa fișierul: ../ crypto / convoi / randfile.c: 98: Numele fișierului = / home / bron / EasyRSA-v3.0.6 / pki / .rnd
Sunteți pe punctul de a fi rugați să introduceți informații fiecare vor fi incluse
în cererea dvs. de zapisca.
Ceea ce sunteți pe punctul de a a veni este ceea ce se numește un Nume Distins sau un DN.
Există indeajuns de multe câmpuri, dar puteți lăsa unele necompletate
Pentru unele câmpuri va consta o nivel implicită,
Dacă introduceți „.”, Câmpul va fi lăsat necompletat.

Nume obisnuit (de oglinda: numele dvs. de utilizator, gazdă sau server) [Easy-RSA CA]: CERTIFICARE AUTORITATE

Creare CA finalizată și numaidecat puteți conta și delimita cereri de zapisca.
Noul fișier zapisca CA pentru tragere este la:
/home/bron/EasyRSA-v3.0.6/pki/ca.crt

Dacă nu dorim să introducem o parolă în cheia privată a CA (nu este recomandată din motive de siguranta), musai să punem această comandă:

Vezi mai mult:  Cont privat, cine urmărește videoclipurile, reclamele și multe altele ITIGIC

./easyrsa build-ca nopass

Odată ce am creat CA, musai să creăm certificatul serverului și certificatele clientului. Apoi, musai să o semnăm cu CA.

Creați certificatul de server și semnați-l cu CA

Atunci când creăm certificatele de server și cumparator, le putem a plati o parolă pentru cheia privată, cu toate acestea, nu este nimerit să o facem pe server, deoarece de fiesce dată când o pornim, ne va a striga conversatie pentru ao circula. Dacă nu dorim o parolă, vom a se aseza „nopass” în spatele fiecărei comenzi pe fiecare o veți zari mai jos.

./easyrsa gen-req servidor-openvpn-redeszone nopass

Ieșirea terminalului este după cum urmează:

root @ debian-vm: /home/bron/EasyRSA-v3.0.6# ./easyrsa gen-req server-openvpn-redeszone nopass

Notă: folosind configurația Easy-RSA de la: ./vars

Folosind SSL: openssl OpenSSL 1.1.1d 10 Sep 2019
Generarea unei ghizd private EC
scrierea unei noi ghizd private în „/home/bron/EasyRSA-v3.0.6/pki/private/server-openvpn-redeszone.key.bHJsAFg0KR”

Sunteți pe punctul de a fi rugați să introduceți informații fiecare vor fi incluse
în cererea dvs. de zapisca.
Ceea ce sunteți pe punctul de a a veni este ceea ce se numește un Nume Distins sau un DN.
Există indeajuns de multe câmpuri, dar puteți lăsa unele necompletate
Pentru unele câmpuri va consta o nivel implicită,
Dacă introduceți „.”, Câmpul va fi lăsat necompletat.

Nume obisnuit (de oglinda: numele dvs. de utilizator, gazdă sau server) [server-openvpn-redeszone]:

Cererea de simbrie acordor și zapisca finalizată. Fișierele dvs. sunt:
teclif: /home/bron/EasyRSA-v3.0.6/pki/reqs/server-openvpn-redeszone.req
acordor: /home/bron/EasyRSA-v3.0.6/pki/private/servidor-openvpn-redeszone.key

Odată ce certificatul este creat, musai să îl semnăm cu CA în valoare absoluta „server”:

./easyrsa sign-req server servidor-openvpn-redeszone

root @ debian-vm: /home/bron/EasyRSA-v3.0.6# ./easyrsa sign-req server server-openvpn-redeszone

Notă: folosind configurația Easy-RSA de la: ./vars

Folosind SSL: openssl OpenSSL 1.1.1d 10 Sep 2019

Ești pe pretext să semnezi următorul zapisca.
Vă rugăm să verificați detaliile prezentate mai jos pentru rigoare. Rețineți că această apelare
nu a fost incercat criptografic. Vă rugăm să vă asigurați că a strain de la o persoană de încredere
izvod sau că ați incercat aduna de revizuire a cererii la trimitator.

Subiectul cererii, fiecare urmează să fie iscalit ca zapisca de server pentru 1080 de zile:

subiect impozabil =
nume de botez obisnuit = server-openvpn-redeszone

Tastați cuvântul „da” pentru a a lungi sau orisice altă alee pentru a a ridica.
Confirmați detaliile cererii: da
Utilizarea configurației din /home/bron/EasyRSA-v3.0.6/pki/safessl-easyrsa.cnf
Introduceți expresia de criza pentru /home/bron/EasyRSA-v3.0.6/pki/private/ca.key:
Verificați dacă solicitarea se potrivește cu semnătura
Semnatura ok
Numele caracteristic al subiectului este după cum urmează
commonName: ASN.1 12: „server-openvpn-redeszone”
Certificatul va fi zapisca până pe 23 neios 11:40:22 2022 GMT (1080 zile)

Scrieți principiu de date cu 1 intrări noi
Baza de date actualizată

Certificat creat la: /home/bron/EasyRSA-v3.0.6/pki/issued/servidor-openvpn-redeszone.crt

Și am creat inca .crt pe fiecare îl vom prii mai târziu în fișierul de configurare OpenVPN.

Creați certificate de clienți și semnați-le cu CA

Pașii pe fiecare îi veți zari mai jos, va a cauta să-l efectuați o dată PENTRU FIECARE CLIENT pe fiecare îl vom a face. Adică, dacă vom a face 2 clienți, musai să urmăm pașii de tocmeala și iscalit de două ori. În această sectiune, este oportun să creăm certificatele clientului cu o parolă, asadar încât să fim siguri că, dacă pierdem certificatul, nestine nu îl cumva prii. Nu vom a trece nicio parolă în fizic (vom a se aseza nopass la sfarsit).

./easyrsa gen-req cliente1-openvpn-redeszone nopass

root @ debian-vm: /home/bron/EasyRSA-v3.0.6# ./easyrsa gen-req client1-openvpn-redeszone nopass

Notă: folosind configurația Easy-RSA de la: ./vars

Folosind SSL: openssl OpenSSL 1.1.1d 10 Sep 2019
Generarea unei ghizd private EC
scrierea unei noi ghizd private la „/home/bron/EasyRSA-v3.0.6/pki/private/cliente1-openvpn-redeszone.key.YflrPvFgdV”

Sunteți pe punctul de a fi rugați să introduceți informații fiecare vor fi incluse
în cererea dvs. de zapisca.
Ceea ce sunteți pe punctul de a a veni este ceea ce se numește un Nume Distins sau un DN.
Există indeajuns de multe câmpuri, dar puteți lăsa unele necompletate
Pentru unele câmpuri va consta o nivel implicită,
Dacă introduceți „.”, Câmpul va fi lăsat necompletat.

Nume obisnuit (de oglinda: numele dvs. de utilizator, gazdă sau server) [client1-openvpn-redeszone]:

Cererea de simbrie acordor și zapisca finalizată. Fișierele dvs. sunt:
teclif: /home/bron/EasyRSA-v3.0.6/pki/reqs/cliente1-openvpn-redeszone.req
acordor: /home/bron/EasyRSA-v3.0.6/pki/private/cliente1-openvpn-redeszone.key

Odată creat, musai să îl semnăm:

./easyrsa sign-req cumparator cliente1-openvpn-redeszone

root @ debian-vm: /home/bron/EasyRSA-v3.0.6# ./easyrsa sign-req cumparator client1-openvpn-redeszone

Notă: folosind configurația Easy-RSA de la: ./vars

Folosind SSL: openssl OpenSSL 1.1.1d 10 Sep 2019

Ești pe pretext să semnezi următorul zapisca.
Vă rugăm să verificați detaliile prezentate mai jos pentru rigoare. Rețineți că această apelare
nu a fost incercat criptografic. Vă rugăm să vă asigurați că a strain de la o persoană de încredere
izvod sau că ați incercat aduna de revizuire a cererii la trimitator.

Subiectul cererii, fiecare urmează să fie iscalit ca zapisca de cumparator pentru 1080 de zile:

subiect impozabil =
nume de botez obisnuit = client1-openvpn-redeszone

Tastați cuvântul „da” pentru a a lungi sau orisice altă alee pentru a a ridica.
Confirmați detaliile cererii: da
Utilizarea configurației din /home/bron/EasyRSA-v3.0.6/pki/safessl-easyrsa.cnf
Introduceți expresia de criza pentru /home/bron/EasyRSA-v3.0.6/pki/private/ca.key:
Verificați dacă solicitarea se potrivește cu semnătura
Semnatura ok
Numele caracteristic al subiectului este după cum urmează
commonName: ASN.1 12: „client1-openvpn-redeszone”
Certificatul va fi zapisca până pe 23 neios 11:41:36 2022 GMT (1080 zile)

Scrieți principiu de date cu 1 intrări noi
Baza de date actualizată

Certificat creat la: /home/bron/EasyRSA-v3.0.6/pki/issued/cliente1-openvpn-redeszone.crt

Dacă am a ravni să creăm și să semnăm un zapisca numărul 2 pentru un alt cumparator, ar a cauta să punem așa oaresicare:

./easyrsa gen-req cliente2-openvpn-redeszone nopass ./easyrsa sign-req cumparator cliente2-openvpn-redeszone

Amintiți-vă că, dacă doriți să puneți o parolă, musai să eliminăm „nopass”.

Organizați serverul și clientul .crt și .key certificate

Ceva vartos solemn este organizarea serverului și a certificatelor clienților după foldere. Certificatele serverului și clientului se află în calea „/ pki / emise /”, iar cheile private sunt în „/ pki / private”, ca.crt se află în rădăcina folderului „pki”. Trebuie să creăm trei foldere cu următorul conținut (deocamdată):

  • server: ca.crt, server-openvpn-redeszone.crt, server-openvpn-redeszone.key
  • client1: ca.crt, client1-openvpn-redeszone.crt, client1-openvpn-redeszone.key
  • client2: ca.crt, client2-openvpn-redeszone.crt, client2-openvpn-redeszone.key

Creați parametrii Diffie-Hellmann și cheia tls-crypt (tls-auth pe sistemele mai arhaic)

Odată ce am creat certificatele și le-am iscalit, trecut trebuia să creăm parametrii Diffie-Hellmann pentru a le ascutis în folderul „server”, pentru a le starni am vechi „./easyrsa gen-dh”, dar apoi când se utilizează ECDHE nu este indispensabil pentru a-l a face sau a permite nici în fișierul de configurare a serverului. Ceea ce musai să creăm este cheia tls-crypt cu numele ta.key sau orisice dorim. Ordinea pe fiecare musai să o punem este următoarea:

openvpn --genkey --secret ta.key

Această acordor ta.key musai plasată pe server și pe TOȚI clienții.

Odată ajunși aoace, folderele noastre cu certificate ar a cauta să aibă următoarele:

  • server: ca.crt, server-openvpn-redeszone.crt, server-openvpn-redeszone.key, dh.pem (Diffie-Hellmann, OPȚIONAL pentru că nu îl vom prii cu ECDHE), ta.key (tls-crypt)
  • client1: ca.crt, client1-openvpn-redeszone.crt, client1-openvpn-redeszone.key, ta.key (tls-crypt)
  • client2: ca.crt, client2-openvpn-redeszone.crt, client2-openvpn-redeszone.key, ta.key (tls-crypt)

Dacă vom prii tls-auth în loc de tls-crypt (deoarece nu este recept, de oglinda), musai să ținem spate de iest obiect:

În configurarea serverului (server.conf sau server.ovpn) musai să punem:

tls-auth ta.key 0 (0 de la Incoming)

În configurarea clientului (cumparator.conf sau cumparator.ovpn) musai să punem:

tls-auth ta.key 1 (1 din Outgoing)

Apoi, punem un priveliste cu ce este fiesce zapisca (numele variază).

Când avem totul metodiceste în foldere, numaidecat musai să creăm fișierul de configurare (.conf pentru sistemele Linux și .ovpn pentru sistemele Windows). Sunt exemple de fișiere de configurare de pe site-ul oficialitati OpenVPN și, de atare, în calea „/ usr / share / doc / openvpn / examples / examples-config-files /”.

Primul obiect pe fiecare musai să-l verificăm este dacă serverul și clienții noștri acceptă cifre simetrice, tls-ciphersuites (TLS 1.3) și tls-cipher (TLS 1.2) și curbele eliptice configurate. Trebuie să îl luăm în considerare, deoarece altcumva ne va da o vina. Pentru a executa aceste verificări musai să executăm:

  • openvpn –show-cifers
  • openvpn –show-tls (ne va arăta dacă acceptă TLS 1.3 și fiecare sunt, cum ar fi TLS 1.2)
  • openvpn –show-curves

Configurați serverul OpenVPN și porniți-l

Configurarea serverului OpenVPN este esențială pentru a da permisiuni de criza clienților la rețeaua noastră locală, pentru a a se structura negocierea TLS. Deoarece avem sute de configurații disponibile, vom a se aseza configurația noastră cu câteva comentarii fiecare explică fiesce parametru, puteți a reproduce și a murui configurația fără probleme. Amintiți-vă că pentru Linux musai să aibă o extensie .conf și pentru Windows .ovpn.

#PORTUL CARE TREBUIE FOLOSIT DE TCP SAU UDP, PRIN DEFAULT IS 1194.
#PROTOCOL PENTRU A UTILIZA TCP SAU UDP
# MOD DE TUNELARE
portul 11949
proto udp
dev tun

#CERTIFICATE
# DACĂ AVEM .CONF ÎN ACEEAȘI DOSAR, NU LIPSEȘTE RUTA DE CONTOR, NUMAI NUMELE.
# DACĂ SUNT PE ALTE RUTE, TREBUIE SĂ TESTĂM RUTEA TOTULUI

ca ca.crt
server cert-openvpn-redeszone.crt
acordor server-openvpn-redeszone.key
#dh dh.pem (OPȚIONAL DEoarece UTILIZăm ECDHE)
dh niciuna
tls-crypt ta.key

# VERIFICĂM CERTIFICATELE CLIENTILOR (SECURITATE MAI MARE)
cumparator remote-cert-tls

# MODIFICĂM CIFRAREA SIMETRICĂ A CANALULUI DE DATE, CANALUL DE CONTROL TLS ȘI ALGORITMUL PENTRU VERIFICAREA INTEGRITĂȚII.
# DACĂ UTILIZĂM AES-256-GCM NU ESTE NECESAR PUNEREA DIRECTIVEI AUTORULUI DE timp ce NU ESTE UTILIZATĂ.

cifrează AES-256-GCM
tls-ciphersuites TLS_AES_256_GCM_SHA384: TLS_CHACHA20_POLY1305_SHA256
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384: TLS-ECDHE-ECDSA-WITH-CHACHA20-POLY1305-SHA256
ecdh-curve secp521r1
tls-version-min 1.2
reneg-sec 0
auth SHA512

# TOPOLOGIE DE REȚEA (SUBRETĂ RECOMANDATĂ) ȘI SUBRETĂ VIRTUALĂ ÎNDE VĂ FI CLIENTII.

topologie subrețea
server 10.8.0.0 255.255.255.0

# CONFIGURăm SERVERUL, ASA CĂ CLIENTII AU ÎNTOTDEAUNA ACEEAȘI IP ÎNTOTDEAUNA, O dată ce aceștia se conectează.
ifconfig-pool-persist ipp.txt

# OFERIM ACCESUL CLIENTULUI LA REȚEAUA DE ACASĂ, EFECTUAM REDIRECȚIA INTERNETULUI ȘI OFERIM OPENURI DNS. WordPress a se aseza instinctiv aceste simboluri << și >> când ar a cauta să pună exclusiv semnele citarii duble: »
împingeți „traiect 192.168.2.0 255.255.255.0”
împingeți “redirect-gateway def1”
apăsați “dhcp-option DNS 208.67.222.222”
apăsați “dhcp-option DNS 208.67.220.220”

# ACTIVĂM COMUNICAREA ÎNTRE CLIENȚI, ACTIVĂM Keepalalive să știm dacă tunelul a scăpat, ACTIVĂM COMPRESIUNEA ȘI UN MAXIM DE 100 DE CLIENTI SIMULTAN
client-la-client
păstrați 10 120
max-clienți 100

# FĂRĂ AUTORIZĂRI DE UTILIZATOR ÎN OPENVPN, PENTRU SECURITATE SERVER
utilizator nestine
tabara nogrup

# CHEIE ȘI TUNEL PERSISTENT
persistă-cheie
persistă-tun

# SERVERUL ÎNREGISTRĂ ÎN ACEL FIȘIER, VERBUL DE CONFIGURARE 3 PENTRU JURNALE.
status openvpn-status.log
3 cuvant
explicit-exit-notification 1

Până numaidecat am inavutit cu configurația serverului, pentru al a purcede va a cauta pur și neornat să punem „openvpn server.conf” în sistemele Linux și va a purcede instinctiv, la sfârșitul boot-ului musai să puneți „Initialization Sequence Completed” .

Configurați clientul (sau clienții)

Apoi, puteți zari configurația clientului asociată cu serverul pe fiecare am văzut-o trecut. Singura diferență între diferiții clients.conf este calea certificatelor, de oglinda. Foarte solemn ca cifrul, tls-cifrul și alți parametri să fie bine aceiași, altcumva nu se va conecta la server. Amintiți-vă că pentru Linux musai să aibă o extensie .conf și pentru Windows .ovpn.

# CONFIGURĂM ÎN MODUL CLIENT, MOD TUN, PROTOCOL UDP.

cumparator
dev tun
proto udp

# ACEASTA DIRECTIVĂ ESTE CONEXIUNEA CU IP-ul PUBLIC SAU DOMENIUL SERVERULUI OPENVPN, TREBUIE SĂ PUNEM ȘI ACEEAȘI PORT PENTRU SERVER
telecomandă 127.0.0.1 11949

# REZOLVAȚI ÎN CONTINUARE IP-UL SAU DOMENIUL PENTRU A NE CONECTA, TUNELE CHEIE ȘI PERSISTENTE CA SERVER.
resolv-retry imensitate
nobind
persistă-cheie
persistă-tun

#RUTA DE LA CA, CERTIFICATE DE CLIENT ȘI TA.KEY.
# DACĂ O AVEM ÎN ACEEAȘI FOLIE, NU ESTE NECESAR PUNEREA ÎNTREGUL RUT.
ca ca.crt
hotarat client1-openvpn-redeszone.crt
acordor client1-openvpn-redeszone.key
tls-crypt ta.key

# VERIFICAȚI IDENTITATEA SERVERULUI, UTILIZAȚI Criptarea simetrică GCM, TLS 1.2 ȘI CONFIGURAREA AUTORITĂȚII. Dacă clientul nostru nu acceptă TLS 1.3.
server remote-cert-tls
cifrează AES-256-GCM
auth SHA512

reduce

# Dacă clientul nostru acceptă TLS 1.3, adăugăm această directivă:
# tls-ciphersuites TLS_AES_256_GCM_SHA384: TLS_CHACHA20_POLY1305_SHA256

# Dacă clientul nostru acceptă fuga TLS 1.2, adăugăm această directivă:
# tls-cipher TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384: TLS-ECDHE-ECDSA-WITH-CHACHA20-POLY1305-SHA256

# ACTIVAȚI JURNALUL VERBOSE NIVEL 3

3 cuvant

Dacă utilizați Windows, folderul certificatelor cu fișierul de configurare din extensia .ovpn musai să fie în calea implicită OpenVPN, fiecare este C: UsersBronOpenVPNconfig în mod implicit, deși o putem reforma. Odată ce ați făcut iest obiect, dacă faceți chicot dreapta pe OpenVPN în drug din dreapta jos, vom zari numele fișierului cumparator pentru a vă conecta cu isprava. La sfârșitul boot-ului musai să puneți „Initialization Sequence Completed” și ne vom conecta cu isprava la serverul OpenVPN configurat.

Vezi mai mult:  Cum dezactivați TalkBack, opțiuni de accesibilitate pe Android

Creați o rută statică în routerul nostru

Pentru a a detine conectivitate cu rețeaua locală a casei noastre, este indispensabil să creăm un linie hieratic în routerul nostru de acasă. Cu configurația 10.8.0.0/24 pe fiecare am configurat-o în serverul OpenVPN, musai să creăm o rută statică cu aceste informații:

  • IP subrețea: 10.8.0.0
  • Mască: 255.255.255.0
  • Gateway: IP sediu de fiindca pornim serverul OpenVPN, dacă de oglinda am tins pe un Raspberry PI cu IP 192.168.1.100, musai să punem iest IP.

Principalele probleme și eșecuri de conexiune la conexiune

Când configurăm pentru rata de asigurare dată un server OpenVPN, este practicabil să avem diferite probleme la conectarea diferiților clienți. Înainte de a a numara diferitele probleme și eșecuri de conexiune fiecare pot apărea, musai să vă spunem că, dacă ați urmat tutorialul pas cu pas, nu ar a cauta să aveți erori la conexiune, deoarece am incercat în amanunt configurația. Configurarea atât a serverului, cât și a clienților este în „cuvant 3”, adică un standard de înregistrare nimerit pentru toți utilizatorii, în cazul în fiecare există o problemă de conexiune, dacă nu găsim eșecul, va a cauta să creștem nivelul de înregistrare , și puneți „verbul 5” pentru a a detine mai multe detalii asupra tot ce se întâmplă în conexiune.

REZOLVĂ: Nu se cumva a clarifica expedia gazdei: xxxx.no-ip.org:11949 (Gazda necunoscută.)

Această vina se datorează faptului că serverul OpenVPN nu cumva fi găsit, musai să verificăm dacă domeniul pe fiecare l-am pus este cinstit, această vina se datorează faptului că nu cumva găsi niciun IP exoteric partas cu domeniul respectiv. Cel mai clasic este că am pus domeniul greșit în clientul VPN, că domeniul pe fiecare l-am introdus nu există pentru că nu l-am creat încă sau pentru că serviciul DNS activ nu funcționează cinstit.

Nu s-a solid provoca protocolul IPv4 / IPv6

Această vina este legată de cea anterioară, am introdus un mosie pe fiecare nu îl cumva găsi, fie folosind protocolul IPv4, fie protocolul IPv6.

SIGUSR1 [soft, init_instance] nebun, repornirea procesului

Acest prevenire ne arata că procesul de conexiune cu serverul VPN va fi repornit, indică pur și neornat că a existat o vina trecut și că va încerca din nou conexiunea.

MANAGEMENT:> STAT: 1603127258, AȘTEPȚI ,,,,,,

Deși aceasta nu este o vina în sine, dacă clientul OpenVPN rămâne neintrerupt în această secțiune a conexiunii, se datorează faptului că nu avem porturi deschise pe routerul sau firewall-ul nostru către serverul VPN, în funcție de faptul dacă am vechi TCP sau UDP , și din portul selectionat, musai să deschidem un pristaniste sau celalalt. Acest obiect se datorează faptului că clientul este competent să localizeze expedia IP fără probleme, dar așteaptă un răspuns de la serverul OpenVPN, un răspuns fiecare nu va gata niciodată.

Această vina se întâmplă de narav apoi când nu avem furios serverul VPN, dacă am indelungat să-l pornim la început, vom a detine această problemă. Soluția este să o porniți și să așteptați să apară primii clienți.

NOTĂ: –opțiunea utilizator nu este implementată pe Windows

În sistemele de operare Windows nu este cerinta să punem instructiune „utilizator nestine”, obiect pe fiecare în sistemele de operare bazate pe Linux este oportun să îl punem.

NOTĂ: opțiunea de tabara nu este implementată pe Windows

În sistemele de operare Windows nu este cerinta să punem instructiune „tabara nogrup”, obiect pe fiecare în sistemele de operare bazate pe Linux este oportun să îl punem.

AVERTISMENT: Ignorând opțiunea „dh” în valoare absoluta tls-client, vă rugăm să o includeți fuga în configurația serverului

În clientul VPN nu musai să punem deloc incatusat de Diffie-Hellmann, această directivă este exclusiv în fișierul de configurare a serverului, în cumparator este pur și neornat inutilă.

vina tls-crypt unwrap: autentificarea pachetelor a eșuat și vina TLS: tls-crypt despachetare eșuată de la [AF_INET]

Autentificarea cu instructiune tls-crypt a eșuat, de narav, deoarece conținutul fișierului ta.key de pe server și clienți este divers. Trebuie să ne amintim că ta.key musai să fie bine la fel atât pe server, cât și pe toți clienții VPN pe fiecare îi vom prii.

Eroare TLS: pasca de inspectie nerotabil nebun de la [AF_INET] și Eroare TLS: cheile TLS locale / la distanță sunt sincronizate

Cheile TLS pe ​​fiecare le-am vechi nu sunt corecte pe server și / sau cumparator, este indispensabil să verificați configurația certificatelor și, de atare, ta.key. Această vina apare mai select când avem ta.key configurat defectuos.

Eroare TLS: Pachet de inspectie nerotabil nebun de la

Aceasta este o vina generală a conexiunii TLS, este practicabil să fi copiere greșit CA, certificatul serverului (în setările serverului), certificatul clientului (în setările clientului). Această vina se datorează unei eșecuri la copierea diferitelor certificate.

AVERTISMENT: „link-mtu” este vechi inconstant, sediu = „link-mtu 1549 ′, remote =„ link-mtu 1550 ′

Această vina apare deoarece este indispensabil ca MTU să fie la fel atât în ​​sediu (cumparator), cât și în telecomandă (server VPN), dacă MTU este configurat defectuos, conexiunea va fi stabilită, dar vom a detine o performanță vartos scăzută, și este practicabil ca conexiunea VPN să fie întreruptă în orisice ceas.

Această vina apare, de atare, apoi când am activat compresia datelor pe serverul VPN și nu o avem configurată pe cumparator. Se întâmplă și apoi când avem algoritm de compresie divers pe server / clienți. Este indispensabil ca serverul și clienții să utilizeze aceeași compresie sau să nu folosească compresia, fiecare este cea mai recomandată pentru siguranta.

Pentru a a clarifica această vina, musai exclusiv să puneți instructiune: „comprimați” pe cumparator, asadar încât să accepte compresia trimisă de server prin „PUSH” pe fiecare o efectuează.

AVERTISMENT: ‘comp-lzo’ este atentie în config de la distanță, dar lipsește în config sediu, remote=”comp-lzo”

Această vina apare apoi când pe serverul VPN am activat compresia datelor cu comp-lzo, iar la clienți nu avem defel compresie. Este indispensabil ca atât serverul, cât și clienții să aibă bine același algoritm de compresie. Pentru a a clarifica această vina, musai exclusiv să puneți instructiune: „comprimați” pe cumparator, asadar încât să accepte compresia trimisă de server prin „PUSH” pe fiecare o efectuează.

Eroarea „destina în TUN / TAP: Eroare necunoscută (cod = 122)” cumva apărea, de atare, datorită acestei caracteristici de compresie.

Eroare TLS: strângerea de mână TLS a eșuat

A apărut o vina la negocierea informațiilor de pe canalul de inspectie, este practicabil să avem diferite tls-cifre sau tls-ciphersuites și nu există un algoritm obisnuit al canalului de inspectie, ceea ce a executa ca „strângerea de mână” să eșueze și nu cumva a lungi.

Actualizări și știri în noile versiuni de OpenVPN

OpenVPN nu încetează să actualizeze și să lanseze noi versiuni cu remedieri de erori, îmbunătățiri de performanță și, de atare, îmbunătățiri de siguranta, cu scopul sfarsit ca conexiunile VPN să fie cât mai sigure practicabil. În urmare, vom intelege câteva dintre îmbunătățirile pe fiecare le va a detine OpenVPN 2.5, fiecare vor angaja vartos curând, deoarece se află în punct „Release Candidate”.

Se adaugă Tls-crypt-v2

tls-crypt este o funcționalitate fiecare ne a ingadui să diminuăm atacurile DoS și DDoS pe serverele OpenVPN, datorită acestor ghizd pe fiecare le creăm sfoara în OpenVPN, vom a se cuveni a executa ca fiesce cumparator să se pre-autentifice, pentru a a veni posterior în punct de legalizare cu zapisca de cumparator. Prima tra-ducere tls-crypt necesită ca atât serverul, cât și toți clienții să aibă bine aceeași acordor tls-crypt. Cu tls-crypt-v2 putem a executa ca fiesce cumparator să aibă propria acordor tls-crypt, în iest fel, organizațiile vartos a lati sau furnizorii OpenVPN își pot partini în mod recomandabil serverele prin crearea mai multor dintre aceste ghizd.

Suport pentru criptare ChaCha20-Poly1305

În atentie, cea mai sigură criptare simetrică fiecare cumva fi utilizată pe canalul de date este AES-256-GCM și AES-128-GCM. Cu cea mai recentă tra-ducere a OpenVPN 2.5 vom a detine, de atare, posibilitatea de a opta populara criptare ChaCha20-Poly1305 fiecare utilizează VPN cum ar fi WireGuard.

Negociere de criptare îmbunătățită pe canalul de date

În strânsă legătură cu punctul trecut, avem în vedeala că în nouar tra-ducere a OpenVPN 2.5, opțiunea ncp-ciphers a fost redenumită în data-ciphers, deși numele arhaic va a lungi să fie recept. Schimbarea se a executa pentru a a se feri ambiguitatea „–cipher” și „–tls-cipher”. Acum, clienții VPN îi vor arata serverului ce tip de cifre acceptă, iar serverul va opta intaiul cifru obisnuit din catagrafie cifrelor de date acceptate, în loc să îl folosească pe intaiul din listă, ceea ce va a executa ca stabilirea VPN să fie mai rapidă . Acest obiect ne a ingadui, de atare, că dacă serverul are configurația „cifrelor de date” ChaCha20-Poly1305: AES-256-GCM, iar clientul are ChaCha20-Poly1305, îl va prii deoarece clientul îl acceptă.

Suportul pentru BF-CBC este anulat în setările implicite

Acum, configurația implicită OpenVPN nu va a ingadui utilizarea BF-CBC, cea mai recentă tra-ducere acceptând fuga cifrele AES-256-GCM și AES-128-GCM pentru canalul de date. Trebuie să ne amintim că în OpenVPN avem BG-CBC apoi când nu avem opțiunea de a a se ridica –cifrarea sau –ncp-cifrarea în configurație. Dacă doriți să utilizați iest tip de criptare, va a cauta să o activați în mod clar.

Sperăm că iest fizic v-a fost de recurs. Dacă aveți întrebări pe fiecare le puteți analiza, vă recomandăm vizitați OpenVPN HOWTO oficialitati fiindca veți găsi toate informațiile asupra diferiții parametri de utilizat. MAN PAGE din OpenVPN 2.4 fiindca aveți toți parametrii disponibili este de atare vartos trebuitor.

Te uiți: OpenVPN Tutorial: instalare, configurare server VPN și conexiune

Sursă:https://mokoyuma.com

Categorii: tehnologie

Leave a Reply