24T17 Szybki OpenVPN w 15 min. [Konfiguracja OPNsense]

Więcej miejsc do posłuchania:

Spotify

0:00 Wprowadzenie

0:51 Tworzenie Lokalnego Urzędu Certyfikacji

1:44 Certyfikat dla Serwera OpenVPN

5:30 Właściwe tworzenie serwera OpenVPN

10:20 Firewall – tworzenie reguły

12:17 Pobranie i instalacja klienta OpenVPNowego

14:08 Podsumowanie

Transkrypcja

Cześć. Opowiem tym razem o tworzeniu serwera Open VPN na OPNsense. Open VPN to popularny protokół do tworzenia sieci prywatnych VPN. Znalazł on zastosowanie w wielu systemach operacyjnych i urządzeniach. Zaletą jego jest łatwość konfiguracji, korzysta z jednego portu UDP lub TCP. Dobrze radzi sobie z NATem, łatwo go zainstalować po stronie klienta i zastosować konfigurację.

Przystępujemy do tworzenia lokalnego urzędu certyfikacji który będzie nam potrzebny w naszym OpenVPN serwerze. Wchodzimy do system, Trust, Authorities – tu klikamy na plusik i wpisujemy jakąś nazwę. Może zacznijmy ją od CA żebyśmy wiedzieli. To jest urząd certyfikacji. Tutaj wybieramy, może zróbmy większą długość klucza na 4096. Ja ustawiam zwykle na 10 lat czas życia tego CA. Tutaj kraj – Polska oczywiście. Save i mamy już utworzone nasze CA.

W kolejnym kroku zróbmy certyfikat dla serwera OpenVPN. Tu plusik na Certyficates + Internal Certyficate. No i tutaj musimy mu dać jakąś nazwę… Dajmy mu SSL VPN cert na przykład. Już nam się podstawiło to nasze CA i jest to serwer. Robimy dla serwera, tak tutaj również ustawmy na 4096 długość klucza SHA na 512 i może również na 10 lat. l common name to tu jeszcze wpiszmy że jest to OVPN. Tutaj możemy wpisać do nazwy alternatywnej nazwę DNSową lub IP. Ja wpiszę przykładowo DNS I save. No i mamy certyfikat dla naszego serwera.

W kolejnym kroku przejdźmy do system, Access, groups – tu utworzymy grupę dla użytkowników OpenVPN’a. Ja ją właśnie tak nazwę OVPN na przykład 1, Save i już mamy tą grupę. Następnie musimy utworzyć użytkownika przynajmniej jednego który będzie korzystał z tego OpenVPN czyli plusikiem Tutaj nazwa… wpisujemy nazwę użytkownika. Jakieś hasło sobie wygeneruję i możemy oczywiście podać dodatkowe dane jeśli taka jest potrzeba. Tu przypiszmy go do tej grupy wcześniej utworzonej OVPN1 i kolejnym ważnym krokiem jest to żeby wygenerować dla niego certyfikat, dla tego użytkownika. Czyli klikamy tutaj Click to create a user certificate I klikamy save and go back.

Otworzy nam się okienko do tworzenia certyfikatu właśnie użytkownika. Tworzymy go oczywiście jako certyfikat wewnętrzny. Centrum certyfikacji to będzie to nasze CA które się już właśnie podstawiło no i tu wybieramy Client certificate również zwiększę długość klucza na 4096, może SHA na 512 i 10 lat. Pozostałych rzeczy nie trzeba już tutaj nic zmieniać, można zrobić Save I jak widzicie certyfikat tutaj nam się pokazał robimy Save and go back i mamy utworzonego użytkownika.

Teraz przechodzimy już do właściwego tworzenia serwera OpenVPN. Robimy to klikając tu w menu na VPN, Open VPN, serwers i legacy. Tutaj dajmy mu jakiś opis. Tu mamy kilka możliwości ustawienia trybu pracy serwera. Nas interesuje w tej chwili Remote Access czyli dostęp zdalny. Mamy tutaj trzy opcje. Najbezpieczniejsza SSL/TLS plus User Auth czyli autentykacja użytkownika jego loginem i hasłem plus dodatkowo certyfikat użytkownika. Opcja SSL/TLS no to tylko użytkownik autentykuje się certyfikatem I opcja user out to loguje loginem i swoim hasłem. Ja tu wybiorę opcję Remote Access (SSL/TLS) jest to dość fajna w konfiguracji bo nie wymaga tworzenia… to znaczy od strony użytkownika jakieś interakcji przy logowaniu ewentualnie i tak wybieram protokół UDP, interfejs wybiorę WAN bo tam będzie słuchał nasz OpenVPN serwer i zmienię port domyślny na 1199.

W opcjach kryptograficznych warto jest włączyć autentykakję TLS zarówno przy samej autentykacji jak i inkrypcji ruchu czyli spowoduje to to, że będzie zarówno szyfrowanie zarówno podczas logowania użytkownika, jak i cały ruch będzie szyfrowany. Tu nam się już podstawiło CA, które wcześniej utworzyliśmy. Wybierzemy sobie certyfikat serwera czyli SSL VPN cert, skojarzony z CA netadminpro.pl Natomiast algorytm szyfrowania może być ustawiony bądź nie bo nie jest już w nowszych wersjach używany.

Ewentualnie jeżeli taka jest potrzeba to możemy ustawić na AES-256-CBC Tutaj zwiększmy może te opcję szyfrowania na SHA512. Teraz tak: adres tunelu ustawię tak… Zwróćcie uwagę żeby nie pokrywała się ta adresacja oczywiście z żadną inną, która jest używana gdzieś na danym routerze lub mogła być używana u użytkowników którzy się łączą. Tutaj adres sieci Tu jeżeli nie chcemy jakiś dodatkowych opcji wpisywać jeżeli chodzi o sieci to nie musimy nic podawać Natomiast jeżeli wstawimy 0 czyli nie limitujemy połączeń do naszego serwera. Robimy Save i mamy już uruchomiony serwer Open VPNowy, jest na zielono czyli on działa.

Jeżeli mamy utworzony już serwer OpenVPN to pojawi nam się nowy interfejs sieciowy, który musimy dodać. Tu w interfejsach i Assignments, dodajemy nowy, dajmy mu jakiś opis może na początek OVPN Dodajemy go do interfejsów, robimy Save. Klikamy na ten nowo powstały interfejs, musimy go włączyć i dodatkowo opcję Prevent interface removal I Save. Apply. Mamy interfejs OVPNowy.

W kolejnym etapie trzeba przejść do Firewalla i tutaj do reguł. Mamy grupę OpenVPN to jest grupa interfejsów. Tu jeżeli dodamy regułę to ona będzie jakby nadrzędna dla wszystkich interfejsów OpenVPNowych. A może dodajmy sobie regułę do tego konkretnego, która będzie przepuszczała cały ruch. Tu jeżeli klikniemy na ten plusik to domyślnie nam się tworzy reguła przepuszczająca cały na tym interfejsie. Wystarczy kliknąć Save i Apply. Już mamy regułę gotową.

Musimy jeszcze dodać regułę do interfejsu WAN, która będzie przepuszczała ruch do naszego serwera OpenVPN od strony internetu. i tutaj tak – ustawmy sobie protokół UDP, Source czyli any czyli wpuszczamy ruch z całego internetu i Destynation This Firewall czyli wpuszczamy do tego Firewalla no i teraz zakres portów 1199 do 1199 możemy dodać opis OVPN1 No i mamy regułę, która wpuści nam ruch do naszego serwera OpenVPN i Apply oczywiście i już mamy utworzoną regułę.

W tym momencie mamy już gotowy serwer. Pozostaje jedynie pobrać klienta OpenVPNowego i zainstalować na systemie z którego korzystamy. Mamy gotowy serwer. Możemy zrobić teraz eksport plików konfiguracyjnych OpenVPNa. Przechodzimy tutaj odpowiednio do zakładki OpenVPN potem Client export. Wyświetlamy sobie listę serwerów. Mamy akurat jeden. Ustawiamy opcję exportu na File Only gdyż potrzebujemy tylko pliku konfiguracyjnego. Hostname podstawia nam się automatycznie jest to IP adres interfejsu WAN. Możemy go zmienić ewentualnie na nazwę DNSową jeśli taka jest potrzeba i tu widzimy jest użytkownik 001 – klikamy na chmurkę i zapisuje nam się konfiguracja do pliku OVPN.

Mamy już plik na naszym komputerze, który będzie się łączył do serwera OpenVPN Wystarczy go kliknąć jeżeli już klient jest zainstalowany automatycznie zaimportuje się do naszego klienta. Teraz sprawdźmy czy uda nam się połączyć. Połącz. Inicjowanie połączenia no i nastąpiło połączenie – jest na zielono tutaj ten komputerek z kłódką więc Open VPN działa.

Dziękuję za uwagę jeżeli interesują Cię kolejne możliwości tej dystrybucji i nie tylko zasubskrybuj nasz kanał. Jeżeli masz jakieś sugestie i uwagi to napisz w komentarzu. Cześć.