20T26 Konfiguracja Klienta OpenVPN w 7 min
Jest to druga cz臋艣膰 instrukcji konfiguracji, tym razem dotycz膮ca klienta OpenVPN w wersji na platform臋 Windows.
馃憠 W tym odcinku pokazuj臋 jak skonfigurowa膰 klienta OpenVPN w wersji Windows.
Lista wymaganych komend, poni偶ej:
########Konfiguracja serwera###############
#Aktualizacja listy dost臋pnych paczek oprogramowania, instalacja paczki do generowania certyfikat贸w, instalacja OpenVPN'a
sudo apt-get update && sudo apt-get -y install easy-rsa && sudo apt-get -y install openvpn
#Stworzenie struktury katalog贸w pod urz膮d certyfikacji
make-cadir nap-ca && cd nap-ca
#Ustawienie zmiennych do generowania certyfikat贸w
vi vars
set_var EASYRSA_REQ_COUNTRY "UPL"
set_var EASYRSA_REQ_PROVINCE "Mazowieckie"
set_var EASYRSA_REQ_CITY "Warszawa"
set_var EASYRSA_REQ_ORG "NetAdminPro.pl"
set_var EASYRSA_REQ_EMAIL "ca@netadminpro.pl"
set_var EASYRSA_REQ_OU "NetAdminPro.pl"
#Inicjowanie struktury PKI
./easyrsa init-pki
#Inicjowanie struktury CA
./easyrsa build-ca
#Generowanie wniosku o certyfikat serwera OpenVPN
./easyrsa gen-req nap-openvpn-serv nopass
#Podpisanie wniosku o certyfikat serwera OpenVPN
./easyrsa sign-req server nap-openvpn-serv
#Weryfikacja poprawno艣ci certyfikatu
openssl verify -CAfile pki/ca.crt pki/issued/nap-openvpn-serv.crt
#Generowanie klucza do algorytmu diffie hellman
/usr/share/easy-rsa/easyrsa gen-dh
#Kopiowanie certyfikatu urz臋du CA, serwera OpenVPN oraz klucza prywatnego dla serwera OpenVPN i pod szyfrowanie diffie hellman
sudo cp pki/ca.crt /etc/openvpn/
sudo cp pki/issued/nap-openvpn-serv.crt /etc/openvpn/
sudo cp pki/private/nap-openvpn-serv.key /etc/openvpn/
sudo cp pki/dh.pem /etc/openvpn/dh2048.pem
#Generowanie klucza symetrycznego dodatkowo zabezpieczaj膮cego integralno艣膰 pakiet贸w w wymianie komunikat贸w zestawiaj膮cych komunikacj臋 SSL/TSL
openvpn --genkey --secret ta.key
#Kopiowanie klucza ta do katalogu OpenVpn,
sudo cp ta.key /etc/openvpn
#Kopiowanie wzoru konfiguracji serwera OpenVPN
zcat
/usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz
| sudo tee /etc/openvpn/server.conf > /dev/null
cd /etc/openvpn/
#Edycja wzoru pliku konfiguracyjnego serwera OpenVPN
sudo vim server.conf
OpenVPN Server Certificate - CA, server key and certificate
ca ca.crt
cert nap-openvpn-serv.crt
key nap-openvpn-serv.key
Network Configuration - Internal network
Redirect all Connection through OpenVPN Server
server 10.8.0.0 255.0.0.0
push "redirect-gateway def1"
Using the DNS
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
Other Configuration
user nobody
group nobody
OpenVPN Log
log-append /var/log/openvpn.log
#Upewnienie si臋 偶e uprawnienia do katalogu OpenVPN ma jedynie root
sudo chown -R root:root /etc/openvpn
#W艂膮czenie funkcjonalno艣ci routera dla Ubuntu
sudo vi /etc/sysctl.conf
net.ipv4.ip_forward=1
sudo sysctl -p
#Zmiana domy艣lnego zachowania si臋 firewalla na domy艣lne akceptowanie przekazywania pakiet贸w
sudo vi /etc/default/ufw
/DEFAULT_FORWARD_POLICY="ACCEPT"
#W艂膮czenie funkcjonalno艣ci NAT'a dla u偶ytkownik贸w sieci wykorzystywanej dla klient贸w OpenVPN
sudo vi /etc/ufw/before.rules
(Doda膰 powy偶ej sekcji filter rules, ens32 to interfejs zewn臋trzny, a sie膰 10.8.0.0/8 to sie膰 wewn臋trzna do realizacji NAT)
*nat
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 10.8.0.0/8 -o ens32 -j MASQUERADE
COMMIT
#Zezwolenie w polityce firewall na us艂ug臋 OpenVPN oraz SSH
sudo ufw allow openvpn
sudo ufw allow ssh
#Restart firewall'a w celu zastosowania zmian
sudo ufw disable && sudo ufw enable
#Restart us艂ugi OpenVPN i dodanie tej us艂ugi do autostartu systemu
sudo systemctl restart openvpn && sudo systemctl enable openvpn
########Konfiguracja klienta###############
#Generowanie wniosku o certyfikat dla klienta
./easyrsa gen-req student nopass
#Podpisanie wniosku o certyfikat dla klienta przez urz膮d CA
./easyrsa sign-req client student
#Weryfikacja poprawno艣ci certyfikatu
openssl verify -CAfile pki/ca.crt pki/issued/student.crt
#Stworzenie katalogu do zebrania plik贸w potrzebnych do generowania pe艂nej konfiguracji klienta ko艅cowego
mkdir ~/students
#Kopiowanie certyfikat贸w CA, klienta oraz plik贸w kluczy prywatnych klienta oraz klucza ta (dodatkowe zabezpieczenie pakiet贸w negocjowania sesji SSL/TLS)
sudo cp ~/nap-ca/pki/issued/student.crt ~/students/
sudo cp ~/nap-ca/pki/private/student.key ~/students/
sudo cp /etc/openvpn/ta.key ~/students/
sudo cp ~/nap-ca/pki/ca.crt ~/students/
#Kopiowanie wzoru konfiguracji klienta
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf ~/students
#Edycja pliku konfiguracyjnego klienta
sudo vi ~/students/client.conf
remote 10.17.17.253 1194
<ca>
# Tutaj nale偶y wstawi膰 zawarto艣膰 pliku ca.crt
</ca>
<cert>
# Tutaj nale偶y wstawi膰 zawarto艣膰 pliku student1.crt
</cert>
<key>
# Tutaj nale偶y wstawi膰 zawarto艣膰 pliku student1.key
</key>
key-direction 1
<tls-auth>
Tutaj nale偶y wstawi膰 zawarto艣膰 pliku ta.key
</tls-auth>
#Zmiana nazwy pliku konfiguracyjnego klienta.
mv ~/students/client.conf ~/students/student1.ovpn
Chcesz wiedzie膰 jak da膰 sobie podwy偶k臋?
Napisa艂em kr贸tki poradnik na ten temat:
http://netadminpro.pl/podwyzka
Chcesz wi臋cej informacji?
Do艂膮cz do naszej strony fan贸w na Facebook:
Wi臋cej miejsc do pos艂uchania:
Transkrypcja filmu:
0:00:01.860,0:00:03.860
Interesuje Ci臋 jak skonfigurowa膰
0:00:03.860,0:00:06.280
klienta OpenVPN
0:00:06.280,0:00:08.280
do dost臋pu zdalnego?
0:00:08.880,0:00:12.700
Je偶eli tak, to to jest w艂a艣nie druga cz臋艣膰 konfiguracji
0:00:12.700,0:00:17.000
dost臋pu zdalnego w oparciu o opensource’owy OpenVPN.
Konfiguracja Klienta OpenVPN w 7 min
0:00:17.000,0:00:20.080
W tej cz臋艣ci poka偶臋 w jaki spos贸b stworzy膰
0:00:20.080,0:00:22.420
konfiguracj臋 klienta ko艅cowego.
0:00:22.420,0:00:24.660
Jak stworzy膰 certyfikat,
0:00:24.660,0:00:27.320
kt贸rym mo偶e si臋 logowa膰 ten klient,
0:00:27.320,0:00:29.140
jego klucz prywatny
0:00:29.140,0:00:31.820
i jak ca艂o艣膰 ze sob膮 po艂膮czy膰, tak 偶eby
0:00:31.820,0:00:35.940
spi膮膰 tunel zdalny do serwera OpenVPN.
0:00:35.940,0:00:39.040
Konfiguracj臋 cz臋艣ci klienta rozpoczynam
0:00:39.040,0:00:43.420
od generowania wniosku o certyfikat dla klienta,
0:00:43.420,0:00:46.820
czyli wpisuj臋 tutaj common name student.
0:00:47.800,0:00:49.320
Mam wniosek.
0:00:49.320,0:00:51.500
Kolejnym krokiem jest
0:00:51.820,0:00:54.420
podpisanie tego wniosku przez m贸j urz膮d.
0:00:56.560,0:00:59.160
Czyli teraz podpisuj臋 ten wniosek.
0:00:59.820,0:01:02.780
Musz臋 tutaj wpisa膰 potwierdzenie, czyli slowo yes
0:01:02.780,0:01:06.740
a nast臋pnie wprowadzi膰 has艂o do klucza prywatnego mojego urz臋du.
0:01:09.860,0:01:12.020
Weryfikuj臋 wygenerowany certyfikat.
0:01:12.400,0:01:14.400
Jest prawid艂owy.
0:01:16.380,0:01:18.620
Tworz臋 katalog students.
0:01:19.240,0:01:21.060
Czyli katalog, w kt贸rym b臋d臋 umieszcza艂
0:01:21.060,0:01:23.680
poszczeg贸lne pliki, kt贸re mi s膮 potrzebne do
0:01:24.060,0:01:28.440
skompletowania gotowego pe艂nego configu dla klienta.
0:01:28.780,0:01:31.460
I do tego katalogu kopiuj臋
0:01:31.980,0:01:35.300
Certyfikat studenta, jego klucz prywatny
0:01:35.780,0:01:41.720
a nast臋pnie klucz ta, czyli ten dodatkowy symetryczny klucz zabezpieczaj膮cy
0:01:42.100,0:01:45.400
komunikacj臋 mi臋dzy serwerem OpenVPN a klientem,
0:01:46.020,0:01:48.740
certyfikat urz臋du, czyli ca.
0:01:52.060,0:01:57.320
I nast臋pnie kopiuj臋 przyk艂ad konfiguracji do katalogu students.
0:01:58.680,0:02:00.840
Maj膮c ju偶 te wszystkie pliki
0:02:00.840,0:02:05.180
mog臋 przyst膮pi膰 do edycji pliku konfiguracyjnego,
0:02:05.340,0:02:07.820
czyli client.conf w tym przypadku.
0:02:12.340,0:02:16.960
W tym pliku potrzebuj臋 zmieni膰 kilka rzeczy.
0:02:17.740,0:02:20.240
Na pewno potrzebuj臋 wyedytowa膰
0:02:20.240,0:02:24.580
adres IP lub nazw臋 domenow膮 mojego serwera.
0:02:24.840,0:02:29.240
W moim przypadku, w tym przyk艂adzie to b臋dzie adres IP.
0:02:33.200,0:02:36.180
Zakomentuj臋 linijki dotycz膮ce
0:02:36.180,0:02:40.100
certyfikatu urz臋du, klienta i klucza prywatnego.
0:02:40.420,0:02:43.240
Jak r贸wnie偶 tls-auth,
0:02:43.400,0:02:45.940
czyli ja tutaj b臋d臋 wkleja艂 bezpo艣rednio
0:02:46.260,0:02:50.360
informacje o tych certyfikatach, kluczach jako tekst.
0:02:50.540,0:02:53.820
W zwi膮zku z tym komentuj臋 odniesi enie bezpo艣rednio
0:02:53.820,0:02:56.840
w konfiguracji klienta do pliku.
0:02:57.460,0:03:02.240
Tutaj wszystkie informacje umieszcz臋 na dole w formie tekstowej.
0:03:02.240,0:03:04.820
Czyli b臋d臋 przekleja艂 bezpo艣rednio
0:03:04.820,0:03:08.420
od pliku na przyk艂ad certyfikatu ca
0:03:08.420,0:03:10.880
do tego pliku konfiguracyjnego.
0:03:10.880,0:03:12.880
Dzi臋ki temu b臋d臋 mia艂 tylko jeden plik
0:03:12.880,0:03:16.420
konfiguracyjny, kt贸ry b臋d臋 musia艂 przekaza膰 klientowi.
0:03:27.640,0:03:30.180
Wy艣wietlam sobie zawarto艣膰 pliku.
0:03:30.480,0:03:32.580
W tym przypadku certyfikat ca.
0:03:32.580,0:03:35.460
Kopiuj臋 od pocz膮tku linijki
0:03:35.460,0:03:39.000
z my艣lnikami do ostatniej linijki z my艣lnikami
0:03:39.000,0:03:43.780
a nast臋pnie wklejam tutaj pomi臋dzy tymi tagami ca.
0:03:49.260,0:03:51.480
Podobnie robi臋 z certyfikatem,
0:03:51.480,0:03:54.300
czyli zaczynam od pierwszej linijki
0:03:54.300,0:03:59.440
i kopiuj臋 razem z kluczem na ko艅cu,
0:03:59.440,0:04:04.760
podpisanym tym certyfikatem – to jest klucz publiczny urz臋du ca.
0:04:04.760,0:04:08.740
Ca艂o艣膰 kopiuj臋 tutaj do znacznik贸w cert.
0:04:18.000,0:04:20.700
No i podobnie wykonuj臋 z pozosta艂ymi polami,
0:04:20.700,0:04:24.560
czyli z kluczem prywatnym i z kluczem tls.
0:04:44.600,0:04:51.520
Ca艂o艣膰 konfiguracji. Teraz zmieniam nazw臋 z client.conf na student.ovpn
0:04:53.460,0:04:58.060
I taki ju偶 plik b臋d臋 m贸g艂 u偶y膰 w konfiguracji ju偶 klienta.
0:04:59.300,0:05:04.300
呕eby 艣ci膮gn膮膰 sobie klienta, tutaj przyk艂ad na systemie Windows.
0:05:04.300,0:05:06.500
trzeba wej艣膰 na stron臋 openvpn.net
0:05:07.120,0:05:08.860
do sekcji downloads
0:05:08.860,0:05:12.480
i 艣ci膮gn膮膰 odpowiedni膮 wersj臋 e-pliku
0:05:12.620,0:05:18.040
instalacyjnego, ja w tym przyk艂adzie mam Windows 10 i taki plik pobieram.
0:05:19.900,0:05:23.860
Tutaj ca艂y proces instalacyjny jest banalny.
0:05:24.200,0:05:26.580
Nic nie zmieniam, domy艣lne ustawienia
0:05:26.580,0:05:30.240
konfiguracji tego klienta.
0:05:32.000,0:05:37.380
Nast臋pnie 艣ci膮gam m贸j plik konfiguracyjny, wykorzystuj膮c WinSCP
0:05:39.100,0:05:44.760
Po lewej stronie ustawi艂em ju偶 katalog, czyli Program Files\OpenVPN\config
0:05:44.760,0:05:47.680
W takim katalogu nale偶y zapisa膰 ten plik.
0:05:50.880,0:05:58.120
I 艂膮cz臋 si臋, wykonuj膮c polecenie connect z tego interfejsu graficznego,
0:05:58.180,0:06:02.360
czyli prawy na ikonce OpenVPN-a i connect.
0:06:08.060,0:06:10.960
I teraz zobacz na stronie serwera.
0:06:10.960,0:06:16.120
Mo偶emy wej艣膰 w ustawienia czy wy艣wietli膰 sobie logi.
0:06:16.120,0:06:19.540
Zobaczy膰 jakie s膮 informacje po stronie serwera.
0:06:19.540,0:06:25.140
Widzimy, 偶e jest pod艂膮czony student z adresem 10.17.17.252
0:06:25.140,0:06:27.140
na takim porcie,
0:06:27.140,0:06:30.320
czyli po stronie serwera mo偶emy potwierdzi膰
0:06:30.400,0:06:32.520
prawid艂owo艣膰 takiej konfiguracji.
0:06:34.460,0:06:37.900
No i logi pe艂ne serwera.
0:06:37.900,0:06:41.800
Mo偶emy sobie prze艣ledzi膰 jak wygl膮da艂 ten proces negocjacji
0:06:41.800,0:06:44.340
i jakie parametry zosta艂y u偶yte.
0:06:45.180,0:06:48.120
W tym odcinku to wszystko. Dzi臋kuj臋 Ci za uwag臋.
0:06:48.120,0:06:51.020
Je偶eli masz jakie艣 pytania co do tej funkcjonalno艣ci
0:06:51.020,0:06:53.020
to napisz w komentarzu.
0:06:53.020,0:06:55.940
Je偶eli chcia艂by艣 zobaczy膰 w jaki spos贸b
0:06:55.940,0:07:02.020
utwardzi膰 t膮 konfiguracj臋, czyli zada膰 para metry wy偶szego poziomu szyfrowania,
0:07:02.200,0:07:05.140
lepiej zabezpieczy膰 t臋 instalacj臋 to r贸wnie偶 napisz.
0:07:05.140,0:07:10.080
Je偶eli b臋dzie zainteresowanie to rozwa偶臋 te偶 taki odcinek, kt贸ry pokazuje
0:07:10.080,0:07:13.820
w jaki spos贸b jeszcze dokonfigurowa膰 szczeg贸艂y
0:07:13.820,0:07:20.160
tego rozwi膮zania w oparciu o serwer OpenVPN w wersji serwera Linux.
0:07:20.760,0:07:24.460
Na dzisiaj to wszystko, dzi臋kuj臋 Ci za uwag臋 i do us艂yszenia w kolejnym odcinku.