20T25 Instalacja OpenVPN w 15 min

馃憠 W tym odcinku pokazuj臋 jak zainstalowa膰 serwer OpenVPN 2.4 w 15 min.

馃憠 Instalacja OpenVPN 2.4 w 15 min


Lista wymaganych komend, poni偶ej:

Konfiguracja serwera

Aktualizacja listy dost臋pnych paczek oprogramowania, instalacja paczki do generowania certyfikat贸w, instalacja OpenVPN’a:

sudo apt-get update && sudo apt-get -y install easy-rsa && sudo apt-get -y install openvpn

Stworzenie struktury katalog贸w pod urz膮d certyfikacji:

make-cadir nap-ca && cd nap-ca

Ustawienie zmiennych do generowania certyfikat贸w:

vi vars
set_var EASYRSA_REQ_COUNTRY "PL"
set_var EASYRSA_REQ_PROVINCE "Mazowieckie"
set_var EASYRSA_REQ_CITY "Warszawa"
set_var EASYRSA_REQ_ORG "NetAdminPro.pl"
set_var EASYRSA_REQ_EMAIL "ca@netadminpro.pl"
set_var EASYRSA_REQ_OU "NetAdminPro.pl"

Inicjowanie struktury PKI

./easyrsa init-pki

Inicjowanie struktury CA

./easyrsa build-ca

Generowanie wniosku o certyfikat serwera OpenVPN

./easyrsa gen-req nap-openvpn-serv nopass

Podpisanie wniosku o certyfikat serwera OpenVPN

./easyrsa sign-req server nap-openvpn-serv

Weryfikacja poprawno艣ci certyfikatu

openssl verify -CAfile pki/ca.crt pki/issued/nap-openvpn-serv.crt

Generowanie klucza do algorytmu diffie hellman

/usr/share/easy-rsa/easyrsa gen-dh

Kopiowanie certyfikatu urz臋du CA, serwera OpenVPN oraz klucza prywatnego dla serwera OpenVPN i pod szyfrowanie diffie hellman

sudo cp pki/ca.crt /etc/openvpn/
sudo cp pki/issued/nap-openvpn-serv.crt /etc/openvpn/
sudo cp pki/private/nap-openvpn-serv.key /etc/openvpn/
sudo cp pki/dh.pem /etc/openvpn/dh2048.pem

Generowanie klucza symetrycznego dodatkowo zabezpieczaj膮cego integralno艣膰 pakiet贸w w wymianie komunikat贸w zestawiaj膮cych komunikacj臋 SSL/TLS

openvpn --genkey --secret ta.key

Kopiowanie klucza ta do katalogu OpenVpn

sudo cp ta.key /etc/openvpn

Kopiowanie wzoru konfiguracji serwera OpenVPN

zcat /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | sudo tee /etc/openvpn/server.conf > /dev/null
cd /etc/openvpn/

Edycja wzoru pliku konfiguracyjnego serwera OpenVPN

sudo vim server.conf
#OpenVPN Server Certificate - CA, server key and certificate
ca ca.crt
cert nap-openvpn-serv.crt
key nap-openvpn-serv.key
#Network Configuration - Internal network
#Redirect all Connection through OpenVPN Server
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1"
#Using the DNS
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
#Other Configuration
user nobody
group nobody
#OpenVPN Log
log-append /var/log/openvpn.log
#More connection from 1 cert
duplicate-cn

Upewnienie si臋, 偶e uprawnienia do katalogu OpenVPN ma jedynie root

sudo chown -R root:root /etc/openvpn

W艂膮czenie funkcjonalno艣ci routera dla Ubuntu

sudo vi /etc/sysctl.conf
net.ipv4.ip_forward=1
sudo sysctl -p

Zmiana domy艣lnego zachowania si臋 firewalla na domy艣lne akceptowanie przekazywania pakiet贸w

sudo vi /etc/default/ufw
/DEFAULT_FORWARD_POLICY="ACCEPT"

W艂膮czenie funkcjonalno艣ci NAT’a dla u偶ytkownik贸w sieci wykorzystywanej dla klient贸w OpenVPN

sudo vi /etc/ufw/before.rules
(Doda膰 powy偶ej sekcji filter rules, ens32 to interfejs zewn臋trzny, a sie膰 10.8.0.0/24 to sie膰 wewn臋trzna do realizacji NAT)
*nat
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 10.8.0.0/24 -o ens32 -j MASQUERADE
COMMIT

Zezwolenie w polityce firewall na us艂ug臋 OpenVPN oraz SSH

sudo ufw allow openvpn
sudo ufw allow ssh

Restart firewall’a w celu zastosowania zmian

sudo ufw disable && sudo ufw enable

Restart us艂ugi OpenVPN i dodanie tej us艂ugi do autostartu systemu

sudo systemctl restart openvpn && sudo systemctl enable openvpn

Konfiguracja klienta

Generowanie wniosku o certyfikat dla klienta

./easyrsa gen-req student nopass

Podpisanie wniosku o certyfikat dla klienta przez urz膮d CA

./easyrsa sign-req client student

Weryfikacja poprawno艣ci certyfikatu

openssl verify -CAfile pki/ca.crt pki/issued/student.crt

Stworzenie katalogu do zebrania plik贸w potrzebnych do generowania pe艂nej konfiguracji klienta ko艅cowego

mkdir ~/students

Kopiowanie certyfikat贸w CA, klienta oraz plik贸w kluczy prywatnych klienta oraz klucza ta (dodatkowe zabezpieczenie pakiet贸w negocjowania sesji SSL/TLS)

sudo cp ~/nap-ca/pki/issued/student.crt ~/students/
sudo cp ~/nap-ca/pki/private/student.key ~/students/
sudo cp /etc/openvpn/ta.key ~/students/
sudo cp ~/nap-ca/pki/ca.crt ~/students/

Kopiowanie wzoru konfiguracji klienta

cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf ~/students

Edycja pliku konfiguracyjnego klienta

sudo vi ~/students/client.conf
remote [ip-address or domain-name] 1194
;ca ca.crt
;cert client.crt
;key client.key
;tls-auth ta.key 1
<ca>
# Tutaj nale偶y wstawi膰 zawarto艣膰 pliku ca.crt
</ca>
<cert>
# Tutaj nale偶y wstawi膰 zawarto艣膰 pliku student1.crt
</cert>
<key>
# Tutaj nale偶y wstawi膰 zawarto艣膰 pliku student1.key
</key>
key-direction 1
<tls-auth>
Tutaj nale偶y wstawi膰 zawarto艣膰 pliku ta.key
</tls-auth>

Zmiana nazwy pliku konfiguracyjnego klienta

mv ~/students/client.conf ~/students/student1.ovpn

Chcesz wi臋cej informacji?

Do艂膮cz do naszej strony fan贸w na Facebook:

Grupa na Facebooku

Wi臋cej miejsc do pos艂uchania:

Spotify

 

Transkrypcja filmu:

0:00:01.760,0:00:05.640
Jeste艣 zainteresowany instalacj膮 serwera openVPN?

0:00:05.640,0:00:08.420
Czyli zastosowaniem open source’owego

0:00:08.420,0:00:10.400
narz臋dzia do dost臋pu zdalnego

0:00:10.405,0:00:13.675
w oparciu o certyfikaty i VPN-a

0:00:13.675,0:00:15.895
w oparciu o SSL, TLS.

0:00:16.640,0:00:18.960
To ten odcinek jest w艂a艣nie dla Ciebie.

Instalacja OpenVPN w 15 min

0:00:18.960,0:00:21.960
Zaczynam od instalacji

0:00:22.000,0:00:27.060
pakiet贸w, czyli najpierw aktualizacja paczek na moim serwerze Ubuntu.

0:00:29.660,0:00:32.100
Nast臋pnie instalacja pakietu,

0:00:32.300,0:00:34.840
zwi膮zanego z urz臋dem certyfikacji

0:00:34.980,0:00:36.680
– z generowaniem certyfikat贸w.

0:00:37.160,0:00:41.680
A na koniec ju偶 bezpo艣rednio instalacja pakietu OpenVPN.

0:00:45.960,0:00:48.955
Nast臋pnie tworz臋 katalog i struktur臋

0:00:48.955,0:00:51.345
pod m贸j urz膮d certyfikacji.

0:00:52.585,0:00:55.235
M贸j urz膮d b臋dzie w katalogu nap-ca

0:00:55.620,0:00:59.220
i w kolejnym kroku b臋d臋 konfigurowa艂 zmienne,

0:00:59.220,0:01:01.740
czyli edytuj臋 plik vars

0:01:02.735,0:01:06.065
i tutaj zamieniam te zakomentowane

0:01:06.395,0:01:08.885
zmienne na m贸j zestaw.

0:01:12.765,0:01:15.455
Ju偶 wpisa艂em wa偶ne dla mnie zmienne,

0:01:15.460,0:01:18.100
czyli nazwa, adres e-mail,

0:01:18.100,0:01:20.000
te pola b臋d膮 si臋 pojawia膰 w certyfikatach.

0:01:20.780,0:01:23.200
Kolejnym krokiem jest zapisanie tego pliku.

0:01:27.625,0:01:30.205
I mog臋 wygenerowa膰 teraz

0:01:30.620,0:01:34.500
struktur臋 pki, czyli inicjuj臋 pki.

0:01:37.380,0:01:40.300
A nast臋pnie tworz臋 ca,

0:01:40.300,0:01:43.960
czyli m贸j system certyfikacji – m贸j urz膮d.

0:01:45.300,0:01:47.660
Wpisuj臋 tutaj has艂o,

0:01:50.240,0:01:53.900
kt贸re b臋d臋 u偶ywa艂 do podpisywania

0:01:53.900,0:01:56.940
certyfikat贸w nast臋pnie klient贸w serwer贸w,

0:01:56.940,0:01:59.200
kt贸re b臋d臋 generowa艂 z tego urz臋du.

0:02:01.225,0:02:04.145
Nast臋pnie wpisuj臋 nazw臋 mojego ca.

0:02:09.335,0:02:12.815
I wygenerowany zosta艂 certyfikat oraz klucz prywatny.

0:02:13.895,0:02:16.865
Kolejnym krokiem jest wygenerowanie wniosku

0:02:16.865,0:02:19.265
o certyfikat dla serwera.

0:02:20.020,0:02:22.600
Czyli generuj臋 taki wniosek

0:02:22.600,0:02:25.280
z parametrem no pass, czyli bez has艂a

0:02:27.220,0:02:28.980
Nazw臋 zostawiam.

0:02:29.400,0:02:32.580
Czyli mam ju偶 tutaj wygenerowany wniosek

0:02:32.765,0:02:34.365
i klucz prywatny.

0:02:34.705,0:02:37.575
Kolejnym krokiem b臋dzie

0:02:37.575,0:02:39.395
podpisanie tego wniosku.

0:02:46.665,0:02:48.645
Podanie has艂a urz臋du.

0:02:52.615,0:02:55.535
I certyfikat zosta艂 stworzony.

0:02:56.660,0:03:00.520
Sprawdz臋 teraz czy certyfikat jest prawid艂owy.

0:03:00.860,0:03:02.140
Tak, jest.

0:03:02.900,0:03:05.660
I mog臋 przej艣膰 do kolejnego kroku, kt贸rym jest

0:03:05.660,0:03:08.980
generowanie kluczy pod Diffie-Hellmana.

0:03:11.340,0:03:13.420
Klucz ten Diffie-Hellmana

0:03:13.420,0:03:16.420
jest wykorzystywany do szyfrowania

0:03:16.420,0:03:18.060
transmisji dwustronnej

0:03:18.060,0:03:22.120
wymieniania kluczy symetrycznych dla danej sesji.

0:03:25.940,0:03:28.700
Pozosta艂o mi teraz skopiowa膰

0:03:28.700,0:03:31.840
te wygenerowane certyfikaty oraz klucze

0:03:32.140,0:03:33.680
do katalogu open vpn.

0:03:33.880,0:03:35.680
To, co potrzebuj臋 w tym katalogu,

0:03:36.020,0:03:38.615
to potrzebuj臋 certyfikat ca,

0:03:38.615,0:03:41.825
potrzebuj臋 certyfikat serwera OpenVPN,

0:03:42.015,0:03:45.075
klucz prywatny serwera OpenVPN

0:03:45.075,0:03:47.845
i klucz Diffie-Hellmana do szyfrowania.

0:03:48.095,0:03:51.515
Co jeszcze opr贸cz tych wymienionych plik贸w b臋d臋 potrzebowa艂.

0:03:51.555,0:03:54.595
Dodatkowo w moim przyk艂adzie b臋d臋

0:03:54.600,0:03:56.680
zabezpiecza艂 t膮 komunikacj臋

0:03:56.680,0:03:59.280
przez wygenerowanie klucza ta.

0:04:00.845,0:04:04.025
Generuj臋 taki klucz z paczki OpenVPN.

0:04:04.105,0:04:07.355
Jest to klucz, kt贸ry dodatkowo zabezpiecza

0:04:07.360,0:04:12.080
transmisj臋 nawi膮zywania po艂膮czenia SSL, TSL

0:04:12.080,0:04:16.280
przez OpenVPN-a, czyli pomi臋dzy klientem a serwerem.

0:04:16.540,0:04:20.380
Ten klucz jest symetryczny i ten klucz b臋d臋 za艂膮cza艂

0:04:20.380,0:04:23.060
zar贸wno do strony serwera,

0:04:23.140,0:04:25.995
za chwil臋 b臋d臋 go kopiowa艂 do katalogu open vpn,

0:04:25.995,0:04:28.775
jak r贸wnie偶 ten klucz do艂膮cz臋 do

0:04:28.775,0:04:30.665
konfiguracji klienta.

0:04:32.435,0:04:35.595
Wszystkie certyfikaty i klucze mam ju偶 wygenerowane.

0:04:35.595,0:04:38.855
Teraz kolejnym krokiem b臋dzie stworzenie

0:04:38.860,0:04:42.760
czy skopiowanie konfiguracji serwera, czyli z templatu

0:04:42.760,0:04:45.300
kopiuj臋 plik server.conf

0:04:45.620,0:04:49.100
a nast臋pnie przechodz臋 do tego katalogu

0:04:49.100,0:04:51.700
i b臋d臋 ten plik edytowa艂.

0:04:54.425,0:04:57.105
To, co potrzebuj臋 w tym pliku zmieni膰

0:04:57.900,0:05:00.040
(p贸jd藕my na pocz膮tek)

0:05:00.040,0:05:03.580
to tak, tutaj b臋d臋 potrzebowa艂 zmodyfikowa膰

0:05:03.700,0:05:07.075
te wpisy dotycz膮ce certyfikat贸w, czyli pierwszy

0:05:07.075,0:05:09.935
certyfikat ca u mnie si臋 nazywa te偶 ca

0:05:09.940,0:05:11.880
i nie musz臋 tu nic zmienia膰.

0:05:11.880,0:05:14.700
Je偶eli chodzi o certyfikat serwera

0:05:14.960,0:05:17.220
to tutaj u mnie nazwa jest inna.

0:05:18.415,0:05:20.075
I tak samo nazwa

0:05:20.545,0:05:23.985
tego klucza prywatnego dla serwera te偶 si臋 r贸偶ni.

0:05:24.075,0:05:27.575
Tak偶e zmodyfikuj臋 je za moment i do Ciebie wr贸c臋.

0:05:27.695,0:05:30.785
Ju偶 zmodyfikowa艂em nazwy plik贸w.

0:05:30.785,0:05:33.715
Kolejnym krokiem jest modyfikacja dalszej cz臋艣ci tego pliku.

0:05:33.720,0:05:37.100
Nazw臋 klucza dla Diffie-Hellmana mam tak膮 sam膮,

0:05:37.100,0:05:38.960
czyli nie musz臋 modyfikowa膰.

0:05:39.445,0:05:40.585
Zostawiam

0:05:41.015,0:05:44.215
adresacj臋 dla klient贸w domy艣ln膮.

0:05:45.275,0:05:46.955
Tutaj odkomentuj臋,

0:05:47.480,0:05:50.220
tylko nie w tym miejscu, ni偶ej,

0:05:50.220,0:05:53.540
odkomentuj臋 opcj臋 DNS-ow膮,

0:05:53.545,0:05:56.715
czyli ja bym chcia艂, 偶eby DNS-y by艂y u偶ywane

0:05:56.720,0:05:59.160
po po艂膮czeniu si臋 z OpenVPN-em,

0:05:59.160,0:06:01.860
te kt贸re mam w konfiguracji klienta i serwera.

0:06:02.420,0:06:05.860
Czyli serwer nadaje klientowi t膮 informacj臋.

0:06:06.320,0:06:09.420
Odkomentuj臋 te dwa parametry.

0:06:09.420,0:06:13.160
Odkomentuj臋 sobie r贸wnie偶 parametr duplicate cn,

0:06:13.160,0:06:17.360
czyli je偶eli go odkomentuj臋 to b臋dzie mo偶liwe nawi膮zywanie

0:06:17.360,0:06:20.340
wielu po艂膮cze艅 z jednego certyfikatu.

0:06:20.465,0:06:22.255
Je偶eli bym chcia艂 dany certyfikat

0:06:22.260,0:06:24.120
wykorzysta膰 na kilku urz膮dzeniach,

0:06:24.120,0:06:27.200
to tak膮 mo偶liwo艣膰 mog臋 da膰 na serwerze.

0:06:27.505,0:06:30.240
Zostawiam t膮 opcj臋 dodatkowego

0:06:30.240,0:06:32.580
zabezpieczenia, czyli tls auth.

0:06:32.720,0:06:36.360
To jest w艂a艣nie ten klucz ta, kt贸ry generowa艂em wcze艣niej.

0:06:36.365,0:06:39.575
Odkomentuj臋 do艂膮czanie log贸w. Chcia艂bym, 偶eby si臋 logi

0:06:40.260,0:06:43.780
pojawia艂y na moim serwerze, czyli odkomentuj臋 log append,

0:06:43.780,0:06:45.460
czyli do艂膮czanie.

0:06:45.980,0:06:48.380
I jeszcze jedn膮 rzecz tutaj chcia艂em znale藕膰,

0:06:48.380,0:06:50.940
kt贸ra jest istotna – odkomentowanie

0:06:50.940,0:06:53.300
user nobody i group – no group

0:06:53.300,0:06:55.280
Czyli to jest

0:06:55.280,0:06:58.740
ograniczenie uprawnie艅, odkomentowanie tych dw贸ch

0:06:58.985,0:07:01.975
parametr贸w oznacza, 偶e serwis – ten daemon

0:07:01.975,0:07:04.945
na Ubuntu, na moim serwerze b臋dzie dzia艂a艂

0:07:04.945,0:07:07.500
z uprawnieniami nobody i no group.

0:07:07.500,0:07:11.540
Czyli po prostu, znaj膮c nawet konto do

0:07:11.685,0:07:13.765
tego procesu, do tego daemona

0:07:13.765,0:07:16.660
nie b臋dzie mo偶na nic wi臋cej na tym serwerze wykona膰.

0:07:16.660,0:07:19.280
On ma s艂u偶y膰 tylko do

0:07:19.280,0:07:21.140
艂膮czenia si臋 przez OpenVPN-a

0:07:21.140,0:07:24.440
i odznaczenie tych dw贸ch parametr贸w jest wa偶ne.

0:07:24.440,0:07:26.440
Teraz mog臋 ten plik zapisa膰.

0:07:28.915,0:07:31.815
I na koniec upewniam si臋, 偶e

0:07:31.815,0:07:34.675
katalog etc open vpn

0:07:34.725,0:07:36.785
jest zabezpieczony,

0:07:37.520,0:07:39.880
czyli jest w艂a艣cicielem i w grupie root.

0:07:39.880,0:07:43.340
Tylko root mo偶e zmienia膰 dane w tym katalogu.

0:07:43.340,0:07:45.760
Kolejnym krokiem b臋dzie

0:07:45.760,0:07:49.340
modyfikacja ustawie艅 serwera w zakresie

0:07:49.520,0:07:52.715
przekazywania pakiet贸w, czyli uruchomi臋 teraz

0:07:52.715,0:07:56.205
zmian膮 w katalogu sys ctl,

0:07:57.085,0:08:00.275
zmieni臋 a tak naprawd臋 w艂膮cz臋

0:08:00.280,0:08:02.580
forwardowanie pakiet贸w dla ipv4.

0:08:02.580,0:08:04.520
Szukam teraz pozycji

0:08:08.305,0:08:11.025
net ipv4 ip forward,

0:08:11.025,0:08:14.920
to ju偶 mia艂em w艂膮czone wcze艣niej, domy艣lnie ten wpis jest zakomentowany,

0:08:14.920,0:08:17.055
wi臋c ten komentarz trzeba usun膮膰.

0:08:17.060,0:08:19.880
Ma by膰 tak jak tutaj widzicie

0:08:19.880,0:08:22.860
net ipv4 ip forward 1

0:08:23.175,0:08:24.885
Mo偶emy zapisa膰 ten plik.

0:08:27.820,0:08:29.360
Mo偶emy wy艣wietli膰, 偶e

0:08:29.400,0:08:31.060
taka jest warto艣膰 tego pliku.

0:08:32.560,0:08:35.840
Kolejnym plikiem, kt贸ry trzeba zmodyfikowa膰

0:08:36.380,0:08:40.340
to jest plik zwi膮zany z ustawieniami firewalla.

0:08:41.460,0:08:44.375
Domy艣lnie polityka przekazywania ma,

0:08:44.380,0:08:47.640
w miejscu default forward policy, ma deny

0:08:47.640,0:08:50.135
czy drop i trzeba tutaj zmieni膰,

0:08:50.135,0:08:53.245
przynajmniej w tym scenariuszu, kt贸ry tutaj pokazuj臋 do艣膰 prostym,

0:08:53.245,0:08:55.955
trzeba zmieni膰, 偶eby domy艣lna polityka

0:08:55.955,0:08:58.125
dla przekazywania pakiet贸w by艂a accept.

0:08:59.760,0:09:01.720
Zapisujemy ten plik.

0:09:01.720,0:09:04.720
Kolejnym plikiem, kt贸ry nale偶y zmodyfikowa膰,

0:09:04.720,0:09:07.980
to b臋dzie plik firewalla, zwi膮zany

0:09:07.980,0:09:10.775
z natowaniem ruchu.

0:09:10.775,0:09:12.335
Plik before.rules

0:09:13.255,0:09:15.765
I w tym pliku trzeba wklei膰

0:09:17.220,0:09:19.900
cz臋艣膰 zwi膮zan膮 z natem

0:09:20.260,0:09:22.960
czyli t膮 cz臋艣膰, dok艂adnie te linijki.

0:09:23.560,0:09:26.240
Czyli, 偶e natujemy zakres adresacji,

0:09:26.240,0:09:28.600
kt贸ry b臋dzie podlega艂 natowaniu

0:09:28.600,0:09:30.795
i ten zakres adresacji musi si臋 zgadza膰

0:09:30.795,0:09:33.925
z konfiguracj膮, kt贸r膮 zaaplikowali艣my

0:09:33.925,0:09:36.140
w pliku tekstowym OpenVPN-a.

0:09:36.140,0:09:41.560
Czyli tam nic nie zmienia艂em, domy艣lnie jest 10.8.0.0/8

0:09:41.960,0:09:43.960
I tak膮 warto艣膰 trzeba tutaj wpisa膰.

0:09:43.960,0:09:48.440
Je偶eli zmienicie jak膮艣 podsie膰 na inn膮,

0:09:48.480,0:09:50.640
no to odpowiednio trzeba zmieni膰 w tym miejscu

0:09:50.640,0:09:52.420
w ustawieniach maskarady.

0:09:52.420,0:09:54.420
Zapisujemy ten plik.

0:09:54.740,0:09:58.300
I na koniec zmieniamy ustawienia

0:09:59.140,0:10:02.860
firewalla, czyli dopuszczam ustawienie

0:10:02.860,0:10:05.200
na firewallu OpenVPN-a,

0:10:05.215,0:10:08.585
czyli domy艣lnie to jest port 1194

0:10:08.700,0:10:12.360
i jak r贸wnie偶 domy艣lnie chcia艂bym, 偶eby SSH

0:10:12.480,0:10:14.860
dla mojego serwera by艂o uruchomione.

0:10:14.860,0:10:18.935
Tu warto zaznaczy膰, 偶e ja chc臋 偶eby tam SSH

0:10:18.940,0:10:20.200
by艂o przepuszczone na firewallu,

0:10:20.200,0:10:23.195
dlatego 偶e m贸j system OpenVPN-owy,

0:10:23.195,0:10:26.605
m贸j serwer b臋dzie sta艂 ju偶 za firewallem.

0:10:26.665,0:10:29.615
Czyli ja mam ten m贸j serwer w takim dmzecie.

0:10:29.620,0:10:33.200
W zwi膮zku z tym nie potrzebuj臋 wy艂膮czy膰 tego SSH

0:10:33.200,0:10:36.040
r贸wnie偶 od trony interfejsu tego vanowego,

0:10:36.040,0:10:38.800
dlatego 偶e i tak mam to zablokowane poziom wy偶ej.

0:10:38.920,0:10:42.620
Je偶eli wystawiasz ten serwer bezpo艣rednio do Internetu

0:10:42.620,0:10:45.100
to nie powiniene艣 otwiera膰 tego

0:10:45.100,0:10:47.660
portu, czyli tej regu艂y allow ssh,

0:10:47.980,0:10:50.720
tylko ograniczy膰 ewentualnie do

0:10:50.720,0:10:53.460
jakich艣 zakres贸w adresacji IP,

0:10:53.460,0:10:56.120
z kt贸rych chcesz si臋 od wewn膮trz dostawa膰 do tego serwera.

0:10:56.635,0:10:58.895
Taka jest dobra praktyka.

0:10:59.360,0:11:02.880
Ja dosta艂em te偶 tutaj komunikat, 偶e te regu艂y ju偶 istniej膮.

0:11:02.880,0:11:05.300
W zwi膮zku z tym nie zosta艂y dodane.

0:11:05.300,0:11:08.040
Je偶eli takich regu艂 nie masz, to on po prostu,

0:11:08.040,0:11:11.380
wydaj膮c te polecenia doda te dwie regu艂y.

0:11:11.380,0:11:15.760
Na koniec restartujemy firewalla.

0:11:15.760,0:11:18.240
Czyli wy艂膮czamy i uruchamiamy ponownie.

0:11:20.760,0:11:21.760
Tak.

0:11:22.640,0:11:26.040
I ko艅czymy t膮 konfiguracj臋 dopisaniem

0:11:26.200,0:11:30.040
parametru, kt贸ry umo偶liwia automatyczne startowanie

0:11:30.040,0:11:33.660
tego procesu OpenVPN przy starcie serwera.

0:11:35.000,0:11:38.680
Czyli restartuj臋 samego OpenVPN-a, a nast臋pnie dodaj臋

0:11:38.680,0:11:40.580
ten parametr, 偶eby

0:11:40.580,0:11:43.120
OpenVPN jako proces by艂

0:11:43.605,0:11:46.195
automatycznie startowany razem z serwerem.

0:11:47.520,0:11:51.180
W tym odcinku to wszystko. Je偶eli jeste艣 ciekaw jak

0:11:51.180,0:11:53.355
skonfigurowa膰 drug膮 cz臋艣膰

0:11:53.360,0:11:56.920
potrzebn膮 do realizacji ca艂ego rozwi膮zania, czyli cz臋艣膰 klienta

0:11:56.920,0:11:58.880
to zapraszam Ci臋 za tydzie艅.

0:11:58.880,0:12:02.140
W kolejnym odcinku b臋d臋 pokazywa艂 jak wykona膰

0:12:02.140,0:12:06.260
krok po kroku w艂a艣nie konfiguracj臋 strony klienta.

0:12:06.265,0:12:09.185
Je偶eli jeste艣 zainteresowany pole ceniami, kt贸re

0:12:09.185,0:12:11.985
umie艣ci艂em, to oczywi艣cie wszystkie z nich

0:12:11.985,0:12:14.625
zamieszcz臋 na stronie mojego bloga.

0:12:14.700,0:12:18.140
Gdzie b臋dziesz m贸g艂 bezpo艣rednio skopiowa膰 sobie te polecenia,

0:12:18.140,0:12:21.980
tak 偶eby mo偶na by艂o 艂atwiej zrealizowa膰 tak膮 instalacj臋.

0:12:21.980,0:12:24.100
Na koniec jeszcze kr贸tka pro艣ba.

0:12:24.100,0:12:26.900
Je偶eli jeste艣 zainteresowany dowiedzeniem si臋 jak m贸g艂by艣

0:12:26.900,0:12:29.140
wi臋cej zarabia膰 jako administrator.

0:12:29.140,0:12:31.640
To napisa艂em specjalny poradnik dla Ciebie.

0:12:31.640,0:12:35.840
Zebra艂em moje do艣wiadczenia ponad 15 lat mojej pracy.

0:12:36.160,0:12:40.360
W jaki spos贸b najlepiej planowa膰 swoj膮 karier臋, i艣膰 do przodu,

0:12:40.360,0:12:43.160
rozwija膰 swoje kompetencje, tak 偶eby w efekcie

0:12:43.160,0:12:45.485
podnosi膰 swoje wynagrodzenie.

0:12:45.485,0:12:48.375
Je偶eli jeste艣 ciekaw jak to zrobi膰, to

0:12:48.380,0:12:50.820
w opisie r贸wnie偶 zamieszczam link

0:12:50.820,0:12:53.400
do mojego poradnika.

0:12:53.400,0:12:57.460
Zapraszam Ci臋 do bezp艂atnego 艣ci膮gni臋cia tego dokumentu.

0:12:57.460,0:12:59.920
Na dzisiaj to wszystko, dzi臋kuj臋 Ci za uwag臋

0:12:59.920,0:13:01.740
i do zobaczenia w kolejnym odcinku.


Autor: Darek Koralewski

Od pocz膮tku swojej kariery, czyli od 2004 roku, zajmuj臋 si臋 sieciami komputerowymi ze szczeg贸lnym uwzgl臋dnieniem ich bezpiecze艅stwa oraz sieciami programowalnymi. Mam na swoim koncie ca艂膮 list臋 certyfikat贸w r贸偶nych producent贸w, dwa najwa偶niejsze to te po艣wiadczaj膮ce najwy偶szy poziom wiedzy eksperckiej z zakresu rozwi膮za艅 Aruba ClearPass ACCX#901 oraz z projektowania sieci opartych o rozwi膮zania Aruba ACDX#1255. Wi臋cej informacji mo偶esz znale藕膰 na moich portalach spo艂eczno艣ciowych.