Come installare e configurare OpenVPN su Debian

OpenVPN è senza dubbio il modo migliore per accedere in sicurezza a una rete tramite Internet, OpenVPN è una risorsa VPN open source che consente a noi utenti di mascherare la nostra navigazione per evitare di essere vittime della rete.

Questi sono aspetti molto importanti a livello di sicurezza che dobbiamo prendere in considerazione e questa volta analizzeremo il processo di Configurazione OpenVPN in un ambiente Debian 8.

NotaPrima di iniziare il processo di installazione è importante soddisfare alcuni requisiti, questi sono:

  • Utente root.
  • Droplet Debian 8, attualmente abbiamo Debian 8.1

1. Come installare OpenVPN


Il primo passo che faremo è aggiorna tutti i pacchetti nell'ambiente usando il comando:
 apt-get update

Una volta scaricati e aggiornati i pacchetti installiamo OpenVPN usando easy-RSA per problemi di crittografia. Stiamo per eseguire il seguente comando:

 apt-get install openvpn easy-rsa

Quindi dobbiamo configurare la nostra OpenVPN, i file di configurazione di OpenVPN sono memorizzati nel seguente percorso: / etc / openvpn e dobbiamo aggiungerli alla nostra configurazione, utilizzeremo il seguente comando:

 gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz> /etc/openvpn/server.conf
Una volta estratti questi file nel percorso selezionato, li apriremo utilizzando l'editor nano, eseguiremo il seguente comando:
 nano /etc/openvpn/server.conf
Vedremo la seguente finestra:

Una volta che siamo lì dobbiamo apportare alcune modifiche al file, queste modifiche sono sostanzialmente:

  • Protezione del server con crittografia di alto livello
  • Consenti traffico web verso la destinazione
  • Impedisci che le richieste DNS vengano filtrate al di fuori della connessione VPN
  • Permessi di installazione

Stiamo andando a raddoppiare la lunghezza della chiave RSA che viene utilizzato quando vengono generate le chiavi sia del server che del client, per questo cercheremo nel file i seguenti valori e modificheremo il valore dh1024.pem con il valore dh2048.pem:

 # Diffici parametri dell'inferno. # Genera il tuo con: # openssl dhparam -out dh1024.pem 1024 # Sostituisci 2048 con 1024 se stai usando chiavi a # 2048 bit. dh dh1024.pem

Ora facciamo assicurarsi che il traffico sia correttamente reindirizzato alla destinazione, decommentiamo push "redirect-gateway def1 bypass-dhcp" rimuovendo il; all'inizio di esso. nel file server.conf:

 # Se abilitata, questa direttiva configurerà # tutti i client per reindirizzare il loro # gateway di rete predefinito attraverso la VPN, facendo sì che # tutto il traffico IP come la navigazione web e # e le ricerche DNS passino attraverso la VPN # (potrebbe essere necessario che la macchina server OpenVPN NAT # o collega l'interfaccia TUN / TAP a Internet # in ***** affinché funzioni correttamente).; premi "redirect-gateway def1 bypass-dhcp"

Il prossimo passo sarà dire al server di utilizzare OpenDNS per la risoluzione dei nomi DNS Finché è possibile, in questo modo evitiamo che le richieste DNS siano al di fuori della connessione VPN, dobbiamo individuare il seguente testo nel nostro file:

 # Alcune impostazioni di rete specifiche di Windows # possono essere inviate ai client, come DNS # o indirizzi di server WINS. AVVISO: # http://openvpn.net/faq.html#dhcpcaveats # Gli indirizzi sottostanti si riferiscono ai # server DNS pubblici forniti da opendns.com.; push "dhcp-option DNS 208.67.222.222"; push "dhcp-option DNS 208.67.220.220"
Lì dobbiamo deselezionare il push "dhcp-option DNS 208.67.222.222" e premere "dhcp-option DNS 208.67.220.220" rimuovendo i commenti; dall'inizio.

Alla fine lo faremo definire i permessi Nello stesso file su cui stiamo lavorando, inseriamo il seguente testo:

 # Puoi rimuovere il commento su # sistemi non Windows.; utente nessuno; gruppo nogroup
Procediamo a deselezionare rimuovi il segno; dall'inizio dei testi utente nessunogruppo nessun gruppo.

Come sappiamo OpenVPN viene eseguito per impostazione predefinita come utente root consentendo di modificare qualsiasi parametro, con l'ultima modifica lo limiteremo all'utente nessuno e al gruppo nogroup per motivi di sicurezza.
Salviamo le modifiche utilizzando la combinazione di tasti:

Ctrl + O

E lasciamo l'editor usando:

Ctrl + X

Ora stiamo per abilitare l'inoltro dei pacchetti alla rete esterna, per questo eseguiremo il seguente comando:

 echo 1> / proc / sys / net / ipv4 / ip_forward
Dobbiamo rendere permanente questo cambiamento, non che dobbiamo farlo ogni volta che avviamo il sistema, per renderlo continuo inseriremo il file systcl usando l'editor nano, per questo eseguiremo quanto segue:
 nano /etc/sysctl.conf
Verrà visualizzata la seguente finestra:

Individueremo la seguente riga:

 # Decommenta la riga successiva per abilitare l'inoltro dei pacchetti per IPv4 # net.ipv4.ip_forward = 1
NotaRicordiamo che possiamo utilizzare la ricerca dell'editor utilizzando la combinazione di tasti:

Ctrl + W

Lì deselezionare il commento net.ipv4.ip_forward = 1 rimuovendo il simbolo #.

Il prossimo passo che dobbiamo fare è configurare UFW. UFW è una configurazione firewall per tabelle ip, quindi apporteremo alcune modifiche per modificare la sicurezza UFW. Come primo passo installeremo i pacchetti UFW usando il seguente comando:

 apt-get install ufw

Una volta scaricati e installati i pacchetti UFW necessari, configureremo UFW per consentire le connessioni SSH, per questo eseguiremo quanto segue:

 ufw consenti ssh

Nel nostro caso stiamo lavorando sulla porta 1194 di UDP, dobbiamo configurare questa porta affinché la comunicazione sia soddisfacente, inseriremo quanto segue:

 ufw consenti 1194 / udp
NotaPossiamo vedere le porte della nostra console usando il comando lsof -iUDP

Successivamente modificheremo il file di configurazione UFW per questo entreremo con l'editor nano nel seguente percorso:

 nano / etc / default / ufw
Si aprirà la seguente finestra:

Lì apporteremo alcune modifiche, individueremo la riga seguente, dove cambieremo DROP in ACCEPT.

 DEFAULT_FORWARD_POLICY = "DROP"
Il prossimo passo è aggiungere alcune regole in UFW per la traduzione degli indirizzi di rete e il corretto mascheramento degli indirizzi IP di utenti che si connettono. Apriamo il seguente file utilizzando l'editor nano:
 nano /etc/ufw/before.rules
Vedremo che viene visualizzata la seguente finestra:

Aggiungiamo il seguente testo:

 # START OPENVPN RULES # NAT table rules * nat: POSTROUTING ACCEPT [0: 0] # Consenti traffico dal client OpenVPN a eth0 -A POSTROUTING -s 10.8.0.0/8 -o eth0 -j MASQUERADE COMMIT # END OPENVPN RULES

Una volta apportate queste modifiche procederemo a abilitare UFW utilizzando il seguente comando:

 ufw abilita

a controlla le regole del firewallUso il seguente comando:

 stato ufw 

2. Crea certificato di autorità OpenVPN


Il prossimo passo nel nostro processo è creare il certificato di autorità per l'accesso tramite OpenVPNRicordiamo che OpenVPN utilizza questi certificati per crittografare il traffico. OpenVPN supporta la certificazione bidirezionale, ovvero il client deve autenticare il certificato del server e viceversa.
Copiamo gli script su easy-RSA usando il seguente comando:
 cp -r / usr / share / easy-rsa / / etc / openvpn
Stiamo andando a creare una directory per memorizzare le chiavi, useremo il seguente comando:
 mkdir / etc / openvpn / easy-rsa / keys
Il prossimo passo è modifica i parametri del certificato, useremo il seguente comando:
 nano / etc / openvpn / easy-rsa / vars
Verrà visualizzata la seguente finestra:

Modificheremo i seguenti parametri in base alle nostre esigenze:

 export KEY_COUNTRY = esportazione "CO" KEY_PROVINCE = esportazione "BO" KEY_CITY = esportazione "Bogota" KEY_ORG = esportazione "Solvetico" KEY_EMAIL = esportazione "[email protected]" KEY_OU = "Solvetico"

Nello stesso file andremo a modificare la seguente riga:

 # X509 Campo oggetto export KEY_NAME = "EasyRSA"
Stiamo andando a cambia il valore EasyRSA con il nome del server che desideri, useremo il nome Solvetic.

Ora stiamo per configurare i parametri Diffie-Helman utilizzando uno strumento integrato con OpenSSL chiamato dhparam. Inseriremo ed eseguiremo il seguente comando:

 openssl dhparam -out /etc/openvpn/dh2048.pem 2048

Una volta generato il certificato, lo faremo cambia directory easy-RSA usando il comando:

 cd / etc / openvpn / easy-rsa
Stiamo andando a inizializzare la PKI, useremo il comando:
… / Vars

Stiamo andando a cancella gli altri tasti in modo che non interferiscano con l'installazione utilizzando il comando:

 ./pulisci tutto
Ora stiamo per costruire il certificato utilizzando il seguente comando OpenSSL:
 ./build-ca

Potremo vedere una serie di domande che sono legate alle informazioni precedentemente inserite, in questo modo è stato generato il certificato. Successivamente avvieremo il nostro server OpenVPN, per questo Modificheremo il file che si trova nel percorso /etc/openvpn/easy-rsa utilizzando il nome della chiave precedentemente specificato, nel nostro caso Solvetic. Stiamo per eseguire il seguente comando:

 ./build-key-server Solvetic

Nelle righe sottostanti possiamo lasciare lo spazio vuoto e premere Invio:

 Si prega di inserire i seguenti attributi 'extra' da inviare con la richiesta di certificato Una password di verifica []: Un nome azienda opzionale []:
Verrà visualizzata la seguente finestra in cui dobbiamo inserire la lettera y (sì) per accettare le due domande seguenti: Firma il certificato e richiedi i certificati.

Ora facciamo sposta sia i certificati che le chiavi nel percorso /etc/openvpn, eseguiremo il seguente comando:

 cp /etc/openvpn/easy-rsa/keys/[Solvetic.crt,Solvetic.key,ca.crt} /etc/openvpn
Una volta completato questo processo, lo faremo avvia il servizio OpenVPN usando il comando:
 servizio openvpn start
a vedere lo stato useremo il comando:
 stato del servizio oopenvpn

Il nostro prossimo passo sarà creare i certificati e le chiavi per i client che vogliono connettersi alla VPN. Idealmente, per sicurezza, ogni client che si connette al server ha il proprio certificato e chiave, non condividerlo mai, per impostazione predefinita OpenVPN non consente connessioni simultanee con lo stesso certificato e chiave. Creeremo la chiave per il nostro client, per questo inseriremo il seguente comando:

 ./build-key Client_Name, nel nostro esempio utilizzeremo il seguente comando: ./build-key Tests

Completiamo i campi richiesti e poi lo faremo copia la chiave generata nella directory easy-RSA.

 cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/easy-rsa/keys/client.ovpn.
Ora facciamo scarica gratuitamente lo strumento Winscp dal link sottostante. Questo strumento ci consentirà di connetterci tramite SFTP o FTP alla nostra macchina Debian per verificare che i file siano stati creati correttamente. Una volta scaricato ed eseguito, questa sarà la finestra che potremo vedere:

Lì inseriamo l'indirizzo IP della macchina Debian, ricordiamo che l'IP può essere convalidato utilizzando il comando ifconfig, inseriamo le credenziali e una volta fatto clic su Connetti possiamo vedere quanto segue:

INGRANDIRE

Lì possiamo vedere sul lato destro i rispettivi file delle chiavi e delle chiavi. Per accedere tramite OpenVPN andremo a scaricare lo strumento dal seguente link OpenVPN versione 2.3.11. Una volta scaricato, dobbiamo prendere in considerazione di apportare alcune modifiche a tale strumento, la prima cosa che faremo è copiare i file chiave e le chiavi nel percorso in cui è comunemente installato OpenVPN:

 C: \ Programmi \ OpenVPN \ config
Successivamente creeremo un file nel blocco note o nell'editor di testo che abbiamo con le seguenti informazioni:
 client dev tun proto udp remote 192.168.0.12 1194 chiave client.key cert client.crt ca ca.crt auth-user-pass persist-key persist-tun comp-lzo verbo 3
NotaL'IP è quello della nostra macchina Debian e la porta, come abbiamo visto in precedenza, è UDP 1194.
Questo file deve essere salvato con l'estensione .ovpn.

3. Test di accesso client OpenVPN


Lanciamo OPENVPN e questo sarà l'ambiente con cui ci troveremo:

Inseriamo le credenziali dell'utente per connetterti e clicca su Va bene e possiamo vedere quanto segue

NotaStiamo effettuando questa connessione da un computer Windows 7.

Ora possiamo vedere nella barra di notifica che la connessione è andata a buon fine e possiamo vedere il nuovo indirizzo IP.

Se facciamo clic con il tasto destro sullo strumento (icona nella barra delle notifiche) abbiamo le seguenti opzioni:

Da qui possiamo svolgere i compiti che riteniamo necessari. Ad esempio, sì selezioniamo Mostra stato vedremo quanto segue:

4. Strumenti di sicurezza OpenVPN']


Non c'è dubbio che La navigazione in Internet può portare a problemi di sicurezza come virus, furto di informazioni, spyware, ecc., per questo motivo ci sono alcuni strumenti che possiamo implementare per migliorare la sicurezza sulla nostra macchina una volta che il OpenVPN.

Parliamone Clamav che è un potente antivirus che ci aiuterà a mantenere il controllo su file o processi infetti nel nostro Debian 8.1. È un software open source che ci consente di rilevare trojan, malware e altre minacce latenti sui nostri computer. Il processo di installazione è molto semplice, per questo eseguiremo il seguente comando:

 Sudo apt-get install clamav

Più tardi eseguiremo vongola fresca in modo che l'intero database Clamav sia aggiornato.
Per eseguire una scansione sulla macchina inseriremo la seguente sintassi:

 Clamscan -infected -remove -recursive / home
Dopo un momento vedremo un riepilogo dell'attività di scansione:

Un altro strumento che possiamo utilizzare per migliorare la nostra sicurezza è Privoxy che funziona come un proxy Web e include funzioni avanzate per proteggere la privacy, gestire i cookie, controllare l'accesso, rimuovere gli annunci, tra gli altri. Per installarlo sul nostro sistema Debian 8.1 eseguiremo il seguente comando:

 Sudo apt-get install privoxy

Ricorda che se siamo utenti root, sudo non è necessario. Una volta scaricati e installati tutti i pacchetti Privoxy, andremo a modificare alcuni parametri nel suo file di configurazione, per questo eseguiremo il seguente comando:

 Sudo nano / etc / privoxy / config
Verrà visualizzato quanto segue:

Lì dobbiamo individuare la linea indirizzo di ascolto localhost: 8118 e dobbiamo aggiungere 2 parametri, prima aggiungiamo il simbolo # all'inizio di questa riga e inseriamo sotto il termine listen-address ip_of_nour machine: 8118, nel nostro caso è:

 indirizzo di ascolto 192.168.0.10:8118.
Fatto ciò, riavvieremo il servizio utilizzando:
 sudo /etc/init.d/privoxy restart

Quindi andiamo al browser che abbiamo in Debian e procediamo a modificare i parametri Proxy, dobbiamo confermare che l'IP è quello che abbiamo aggiunto e la porta è 8118. Nel nostro esempio usiamo IceWeasel e dobbiamo inserire:

  • preferenze
  • Avanzate
  • Rete
  • Configurazione della connessione
  • Configurazione manuale del proxy

Una volta configurato facciamo clic su OK. Ora possiamo vedere come Privoxy ci aiuta con la sicurezza:

Esistono altri strumenti che possono aiutarci a migliorare la navigazione utilizzando la nostra OpenVPN, che possiamo implementare:

DnsmasqCi fornisce servizi DNS in questo modo utilizziamo solo la cache DNS.

HAVPCon questo strumento abbiamo un proxy con antivirus, scansiona tutto il traffico alla ricerca di virus o comportamenti strani.

Come possiamo vedere, è molto importante adottare misure che ci aiutino a mantenere il controllo sulla nostra navigazione e sia molto chiaro che il corretto funzionamento di Debian 8.1

Continuiamo ad esplorare tutti i grandi vantaggi che Debian 8.1 ci offre e miglioriamo il nostro ambiente poiché molti di noi sono amministratori, coordinatori o responsabili dell'area IT e questi suggerimenti ci aiutano ad affrontare la vita quotidiana più facilmente e con la possibilità per non avere problemi critici in futuro che possono essere un grosso grattacapo.

Installa LAMP su Debian 8

wave wave wave wave wave