20T25 Instalacja OpenVPN w 15 min

馃憠 W tym odcinku pokazuj臋 jak zainstalowa膰 serwer OpenVPN 2.4 w 15 min.

馃憠 Instalacja OpenVPN 2.4 w 15 min


Lista wymaganych komend, poni偶ej:

Konfiguracja serwera

Aktualizacja listy dost臋pnych paczek oprogramowania, instalacja paczki do generowania certyfikat贸w, instalacja OpenVPN’a:

sudo apt-get update && sudo apt-get -y install easy-rsa && sudo apt-get -y install openvpn

Stworzenie struktury katalog贸w pod urz膮d certyfikacji:

make-cadir nap-ca && cd nap-ca

Ustawienie zmiennych do generowania certyfikat贸w:

vi vars
set_var EASYRSA_REQ_COUNTRY "PL"
set_var EASYRSA_REQ_PROVINCE "Mazowieckie"
set_var EASYRSA_REQ_CITY "Warszawa"
set_var EASYRSA_REQ_ORG "NetAdminPro.pl"
set_var EASYRSA_REQ_EMAIL "ca@netadminpro.pl"
set_var EASYRSA_REQ_OU "NetAdminPro.pl"

Inicjowanie struktury PKI

./easyrsa init-pki

Inicjowanie struktury CA

./easyrsa build-ca

Generowanie wniosku o certyfikat serwera OpenVPN

./easyrsa gen-req nap-openvpn-serv nopass

Podpisanie wniosku o certyfikat serwera OpenVPN

./easyrsa sign-req server nap-openvpn-serv

Weryfikacja poprawno艣ci certyfikatu

openssl verify -CAfile pki/ca.crt pki/issued/nap-openvpn-serv.crt

Generowanie klucza do algorytmu diffie hellman

/usr/share/easy-rsa/easyrsa gen-dh

Kopiowanie certyfikatu urz臋du CA, serwera OpenVPN oraz klucza prywatnego dla serwera OpenVPN i pod szyfrowanie diffie hellman

sudo cp pki/ca.crt /etc/openvpn/
sudo cp pki/issued/nap-openvpn-serv.crt /etc/openvpn/
sudo cp pki/private/nap-openvpn-serv.key /etc/openvpn/
sudo cp pki/dh.pem /etc/openvpn/dh2048.pem

Generowanie klucza symetrycznego dodatkowo zabezpieczaj膮cego integralno艣膰 pakiet贸w w wymianie komunikat贸w zestawiaj膮cych komunikacj臋 SSL/TLS

openvpn --genkey --secret ta.key

Kopiowanie klucza ta do katalogu OpenVpn

sudo cp ta.key /etc/openvpn

Kopiowanie wzoru konfiguracji serwera OpenVPN

zcat /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | sudo tee /etc/openvpn/server.conf > /dev/null
cd /etc/openvpn/

Edycja wzoru pliku konfiguracyjnego serwera OpenVPN

sudo vim server.conf
#OpenVPN Server Certificate - CA, server key and certificate
ca ca.crt
cert nap-openvpn-serv.crt
key nap-openvpn-serv.key
#Network Configuration - Internal network
#Redirect all Connection through OpenVPN Server
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1"
#Using the DNS
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
#Other Configuration
user nobody
group nobody
#OpenVPN Log
log-append /var/log/openvpn.log
#More connection from 1 cert
duplicate-cn

Upewnienie si臋, 偶e uprawnienia do katalogu OpenVPN ma jedynie root

sudo chown -R root:root /etc/openvpn

W艂膮czenie funkcjonalno艣ci routera dla Ubuntu

sudo vi /etc/sysctl.conf
net.ipv4.ip_forward=1
sudo sysctl -p

Zmiana domy艣lnego zachowania si臋 firewalla na domy艣lne akceptowanie przekazywania pakiet贸w

sudo vi /etc/default/ufw
/DEFAULT_FORWARD_POLICY="ACCEPT"

W艂膮czenie funkcjonalno艣ci NAT’a dla u偶ytkownik贸w sieci wykorzystywanej dla klient贸w OpenVPN

sudo vi /etc/ufw/before.rules
(Doda膰 powy偶ej sekcji filter rules, ens32 to interfejs zewn臋trzny, a sie膰 10.8.0.0/24 to sie膰 wewn臋trzna do realizacji NAT)
*nat
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 10.8.0.0/24 -o ens32 -j MASQUERADE
COMMIT

Zezwolenie w polityce firewall na us艂ug臋 OpenVPN oraz SSH

sudo ufw allow openvpn
sudo ufw allow ssh

Restart firewall’a w celu zastosowania zmian

sudo ufw disable && sudo ufw enable

Restart us艂ugi OpenVPN i dodanie tej us艂ugi do autostartu systemu

sudo systemctl restart openvpn && sudo systemctl enable openvpn

Konfiguracja klienta

Generowanie wniosku o certyfikat dla klienta

./easyrsa gen-req student nopass

Podpisanie wniosku o certyfikat dla klienta przez urz膮d CA

./easyrsa sign-req client student

Weryfikacja poprawno艣ci certyfikatu

openssl verify -CAfile pki/ca.crt pki/issued/student.crt

Stworzenie katalogu do zebrania plik贸w potrzebnych do generowania pe艂nej konfiguracji klienta ko艅cowego

mkdir ~/students

Kopiowanie certyfikat贸w CA, klienta oraz plik贸w kluczy prywatnych klienta oraz klucza ta (dodatkowe zabezpieczenie pakiet贸w negocjowania sesji SSL/TLS)

sudo cp ~/nap-ca/pki/issued/student.crt ~/students/
sudo cp ~/nap-ca/pki/private/student.key ~/students/
sudo cp /etc/openvpn/ta.key ~/students/
sudo cp ~/nap-ca/pki/ca.crt ~/students/

Kopiowanie wzoru konfiguracji klienta

cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf ~/students

Edycja pliku konfiguracyjnego klienta

sudo vi ~/students/client.conf
remote [ip-address or domain-name] 1194
;ca ca.crt
;cert client.crt
;key client.key
;tls-auth ta.key 1
<ca>
# Tutaj nale偶y wstawi膰 zawarto艣膰 pliku ca.crt
</ca>
<cert>
# Tutaj nale偶y wstawi膰 zawarto艣膰 pliku student1.crt
</cert>
<key>
# Tutaj nale偶y wstawi膰 zawarto艣膰 pliku student1.key
</key>
key-direction 1
<tls-auth>
Tutaj nale偶y wstawi膰 zawarto艣膰 pliku ta.key
</tls-auth>

Zmiana nazwy pliku konfiguracyjnego klienta

mv ~/students/client.conf ~/students/student1.ovpn

Chcesz wi臋cej informacji?

Do艂膮cz do naszej strony fan贸w na Facebook:

Grupa na Facebooku

Wi臋cej miejsc do pos艂uchania:

Spotify

 

Transkrypcja filmu:

0:00:01.760,0:00:05.640
Jeste艣 zainteresowany instalacj膮 serwera openVPN?

0:00:05.640,0:00:08.420
Czyli zastosowaniem open source’owego

0:00:08.420,0:00:10.400
narz臋dzia do dost臋pu zdalnego

0:00:10.405,0:00:13.675
w oparciu o certyfikaty i VPN-a

0:00:13.675,0:00:15.895
w oparciu o SSL, TLS.

0:00:16.640,0:00:18.960
To ten odcinek jest w艂a艣nie dla Ciebie.

Instalacja OpenVPN w 15 min

0:00:18.960,0:00:21.960
Zaczynam od instalacji

0:00:22.000,0:00:27.060
pakiet贸w, czyli najpierw aktualizacja paczek na moim serwerze Ubuntu.

0:00:29.660,0:00:32.100
Nast臋pnie instalacja pakietu,

0:00:32.300,0:00:34.840
zwi膮zanego z urz臋dem certyfikacji

0:00:34.980,0:00:36.680
– z generowaniem certyfikat贸w.

0:00:37.160,0:00:41.680
A na koniec ju偶 bezpo艣rednio instalacja pakietu OpenVPN.

0:00:45.960,0:00:48.955
Nast臋pnie tworz臋 katalog i struktur臋

0:00:48.955,0:00:51.345
pod m贸j urz膮d certyfikacji.

0:00:52.585,0:00:55.235
M贸j urz膮d b臋dzie w katalogu nap-ca

0:00:55.620,0:00:59.220
i w kolejnym kroku b臋d臋 konfigurowa艂 zmienne,

0:00:59.220,0:01:01.740
czyli edytuj臋 plik vars

0:01:02.735,0:01:06.065
i tutaj zamieniam te zakomentowane

0:01:06.395,0:01:08.885
zmienne na m贸j zestaw.

0:01:12.765,0:01:15.455
Ju偶 wpisa艂em wa偶ne dla mnie zmienne,

0:01:15.460,0:01:18.100
czyli nazwa, adres e-mail,

0:01:18.100,0:01:20.000
te pola b臋d膮 si臋 pojawia膰 w certyfikatach.

0:01:20.780,0:01:23.200
Kolejnym krokiem jest zapisanie tego pliku.

0:01:27.625,0:01:30.205
I mog臋 wygenerowa膰 teraz

0:01:30.620,0:01:34.500
struktur臋 pki, czyli inicjuj臋 pki.

0:01:37.380,0:01:40.300
A nast臋pnie tworz臋 ca,

0:01:40.300,0:01:43.960
czyli m贸j system certyfikacji – m贸j urz膮d.

0:01:45.300,0:01:47.660
Wpisuj臋 tutaj has艂o,

0:01:50.240,0:01:53.900
kt贸re b臋d臋 u偶ywa艂 do podpisywania

0:01:53.900,0:01:56.940
certyfikat贸w nast臋pnie klient贸w serwer贸w,

0:01:56.940,0:01:59.200
kt贸re b臋d臋 generowa艂 z tego urz臋du.

0:02:01.225,0:02:04.145
Nast臋pnie wpisuj臋 nazw臋 mojego ca.

0:02:09.335,0:02:12.815
I wygenerowany zosta艂 certyfikat oraz klucz prywatny.

0:02:13.895,0:02:16.865
Kolejnym krokiem jest wygenerowanie wniosku

0:02:16.865,0:02:19.265
o certyfikat dla serwera.

0:02:20.020,0:02:22.600
Czyli generuj臋 taki wniosek

0:02:22.600,0:02:25.280
z parametrem no pass, czyli bez has艂a

0:02:27.220,0:02:28.980
Nazw臋 zostawiam.

0:02:29.400,0:02:32.580
Czyli mam ju偶 tutaj wygenerowany wniosek

0:02:32.765,0:02:34.365
i klucz prywatny.

0:02:34.705,0:02:37.575
Kolejnym krokiem b臋dzie

0:02:37.575,0:02:39.395
podpisanie tego wniosku.

0:02:46.665,0:02:48.645
Podanie has艂a urz臋du.

0:02:52.615,0:02:55.535
I certyfikat zosta艂 stworzony.

0:02:56.660,0:03:00.520
Sprawdz臋 teraz czy certyfikat jest prawid艂owy.

0:03:00.860,0:03:02.140
Tak, jest.

0:03:02.900,0:03:05.660
I mog臋 przej艣膰 do kolejnego kroku, kt贸rym jest

0:03:05.660,0:03:08.980
generowanie kluczy pod Diffie-Hellmana.

0:03:11.340,0:03:13.420
Klucz ten Diffie-Hellmana

0:03:13.420,0:03:16.420
jest wykorzystywany do szyfrowania

0:03:16.420,0:03:18.060
transmisji dwustronnej

0:03:18.060,0:03:22.120
wymieniania kluczy symetrycznych dla danej sesji.

0:03:25.940,0:03:28.700
Pozosta艂o mi teraz skopiowa膰

0:03:28.700,0:03:31.840
te wygenerowane certyfikaty oraz klucze

0:03:32.140,0:03:33.680
do katalogu open vpn.

0:03:33.880,0:03:35.680
To, co potrzebuj臋 w tym katalogu,

0:03:36.020,0:03:38.615
to potrzebuj臋 certyfikat ca,

0:03:38.615,0:03:41.825
potrzebuj臋 certyfikat serwera OpenVPN,

0:03:42.015,0:03:45.075
klucz prywatny serwera OpenVPN

0:03:45.075,0:03:47.845
i klucz Diffie-Hellmana do szyfrowania.

0:03:48.095,0:03:51.515
Co jeszcze opr贸cz tych wymienionych plik贸w b臋d臋 potrzebowa艂.

0:03:51.555,0:03:54.595
Dodatkowo w moim przyk艂adzie b臋d臋

0:03:54.600,0:03:56.680
zabezpiecza艂 t膮 komunikacj臋

0:03:56.680,0:03:59.280
przez wygenerowanie klucza ta.

0:04:00.845,0:04:04.025
Generuj臋 taki klucz z paczki OpenVPN.

0:04:04.105,0:04:07.355
Jest to klucz, kt贸ry dodatkowo zabezpiecza

0:04:07.360,0:04:12.080
transmisj臋 nawi膮zywania po艂膮czenia SSL, TSL

0:04:12.080,0:04:16.280
przez OpenVPN-a, czyli pomi臋dzy klientem a serwerem.

0:04:16.540,0:04:20.380
Ten klucz jest symetryczny i ten klucz b臋d臋 za艂膮cza艂

0:04:20.380,0:04:23.060
zar贸wno do strony serwera,

0:04:23.140,0:04:25.995
za chwil臋 b臋d臋 go kopiowa艂 do katalogu open vpn,

0:04:25.995,0:04:28.775
jak r贸wnie偶 ten klucz do艂膮cz臋 do

0:04:28.775,0:04:30.665
konfiguracji klienta.

0:04:32.435,0:04:35.595
Wszystkie certyfikaty i klucze mam ju偶 wygenerowane.

0:04:35.595,0:04:38.855
Teraz kolejnym krokiem b臋dzie stworzenie

0:04:38.860,0:04:42.760
czy skopiowanie konfiguracji serwera, czyli z templatu

0:04:42.760,0:04:45.300
kopiuj臋 plik server.conf

0:04:45.620,0:04:49.100
a nast臋pnie przechodz臋 do tego katalogu

0:04:49.100,0:04:51.700
i b臋d臋 ten plik edytowa艂.

0:04:54.425,0:04:57.105
To, co potrzebuj臋 w tym pliku zmieni膰

0:04:57.900,0:05:00.040
(p贸jd藕my na pocz膮tek)

0:05:00.040,0:05:03.580
to tak, tutaj b臋d臋 potrzebowa艂 zmodyfikowa膰

0:05:03.700,0:05:07.075
te wpisy dotycz膮ce certyfikat贸w, czyli pierwszy

0:05:07.075,0:05:09.935
certyfikat ca u mnie si臋 nazywa te偶 ca

0:05:09.940,0:05:11.880
i nie musz臋 tu nic zmienia膰.

0:05:11.880,0:05:14.700
Je偶eli chodzi o certyfikat serwera

0:05:14.960,0:05:17.220
to tutaj u mnie nazwa jest inna.

0:05:18.415,0:05:20.075
I tak samo nazwa

0:05:20.545,0:05:23.985
tego klucza prywatnego dla serwera te偶 si臋 r贸偶ni.

0:05:24.075,0:05:27.575
Tak偶e zmodyfikuj臋 je za moment i do Ciebie wr贸c臋.

0:05:27.695,0:05:30.785
Ju偶 zmodyfikowa艂em nazwy plik贸w.

0:05:30.785,0:05:33.715
Kolejnym krokiem jest modyfikacja dalszej cz臋艣ci tego pliku.

0:05:33.720,0:05:37.100
Nazw臋 klucza dla Diffie-Hellmana mam tak膮 sam膮,

0:05:37.100,0:05:38.960
czyli nie musz臋 modyfikowa膰.

0:05:39.445,0:05:40.585
Zostawiam

0:05:41.015,0:05:44.215
adresacj臋 dla klient贸w domy艣ln膮.

0:05:45.275,0:05:46.955
Tutaj odkomentuj臋,

0:05:47.480,0:05:50.220
tylko nie w tym miejscu, ni偶ej,

0:05:50.220,0:05:53.540
odkomentuj臋 opcj臋 DNS-ow膮,

0:05:53.545,0:05:56.715
czyli ja bym chcia艂, 偶eby DNS-y by艂y u偶ywane

0:05:56.720,0:05:59.160
po po艂膮czeniu si臋 z OpenVPN-em,

0:05:59.160,0:06:01.860
te kt贸re mam w konfiguracji klienta i serwera.

0:06:02.420,0:06:05.860
Czyli serwer nadaje klientowi t膮 informacj臋.

0:06:06.320,0:06:09.420
Odkomentuj臋 te dwa parametry.

0:06:09.420,0:06:13.160
Odkomentuj臋 sobie r贸wnie偶 parametr duplicate cn,

0:06:13.160,0:06:17.360
czyli je偶eli go odkomentuj臋 to b臋dzie mo偶liwe nawi膮zywanie

0:06:17.360,0:06:20.340
wielu po艂膮cze艅 z jednego certyfikatu.

0:06:20.465,0:06:22.255
Je偶eli bym chcia艂 dany certyfikat

0:06:22.260,0:06:24.120
wykorzysta膰 na kilku urz膮dzeniach,

0:06:24.120,0:06:27.200
to tak膮 mo偶liwo艣膰 mog臋 da膰 na serwerze.

0:06:27.505,0:06:30.240
Zostawiam t膮 opcj臋 dodatkowego

0:06:30.240,0:06:32.580
zabezpieczenia, czyli tls auth.

0:06:32.720,0:06:36.360
To jest w艂a艣nie ten klucz ta, kt贸ry generowa艂em wcze艣niej.

0:06:36.365,0:06:39.575
Odkomentuj臋 do艂膮czanie log贸w. Chcia艂bym, 偶eby si臋 logi

0:06:40.260,0:06:43.780
pojawia艂y na moim serwerze, czyli odkomentuj臋 log append,

0:06:43.780,0:06:45.460
czyli do艂膮czanie.

0:06:45.980,0:06:48.380
I jeszcze jedn膮 rzecz tutaj chcia艂em znale藕膰,

0:06:48.380,0:06:50.940
kt贸ra jest istotna – odkomentowanie

0:06:50.940,0:06:53.300
user nobody i group – no group

0:06:53.300,0:06:55.280
Czyli to jest

0:06:55.280,0:06:58.740
ograniczenie uprawnie艅, odkomentowanie tych dw贸ch

0:06:58.985,0:07:01.975
parametr贸w oznacza, 偶e serwis – ten daemon

0:07:01.975,0:07:04.945
na Ubuntu, na moim serwerze b臋dzie dzia艂a艂

0:07:04.945,0:07:07.500
z uprawnieniami nobody i no group.

0:07:07.500,0:07:11.540
Czyli po prostu, znaj膮c nawet konto do

0:07:11.685,0:07:13.765
tego procesu, do tego daemona

0:07:13.765,0:07:16.660
nie b臋dzie mo偶na nic wi臋cej na tym serwerze wykona膰.

0:07:16.660,0:07:19.280
On ma s艂u偶y膰 tylko do

0:07:19.280,0:07:21.140
艂膮czenia si臋 przez OpenVPN-a

0:07:21.140,0:07:24.440
i odznaczenie tych dw贸ch parametr贸w jest wa偶ne.

0:07:24.440,0:07:26.440
Teraz mog臋 ten plik zapisa膰.

0:07:28.915,0:07:31.815
I na koniec upewniam si臋, 偶e

0:07:31.815,0:07:34.675
katalog etc open vpn

0:07:34.725,0:07:36.785
jest zabezpieczony,

0:07:37.520,0:07:39.880
czyli jest w艂a艣cicielem i w grupie root.

0:07:39.880,0:07:43.340
Tylko root mo偶e zmienia膰 dane w tym katalogu.

0:07:43.340,0:07:45.760
Kolejnym krokiem b臋dzie

0:07:45.760,0:07:49.340
modyfikacja ustawie艅 serwera w zakresie

0:07:49.520,0:07:52.715
przekazywania pakiet贸w, czyli uruchomi臋 teraz

0:07:52.715,0:07:56.205
zmian膮 w katalogu sys ctl,

0:07:57.085,0:08:00.275
zmieni臋 a tak naprawd臋 w艂膮cz臋

0:08:00.280,0:08:02.580
forwardowanie pakiet贸w dla ipv4.

0:08:02.580,0:08:04.520
Szukam teraz pozycji

0:08:08.305,0:08:11.025
net ipv4 ip forward,

0:08:11.025,0:08:14.920
to ju偶 mia艂em w艂膮czone wcze艣niej, domy艣lnie ten wpis jest zakomentowany,

0:08:14.920,0:08:17.055
wi臋c ten komentarz trzeba usun膮膰.

0:08:17.060,0:08:19.880
Ma by膰 tak jak tutaj widzicie

0:08:19.880,0:08:22.860
net ipv4 ip forward 1

0:08:23.175,0:08:24.885
Mo偶emy zapisa膰 ten plik.

0:08:27.820,0:08:29.360
Mo偶emy wy艣wietli膰, 偶e

0:08:29.400,0:08:31.060
taka jest warto艣膰 tego pliku.

0:08:32.560,0:08:35.840
Kolejnym plikiem, kt贸ry trzeba zmodyfikowa膰

0:08:36.380,0:08:40.340
to jest plik zwi膮zany z ustawieniami firewalla.

0:08:41.460,0:08:44.375
Domy艣lnie polityka przekazywania ma,

0:08:44.380,0:08:47.640
w miejscu default forward policy, ma deny

0:08:47.640,0:08:50.135
czy drop i trzeba tutaj zmieni膰,

0:08:50.135,0:08:53.245
przynajmniej w tym scenariuszu, kt贸ry tutaj pokazuj臋 do艣膰 prostym,

0:08:53.245,0:08:55.955
trzeba zmieni膰, 偶eby domy艣lna polityka

0:08:55.955,0:08:58.125
dla przekazywania pakiet贸w by艂a accept.

0:08:59.760,0:09:01.720
Zapisujemy ten plik.

0:09:01.720,0:09:04.720
Kolejnym plikiem, kt贸ry nale偶y zmodyfikowa膰,

0:09:04.720,0:09:07.980
to b臋dzie plik firewalla, zwi膮zany

0:09:07.980,0:09:10.775
z natowaniem ruchu.

0:09:10.775,0:09:12.335
Plik before.rules

0:09:13.255,0:09:15.765
I w tym pliku trzeba wklei膰

0:09:17.220,0:09:19.900
cz臋艣膰 zwi膮zan膮 z natem

0:09:20.260,0:09:22.960
czyli t膮 cz臋艣膰, dok艂adnie te linijki.

0:09:23.560,0:09:26.240
Czyli, 偶e natujemy zakres adresacji,

0:09:26.240,0:09:28.600
kt贸ry b臋dzie podlega艂 natowaniu

0:09:28.600,0:09:30.795
i ten zakres adresacji musi si臋 zgadza膰

0:09:30.795,0:09:33.925
z konfiguracj膮, kt贸r膮 zaaplikowali艣my

0:09:33.925,0:09:36.140
w pliku tekstowym OpenVPN-a.

0:09:36.140,0:09:41.560
Czyli tam nic nie zmienia艂em, domy艣lnie jest 10.8.0.0/8

0:09:41.960,0:09:43.960
I tak膮 warto艣膰 trzeba tutaj wpisa膰.

0:09:43.960,0:09:48.440
Je偶eli zmienicie jak膮艣 podsie膰 na inn膮,

0:09:48.480,0:09:50.640
no to odpowiednio trzeba zmieni膰 w tym miejscu

0:09:50.640,0:09:52.420
w ustawieniach maskarady.

0:09:52.420,0:09:54.420
Zapisujemy ten plik.

0:09:54.740,0:09:58.300
I na koniec zmieniamy ustawienia

0:09:59.140,0:10:02.860
firewalla, czyli dopuszczam ustawienie

0:10:02.860,0:10:05.200
na firewallu OpenVPN-a,

0:10:05.215,0:10:08.585
czyli domy艣lnie to jest port 1194

0:10:08.700,0:10:12.360
i jak r贸wnie偶 domy艣lnie chcia艂bym, 偶eby SSH

0:10:12.480,0:10:14.860
dla mojego serwera by艂o uruchomione.

0:10:14.860,0:10:18.935
Tu warto zaznaczy膰, 偶e ja chc臋 偶eby tam SSH

0:10:18.940,0:10:20.200
by艂o przepuszczone na firewallu,

0:10:20.200,0:10:23.195
dlatego 偶e m贸j system OpenVPN-owy,

0:10:23.195,0:10:26.605
m贸j serwer b臋dzie sta艂 ju偶 za firewallem.

0:10:26.665,0:10:29.615
Czyli ja mam ten m贸j serwer w takim dmzecie.

0:10:29.620,0:10:33.200
W zwi膮zku z tym nie potrzebuj臋 wy艂膮czy膰 tego SSH

0:10:33.200,0:10:36.040
r贸wnie偶 od trony interfejsu tego vanowego,

0:10:36.040,0:10:38.800
dlatego 偶e i tak mam to zablokowane poziom wy偶ej.

0:10:38.920,0:10:42.620
Je偶eli wystawiasz ten serwer bezpo艣rednio do Internetu

0:10:42.620,0:10:45.100
to nie powiniene艣 otwiera膰 tego

0:10:45.100,0:10:47.660
portu, czyli tej regu艂y allow ssh,

0:10:47.980,0:10:50.720
tylko ograniczy膰 ewentualnie do

0:10:50.720,0:10:53.460
jakich艣 zakres贸w adresacji IP,

0:10:53.460,0:10:56.120
z kt贸rych chcesz si臋 od wewn膮trz dostawa膰 do tego serwera.

0:10:56.635,0:10:58.895
Taka jest dobra praktyka.

0:10:59.360,0:11:02.880
Ja dosta艂em te偶 tutaj komunikat, 偶e te regu艂y ju偶 istniej膮.

0:11:02.880,0:11:05.300
W zwi膮zku z tym nie zosta艂y dodane.

0:11:05.300,0:11:08.040
Je偶eli takich regu艂 nie masz, to on po prostu,

0:11:08.040,0:11:11.380
wydaj膮c te polecenia doda te dwie regu艂y.

0:11:11.380,0:11:15.760
Na koniec restartujemy firewalla.

0:11:15.760,0:11:18.240
Czyli wy艂膮czamy i uruchamiamy ponownie.

0:11:20.760,0:11:21.760
Tak.

0:11:22.640,0:11:26.040
I ko艅czymy t膮 konfiguracj臋 dopisaniem

0:11:26.200,0:11:30.040
parametru, kt贸ry umo偶liwia automatyczne startowanie

0:11:30.040,0:11:33.660
tego procesu OpenVPN przy starcie serwera.

0:11:35.000,0:11:38.680
Czyli restartuj臋 samego OpenVPN-a, a nast臋pnie dodaj臋

0:11:38.680,0:11:40.580
ten parametr, 偶eby

0:11:40.580,0:11:43.120
OpenVPN jako proces by艂

0:11:43.605,0:11:46.195
automatycznie startowany razem z serwerem.

0:11:47.520,0:11:51.180
W tym odcinku to wszystko. Je偶eli jeste艣 ciekaw jak

0:11:51.180,0:11:53.355
skonfigurowa膰 drug膮 cz臋艣膰

0:11:53.360,0:11:56.920
potrzebn膮 do realizacji ca艂ego rozwi膮zania, czyli cz臋艣膰 klienta

0:11:56.920,0:11:58.880
to zapraszam Ci臋 za tydzie艅.

0:11:58.880,0:12:02.140
W kolejnym odcinku b臋d臋 pokazywa艂 jak wykona膰

0:12:02.140,0:12:06.260
krok po kroku w艂a艣nie konfiguracj臋 strony klienta.

0:12:06.265,0:12:09.185
Je偶eli jeste艣 zainteresowany pole ceniami, kt贸re

0:12:09.185,0:12:11.985
umie艣ci艂em, to oczywi艣cie wszystkie z nich

0:12:11.985,0:12:14.625
zamieszcz臋 na stronie mojego bloga.

0:12:14.700,0:12:18.140
Gdzie b臋dziesz m贸g艂 bezpo艣rednio skopiowa膰 sobie te polecenia,

0:12:18.140,0:12:21.980
tak 偶eby mo偶na by艂o 艂atwiej zrealizowa膰 tak膮 instalacj臋.

0:12:21.980,0:12:24.100
Na koniec jeszcze kr贸tka pro艣ba.

0:12:24.100,0:12:26.900
Je偶eli jeste艣 zainteresowany dowiedzeniem si臋 jak m贸g艂by艣

0:12:26.900,0:12:29.140
wi臋cej zarabia膰 jako administrator.

0:12:29.140,0:12:31.640
To napisa艂em specjalny poradnik dla Ciebie.

0:12:31.640,0:12:35.840
Zebra艂em moje do艣wiadczenia ponad 15 lat mojej pracy.

0:12:36.160,0:12:40.360
W jaki spos贸b najlepiej planowa膰 swoj膮 karier臋, i艣膰 do przodu,

0:12:40.360,0:12:43.160
rozwija膰 swoje kompetencje, tak 偶eby w efekcie

0:12:43.160,0:12:45.485
podnosi膰 swoje wynagrodzenie.

0:12:45.485,0:12:48.375
Je偶eli jeste艣 ciekaw jak to zrobi膰, to

0:12:48.380,0:12:50.820
w opisie r贸wnie偶 zamieszczam link

0:12:50.820,0:12:53.400
do mojego poradnika.

0:12:53.400,0:12:57.460
Zapraszam Ci臋 do bezp艂atnego 艣ci膮gni臋cia tego dokumentu.

0:12:57.460,0:12:59.920
Na dzisiaj to wszystko, dzi臋kuj臋 Ci za uwag臋

0:12:59.920,0:13:01.740
i do zobaczenia w kolejnym odcinku.


Podobne wpisy

Jeden komentarz

  1. Bardzo fajny artyku艂 dot. konfiguracji OpenVPN’a, czy mog臋 prosi膰 jeszcze o podobny artyku艂 dot. uniewa偶niania wystawionego certyfikatu

Dodaj komentarz

Tw贸j adres e-mail nie zostanie opublikowany. Wymagane pola s膮 oznaczone *