Cài đặt và cấu hình OpenVPN trên máy chủ Linux- 123docz.net

OpenVPN sẽ được cài đặt và cấu hình trên máy chủ trung tâm

Bước 1: Chắc chắn rằng các gói GCC đã được cài đặt hoặc là sẽ nhận được thông báo lỗi cài đặt

openvpn-2.0.tar.gz

Tạo một thư mục có tên là OpenVPN trong /usr và download 2 gói phần mềm đó về thư mục đó.

Bước 3: Giải nén và cài đặt lzo-1.08.tar.gz

Chuyển đến thư mục sau khi giải nén được bung ra là lzo-1.08 và tiến hành cài đặt.

Bước 4: Giải nén và cài đặt openvpn-2.0.tar.gz

Chuyển đến thư mục được bung ra sau khi giải nén là openvpn-2.0 để tiến hành cài đặt

Bước 5: Cài đặt Certificate Authority-CA và tạo giấy chứng nhận và key cho một server OpenVPN và nhiều client

Tổng quan

Certificate Authority (CA) là một dạng như "Giấy chứng nhận", dùng để chứng thực user trên internet hay intranets...Certificate gồm một cặp khóa : khóa công cộng (public key) và khóa riêng tư (private key) để chứng thực user, mã hóa dữ liệu...

Bước đầu tiên trong việc cấu hình là thiết lập một PKI (public key infrastructure). PKI bao gồm:

• Một private certificate ( cũng được hiểu như là một khóa công khai) và một khóa riêng tư cho server và cho mỗi client.

• Một CA và key được sử dụng để làm kí hiệu cho server và cho việc cấp chứng nhận client.

OpenVPN hỗ trợ việc xác thực hai chiều dựa trên việc cấp chứng nhận, nghĩa là client phải xác thực server đã được chứng nhận và server phải xác nhận client đã được chứng nhậ trước khi sự tin tưởng lẫn nhau được thiết lập.

Cả hai server và client sẽ xác thực lẫn nhau bằng cách trước tiên là đưa ra việc chứng thực đã được báo bởi CA chủ, và sau đó bởi thông tin kiểm tra trong phần đầu của chứng thực, ví dụ như chứng thực tên hay chứng thực kiểu (client hay server).

Chế độ bảo mật này có các đặc tính sau:

• Server chỉ cần certificate/ key của máy chủ mà không cần quan tâm đến các khóa của client kết nối đến nó.

• Server chỉ chấp nhận những client nào mà khóa của nó đã được signed bởi Master CA certificate. Và bởi vì server có thể kiểm chứng chữ ký mà không cần truy cập đến khóa CA riêng của chính nó, nó có thể cho khóa CA lưu trú trên một máy khác hoàn toàn, thậm chí nó không cần kết nối mạng.

• Nếu một private key không hợp lệ có thể sẽ disabled bằng cách gửi đến CRL (Certificate Revocation List). CRL cho phép các khóa bị lỗi hay không còn thích hợp bị từ chối mà không cần phải tọa lại toàn bộ PKI.

• Server có thể có được quyền truy cập client được chỉ định dựa trên các trường chứng thực đi kèm, ví dụ như Common Name.

Để cho Openvpn hoạt động được ta tiến hành khởi tạo . Một master CA certificate/key và SERVER certificate/key , cuối cùng là client

certificate/key .

Hầu hết các tham số đều để mặc định như các giá trị đã thiết lập trong các file

vars hoặc vars.bat. Chỉ có tham số phải điền vào là Common Name. Ví dụ: OpenVPN-CA

Bước 6: Tạo Certificate và khóa cho server

Như bước trước đó, hầu hết các tham số để mặc định. Khi tham số Common Name được yêu cầu, nhập “server”. Hai câu hỏi tiếp theo yêu cầu

trả lời rõ ràng, “Sign the certificate?[y/n]” và “1 out of 1 certificate requests certified, commit? [y/n] ”.

Tạo certificate và khóa cho client: (adsbygoogle = window.adsbygoogle || []).push({});

File Keys

Có những key và certificate mới được tạo ra trong thư mục con keys. Sau đây là những giải thích về những file có trong đó:

ca.crt Server + client Chứng thực Root CA

Không

ca.key Server + client Chứng thực Root

Có

dh{n}.pem Server Tham số Diffie

Hellman

Không

Server.crt Server Chứng thực

server

Có

Server.key Server Khóa server Có

Client.crt Client Chứng thực

client

Không

Client.key Client Khóa client Có

Tạo ra thư mục có tên là config trong thư mục openvpn-2.0. Coppy tất cả những file có trong thư mục openvpn-2.0/sample-config vào thư mục config, và coppy các thư mục dh1024.pem, server.key, server.crt, ca.crt của thư mục openvpn-2.0/easy-rsa/key vào thư mục openvpn/config.

Bước 7: Tạo file cấu hình cho server

Sửa file cấu hình server.conf. Trong quá trình này, nó sẽ tạo ta một VPN sử dụng một giao diện mạng TUN ảo, sẽ lắng nghe các client kết nối tới trên UDP port 1194, và sẽ sắp xếp các địa chỉ ảo tới các client kết nối đến từ subnet 10.8.0.0/24.

Trước khi sử dụng file cấu hình mẫu, cần phải sửa lại tham số ca, cert, key

và dh trong file đã tạo trong phần PKI ở trên.

Bước 8: Sửa file cấu hình client trong đường dẫn config/client.conf.

Vì các máy client của Trung tâm đều sử dụng Windown XP nên sẽ tiến hành cấu hình file này dành cho các máy client là Windown XP.

• Giống như file cấu hình server, trước tiên sửa các tham số ca, cert và

key có trong các file trong phần tạo PKI. Mỗi client nên có một cặp

cert/key riêng.

• Cuối cùng, chắc chắn rằng file cấu hình client là phù hợp với file cấu hình server. Điều quan trọng là kiểm tra dev (tun hay tap) và proto

Bước 9: khởi động và chạy Openvpn (adsbygoogle = window.adsbygoogle || []).push({});