So installieren und konfigurieren Sie OpenVPN unter Debian

OpenVPN ist zweifellos der beste Weg, um einem Netzwerk sicher über das Internet beizutreten. OpenVPN ist eine Open-Source-VPN-Ressource, die es uns als Benutzern ermöglicht, unser Surfen zu maskieren, um zu vermeiden, Opfer im Netzwerk zu werden.

Dies sind sehr wichtige Aspekte auf der Sicherheitsebene, die wir berücksichtigen müssen, und dieses Mal werden wir den Prozess analysieren OpenVPN-Konfiguration in einer Umgebung Debian 8.

NotizBevor Sie mit dem Installationsprozess beginnen, müssen Sie bestimmte Anforderungen erfüllen. Diese sind:

  • Root-Benutzer.
  • Droplet Debian 8, wir haben derzeit Debian 8.1

1. So installieren Sie OpenVPN


Der erste Schritt, den wir machen werden, ist aktualisiere alle Pakete in der Umgebung mit Befehl:
 apt-get-Update

Sobald die Pakete heruntergeladen und aktualisiert wurden installieren wir OpenVPN mit easy-RSA für Verschlüsselungsprobleme. Wir werden den folgenden Befehl ausführen:

 apt-get install openvpn easy-rsa

Dann wir müssen unser OpenVPN konfigurieren, die OpenVPN-Konfigurationsdateien werden im folgenden Pfad gespeichert: /etc/openvpn und wir müssen diese zu unserer Konfiguration hinzufügen, wir werden den folgenden Befehl verwenden:

 gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz> /etc/openvpn/server.conf
Sobald wir diese Dateien in den ausgewählten Pfad extrahiert haben, öffnen wir sie mit dem Nano-Editor und führen den folgenden Befehl aus:
 nano /etc/openvpn/server.conf
Wir sehen das folgende Fenster:

Sobald wir da sind wir müssen einige Änderungen an der Datei vornehmen, diese Änderungen sind im Wesentlichen:

  • Sicherung des Servers mit High-Level-Verschlüsselung
  • Web-Traffic zum Ziel zulassen
  • Verhindern, dass DNS-Anfragen außerhalb der VPN-Verbindung gefiltert werden
  • Installationsberechtigungen

Wir gehen zu doppelte Länge des RSA-Schlüssels die verwendet wird, wenn die Schlüssel sowohl des Servers als auch des Clients generiert werden. Dazu durchsuchen wir die Datei nach den folgenden Werten und ändern den Wert dh1024.pem durch den Wert dh2048.pem:

 # Diffie-Hellman-Parameter. # Eigene generieren mit: # openssl dhparam -out dh1024.pem 1024 # Ersetzen Sie 1024 durch 2048, wenn Sie # 2048-Bit-Schlüssel verwenden. dh dh1024.pem

Jetzt lass uns Stellen Sie sicher, dass der Verkehr korrekt zum Ziel umgeleitet wird, lassen Sie uns push "redirect-gateway def1 Bypass-dhcp" auskommentieren, indem wir das; am Anfang davon entfernen. in der Datei server.conf:

 # Wenn diese Anweisung aktiviert ist, konfiguriert diese Anweisung # alle Clients so, dass sie ihr Standard-Netzwerk-Gateway # über das VPN umleiten, wodurch # der gesamte IP-Verkehr, wie z NAT # oder Bridge die TUN / TAP-Schnittstelle zum Internet # in ***** damit dies richtig funktioniert).; drücken Sie "redirect-gateway def1 umgehen-dhcp"

Der nächste Schritt wird sein Sagen Sie dem Server, dass er OpenDNS für die DNS-Namensauflösung verwenden soll Soweit es möglich ist, vermeiden wir auf diese Weise, dass DNS-Anfragen außerhalb der VPN-Verbindung stehen, müssen wir folgenden Text in unserer Datei finden:

 # Bestimmte Windows-spezifische Netzwerkeinstellungen # können an Clients übertragen werden, wie z. B. DNS- # oder WINS-Serveradressen. VORSICHT: # http://openvpn.net/faq.html#dhcpcaveats # Die Adressen unten beziehen sich auf die öffentlichen # DNS-Server, die von opendns.com bereitgestellt werden.; "dhcp-Option DNS 208.67.222.222" drücken; "dhcp-Option DNS 208.67.220.220" drücken
Dort müssen wir den Push "dhcp-option DNS 208.67.222.222" deaktivieren und die "dhcp-option DNS 208.67.220.220"-Kommentare durch Entfernen des; von Anfang an.

Endlich werden wir Berechtigungen definieren In dieselbe Datei, an der wir arbeiten, platzieren wir den folgenden Text:

 # Sie können dies auf # Nicht-Windows-Systemen auskommentieren.; Benutzer niemand; Gruppe keine Gruppe
Wir fahren fort, das Kontrollkästchen zu entfernen, um das Zeichen zu entfernen. vom Anfang der Texte Benutzer niemand Ja Gruppe keine Gruppe.

Wie wir wissen, läuft OpenVPN standardmäßig als Root-Benutzer, der es erlaubt, jeden Parameter zu bearbeiten, mit der letzten Änderung werden wir es aus Sicherheitsgründen auf den Benutzer none und die Gruppe nogroup beschränken.
Wir speichern die Änderungen mit der Tastenkombination:

Strg + Aus

Und wir verlassen den Editor mit:

Strg + X

Jetzt gehen wir Paketweiterleitung an das externe Netzwerk aktivieren, dazu führen wir den folgenden Befehl aus:

 echo 1> / proc / sys / net / ipv4 / ip_forward
Wir müssen diese Änderung dauerhaft machen, nicht dass wir es jedes Mal tun müssen, wenn wir das System starten, um es kontinuierlich zu machen, werden wir die systcl-Datei mit dem Nano-Editor eingeben, dazu führen wir Folgendes aus:
 nano /etc/sysctl.conf
Das folgende Fenster wird angezeigt:

Wir suchen die folgende Zeile:

 # Entkommentieren Sie die nächste Zeile, um die Paketweiterleitung für IPv4 zu aktivieren # net.ipv4.ip_forward = 1
NotizDenken Sie daran, dass wir die Editorsuche mit der Tastenkombination verwenden können:

Strg + W

Dort werden wir die Markierung des Kommentars aufheben net.ipv4.ip_forward = 1 Entfernen des #-Symbols.

Der nächste Schritt, den wir machen müssen, ist UFW konfigurieren. UFW ist eine Firewall-Konfiguration für IP-Tabellen, daher werden wir einige Anpassungen vornehmen, um die UFW-Sicherheit zu ändern. Als ersten Schritt installieren wir die UFW-Pakete mit dem folgenden Befehl:

 apt-get install ufw

Nachdem die erforderlichen UFW-Pakete heruntergeladen und installiert wurden, werden wir UFW so konfigurieren, dass SSH-Verbindungen zugelassen werden. Dazu führen wir Folgendes aus:

 ufw erlauben ssh

In unserem Fall arbeiten wir an Port 1194 von UDP, wir müssen diesen Port konfigurieren, damit die Kommunikation zufriedenstellend ist, wir geben Folgendes ein:

 ufw erlauben 1194 / udp
NotizWir können die Ports unserer Konsole mit dem Befehl lsof -iUDP . sehen

Als nächstes bearbeiten wir die UFW-Konfigurationsdatei dafür, die wir mit dem Nano-Editor in den folgenden Pfad eingeben:

 nano / etc / default / ufw
Es öffnet sich folgendes Fenster:

Dort werden wir einige Änderungen vornehmen, wir werden die folgende Zeile finden, in der wir ändern DROP in ACCEPT.

 DEFAULT_FORWARD_POLICY = "DROP"
Der nächste Schritt ist einige Regeln in UFW für die Übersetzung der Netzwerkadressen und die korrekte Maskierung der IP-Adressen hinzufügen der Benutzer, die sich verbinden. Öffnen wir die folgende Datei mit dem Nano-Editor:
 nano /etc/ufw/before.rules
Wir werden sehen, dass das folgende Fenster angezeigt wird:

Wir werden folgenden Text hinzufügen:

 # OPENVPN-REGELN STARTEN # NAT-Tabellenregeln * nat: POSTROUTING ACCEPT [0: 0] # Verkehr vom OpenVPN-Client zu eth0 zulassen -A POSTROUTING -s 10.8.0.0/8 -o eth0 -j MASQUERADE COMMIT # END OPENVPN RULES

Sobald wir diese Änderungen vorgenommen haben, fahren wir fort mit UFW aktivieren mit dem folgenden Befehl:

 ufw aktivieren

Zu Überprüfen Sie die Firewall-RegelnIch verwende den folgenden Befehl:

 ufw-Status 

2. OpenVPN-Autoritätszertifikat erstellen


Der nächste Schritt in unserem Prozess ist Berechtigungszertifikat für die Anmeldung über OpenVPN erstellenDenken Sie daran, dass OpenVPN diese Zertifikate verwendet, um den Datenverkehr zu verschlüsseln. OpenVPN unterstützt die bidirektionale Zertifizierung, dh der Client muss das Zertifikat des Servers authentifizieren und umgekehrt.
Wir werden die Skripte mit dem folgenden Befehl über easy-RSA kopieren:
 cp -r / usr / share / easy-rsa / / etc / openvpn
Wir gehen zu Erstellen Sie ein Verzeichnis, um die Schlüssel zu speichern, verwenden wir den folgenden Befehl:
 mkdir / etc / openvpn / easy-rsa / keys
Der nächste Schritt ist Zertifikatsparameter bearbeiten, verwenden wir den folgenden Befehl:
 nano / etc / openvpn / easy-rsa / vars
Das folgende Fenster wird angezeigt:

Wir werden die folgenden Parameter gemäß unseren Anforderungen ändern:

 export KEY_COUNTRY = "CO"-Export KEY_PROVINCE = "BO"-Export KEY_CITY = "Bogota"-Export KEY_ORG = "Solvetic"-Export KEY_EMAIL = "[email protected]" export KEY_OU = "Solvetic"

In derselben Datei werden wir die folgende Zeile bearbeiten:

 # X509-Betrefffeldexport KEY_NAME = "EasyRSA"
Wir gehen zu Ändern Sie den EasyRSA-Wert in den Namen des gewünschten Servers, verwenden wir den Namen Solvetic.

Jetzt gehen wir Diffie-Helman-Parameter konfigurieren mit einem in OpenSSL integrierten Tool namens dhparam. Wir geben den folgenden Befehl ein und führen ihn aus:

 openssl dhparam -out /etc/openvpn/dh2048.pem 2048

Sobald das Zertifikat erstellt wurde, werden wir easy-RSA-Verzeichnis ändern mit Befehl:

 cd / etc / openvpn / easy-rsa
Wir gehen zu Initialisieren der PKI, verwenden wir den Befehl:
… / Vars

Wir gehen zu lösche die anderen Tasten damit sie die Installation mit dem Befehl nicht stören:

 ./alles reinigen
Jetzt gehen wir Erstellen Sie das Zertifikat mit dem folgenden OpenSSL-Befehl:
 ./build-ca

Wir können eine Reihe von Fragen sehen, die sich auf die zuvor eingegebenen Informationen beziehen, auf diese Weise wurde das Zertifikat erstellt. Als nächstes starten wir dafür unseren OpenVPN-Server Wir bearbeiten die Datei im Pfad / etc / openvpn / easy-rsa unter Verwendung des zuvor angegebenen Schlüsselnamens, in unserem Fall Solvetic. Wir werden den folgenden Befehl ausführen:

 ./build-key-server Solvetic

In den folgenden Zeilen können wir das Leerzeichen leer lassen und die Eingabetaste drücken:

 Bitte geben Sie die folgenden 'zusätzlichen' Attribute ein, die mit Ihrer Zertifikatsanforderung gesendet werden sollen Ein Challenge-Passwort []: Ein optionaler Firmenname []:
Das folgende Fenster wird angezeigt, in dem wir den Buchstaben y (ja) eingeben müssen, um die folgenden beiden Fragen zu akzeptieren: Zertifikat signieren und Zertifikate anfordern.

Jetzt lass uns Verschieben Sie sowohl Zertifikate als auch Schlüssel in den /etc/openvpn-Pfad, führen wir den folgenden Befehl aus:

 cp /etc/openvpn/easy-rsa/keys/[Solvetic.crt,Solvetic.key,ca.crt} /etc / openvpn
Sobald dieser Prozess abgeschlossen ist, werden wir Starten Sie den OpenVPN-Dienst mit Befehl:
 Dienst openvpn starten
Zu den Status sehen Wir werden den Befehl verwenden:
 Service-Openvpn-Status

Unser nächster Schritt besteht darin, die Zertifikate und Schlüssel für die Clients zu erstellen, die sich mit dem VPN verbinden möchten. Aus Sicherheitsgründen verfügt im Idealfall jeder Client, der sich mit dem Server verbindet, über ein eigenes Zertifikat und einen eigenen Schlüssel, niemals teilen, standardmäßig erlaubt OpenVPN keine gleichzeitigen Verbindungen mit demselben Zertifikat und Schlüssel. Wir werden den Schlüssel für unseren Client erstellen, dazu geben wir den folgenden Befehl ein:

 ./build-key Client_Name, in unserem Beispiel verwenden wir den folgenden Befehl: ./build-key Tests

Wir füllen die erforderlichen Felder aus und dann werden wir Kopieren Sie den generierten Schlüssel in das easy-RSA-Verzeichnis.

 cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/easy-rsa/keys/client.ovpn.
Jetzt lass uns Laden Sie das Winscp-Tool kostenlos herunter aus dem Link unten. Mit diesem Tool können wir uns über SFTP oder FTP mit unserem Debian-Rechner verbinden, um zu überprüfen, ob die Dateien korrekt erstellt wurden. Sobald wir es heruntergeladen und ausgeführt haben, ist dies das Fenster, das wir sehen können:

Dort geben wir die IP-Adresse des Debian-Rechners ein. Denken Sie daran, dass die IP mit dem Befehl ifconfig validiert werden kann, geben Sie die Anmeldeinformationen ein und sobald wir auf Connect klicken, können wir Folgendes sehen:

VERGRÖSSERN

Dort sehen wir auf der rechten Seite die jeweiligen Dateien der Schlüssel und Schlüssel. Für den Zugriff über OpenVPN laden wir das Tool unter folgendem Link herunter OpenVPN-Version 2.3.11. Nachdem wir es heruntergeladen haben, müssen wir einige Änderungen in diesem Tool berücksichtigen. Das erste, was wir tun werden, ist die Schlüsseldateien und Schlüssel in den Pfad zu kopieren, in dem OpenVPN normalerweise installiert ist:

 C:\Programme\OpenVPN\config
Später erstellen wir eine Datei in Notepad oder dem Texteditor, die wir mit den folgenden Informationen haben:
 client dev tun proto udp remote 192.168.0.12 1194 key client.key cert client.crt ca ca.crt auth-user-pass persist-key persist-tun comp-lzo verb 3
NotizDie IP ist die unserer Debian-Maschine und die Portierung ist, wie wir zuvor gesehen haben, UDP 1194.
Diese Datei muss mit der Erweiterung .ovpn gespeichert werden.

3. OpenVPN-Client-Zugriffstest


Lass uns OpenVPN ausführen und dies wird die Umgebung sein, in der wir uns wiederfinden werden:

Wir geben die Zugangsdaten des Benutzers ein zu verbinden und klicken Sie auf In Ordnung und wir können folgendes sehen

HinweisWir stellen diese Verbindung von einem Windows 7-Computer her.

Jetzt können wir in der Benachrichtigungsleiste sehen, dass die Verbindung erfolgreich war und wir können die neue IP-Adresse sehen.

Wenn wir mit der rechten Maustaste auf das Tool (Symbol in der Benachrichtigungsleiste) klicken, haben wir folgende Optionen:

Von hier aus können wir die Aufgaben ausführen, die wir für notwendig erachten. Zum Beispiel ja wir wählen Status anzeigen wir werden folgendes sehen:

4. OpenVPN-Sicherheitstools']


Es besteht kein Zweifel, dass die Surfen im Internet kann zu Sicherheitsproblemen führen wie Viren, Informationsdiebstahl, Spyware usw., aus diesem Grund gibt es einige Tools, die wir implementieren können, um die Sicherheit auf unserem Computer zu verbessern, sobald die OpenVPN.

Lass uns reden über Clamav Dies ist ein leistungsstarker Antivirus, der uns hilft, die Kontrolle über infizierte Dateien oder Prozesse in unserem Debian 8.1 zu behalten. Es handelt sich um Open-Source-Software, die es uns ermöglicht, Trojaner, Malware und andere latente Bedrohungen auf unseren Computern zu erkennen. Der Installationsprozess ist sehr einfach, dazu führen wir den folgenden Befehl aus:

 Sudo apt-get install clamav

Später werden wir ausführen frische Muschel damit die gesamte Clamav-Datenbank aktualisiert wird.
Um einen Scan auf dem Computer auszuführen, geben wir die folgende Syntax ein:

 Clamscan -infiziert -entfernen -rekursiv / home
Nach einem Moment sehen wir eine Zusammenfassung der Scan-Aufgabe:

Ein weiteres Tool, mit dem wir unsere Sicherheit verbessern können, ist Privoxy der als Web-Proxy funktioniert und erweiterte Funktionen zum Schutz der Privatsphäre, zum Verwalten von Cookies, zur Zugriffskontrolle und zum Entfernen von Anzeigen enthält. Um es auf unserem Debian 8.1-System zu installieren, führen wir den folgenden Befehl aus:

 Sudo apt-get install privoxy

Denken Sie daran, dass sudo nicht erforderlich ist, wenn wir Root-Benutzer sind. Nachdem alle Privoxy-Pakete heruntergeladen und installiert wurden, werden wir einige Parameter in der Konfigurationsdatei ändern. Dazu führen wir den folgenden Befehl aus:

 Sudo nano / etc / privoxy / config
Folgendes wird angezeigt:

Dort müssen wir die Linie lokalisieren Listen-Adresse localhost: 8118 und wir müssen 2 Parameter hinzufügen, zuerst das #-Symbol am Anfang dieser Zeile hinzufügen und darunter den Begriff listen-address ip_of_nour machine: 8118 eingeben, in unserem Fall ist es:

 Höradresse 192.168.0.10:8118.
Sobald dies erledigt ist, starten wir den Dienst neu mit:
 sudo /etc/init.d/privoxy restart

Als nächstes gehen wir zu dem Browser, den wir in Debian haben, und ändern die Proxy-Parameter. Wir müssen bestätigen, dass die IP die von uns hinzugefügte ist und der Port 8118 ist. In unserem Beispiel verwenden wir IceWeasel und müssen Folgendes eingeben:

  • Vorlieben
  • Fortschrittlich
  • Netz
  • Verbindungsaufbau
  • Manuelle Proxy-Konfiguration

Nach der Konfiguration klicken wir auf OK. Jetzt können wir sehen wie Privoxy hilft uns bei der Sicherheit:

Es gibt andere Tools, die uns helfen können, die Navigation mit unserem OpenVPN zu verbessern, die wir implementieren können:

DnsmasqEs stellt uns DNS-Dienste zur Verfügung, auf diese Weise verwenden wir nur den DNS-Cache.

HAVPMit diesem Tool haben wir einen Proxy mit Antivirus, der den gesamten Datenverkehr auf Viren oder ein seltsames Verhalten scannt.

Wie wir sehen, ist es sehr wichtig, Maßnahmen zu ergreifen, die uns helfen, die Kontrolle über unsere Navigation zu behalten, und uns klar zu machen, dass die korrekte Funktionsweise von Debian 8.1

Lassen Sie uns weiterhin all die großen Vorteile erkunden, die uns Debian 8.1 bietet, und unsere Umgebung verbessern, da viele von uns Administratoren, Koordinatoren oder Verantwortliche für den IT-Bereich sind und diese Tipps uns helfen, den Alltag leichter und mit den Möglichkeiten zu bewältigen in Zukunft keine kritischen Probleme zu haben, die große Kopfschmerzen bereiten können.

LAMP auf Debian 8 installieren

wave wave wave wave wave