Часть VII. Виртуальные серверы
и найдите в нем директиву
default
_
forward
_
policy
:
DEFAULT_FORWARD_POLICY="ACCEPT"
Откроем порт для OpenVPN:
sudo ufw allow 443/tcp
или
sudo ufw allow 1194/udp
Первую команду нужно вводить, если вы применяете протокол TCP, вторую, если
используется протокол UDP. Чтобы изменения вступили в силу, брандмауэр нужно
перезапустить:
sudo ufw disable
sudo ufw enable
Все готово для запуска VPN-сервера. Запустим его командой:
sudo systemctl start openvpn@server
Проверить состояние сервера можно так:
sudo systemctl status openvpn@server
Вы должны увидеть что-то вроде этого:
openvpn@server.service - OpenVPN connection to server
Loaded: loaded (/lib/systemd/system/openvpn®.service; disabled; vendor
preset: enabled)
Active:
active (running)
since Tue 2017-07-11 16:590:05 EDT; 25s ago
Если все нормально, тогда обеспечим автоматический запуск сервера:
sudo systemctl enable openvpn@server
46.7. Инфраструктура настройки клиентов
Прежде, чем клиенты смогут подключиться к нашему VPN-серверу, нужно позабо-
титься об инфраструктуре настройки клиентов. Создадим каталог для хранения
файлов:
mkdir -р ~/clients/files
chmod 700 -/clients/files
Такие права доступа нужны, поскольку этот каталог будет содержать ключи клиен-
тов.
Далее установим базовую конфигурацию:
cd /usr/share/doc/openvpn/examples/sample-config-files/
ср client.conf ~/clients/base.conf
Откройте файл ~
/dients/base.conf
. В нем нужно сделать несколько изменений:
# Укажите IP-адрес сервера и порт (1193 для UDP или 443 для TCP)
remote IP-адрес порт
Глава 46. Настройка собственного VPN-cepeepa
661
# Укажите протокол udp или top
proto протокол
# Раскомментируйте директивы
user nobody
group nogroup
# Найдите директивы са, cert и key. Закомментируйте их
#са ca.crt
#cert client.crt
#key client.key
# Добавьте параметры cipher и auth так, как они описаны в server.conf
cipher AES-128-CBC
auth SHA256
# Установите key-direction в 1
key-direction 1
Теперь создадим сценарий генерации файлов конфигурации (листинг 46.1):
cd ~/clients
touch make_config
chmod +x make_config
mcedit make_config
#!/bin/bash
# First argument: Client identifier
KEY_DIR=~/openvpn-са/keys
OUTPUT_DIR=~/clients/files
BASE_CONFIG=~/clients/base.conf
cat ${BASE_CONFIG} \
<(echo -e '') \
${KEY_DIR}/ca.crt \
<(echo -e '\n') \
${KEY_DIR}/${1}.crt \
<(echo -e '\n') \
${KEY_DIR}/${1}.key \
<(echo -e '\n') \
${KEY_DIR}/ta.key \
<(echo -e '') \
> ${OUTPUT_DIR}/${!}.ovpn
Используя этот сценарий, вы сможете легко генерировать файлы конфигурации
клиентов:
662
Do'stlaringiz bilan baham: |