Comment configurer un VPN avec OpenVPN sur Debian 9 Stretch Linux

Comment configurer un VPN avec OpenVPN sur Debian 9 Stretch Linux

Distribution

Ce guide est testé pour Debian 9 Stretch Linux, mais il peut fonctionner avec d'autres versions de Debian récentes.

Exigences

  • Ce guide suppose que vous dirigez Debian sur un VPS ou un serveur distant, car c'est le scénario le plus probable pour un VPN.
  • Une installation de travail de Debian Stretch avec un accès root

Difficulté

MOYEN

Conventions

  • # - Exige que les commandes Linux soient exécutées avec des privilèges racine soit directement en tant qu'utilisateur racine, soit par l'utilisation de Sudo commande
  • $ - Exige que les commandes Linux soient exécutées en tant qu'utilisateur non privilégié régulier

Configuration des iptables

La configuration de votre propre VPN n'est pas une petite tâche, mais il y a beaucoup de raisons pour lesquelles vous voudriez le faire. D'une part, lorsque vous exécutez votre propre VPN, vous en avez un contrôle complet et savez exactement ce qu'il fait.

La sécurité est un facteur important pour les VPN. Il est possible d'en créer un simple en quelques minutes, mais il ne sera pas du tout sécurisé. Vous devez prendre les mesures appropriées pour vous assurer que le serveur et vos connexions restent privés et cryptés.

Avant de vous lancer dans cette route, vous voudrez peut-être envisager de crypter vos disques, renforcer la sécurité du noyau avec Sellinux ou Pax, et s'assurer que tout le reste est verrouillé.

Iptable est une grande partie de la sécurité du serveur. Vous avez besoin d'iptables pour vous assurer que les informations ne s'échappent pas de votre VPN. Iptables fonctionne également pour empêcher les connexions non autorisées. Ainsi, la première étape pour configurer un VPN sur Debian est la configuration des iptables.

Trouvez votre interface WAN

Avant de pouvoir commencer à écrire vos règles iptables, vous devez savoir pour quelle interface vous les écrivez.

Utiliser ifconfig ou ip a Pour rechercher l'interface avec laquelle votre serveur est connecté à Internet.

Le reste de ce guide se réfère à cette interface comme ETH0, Mais ce ne sera probablement pas le vôtre. Assurez-vous d'échanger au nom de l'interface réseau de votre serveur à la place.



Créer les règles iptables

Chaque utilisateur et administrateur Linux aime écrire des règles iptables, à droite? Ça ne sera pas si mauvais. Vous composerez un fichier avec toutes les commandes et vous le restaurez simplement en iptables.

Créez votre fichier. Vous pouvez le faire quelque part que vous souhaitez enregistrer ou simplement le jeter / tmp. Iptables enregistrera vos règles de toute façon, donc / tmp c'est bien.

$ vim / tmp / v4rules

Démarrez le fichier en ajoutant *filtre Pour faire savoir aux iptables que ce sont des règles de filtre.

Oui, il y en aura aussi un IPv6, mais ce sera beaucoup plus court.

Règles de bouclage

Commencez avec l'ensemble des règles le plus simple, les interfactions de bouclage. Ceux-ci disent que les iptables n'acceptent que le trafic Looback provenant de LocalHost.

-Une entrée -i lo -j accepter -a entrée ! -i lo -s 127.0.0.0/8 -j rejet -a sortie -o lo -j accepter 

Autoriser Ping

Ensuite, vous voulez probablement pouvoir cingler votre serveur. Ce groupe de règles permet de ping à travers.

-Une entrée -p ICMP -M State - State new --icmp-type 8 -j accepter -a entrée -p icmp -m état --state établi, lié -j accepte -a sortie -p icmp -j accepter 

Configuration SSH

Vous devriez probablement changer SSH du port 22, alors laissez vos règles refléter que.

-Une entrée -i eth0 -p tcp -m état --State new, établi --dport 22 -j accepter -a sortie -o eth0 -p tcp -m état --State établi - Sport 22 -J accepter 

Autoriser OpenVPN à travers

De toute évidence, vous allez vouloir autoriser le trafic OpenVPN à travers. Ce guide va utiliser UDP pour OpenVPN. Si vous choisissez d'aller avec TCP, laissez les règles refléter que.

-Une entrée -i eth0 -p udp -m État - state new, établi --dport 1194 -j accepter -a sortie -o eth0 -p udp -m État --State établi - Sport 1194 -J Accept 

DNS

Vous allez également vouloir autoriser le trafic DNS via votre serveur VPN. Ce sera via UDP et TCP.

-Une entrée -i eth0 -p udp -m état --State établi - Sport 53 -J Accept -a sortie -o eth0 -p udp -m State --State Nouveau, établi --dport 53 -j accepter -a entrée -i eth0 -p tcp -m état --State établi - Sport 53 -J Accepter -a sortie -o eth0 -p tcp -m State --State Nouveau, établi --dport 53 -j accepter 

Http / s pour les mises à jour

Cela peut sembler étrange d'autoriser le trafic HTTP / S, mais vous faire Je veux que Debian puisse se mettre à jour, à droite? Ces règles permettent à Debian d'initier des demandes HTTP, mais ne les reçoivent pas de l'extérieur.

-Une entrée -i eth0 -p tcp -m État --State établi - Sport 80 -J Accept -a Entrée -I eth0 -p tcp -m State --State établi - Sport 443 -J Accept -A Output -o ETH0 -P TCP -M State --State Nouveau, établi --DPORT 80 -J Accepter -A Output -o Eth0 -p TCP -M State --State Nouveau, établi --DPORT 443 -J Accepter 


NTP pour synchroniser votre horloge

En supposant que vous n'allez pas synchroniser manuellement votre horloge de serveur et les horloges clients, vous aurez besoin de NTP. Laissez-le aussi.

-Une entrée -i eth0 -p udp -m État --State établi --Sport 123 -J Accept -a sortie -o eth0 -p udp -m State --state new, établi --dport 123 -j accepter 

Tun au tunnel à travers le VPN

Ce guide utilise TUN pour tunnel via le VPN, si vous utilisez TAP, ajustez en conséquence.

-Une entrée -i tun0 -j accepter -a avant -i tun0 -j accepter -a sortie -o tun0 -j accepter 

Pour que le VPN transmette votre trafic vers Internet, vous devez activer le transfert de Tun à votre interface de réseau physique.

-Un avant -i tun0 -o eth0 -s 10.8.0.0/24 -J Accepter -a Forward -m State --State établi, lié -J accepter 

Trafic de journal bloqué

Vous devriez probablement avoir des iptables à enregistrer le trafic qu'il bloque. De cette façon, vous êtes conscient de toute menace potentielle.

-Une entrée -m limite - Limit 3 / min -j log - log-prefix "iptables_input_denided:" - Log-level 4 -a Forward -M limit - Limit 3 / min -j log - log-prefix " iptables_forward_dened: "--log-niveau 4 -a output -m limite - limit 3 / min -j log - log-prefix" iptables_output_denided: "--log-level 4 

Rejeter tous les autres trafics

Maintenant que vous enregistrez tout ce qui ne rentre pas dans les règles existantes, rejettez-la.

-Une entrée -j rejet -a avant -j rejet -a sortie -j rejet 

N'oubliez pas de fermer votre fichier avec COMMETTRE.

Nat

Cette partie suivante nécessite une table différente. Vous ne pouvez pas l'ajouter au même fichier, vous n'aurez donc qu'à exécuter la commande manuellement.

Faire du trafic à partir de la mascarade VPN comme trafic de l'interface du réseau physique.

# iptables -t nat -a postrouting -s 10.8.0.0/24 -o eth0 -j mascarade 

Bloquer tout le trafic IPv6

Le trafic peut s'échapper sur IPv6, et il n'est vraiment pas nécessaire d'utiliser IPv6 maintenant. La chose la plus simple à faire est de l'arrêter entièrement.

Créer un autre fichier et jeter les règles pour rejeter tout le trafic IPv6.

$ vim / tmp / v6rules
* filtre -a entrée -j rejet -a avant -j rejet -a sortie -j rejet commit 


Tout commettre

Commencez par éliminer toutes les règles iptables existantes.

# iptables -f && iptables -x 

Importez chacun des fichiers de règles que vous avez créés.

# iptables-restore < /tmp/v4rules # ip6tables-restore < /tmp/v6rules 

Le faire coller

Debian a un package qui gérera automatiquement vos règles iptables, vous n'avez donc pas à créer un travail cron ou quelque chose comme ça.

# apt installe iptables persistant

Le processus d'installation vous demandera si vous souhaitez enregistrer vos configurations. Réponse: "Oui."

À l'avenir, vous pouvez mettre à jour vos règles en exécutant la commande Linux suivante.

# Service NetFilter Persistent Save

Configuration supplémentaire

Il y a quelques autres choses que vous devez faire pour faire fonctionner toutes vos interfaces de réseau au besoin.

Tout d'abord, ouvrez / etc / hôtes et commentez toutes les lignes IPv6.

Ensuite, ouvrez / etc / sysctl.D / 99-SYSCTL.confli. Trouvez et décommentez la ligne suivante.

filet.ipv4.ip_forward = 1 

Ajoutez ces lignes suivantes pour désactiver complètement IPv6.

filet.ipv6.confli.tous.disable_ipv6 = 1 net.ipv6.confli.défaut.disable_ipv6 = 1 net.ipv6.confli.à.disable_ipv6 = 1 net.ipv6.confli.ETH0.disable_ipv6 = 1 

Enfin, appliquez vos modifications.

# sysctl -p 

Et après

C'est la première partie vers le bas. Le pare-feu de votre serveur est maintenant prêt à exécuter OpenVPN, et votre réseau est également correctement aligné.

L'étape suivante consiste à créer une autorité de certificat pour gérer toutes vos clés de chiffrement. Ce n'est pas un processus long que c'était le cas, mais c'est tout aussi important.

Autorité de certification

Utilisez Easy-RSA pour établir l'autorité de certificat que vous utiliserez pour créer et les clés de chiffrement pour votre serveur OpenVPN.

Ceci est la deuxième partie de la configuration d'un serveur OpenVPN sur Debian Stretch.

Les VPN s'appuient sur le cryptage. Il est absolument vital qu'ils cryptent leurs connexions avec les clients ainsi que le processus de connexion lui-même.

Afin de générer les clés nécessaires à la communication cryptée, vous devez établir une autorité de certificat. Ce n'est vraiment pas si difficile, et il existe des outils qui simplifient le processus plus loin.

Installation des packages

Avant de commencer, installez OpenVPN et Easy-RSA.

# apt install openvpn easy-rsa

Configurer le répertoire

Le package OpenVPN a créé un répertoire pour lui-même / etc / openvpn. C'est là que vous pouvez configurer l'autorité de certificat.

Easy-RSA comprend un script qui crée automatiquement un répertoire avec tout ce dont vous avez besoin. Utilisez-le pour créer votre répertoire d'autorité de certificat.

# Make-Cadir / etc / OpenVPN / CERTS

Entrez ce répertoire et créez un lien souple entre la dernière configuration OpenSSL avec OpenSSL.CNF.

# ln -s openssl-1.0.0.CNF OpenSSL.CNF


Définir les variables

À l'intérieur du dossier se trouve un fichier appelé, varbac. Ce fichier contient les variables que Easy-RSA utilisera pour générer vos clés. Ouvrez-le. Il y a quelques valeurs que vous devez modifier.

Commencez par trouver le Key_size variable et modifie sa valeur 4096.

exporter key_size = 4096

Ensuite, trouvez un bloc d'informations concernant l'emplacement et l'identité de votre autorité de certificat.

export key_country = "us" export key_provincy = "ca" export key_city = "sanfrancisco" export key_org = "forfunston" export key_email = "me @ myhost.myDomain "export key_ou =" myorganizationalUnit " 

Modifiez les valeurs pour vous correspondre.

La dernière variable que vous devez trouver est le Key_name

export key_name = "vpnserver"

Nommez quelque chose d'identifiable.

Créer les clés d'autorité

Easy-RSA comprend des scripts pour générer l'autorité de certificat.

Chargez d'abord les variables.

# source ./ VARS

Un message d'avertissement apparaîtra dans le terminal vous indiquant que Nettoie tout Effacera vos clés. Tu n'en as pas encore, donc ça va.

# ./Nettoie tout

Vous pouvez maintenant exécuter le script pour générer réellement votre autorité de certificat. Le script vous posera des questions sur les clés que vous générez. Les réponses par défaut seront les variables que vous avez déjà entrées. Vous pouvez casser en toute sécurité "Entrer."N'oubliez pas d'entrer un mot de passe si vous le souhaitez et répondez" oui "aux deux dernières questions.

# ./ build-ca

Créer une clé de serveur

Ces clés que vous avez faites étaient pour l'autorité de certificat elle-même. Vous avez également besoin d'une clé pour le serveur. Encore une fois, il y a un script pour ça.

# ./ serveur de serveur de clé de construction

Générer un diffie-hellman pem

Vous devez générer un diffie-hellman pem qu'OpenVPN utilisera pour créer des touches de sessions clients sécurisées. Easy-RSA fournit également un script pour cela, mais il est tout simplement plus facile d'utiliser OpenSSL PLAIN.

Étant donné que l'objectif ici est la sécurité, il est préférable de générer une clé 4096 bits. Cela va prendre un peu de temps à générer, et cela pourrait ralentir un peu le processus de connexion, mais le cryptage sera raisonnablement fort.

# OpenSSL DHPARAM 4096> / etc / OpenVPN / DH4096.pem

Générer une clé HMAC

Ouais, tu as besoin d'une autre clé de chiffrement. OpenVPN utilise des touches HMAC pour signer les paquets qu'il utilise dans le processus d'authentification TLS. En signant ces paquets, OpenVPN peut garantir que seuls les paquets provenant d'une machine avec la clé sont acceptés. Il ajoute juste une autre couche de sécurité.

L'utilité de générer votre clé HMAC est en fait intégrée à OpenVPN lui-même. Exécuter.

# openvpn --genkey - secret / etc / openvpn / certs / keys / ta.clé

Et après

La création d'un chiffrement fort est facilement l'un des aspects les plus importants de la configuration d'un serveur OpenVPN. Sans un bon cryptage, l'ensemble du processus est fondamentalement dénué de sens.

À ce stade, vous êtes enfin prêt à configurer le serveur lui-même. La configuration du serveur est en fait moins compliquée que ce que vous avez fait jusqu'à présent, alors félicitations.

OpenVPN Sever

Configurez le serveur OpenVPN à l'aide des touches de chiffrement que vous avez générées dans la section précédente du guide.

Ceci est la troisième partie de la configuration d'un serveur OpenVPN sur Debian Stretch.

Maintenant, vous êtes arrivé à l'événement principal. Ceci est la configuration réelle du serveur OpenVPN. Tout ce que vous avez fait jusqu'à présent était absolument nécessaire, mais rien de tout cela n'a touché OpenVPN lui-même, jusqu'à présent.

Cette section est entièrement préoccupée par la configuration et l'exécution du serveur OpenVPN, et c'est en fait moins compliqué que vous ne le pensez probablement.

Obtenez la configuration de base

OpenVPN a fait ce processus très facile. Le package que vous avez installé est venu avec des exemples de fichiers de configuration pour les deux clients et le serveur. Vous avez juste besoin de décompresser le serveur en vous / etc / openvpn annuaire.

# gunzip -c / usr / share / doc / openvpn / exemples / sampon-config-files / serveur.confli.gz> / etc / openvpn / serveur.confli 

Ouvrez-le dans votre éditeur de texte préféré et préparez-vous à commencer à changer les choses.



Utilisez vos clés

Une fois que vous êtes dans le fichier, vous verrez que tout est rempli de défauts raisonnables, et il y a beaucoup de commentaires qui fournissent une excellente documentation sur ce que tout fait.

La première chose que vous devez trouver est la section pour ajouter votre autorité de certificat et vos clés de serveur. Les variables sont Californie, certificat, et clé. Définissez-les égal au chemin complet de chacun de ces fichiers. Cela devrait ressembler à l'exemple ci-dessous.

CA / ETC / OpenVPN / CERTS / KEYS / CA.CRT CERT / ETC / OpenVPN / CERTS / KEYS / Server.CRT KEY / ETC / OpenVPN / CERTS / KEYS / Server.Clé # Ce fichier doit être gardé secret 

La partie suivante que vous devez trouver est le diffie-hellman .pem Lorsque vous avez terminé, cela devrait ressembler à ceci:

DH DH4096.pem

Enfin, trouvez TLS-AUTH pour votre clé HMAC.

TLS-AUTH / ETC.clé 0 # Ce fichier est secret

Oui, laissez le 0 Ici.

Renforcer la sécurité

Les paramètres de chiffrement dans le fichier de configuration sont corrects, mais ils pourraient être beaucoup mieux. Il est temps d'activer de meilleurs paramètres de chiffrement.

Trouvez la section qui commence par, # Sélectionnez un chiffre cryptographique. C'est là que vous devez ajouter la ligne suivante ci-dessous, il existait les options commentées.

Cipher AES-256-CBC

Ce n'est pas l'une des options répertoriées là-bas, mais elle est prise en charge par OpenVPN. Ce cryptage AES de 256 bits est probablement le meilleur offert par OpenVPN.

Faites défiler jusqu'à la fin du fichier. Les deux options suivantes ne sont pas déjà dans la configuration, vous devez donc les ajouter.

Tout d'abord, vous devez spécifier un fort digest d'authentification. Ceci est le chiffrement qu'OpenVPN utilisera pour l'authentification des utilisateurs. Choisissez Sha512.

# Auth Digest Auth Sha512 

Ensuite, limitez les chiffres que OpenVPN utilisera à ceux plus forts. Il est préférable de le limiter autant que possible.

# Limit Ciphers TLS-CIPHER TLS-DHE-RSA-WITH-AES-256-GCM-SHA384: TLS-DHE-RSA-WITH-AES-128-GCM-SHA256: TLS-DHE-RSA-WITH-AES-256- CBC-Sha: TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA: TLS-DHE-RSA-WITH-AES-128-CBC-SHA: TLS-DHE-RSA-WITH-CAMELLIA-128-CBC- Sha 

Trafic direct

Tous les trucs de chiffrement sont à l'écart. Il est temps de faire un peu de routage. Vous devez dire OpenVPN pour gérer la redirection du trafic et du DNS.

Commencez par rediriger le trafic. Trouvez la ligne ci-dessous et décalmentez-la.

Poussez "redirection-gate def1 bypass-dhcp"

Afin d'acheminer DNS via OpenVPN, vous devez lui donner des options DNS. Ces lignes sont déjà là et ont également commenté. Les décalés. Si vous souhaitez utiliser un autre serveur DNS, vous pouvez également changer l'IP en ce DNS.

Poussez "DHCP-Option DNS 208.67.222.222 "push" dhcp-option DNS 208.67.220.220 " 

Configurer un utilisateur OpenVPN

OpenVPN s'exécute comme racine par défaut. C'est une idée assez terrible. Si OpenVPN est compromis, l'ensemble du système est vissé. Il y a quelques lignes commentées pour exécuter OpenVPN comme "personne", mais "personne" gère généralement d'autres services aussi. Si vous ne voulez pas que OpenVPN ait accès à autre chose que OpenVPN, vous devez l'exécuter en tant que son propre utilisateur non privilégié.

Créez un utilisateur système pour OpenVPN pour s'exécuter en tant que.

# AddUser --System --shell / usr / sbin / nologin --no-créate-home openvpn 

Ensuite, vous pouvez modifier le fichier de configuration en démontant les lignes qui exécutent OpenVPN comme «personne» et le remplacer par le nom d'utilisateur que vous venez de faire.

Groupe OpenVPN utilisateur Nogroup 


Envoyer des journaux à null

Il y a deux options en ce qui concerne les journaux, et ils ont tous les deux leurs mérites. Vous pouvez tout enregistrer comme d'habitude et avoir les journaux à remonter à une date ultérieure, ou vous pouvez être paranoïaque et vous connecter à / dev / null.

En enregistrant à / dev / null, Vous effacez tout enregistrement des clients qui se connectent au VPN et où ils vont. Même si vous contrôlez votre VPN, vous voudrez peut-être suivre cette voie si vous essayez d'être plus d'esprit de la vie privée.

Si vous souhaitez détruire vos journaux, trouvez le statut, enregistrer, et logiciel variables et les pointer tous à / dev / null. Il devrait ressembler à l'exemple ci-dessous.

Statut / dev / null… log / dev / null log-annPEND / dev / null 

C'est la dernière partie de la configuration. Enregistrez-le et préparez-vous à exécuter votre serveur.

Exécutez votre serveur

Il y a en fait deux services que vous devez commencer à tourner OpenVPN sur Debian Stretch. Démarrez-les tous les deux avec Systemd.

# systemctl start openvpn # systemctl start openvpn @ server 

Vérifiez qu'ils fonctionnent correctement.

# SystemCTl Status OpenVPN *.service 

Leur permettent tous les deux de courir au démarrage.

# SystemCTL Activer OpenVPN # SystemCTL Activer OpenVPN @ Server 

Vous avez maintenant un serveur VPN en cours d'exécution sur Debian Stretch!

Et après

Vous êtes ici. Vous l'avez fait! Debian dirige maintenant OpenVPN derrière un pare-feu sécurisé, et il est prêt pour les clients à se connecter.

Dans la section suivante, vous configurerez votre premier client et le connectez à votre serveur.

Client OpenVPN

Configurer et OpenVPN Client pour se connecter au serveur OpenVPN nouvellement configuré.

Il s'agit de la quatrième et dernière partie de la configuration d'un serveur OpenVPN sur Debian Stretch.

Maintenant que votre serveur est en cours d'exécution, vous pouvez configurer un client pour y connecter. Ce client peut être n'importe quel appareil qui prend en charge OpenVPN, qui est presque n'importe quoi.

Il y a quelque chose que vous devez d'abord faire sur le serveur pour remettre au client, mais après cela, il s'agit de configurer cette connexion.

Créer des clés client

Commencez par faire un ensemble de clés client. Le processus est presque identique à celui que vous avez utilisé pour faire les clés du serveur.

CD Dans le répertoire de l'autorité de certificat, définissez la source du fichier Variables et construisez les clés.

# cd / etc / openvpn / certs # source ./ VARS # ./ Build-Key FirstClient 

Vous pouvez nommer la clé du client tout ce que vous choisissez. Encore une fois, le script vous posera une série de questions. Les valeurs par défaut devraient être bonnes pour tout.

Fichier de configuration du client

OpenVPN fournit des exemples de configurations client en plus de celles du serveur. Crate un nouveau répertoire pour la configuration de votre client et copiez l'exemple dans.

# mkdir / etc / openvpn / clients # cp / usr / share / doc / openvpn / exemples / sampon-config-files / client.conf / etc / openvpn / clients / client.OVPN 

Ouvrez le fichier dans votre éditeur de texte de choix.



Hôte éloigné

Trouvez la ligne avec le télécommande variable. Définissez-le égal à l'IP de votre serveur.

Remote 192.168.1.5 1194 

Ne devenir personne

Il n'y a pas de formation avec les hommes sans visage requis. Trouvez juste un inconnu les lignes ci-dessous.

utilisateur personne groupe Nogroup 

Configurez vos clés

Vous devez dire à la configuration du client où trouver les clés dont il a besoin aussi. Trouvez les lignes suivantes et modifiez-les pour correspondre à ce que vous avez configuré.

CA CA.CRT CERT FirstClient.CRT Key FirstClient.clé 

Assurez-vous d'utiliser les noms réels du CLIENT CERT ET KEY. Le chemin est bien. Vous mettrez tout cela dans le même répertoire.

Trouver et décommenter la ligne pour HMAC.

TLS-AUTH TA.clé 1 

Spécifier le cryptage

Le client a besoin de savoir quel cryptage le serveur utilise. Tout comme le serveur, quelques-unes de ces lignes doivent être ajoutées.

Trouvez le chiffrer variable. C'est commenté. Décommentez-le et ajoutez le chiffre que vous avez utilisé sur le serveur.

Cipher AES-256-CBC 

Ajouter le digest d'authentification et les restrictions de chiffre à la fin de la configuration du client.

# Authentification Digest Auth Sha512 # Restrictions de chiffre TLS-CIPHER TLS-DHE-RSA-WITH-AES-256-GCM-SHA384: TLS-DHE-RSA-WITH-AES-128-GCM-SHA256: TLS-DHE-WITHE -AES-256-CBC-Sha: TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA: TLS-DHE-RSA-WITH-AES-128-CBC-SHA: TLS-DHE-RSA-WITH-CAMELLIA -128-cbc-sha 

Enregistrez votre configuration et sortez.

Envoyez un tarball au client

Vous devez emballer la configuration et les clés de votre client dans un tarball et l'envoyer au client. Chargez tout en un seul tarball pour simplifier les choses du client.

# TAR CJF / etc / OpenVPN / Clients / FirstClient.le goudron.XZ -C / ETC / OpenVPN / CERTS / KEYS CA.CRT FirstClient.CRT FirstClient.TA clé.Key -c / etc / openvpn / clients / client.OVPN 

Maintenant, vous pouvez transférer ce tarball vers votre client comme vous le souhaitez.

Connecter

En supposant que votre client est une distribution Debian, le processus de connexion est très simple. Installez OpenVPN comme vous l'avez fait sur le serveur.

# apt install openvpn

Extraire votre tarball dans le / etc / openvpn Répertoire que l'installation a créé.

# cd / etc / openvpn # tar xjf / path / to / firstclient.le goudron.xz 

Vous devrez peut-être renommer client.OVPN pour openvpn.confli. Vous obtiendrez une erreur sur le démarrage si vous le faites.

Démarrer et activer OpenVPN avec SystemD.

# systemctl start openvpn # systemctl activer openvpn 

Conclusion

Vous avez un serveur VPN fonctionnel et un client connecté! Vous pouvez également suivre la même procédure détaillée dans ce guide pour vos autres clients. Assurez-vous de créer des clés séparées pour chacun. Vous pouvez utiliser le même fichier de configuration, cependant.

Vous pourriez également vouloir vous assurer que tout fonctionne correctement. Rendez-vous au test de fuite DNS pour vous assurer que votre IP corrige le serveur et que vous n'utilisez pas le DNS de votre IPS.

Tutoriels Linux connexes:

  • Ubuntu de base 22.04 Configuration de la connexion client / serveur OpenVPN
  • Comment configurer un serveur OpenVPN sur Ubuntu 20.04
  • Choses à installer sur Ubuntu 20.04
  • Choses à faire après l'installation d'Ubuntu 20.04 Focal Fossa Linux
  • Téléchargement Linux
  • Installez Arch Linux dans VMware Workstation
  • Meilleure distribution Linux pour les développeurs
  • Commandes Linux: les 20 meilleures commandes les plus importantes que vous devez…
  • Comment créer un VPN sur Ubuntu 20.04 Utilisation de Wireguard
  • Une introduction à l'automatisation Linux, des outils et des techniques