OpenVPN + CentOS 5.x

Paprasta pamoka kaip įdiegti OpenVPN savo serveryje. Naudojama operacinė sistema: CentOS 5.6 x32. Reikalavimai OpenVPN yra ganėtinai maži, pakaks bet kokio VPS'o su 128-256MB RAM.

1. Iš pradžių ką turite padaryti tai patikrinti ar yra įjungtas TUN/TAP.

cat /dev/net/tun

Ir jei jums išmetė atsakymą:

cat: /dev/net/tun: File descriptor in bad state

Reiškia TUN/TAP yra įjungtas ir galite tęsti darbus. Jei tokio atsakymo nesulaukėte, kreipkitės į hosting'o teikėją su prašymu įjungti TUN/TAP.

2. Instaliuojam reikiamus modulius:

yum install gcc make rpm-build autoconf.noarch zlib-devel pam-devel openssl-devel

3. Parsisiunčiam OpenVPN repo:

wget http://packages.sw.be/rpmforge-release/rpmforge-release-0.5.2-2.el5.rf.i386.rpm

4. Sukuriam RPM pakuotę:

rpmbuild --rebuild lzo-1.08-4.rf.src.rpm
rpm -Uvh /usr/src/redhat/RPMS/i386/lzo-*.rpm
rpm -Uvh rpmforge-release-0.5.2-2.el5.rf.i386.rpm

5. Įrašom OpenVPN:

yum install openvpn

6. Kopijuojam OpenVPN easy-rsa aplanką į /etc/openvpn/ :

cp -R /usr/share/doc/openvpn-2.1.4/easy-rsa/ /etc/openvpn/

7. Dabar sukursime sertifikatą:

cd /etc/openvpn/easy-rsa/2.0
chmod 755 *
source ./vars
./vars
./clean-all

Sukuriam CA:

./build-ca

Sukuriam rakto serverį:

./build-key-server server

Atkreipiam dėmesį:

Common Name: server

A challenge password: paliekam

Optional company name: įrašom arba enter

sign the certificate: y

1 out of 1 certificate requests: y

Sukuriam Diffie Hellman (procesas gali užtrukti):

./build-dh

8. Dabar sukursime UDP 1194 port'o konfigūracijos failą:

nano /etc/openvpn/1194.conf

Įrašom į jį duomenis pagal savo serverį:

local 123.123.123.123 #- jūsų serverio IP

port 1194 #- port

proto udp #- protocol

dev tun

tun-mtu 1500

tun-mtu-extra 32

mssfix 1450

ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt

cert /etc/openvpn/easy-rsa/2.0/keys/server.crt

key /etc/openvpn/easy-rsa/2.0/keys/server.key

dh /etc/openvpn/easy-rsa/2.0/keys/dh1024.pem

plugin /usr/share/openvpn/plugin/lib/openvpn-auth-pam.so /etc/pam.d/login # - dėmesio, prieš išsaugant įsitikinkite jog šis nustatymas yra vienoje eilutėje!

client-cert-not-required

username-as-common-name

server 1.2.3.0 255.255.255.0

push "redirect-gateway def1"

push "dhcp-option DNS 208.67.222.222"

push "dhcp-option DNS 4.2.2.1"

keepalive 5 30

comp-lzo

persist-key

persist-tun

status 1194.log

verb 3

Išsaugom.

9. Paleidžiam OpenVPN su sukurtu konfigūracijos failu:

openvpn /etc/openvpn/1194.conf &

Taip atrodys sėkmingai veikiančio OpenVPN serverio būsena:

Mon Apr 21 02:23:20 2011 UDPv4 link remote: [undef]

Mon Apr 21 02:23:20 2011 MULTI: multi_init called, r=256 v=256

Mon Apr 21 02:23:20 2011 IFCONFIG POOL: base=1.2.3.4 size=62

Mon Apr 21 02:23:20 2011 Initialization Sequence Completed

10. Nustatom OpenVPN veikimą fone:

bg

11. Įjungiam IPv4 peradresavimą:

echo 1 > /proc/sys/net/ipv4/ip_forward

12. Nukreipiam IPtables:

iptables -t nat -A POSTROUTING -s 1.2.3.0/24 -j SNAT --to 123.123.123.123

Pastaba:

- 1.2.3.0 - IP priskirtas OpenVPN klientui

- 123.123.123.123 - jūsų serverio IP

13. Dabar sukursime vartotoją OpenVPN autorizacijai:

useradd username -s /bin/false
passwd username

Parsisiūskite ca.crt failą iš savo serverio /etc/openvpn/easy-rsa/2.0/keys/ aplanko.

Parsisiūskite OpenVPN programą skirtą Windows OS: http://openvpn.net/index.php/open-source/downloads.html#latest-stable

14. Įrašę OpenVPN programą perkelkite ca.crt failą į C:/Program Files/OpenVPN/config/

15. Sukurkite OpenVPN programai konfigūracijos failą aplanke C:/Program Files/OpenVPN/config/, pvz:

client

dev tun

proto udp #- protocol

remote 123.123.123.123 1194 #- Serverio IP ir OpenVPN port'as

resolv-retry infinite

nobind

tun-mtu 1500

tun-mtu-extra 32

mssfix 1450

persist-key

persist-tun

ca ca.crt

auth-user-pass

comp-lzo

verb 3

Išsaugom sukurtą failą pavadinimu manoopenvpn.ovpn

16. Paleidžiam OpenVPN programą ir įvedam vartotojo duomenis. Patikrinkit savo IP adresą, jis turėtų būti jūsų VPS'o.

Pastabos:

Tai yra patikrinta ir veikianti pamoka

Nurodyti konfiguracijos nustatymai yra baziniai, daugiau galite rasti OpenVPN tinklalapyje

Jei naudojate Win7 prieš įdiegdami OpenVPN programą, spustelkite dešinį pelės mygtuką ir pasirinkite "Run as administrator" ir pakeiskite suderinamumą į Windows XP SP3

Jei norite pridėti dar vieną port'ą, tuomet sukurkite kitą konfigūracijos failą VPS'e, su pakeistais duomenimis:

port: jūsų naujas port'as

protocol: tcp arba udp

client's ip: 1.2.4.0 arba 1.2.5.0 ; 1.2.6.0 ; ir t.t.

Taip pat nepamirškite naujo konfigūracijos failo OpenVPN klientui Windows OS:

proto xxxx #- Pakeiskite xxxx į tcp arba udp

remote 123.123.123.123 yyyy #- Pakeiskite yyyy į OpenVPN port'ą

Paleiskite komandinę eilutę savo VPS'e:

iptables -t nat -A POSTROUTING -s 1.2.4.0/24 -j SNAT --to 123.123.123.123

Pastaba:

- 1.2.4.0 - IP priskirtas OpenVPN klientui

- 123.123.123.123 - jūsų serverio IP

Šaltinis: http://www.dedica.lt/

Jėga, reiks kada išbandyti :)

Katik išbandžiau - viskas veikia, aišku buvo keli nesklandumai :)

Vietoje to, kad rašytum

plugin /usr/share/openvpn/plugin/lib/openvpn-auth-pam.so /etc/pam.d/login # - kažkoks įspėjimas

geriau parašyk

plugin \

/usr/share/openvpn/plugin/lib/openvpn-auth-pam.so \

/etc/pam.d/login

Noob'ai vis vien nepastebės, o suprantantys žmonės supras ir niekam nereikės sukti galvos dėl komandos buvimo vienoje eilutėje.

Taip pat /usr/bin/false ne visada yra saugus būdas neleisti vartotojui prisijungti prie serverio naudojantis ssh, telnet ar pan. Geriau naudoti /usr/sbin/nologin.

Labai gera pamoka. Bandžiau ant debiano pptp diegti, kažkas nesigavo su iptables, taip ir palikau :/

Labai gera pamoka. Bandžiau ant debiano pptp diegti, kažkas nesigavo su iptables, taip ir palikau :/

Man irgi klaidą rodė dėl iptables, parašiau į supportą, įjungė modą.