Zmiany pomiędzy wersją 5 and wersją 6 dla DeployerGuide/Others/OpenVPN
- Data i czas:
- 09/23/16 10:57:15 (8 years temu)
Legend:
- Bez zmian
- Dodane
- Usunięte
- Zmienione
-
DeployerGuide/Others/OpenVPN
v5 v6 9 9 <p>Musimy zainstalować dwa pakiety serwer OpenVpn i easy-rsa do generowania certyfikatów.</p> 10 10 <pre> 11 12 apt-get install openvpn easy-rsa; 13 11 apt-get install openvpn easy-rsa; 14 12 </pre> 15 13 <p>Tworzymy katalog i kopiujemy skrypyty do tworzenia certyfikatów.</p> 16 14 <pre> 17 18 mkdir -p /etc/mojeCA; 19 cp -v /usr/share/easy-rsa/* /etc/mojeCA; 20 cd /etc/mojeCA; 21 15 mkdir -p /etc/mojeCA; 16 cp -v /usr/share/easy-rsa/* /etc/mojeCA; 17 cd /etc/mojeCA; 22 18 </pre> 23 19 <p>Edytujemy plik vars który będzie nam potrzeby do generowania certyfikatów.</p> 24 20 <pre> 25 26 vim vars; 27 28 export KEY_COUNTRY="PL" # Kod kraju 29 export KEY_PROVINCE="Slaskie" # Województwo 30 export KEY_CITY="Katowice" # Miasto 31 export KEY_ORG="eDokumenty" # Organizacja 32 export KEY_EMAIL="biuro@edokumenty" # Email 21 vim vars; 22 23 export KEY_COUNTRY="PL" # Kod kraju 24 export KEY_PROVINCE="Slaskie" # Województwo 25 export KEY_CITY="Katowice" # Miasto 26 export KEY_ORG="eDokumenty" # Organizacja 27 export KEY_EMAIL="biuro@edokumenty" # Email 33 28 </pre> 34 29 <p>Ustawiamy zmienne i tworzymy certyfikat dla CA</p> 35 30 <p>Dla pola <i>Organizational Unit Name</i> wpisujemy Centrum Certyfikacji</p> 36 37 <pre> 38 source vars; 39 ./clean-all; 40 ./build-ca; 41 </pre> 42 31 <pre> 32 source vars; 33 ./clean-all; 34 ./build-ca; 35 </pre> 43 36 <p>Następnie wytwarzamy klucz dla algorytmu Diffie-Hellman. Jest to odpowiednio duża liczba pierwsza wykorzystywana w protokole wymiany kluczy prywatnych wykorzystywanych podczas szyfrowania.</p> 44 37 <pre> 45 46 ./build-dh; 47 38 ./build-dh; 48 39 </pre> 49 40 … … 52 43 </p> 53 44 <pre> 54 55 openvpn --genkey --secret ta.key; 56 45 openvpn --genkey --secret ta.key; 57 46 </pre> 58 47 … … 61 50 </p> 62 51 <pre> 63 64 ./build-key-server server; 65 52 ./build-key-server server; 66 53 </pre> 67 54 … … 69 56 70 57 <pre> 71 72 ./build-key-pass client; 73 58 ./build-key-pass client; 74 59 </pre> 75 60 … … 80 65 81 66 <pre> 82 83 cd /etc/openvpn; 84 67 cd /etc/openvpn; 85 68 </pre> 86 69 <p>Tworzymy plik openvpn.conf i wklejamy konfiguracje zmieniamy adres ip i port</p> 87 70 88 71 <pre> 89 90 vim openvpn.conf; 91 72 vim openvpn.conf; 92 73 </pre> 93 74 <pre> 94 95 local 10.0.0.145 # Adres IP naszego serwera 96 port 1194 # Port na którym nasluchujemy 97 proto udp 98 dev tun # Rodzaj tunelu 99 mssfix 1000 100 fragment 1000 101 keepalive 10 120 # Czestotliwosc pakietow keepalive 102 ca /etc/mojeCA/keys/ca.crt 103 cert /etc/mojeCA/keys/server.crt 104 key /etc/mojeCA/keys/server.key 105 dh /etc/mojeCA/keys/dh2048.pem 106 tls-auth /etc/mojeCA/ta.key 0 107 cipher AES-256-CBC 108 server 10.8.0.0 255.255.255.0 # Adresy IP przydzielane dla klientow 109 ifconfig-pool-persist ipp.txt 110 # push "route 10.100.0.0 255.255.255.0" # Trasa do sieci firmowej 111 # client-config-dir firma # Katalog ustawien klientow 112 # ccd-exclusive # Dopuszczamy tylko ZNANYCH klientow 113 75 local 10.0.0.145 # Adres IP naszego serwera 76 port 1194 # Port na którym nasluchujemy 77 proto udp 78 dev tun # Rodzaj tunelu 79 mssfix 1000 80 fragment 1000 81 keepalive 10 120 # Czestotliwosc pakietow keepalive 82 ca /etc/mojeCA/keys/ca.crt 83 cert /etc/mojeCA/keys/server.crt 84 key /etc/mojeCA/keys/server.key 85 dh /etc/mojeCA/keys/dh2048.pem 86 tls-auth /etc/mojeCA/ta.key 0 87 cipher AES-256-CBC 88 server 10.8.0.0 255.255.255.0 # Adresy IP przydzielane dla klientow 89 ifconfig-pool-persist ipp.txt 90 # push "route 10.100.0.0 255.255.255.0" # Trasa do sieci firmowej 91 # client-config-dir firma # Katalog ustawien klientow 92 # ccd-exclusive # Dopuszczamy tylko ZNANYCH klientow 114 93 </pre> 115 94 116 95 <p>Przekierowanie pakietów.</p> 117 96 <pre> 118 119 vim /etc/sysctl.conf; 120 <i>net.ipv4.ip_forward = 1</i> 121 sysctl -p; 122 123 openvpn --config /etc/openvpn/openvpn.conf; 124 97 vim /etc/sysctl.conf; 98 <i>net.ipv4.ip_forward = 1</i> 99 sysctl -p; 100 101 openvpn --config /etc/openvpn/openvpn.conf; 102 125 103 </pre> 126 104 127 105 <p>Po poprawnym uruchomieniu serwera powinnniśmy otrzymac komunikat <i><b>Initialization Sequence Completed</b></i></p> 128 106 <h2>Konfiguracja Firewall</h2> 107 <p></p> 129 108 <h2>Konfiguracja dla klienta Windows</h2> 130 109 131 110 <p>Tworzymy paczke z certyfiakatami.</p> 132 111 <pre> 133 134 tar -cvf certyfiaty.tar keys/client.key keys/client.crt keys/ca.crt ta.key; 135 112 tar -cvf certyfiaty.tar keys/client.key keys/client.crt keys/ca.crt ta.key; 136 113 </pre> 137 114 … … 145 122 <p>Przechodzimy do katalogu <i>/etc/mojeCA</i> i kopiujemy paczkę z certyfikatami.</p> 146 123 <p>Kopiujemy pobrane certyfikaty <i>(client.crt, client.key, ca.crt ta.key)</i> na dysk C: </p> 147 <p>Instalujemy OpenVPN GUI i Tap-windows</p> 148 <a href="https://openvpn.net/index.php/download/community-downloads.html">OpenVPN</a> 124 <p>Instalujemy OpenVPN GUI i Tap-windows <a href="https://openvpn.net/index.php/download/community-downloads.html">OpenVPN</a></p> 149 125 150 126 <p>Uruchamiamy OpenVPN GUI</p> … … 153 129 154 130 <pre> 155 156 cert "C:\\client.crt" 157 key "C:\\client.key" 131 cert "C:\\client.crt" 132 key "C:\\client.key" 158 133 159 remote 10.0.0.145 1194 160 client 161 fragment 1000 162 dev tun 163 proto udp 164 resolv-retry infinite 165 nobind 166 user nobody 167 group nogroup 168 persist-key 169 persist-tun 170 ca C:\\ca.crt 171 ns-cert-type server # Upewniamy sie ze laczymy sie z serwerem 172 tls-auth C:\\ta.key 1 173 cipher AES-256-CBC 174 verb 3 175 134 remote 10.0.0.145 1194 135 client 136 fragment 1000 137 dev tun 138 proto udp 139 resolv-retry infinite 140 nobind 141 user nobody 142 group nogroup 143 persist-key 144 persist-tun 145 ca C:\\ca.crt 146 ns-cert-type server # Upewniamy sie ze laczymy sie z serwerem 147 tls-auth C:\\ta.key 1 148 cipher AES-256-CBC 149 verb 3 176 150 </pre> 177 151
