كتاب "Linux in action"

مرحبا ، habrozhiteli! في الكتاب ، يصف ديفيد كلينتون 12 مشروعًا في العالم الحقيقي ، بما في ذلك أتمتة نظام النسخ الاحتياطي والاسترداد ، وإنشاء سحابة ملفات على نمط Dropbox شخصي ، وإنشاء خادم MediaWiki الخاص بك. مع أمثلة مثيرة للاهتمام ، سوف تتعلم عن المحاكاة الافتراضية ، والتعافي من الكوارث ، والأمن ، والنسخ الاحتياطي ، ونشر DevOps ، واستكشاف مشكلات النظام وإصلاحها. ينتهي كل فصل بمراجعة التوصيات العملية ومسرد للمصطلحات الجديدة والتمارين.

مقتطفات "10.1. إنشاء نفق OpenVPN »

في هذا الكتاب ، تحدثت بالفعل كثيرًا عن التشفير. يمكن لـ SSH و SCP حماية البيانات المرسلة من خلال الاتصالات عن بُعد (الفصل 3) ، ويسمح لك تشفير الملفات بحماية البيانات عند تخزينها على الخادم (الفصل 8) ، ويمكن لشهادات TLS / SSL حماية البيانات أثناء النقل بين المواقع ومتصفحات العملاء (الفصل 9). لكن في بعض الأحيان تتطلب بياناتك الحماية في مجموعة واسعة من الاتصالات. على سبيل المثال ، من الممكن أن يعمل بعض أعضاء فريقك على الطريق ، ويتصلون بالشبكة عبر شبكة Wi-Fi من خلال نقاط الوصول العامة. من المؤكد أنك لا تفترض أن جميع نقاط الوصول هذه آمنة ، ولكن يحتاج الأشخاص لديك حقًا إلى وسيلة للاتصال بموارد الشركة - وفي هذه الحالة ستساعد VPN.

يوفر نفق VPN المصمم بشكل صحيح اتصالًا مباشرًا بين العملاء عن بُعد والخادم بطريقة تخفي البيانات عند إرسالها عبر شبكة غير آمنة. ماذا بعد؟ لقد شاهدت بالفعل العديد من الأدوات التي يمكن أن تفعل ذلك بالتشفير. إن القيمة الحقيقية لشبكات VPN هي أنه من خلال فتح النفق ، يمكنك توصيل الشبكات البعيدة ، كما لو كانت جميعها مجتمعة محلية. بمعنى ما ، أنت تستخدم حلاً.

باستخدام هذه الشبكة الموسعة ، يمكن للمسؤولين القيام بعملهم على الخوادم الخاصة بهم من أي مكان. لكن الأهم من ذلك ، أن الشركة التي لديها موارد موزعة عبر عدة فروع يمكن أن تجعلها مرئية للجميع ويمكن الوصول إليها لجميع المجموعات التي تحتاج إليها ، أينما كانت (الشكل 10.1).

النفق نفسه لا يضمن الأمن. ولكن يمكن تضمين أحد معايير التشفير في بنية الشبكة ، مما يزيد بشكل كبير من مستوى الأمان. تستخدم الأنفاق التي تم إنشاؤها باستخدام حزمة OpenVPN مفتوحة المصدر نفس تشفير TLS / SSL الذي قرأته بالفعل. OpenVPN ليس الخيار الوحيد المتاح للنفق ، ولكنه أحد أشهر الخيارات. يُعتقد أنه أسرع وأكثر أمانًا بقليل من بروتوكول أنفاق الطبقة 2 البديلة الذي يستخدم تشفير IPsec.

هل تريد أن يتواصل الجميع في فريقك بأمان مع بعضهم البعض أثناء التنقل أو العمل في مبان مختلفة؟ للقيام بذلك ، يجب عليك إنشاء خادم OpenVPN للسماح بمشاركة التطبيق والوصول إلى بيئة الشبكة المحلية للخادم. لكي يعمل هذا ، يكفي تشغيل جهازين ظاهريين أو حاويتين: واحدة للعمل كخادم / مضيف ، والآخر للعميل. إنشاء شبكة VPN ليس عملية سهلة ، لذلك قد يستغرق الأمر بضع دقائق للحصول على الصورة الكبيرة.

10.1.1. تكوين خادم OpenVPN

قبل أن تبدأ ، سأقدم لك نصيحة مفيدة. إذا كنت ستقوم بكل شيء بنفسك (وأوصى بشدة لك) ، فربما تجد أنك تعمل مع عدة نوافذ طرفية مفتوحة على سطح المكتب ، كل منها متصل بجهازه. هناك خطر في وقت ما سوف تدخل الأمر الخطأ في النافذة. لتجنب ذلك ، يمكنك استخدام أمر اسم المضيف لتغيير اسم الجهاز المعروض في سطر الأوامر إلى شيء سيخبرك بوضوح أين أنت. بمجرد القيام بذلك ، ستحتاج إلى الخروج من الخادم وتسجيل الدخول مرة أخرى حتى تصبح الإعدادات الجديدة نافذة المفعول. إليك ما يبدو عليه:


بالالتزام بهذا النهج وتعيين الأسماء المقابلة لكل جهاز من الأجهزة التي تعمل معها ، يمكنك بسهولة تتبع مكانك.

بعد استخدام اسم المضيف ، قد تواجهك مزعجًا غير قادر على حل رسائل Host OpenVPN-Server عند تشغيل الأوامر التالية. يجب أن يؤدي تحديث الملف / etc / hosts باسم المضيف الجديد المقابل إلى حل المشكلة.

تحضير خادمك لـ OpenVPN

يتطلب تثبيت OpenVPN على الخادم الخاص بك عبوتين: openvpn و easy-rsa (للتحكم في عملية إنشاء مفتاح التشفير). إذا لزم الأمر ، يجب على مستخدمي CentOS أولاً تثبيت مستودع إصدار epel ، كما فعلت في الفصل 2. لتتمكن من التحقق من الوصول إلى تطبيق الخادم ، يمكنك أيضًا تثبيت خادم الويب Apache (apache2 لـ Ubuntu و httpd على CentOS).

أثناء إعداد الخادم ، أنصحك بتنشيط جدار حماية يحظر جميع المنافذ باستثناء 22 (SSH) و 1194 (منفذ OpenVPN الافتراضي). يوضح هذا المثال كيف ستعمل ufw على Ubuntu ، لكنني متأكد من أنك ما زلت تتذكر برنامج CentOS لجدار الحماية من الفصل 9:

# ufw enable # ufw allow 22 # ufw allow 1194 

للسماح بالتوجيه الداخلي بين واجهات الشبكة على الخادم ، يجب إلغاء سطر واحد (net.ipv4.ip_forward = 1) في ملف /etc/sysctl.conf. سيتيح لك ذلك إعادة توجيه العملاء عن بُعد حسب الحاجة بعد الاتصال. لجعل المعلمة الجديدة تعمل ، قم بتشغيل sysctl -p:

 # nano /etc/sysctl.conf # sysctl -p 

الآن تم تهيئة بيئة الخادم بالكامل ، ولكن هناك شيء آخر يجب القيام به قبل أن تكون جاهزًا: سيكون عليك إكمال الخطوات التالية (سننظر فيها بمزيد من التفاصيل أدناه).

1. قم بإنشاء مجموعة مفاتيح على الخادم لتشفير البنية التحتية للمفتاح العام (PKI) باستخدام البرامج النصية التي تأتي مع الحزمة easy-rsa. في جوهره ، يعمل خادم OpenVPN أيضًا كسلطة مصادقة خاصة به (CA).
2. تحضير المفاتيح المناسبة للعميل
3. تكوين ملف server.conf للخادم
4. تكوين عميل OpenVPN الخاص بك
5. تحقق من VPN الخاص بك

مفتاح التشفير الجيل

من أجل عدم تعقيد حياتك ، يمكنك تكوين البنية الأساسية للمفتاح على نفس الجهاز الذي يعمل عليه خادم OpenVPN. ومع ذلك ، تقترح توصيات الأمان عادةً استخدام خادم CA منفصل لعمليات النشر في بيئة الإنتاج. يوضح الشكل التالي عملية تكوين وتخصيص موارد مفتاح التشفير للاستخدام في OpenVPN. 10.2.


عند تثبيت OpenVPN ، تم إنشاء الدليل / etc / openvpn / تلقائيًا ، لكن لا يوجد شيء فيه حتى الآن. تأتي حزم openvpn و easy-rsa مع نماذج لملفات النماذج التي يمكنك استخدامها كأساس للتكوين الخاص بك. لبدء عملية إصدار الشهادات ، انسخ دليل قوالب easy-rsa من / usr / share / إلى / etc / openvpn وتغيير إلى easy-rsa / directory:

 # cp -r /usr/share/easy-rsa/ /etc/openvpn $ cd /etc/openvpn/easy-rsa 

سيحتوي دليل easy-rsa الآن على عدد قليل من البرامج النصية. في الجدول. 10.1 يسرد الأدوات التي ستستخدمها لإنشاء المفاتيح.

تتطلب هذه العمليات امتيازات الجذر ، لذا فمن خلال sudo su يجب أن تصبح الجذر.

يسمى الملف الأول الذي ستعمل به vars ويحتوي على متغيرات البيئة التي يستخدمها easy-rsa عند إنشاء المفاتيح. تحتاج إلى تحرير الملف لاستخدام القيم الخاصة بك بدلاً من القيم الافتراضية الموجودة بالفعل. هذا ما سيبدو عليه ملفي (قائمة 10.1).

ادراج 10.1. الأجزاء الرئيسية من الملف / etc / openvpn / easy-rsa / vars

 export KEY_COUNTRY="CA" export KEY_PROVINCE="ON" export KEY_CITY="Toronto" export KEY_ORG="Bootstrap IT" export KEY_EMAIL="info@bootstrap-it.com" export KEY_OU="IT" 

يتيح لك تشغيل ملف vars نقل قيمه إلى بيئة shell ، حيث سيتم تضمينها في محتويات مفاتيحك الجديدة. لماذا لا يعمل الأمر sudo بمفرده؟ لأنه في المرحلة الأولى ، نقوم بتحرير البرنامج النصي المسمى vars ، ثم نطبقه. التطبيق ويعني أن ملف vars ينقل قيمه إلى بيئة shell ، حيث سيتم تضمينها في محتويات مفاتيحك الجديدة.

تأكد من إعادة تشغيل الملف باستخدام shell الجديد لإكمال العملية غير المكتملة. عند القيام بذلك ، سيطالبك البرنامج النصي بتشغيل برنامج نصي آخر ، نظيف ، لإزالة أي محتوى في الدليل / etc / openvpn / easy-rsa / keys:


بطبيعة الحال ، فإن الخطوة التالية هي تشغيل البرنامج النصي clean-all ، متبوعًا بـ build-ca ، والذي يستخدم البرنامج النصي pkitool لإنشاء شهادة الجذر. سيُطلب منك تأكيد إعدادات المصادقة التي توفرها vars:

 # ./clean-all # ./build-ca Generating a 2048 bit RSA private key 

التالي يأتي البرنامج النصي بناء مفتاح الخادم. نظرًا لأنه يستخدم نفس البرنامج النصي pkitool مع شهادة الجذر الجديدة ، فسترى نفس الأسئلة لتأكيد إنشاء زوج المفاتيح. سيتم إعطاء الأسماء بناءً على الوسائط التي تمر بها ، والتي عادةً ما تكون خادمًا ، إلا في المثال التالي:

 # ./build-key-server server [...] Certificate is to be certified until Aug 15 23:52:34 2027 GMT (3650 days) Sign the certificate? [y/n]:y 1 out of 1 certificate requests certified, commit? [y/n]y Write out database with 1 new entries Data Base Updated 

يستخدم OpenVPN المعلمات التي تم إنشاؤها بواسطة خوارزمية Diffie-Hellman (باستخدام build-dh) للتفاوض على المصادقة للاتصالات الجديدة. لا ينبغي أن يكون الملف الذي تم إنشاؤه هنا سريًا ، ولكن يجب إنشاؤه باستخدام البرنامج النصي للبناء dh لمفاتيح RSA النشطة حاليًا. إذا قمت بإنشاء مفاتيح RSA جديدة في المستقبل ، فستحتاج أيضًا إلى تحديث الملف استنادًا إلى خوارزمية Diffie-Hellman:

 # ./build-dh 

ستكون مفاتيح جانب الخادم الآن موجودة في الدليل / etc / openvpn / easy-rsa / keys / ، لكن OpenVPN لا يعرف ذلك. بشكل افتراضي ، سيبحث OpenVPN عن المفاتيح الموجودة في / etc / openvpn / ، لذلك انسخها:

 # cp /etc/openvpn/easy-rsa/keys/server* /etc/openvpn # cp /etc/openvpn/easy-rsa/keys/dh2048.pem /etc/openvpn # cp /etc/openvpn/easy-rsa/keys/ca.crt /etc/openvpn 

إعداد مفاتيح تشفير العميل

كما رأيت بالفعل ، يستخدم تشفير TLS أزواج من المفاتيح المقابلة: أحدهما مثبت على الخادم والآخر على العميل البعيد. هذا يعني أنك ستحتاج إلى مفاتيح العميل. صديقنا القديم pkitool هو بالضبط ما تحتاجه لهذا الغرض. في هذا المثال ، من خلال تشغيل البرنامج في الدليل / etc / openvpn / easy-rsa / ، نمرر وسيطة العميل إليه لإنشاء ملفات تسمى client.crt و client.key:

 # ./pkitool client 

يجب الآن نقل الملفين العميلين ، إلى جانب ملف ca.crt الأصلي ، والذي لا يزال موجودًا في المفاتيح / الدليل ، بأمان إلى عميلك. نظرًا لانتمائهم وحقوق الوصول الخاصة بهم ، فقد لا يكون ذلك سهلاً. أسهل طريقة هي نسخ محتويات الملف المصدر يدويًا (وليس هذا المحتوى) إلى المحطة الطرفية التي تعمل على سطح مكتب جهاز الكمبيوتر الخاص بك (حدد النص ، وانقر بزر الماوس الأيمن فوقه ، وحدد نسخ من القائمة). ثم الصقها في ملف جديد يحمل نفس الاسم الذي تنشئه في المحطة الثانية المتصلة بعميلك.

ولكن يمكن لأي شخص قطع ولصق. بدلاً من ذلك ، فكر كمسؤول ، لأنك لن تتمكن دائمًا من الوصول إلى واجهة المستخدم الرسومية ، حيث يمكن إجراء عملية قص / لصق. انسخ الملفات إلى الدليل الرئيسي للمستخدم الخاص بك (حتى تتمكن عملية scp عن بُعد من الوصول إليها) ، ثم استخدم chown لتغيير مالك الملفات من الجذر إلى مستخدم غير روتيني منتظم حتى يمكن تنفيذ إجراء scp البعيد. تأكد من أن جميع ملفاتك مثبتة حاليًا ويمكن الوصول إليها. ستنقلهم إلى العميل لاحقًا:

 # cp /etc/openvpn/easy-rsa/keys/client.key /home/ubuntu/ # cp /etc/openvpn/easy-rsa/keys/ca.crt /home/ubuntu/ # cp /etc/openvpn/easy-rsa/keys/client.crt /home/ubuntu/ # chown ubuntu:ubuntu /home/ubuntu/client.key # chown ubuntu:ubuntu /home/ubuntu/client.crt # chown ubuntu:ubuntu /home/ubuntu/ca.crt 

مع وجود مجموعة كاملة من مفاتيح التشفير جاهزة للعمل ، يلزمك إخبار الخادم بالطريقة التي تريد إنشاء VPN بها. يتم ذلك باستخدام ملف server.conf.

تقليل عدد ضربات المفاتيح

الكثير للطباعة؟ سيساعد الامتداد ذو الأقواس على تقليل هذه الأوامر الستة إلى اثنين. أنا متأكد من أنه يمكنك دراسة هذين المثالين وفهم ما يحدث. والأهم من ذلك ، يمكنك فهم كيفية تطبيق هذه المبادئ على العمليات التي تشمل العشرات أو حتى المئات من العناصر:

 # cp /etc/openvpn/easy-rsa/keys/{ca.crt,client.{key,crt}} /home/ubuntu/ # chown ubuntu:ubuntu /home/ubuntu/{ca.crt,client.{key,crt}} 

إعداد ملف server.conf

كيف يمكنك معرفة شكل ملف server.conf؟ هل تتذكر قالب دليل easy-rsa الذي نسخته من / usr / share /؟ أثناء تثبيت OpenVPN ، بقي ملف قالب التكوين مضغوطًا ، والذي يمكنك نسخه إلى / etc / openvpn /. سأبني على حقيقة أنه تم أرشفة القالب وأعرضك على أداة مفيدة: zcat.

أنت تعرف بالفعل عرض محتويات النص لملف باستخدام أمر cat ، ولكن ماذا لو كان الملف مضغوطًا باستخدام gzip؟ يمكنك دائمًا فك ضغط الملف ، ومن ثم ستقوم Cat بعرضه بكل سرور ، ولكن هذه خطوة أو خطوتين أكثر من اللازم. بدلاً من ذلك ، كما تخمينًا بالفعل ، يمكنك إدخال الأمر zcat لتحميل النص الذي تم فك حزمه في الذاكرة في خطوة واحدة. في المثال التالي ، بدلاً من طباعة النص على الشاشة ، يمكنك إعادة توجيهه إلى ملف جديد يسمى server.conf:

 # zcat \ /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz \ > /etc/openvpn/server.conf $ cd /etc/openvpn 

نترك جانبا الوثائق الشاملة والمفيدة التي تأتي مع الملف ونرى كيف قد تبدو عند الانتهاء من التحرير. لاحظ أن الفاصلة المنقوطة (؛) تخبر OpenVPN بعدم قراءة أو تنفيذ السطر التالي (إدخال 10.2).


دعنا نذهب من خلال بعض هذه الإعدادات.

• بشكل افتراضي ، يعمل OpenVPN عبر المنفذ 1194. يمكنك تغيير هذا ، على سبيل المثال ، لإخفاء أفعالك أكثر أو لتجنب التعارض مع الأنفاق النشطة الأخرى. بما أن 1194 يتطلب الحد الأدنى من التنسيق مع العملاء ، فمن الأفضل القيام بذلك.
• يستخدم OpenVPN إما بروتوكول التحكم في الإرسال (TCP) أو بروتوكول مخطط بيانات المستخدم (UDP) لنقل البيانات. قد يكون TCP أبطأ قليلاً ، لكنه أكثر موثوقية وأكثر احتمالًا لفهم التطبيقات التي تعمل على طرفي النفق.
• يمكنك معرفة dev tun عندما ترغب في إنشاء نفق IP أبسط وأكثر كفاءة ينقل محتويات البيانات ولا شيء أكثر من ذلك. من ناحية أخرى ، إذا كنت بحاجة إلى توصيل العديد من واجهات الشبكة (والشبكات التي تمثلها) من خلال إنشاء جسر Ethernet ، فسيتعين عليك تحديد dev dev. إذا لم تفهم ما يعنيه كل هذا ، فاستخدم وسيطة tun.
• تمرير الأسطر الأربعة التالية أسماء OpenVPN لملفات المصادقة الثلاثة على الخادم وملف إعدادات dh2048 الذي قمت بإنشائه مسبقًا.
• يعين سطر الخادم النطاق وقناع الشبكة الفرعية الذي سيتم استخدامه لتعيين عناوين IP للعملاء عند تسجيل الدخول.
• تسمح معلمة الدفع الاختيارية "route 10.0.3.0 255.255.255.0" للعملاء عن بُعد بالوصول إلى الشبكات الفرعية الخاصة بالخادم. لتنفيذ هذا العمل ، تحتاج أيضًا إلى تكوين الشبكة على الخادم نفسه ، بحيث تعرف الشبكة الفرعية الخاصة حول الشبكة الفرعية OpenVPN (10.8.0.0).
• يسمح لك خط localhost 80 الخاص بمشاركة المنفذ بإعادة توجيه حركة مرور العميل القادمة عبر المنفذ 1194 إلى خادم الويب المحلي الذي يستمع إلى المنفذ 80. (سيكون هذا مفيدًا إذا كنت تنوي استخدام خادم الويب لاختبار VPN الخاص بك.) يعمل هذا فقط إذا عندما يتم تحديد بروتوكول TCP.
• يجب ألا يكون المستخدم وخطوط مجموعة nogroup نشطة - للقيام بذلك ، احذف الفواصل المنقوطة (؛). إن إجبار العملاء عن بُعد على العمل تحت أي شخص و nogroup يضمن أن جلسات العمل على الخادم غير محصورة.
• يشير السجل إلى أن إدخالات السجل الحالية ستستبدل الإدخالات القديمة في كل مرة يبدأ فيها OpenVPN ، بينما يضيف السجل الملحق إدخالات جديدة إلى ملف سجل موجود. تتم كتابة ملف openvpn.log نفسه إلى / etc / openvpn / directory.

بالإضافة إلى ذلك ، غالبًا ما تتم إضافة قيمة العميل إلى العميل إلى ملف التكوين حتى يتمكن العديد من العملاء من رؤية بعضهم البعض بالإضافة إلى خادم OpenVPN. إذا كنت راضيًا عن التكوين الخاص بك ، فيمكنك بدء تشغيل خادم OpenVPN:

 # systemctl start openvpn 

نظرًا للطبيعة المتغيرة للعلاقة بين OpenVPN و systemd ، قد يلزم بناء الجملة التالي في بعض الأحيان بدء تشغيل خدمة: systemctl start openvpn @ server.

تشغيل ip addr لعرض قائمة واجهات شبكة الخادم الخاص بك يجب الآن عرض رابط إلى واجهة جديدة باسم tun0. سيقوم OpenVPN بإنشائه لخدمة العملاء القادمين:

 $ ip addr [...] 4: tun0: mtu 1500 qdisc [...] link/none inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0 valid_lft forever preferred_lft forever 

قد تحتاج إلى إعادة تشغيل الخادم قبل أن يبدأ كل شيء بالعمل بشكل كامل. المحطة التالية هي الكمبيوتر العميل.

10.1.2. OpenVPN Client Configuration

تقليديا ، يتم بناء الأنفاق مع اثنين على الأقل من المخارج (وإلا فإننا نسميها الكهوف). يقوم OpenVPN الذي تم تكوينه بشكل صحيح على الخادم بتوجيه حركة المرور من وإلى النفق من جهة. لكنك تحتاج أيضًا إلى نوع من البرامج من جانب العميل ، أي على الطرف الآخر من النفق.

في هذا القسم ، سأركز على إعداد كمبيوتر Linux يدويًا من نوع أو آخر للعمل كعميل OpenVPN. لكن هذه ليست الطريقة الوحيدة المتاحة لهذه الفرصة. يدعم OpenVPN تطبيقات العملاء التي يمكن تثبيتها واستخدامها على أجهزة كمبيوتر سطح المكتب وأجهزة الكمبيوتر المحمولة التي تعمل بنظام Windows أو macOS ، وكذلك على الهواتف الذكية والأجهزة اللوحية القائمة على Android و iOS. انظر openvpn.net للحصول على التفاصيل.

يجب تثبيت حزمة OpenVPN على جهاز الكمبيوتر العميل ، حيث تم تثبيتها على الخادم ، على الرغم من عدم وجود حاجة إلى الأمر السهل ، حيث إن المفاتيح التي تستخدمها موجودة بالفعل. تحتاج إلى نسخ ملف القالب client.conf إلى الدليل / etc / openvpn / الذي أنشأته للتو. هذه المرة لن يتم أرشفة الملف ، وبالتالي فإن الأمر cp العادي سوف يقوم بهذه المهمة تمامًا:

 # apt install openvpn # cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf \ /etc/openvpn/ 

ستكون معظم الإعدادات في ملف client.conf واضحة إلى حد ما: يجب أن تتطابق مع القيم الموجودة على الخادم. كما ترون من مثال الملف التالي ، المعلمة الفريدة هي 192.168.1.23 1194 عن بعد ، والتي تخبر العميل بعنوان IP الخاص بالخادم. مرة أخرى ، تأكد من أن هذا هو عنوان خادمك. يجب أيضًا إجبار جهاز الكمبيوتر العميل على مصادقة شهادة الخادم لمنع حدوث هجوم في الوسط. طريقة واحدة للقيام بذلك هي إضافة خادم سطر بعيد عن بعد - سيرتس (سرد 10.3).


يمكنك الآن الانتقال إلى / etc / openvpn / directory واستخراج مفاتيح الشهادات من الخادم. استبدل عنوان IP الخاص بالخادم أو اسم المجال في المثال بقيمك:


من غير المحتمل حدوث شيء مثير حتى تقوم بتشغيل OpenVPN على العميل. نظرًا لأنك تحتاج إلى تمرير وسيطات ، فستقوم بذلك من سطر الأوامر. تخبر وسيطة - tls - العميل OpenVPN أنك ستعمل كعميل وتتصل باستخدام تشفير TLS ، - تشير نقاط التكوين إلى ملف التكوين الخاص بك:

 # openvpn --tls-client --config /etc/openvpn/client.conf 

اقرأ إخراج الأمر بعناية للتأكد من أنك متصل بشكل صحيح. إذا حدث خطأ ما لأول مرة ، فقد يكون هذا بسبب عدم التطابق بين الإعدادات بين الخادم وملفات تكوين العميل أو مشكلة في اتصال الشبكة / جدار الحماية. فيما يلي بعض تلميحات استكشاف الأخطاء وإصلاحها.

• اقرأ بعناية إخراج عملية OpenVPN على العميل. وغالبًا ما تحتوي على نصائح قيمة حول ما لا يمكن تنفيذه بالضبط ولماذا.
• تحقق من رسائل الخطأ في ملفات openvpn.log و openvpn-status.log في الدليل / etc / openvpn / على الخادم.
• تحقق من الرسائل ذات الصلة بـ OpenVPN والوقت المناسب في سجلات النظام على الخادم والعميل. (journalctl -ce سيعرض أحدث الإدخالات.)
• تأكد من أن لديك اتصال شبكة نشط بين الخادم والعميل (لمزيد من التفاصيل ، انظر الفصل 14).

عن المؤلف

ديفيد كلينتون هو مسؤول النظام والمعلم والكاتب. قام بإدارته وكتب عنه وقام بإنشاء مواد تدريبية للعديد من التخصصات الفنية المهمة ، بما في ذلك أنظمة Linux والحوسبة السحابية (وخاصة AWS) وتقنيات الحاوية مثل Docker. كتب كتاب "تعلم خدمات الويب من Amazon في شهر الغداء" (Manning، 2017). يمكن العثور على العديد من دروس الفيديو الخاصة به على Pluralsight.com ، وتتوفر روابط إلى كتبه الأخرى (حول إدارة Linux والمحاكاة الافتراضية للخادم) على bootstrap-it.com .

»يمكن الاطلاع على مزيد من المعلومات حول الكتاب على موقع الناشر
» المحتويات
» مقتطفات

خصم 25٪ على كوبون الباعة المتجولين - Linux
عند دفع النسخة الورقية من الكتاب ، يتم إرسال كتاب إلكتروني عبر البريد الإلكتروني.