Das Buch "Linux in Aktion"

Hallo habrozhiteli! In dem Buch beschreibt David Clinton 12 reale Projekte, darunter die Automatisierung eines Sicherungs- und Wiederherstellungssystems, das Einrichten einer persönlichen Dateibolke im Dropbox-Stil und das Erstellen eines eigenen MediaWiki-Servers. Anhand interessanter Beispiele erfahren Sie mehr über Virtualisierung, Notfallwiederherstellung, Sicherheit, Sicherung, Bereitstellung von DevOps und Fehlerbehebung bei Systemproblemen. Jedes Kapitel endet mit einer Überprüfung der praktischen Empfehlungen, einem Glossar neuer Begriffe und Übungen.

Auszug "10.1. Erstellen eines OpenVPN-Tunnels »

In diesem Buch habe ich bereits viel über Verschlüsselung gesprochen. SSH und SCP können Daten schützen, die über Remoteverbindungen übertragen werden (Kapitel 3), die Dateiverschlüsselung ermöglicht den Schutz von Daten beim Speichern auf dem Server (Kapitel 8) und TLS / SSL-Zertifikate können Daten während der Übertragung zwischen Standorten und Client-Browsern schützen (Kapitel 9). Manchmal müssen Ihre Daten jedoch in einem größeren Bereich von Verbindungen geschützt werden. Es ist beispielsweise möglich, dass einige Mitglieder Ihres Teams unterwegs arbeiten und über öffentliche Zugangspunkte über WLAN eine Verbindung zum Netzwerk herstellen müssen. Sie sollten auf keinen Fall davon ausgehen, dass alle diese Zugriffspunkte sicher sind, aber Ihre Mitarbeiter benötigen wirklich eine Möglichkeit, eine Verbindung zu Unternehmensressourcen herzustellen. In diesem Fall hilft ein VPN.

Ein ordnungsgemäß gestalteter VPN-Tunnel bietet eine direkte Verbindung zwischen Remoteclients und dem Server, sodass Daten ausgeblendet werden, wenn sie über ein unsicheres Netzwerk übertragen werden. Na und? Sie haben bereits viele Tools gesehen, die dies mit Verschlüsselung tun können. Der wahre Wert von VPNs besteht darin, dass Sie durch Öffnen des Tunnels Remote-Netzwerke verbinden können, als wären sie alle zusammen lokal. In gewissem Sinne verwenden Sie eine Problemumgehung.

Mit einem solchen erweiterten Netzwerk können Administratoren ihre Arbeit von überall aus auf ihren Servern erledigen. Noch wichtiger ist jedoch, dass ein Unternehmen mit Ressourcen, die auf mehrere Niederlassungen verteilt sind, diese für alle Gruppen sichtbar und zugänglich machen kann, die sie benötigen, wo immer sie sich befinden (Abb. 10.1).

Der Tunnel selbst garantiert keine Sicherheit. Einer der Verschlüsselungsstandards kann jedoch in die Netzwerkstruktur aufgenommen werden, wodurch das Sicherheitsniveau erheblich erhöht wird. Tunnel, die mit dem Open Source OpenVPN-Paket erstellt wurden, verwenden dieselbe TLS / SSL-Verschlüsselung, über die Sie bereits gelesen haben. OpenVPN ist nicht die einzige Option für den Tunnelbau, sondern eine der bekanntesten. Es wird angenommen, dass es etwas schneller und sicherer ist als ein alternatives Schicht-2-Tunnelprotokoll, das IPSec-Verschlüsselung verwendet.

Möchten Sie, dass jeder in Ihrem Team sicher miteinander kommuniziert, wenn Sie unterwegs sind oder in verschiedenen Gebäuden arbeiten? Dazu müssen Sie einen OpenVPN-Server erstellen, um die Anwendungsfreigabe und den Zugriff auf die lokale Netzwerkumgebung des Servers zu ermöglichen. Damit dies funktioniert, reicht es aus, zwei virtuelle Maschinen oder zwei Container zu starten: eine als Server / Host und die andere als Client. Das Erstellen eines VPN ist kein einfacher Vorgang. Es lohnt sich daher wahrscheinlich, sich ein paar Minuten Zeit zu nehmen, um sich einen Überblick zu verschaffen.

10.1.1. OpenVPN Server konfigurieren

Bevor Sie beginnen, werde ich Ihnen nützliche Ratschläge geben. Wenn Sie alles selbst erledigen (und ich kann es Ihnen nur empfehlen), werden Sie wahrscheinlich feststellen, dass Sie mit mehreren auf dem Desktop geöffneten Terminalfenstern arbeiten, von denen jedes mit dem Computer verbunden ist. Es besteht die Gefahr, dass Sie irgendwann den falschen Befehl in das Fenster eingeben. Um dies zu vermeiden, können Sie den Befehl hostname verwenden, um den in der Befehlszeile angezeigten Computernamen in einen Namen zu ändern, der Ihnen klar sagt, wo Sie sich befinden. Sobald Sie dies tun, müssen Sie den Server beenden und sich erneut anmelden, damit die neuen Einstellungen wirksam werden. So sieht es aus:


Wenn Sie diesen Ansatz einhalten und den einzelnen Maschinen, mit denen Sie arbeiten, die entsprechenden Namen zuweisen, können Sie leicht verfolgen, wo Sie sich befinden.

Nach der Verwendung von Hostname kann es zu lästigen Meldungen kommen, dass Host OpenVPN-Server-Nachrichten nicht aufgelöst werden können, wenn Sie die folgenden Befehle ausführen. Das Aktualisieren der Datei / etc / hosts mit dem entsprechenden neuen Hostnamen sollte das Problem beheben.

Vorbereiten Ihres Servers für OpenVPN

Für die Installation von OpenVPN auf Ihrem Server sind zwei Pakete erforderlich: openvpn und easy-rsa (um den Prozess der Generierung des Verschlüsselungsschlüssels zu steuern). Bei Bedarf müssen CentOS-Benutzer zuerst das Epel-Release-Repository installieren, wie in Kapitel 2 beschrieben. Um den Zugriff auf die Serveranwendung zu überprüfen, können Sie auch den Apache-Webserver (Apache2 für Ubuntu und httpd unter CentOS) installieren.

Während Sie den Server einrichten, empfehle ich Ihnen, eine Firewall zu aktivieren, die alle Ports außer 22 (SSH) und 1194 (der Standard-OpenVPN-Port) blockiert. Dieses Beispiel zeigt, wie ufw unter Ubuntu funktioniert, aber ich bin sicher, dass Sie sich noch an das Firewall-CentOS-Programm aus Kapitel 9 erinnern:

# ufw enable # ufw allow 22 # ufw allow 1194 

Um internes Routing zwischen Netzwerkschnittstellen auf dem Server zu ermöglichen, müssen Sie eine Zeile (net.ipv4.ip_forward = 1) in der Datei /etc/sysctl.conf auskommentieren. Auf diese Weise können Sie Remoteclients nach der Verbindung nach Bedarf umleiten. Führen Sie sysctl -p aus, damit der neue Parameter funktioniert:

 # nano /etc/sysctl.conf # sysctl -p 

Jetzt ist die Serverumgebung vollständig konfiguriert, aber es gibt noch etwas zu tun, bevor Sie bereit sind: Sie müssen die folgenden Schritte ausführen (wir werden sie im Folgenden genauer betrachten).

1. Erstellen Sie auf dem Server einen Schlüsselsatz zum Verschlüsseln der Public-Key-Infrastruktur (PKI) mithilfe der mit dem easy-rsa-Paket gelieferten Skripts. Im Wesentlichen fungiert der OpenVPN-Server auch als eigene Zertifizierungsstelle (CA).
2. Bereiten Sie die entsprechenden Schlüssel für den Client vor
3. Konfigurieren Sie die Datei server.conf für den Server
4. Konfigurieren Sie Ihren OpenVPN-Client
5. Überprüfen Sie Ihr VPN

Generierung von Verschlüsselungsschlüsseln

Um Ihr Leben nicht zu verkomplizieren, können Sie Ihre Schlüsselinfrastruktur auf demselben Computer konfigurieren, auf dem der OpenVPN-Server ausgeführt wird. Sicherheitsempfehlungen empfehlen jedoch normalerweise die Verwendung eines separaten CA-Servers für Bereitstellungen in einer Produktionsumgebung. Der Prozess des Generierens und Zuweisens von Verschlüsselungsschlüsselressourcen zur Verwendung in OpenVPN ist in Abb. 2 dargestellt. 10.2.


Bei der Installation von OpenVPN wurde das Verzeichnis / etc / openvpn / automatisch erstellt, es ist jedoch noch nichts darin enthalten. Die Pakete openvpn und easy-rsa enthalten Beispielvorlagendateien, die Sie als Grundlage für Ihre Konfiguration verwenden können. Um den Zertifizierungsprozess zu starten, kopieren Sie das easy-rsa-Vorlagenverzeichnis von / usr / share / nach / etc / openvpn und wechseln Sie in das easy-rsa / -Verzeichnis:

 # cp -r /usr/share/easy-rsa/ /etc/openvpn $ cd /etc/openvpn/easy-rsa 

Das easy-rsa-Verzeichnis enthält nun einige Skripte. In der Tabelle. 10.1 listet die Tools auf, mit denen Sie Schlüssel erstellen.

Diese Vorgänge erfordern Root-Rechte. Durch sudo su müssen Sie also root werden.

Die erste Datei, mit der Sie arbeiten, heißt vars und enthält die Umgebungsvariablen, die easy-rsa beim Generieren von Schlüsseln verwendet. Sie müssen die Datei bearbeiten, um Ihre eigenen Werte anstelle der bereits vorhandenen Standardwerte zu verwenden. So sieht meine Datei aus (Listing 10.1).

Listing 10.1. Die Hauptfragmente der Datei / etc / openvpn / easy-rsa / vars

 export KEY_COUNTRY="CA" export KEY_PROVINCE="ON" export KEY_CITY="Toronto" export KEY_ORG="Bootstrap IT" export KEY_EMAIL="info@bootstrap-it.com" export KEY_OU="IT" 

Durch Ausführen der vars-Datei können Sie ihre Werte in die Shell-Umgebung übertragen, von wo aus sie in den Inhalt Ihrer neuen Schlüssel aufgenommen werden. Warum funktioniert der sudo-Befehl nicht alleine? Denn in der ersten Phase bearbeiten wir das Skript namens vars und wenden es dann an. Anwendung und bedeutet, dass die vars-Datei ihre Werte in die Shell-Umgebung überträgt, von wo aus sie in den Inhalt Ihrer neuen Schlüssel aufgenommen werden.

Stellen Sie sicher, dass Sie die Datei mithilfe der neuen Shell erneut ausführen, um den nicht abgeschlossenen Vorgang abzuschließen. Wenn dies erledigt ist, werden Sie vom Skript aufgefordert, ein anderes Skript (clean-all) auszuführen, um Inhalte aus dem Verzeichnis / etc / openvpn / easy-rsa / keys / zu entfernen:


Der nächste Schritt besteht natürlich darin, das Clean-All-Skript auszuführen, gefolgt von build-ca, das das Stammzertifikat mithilfe des pkitool-Skripts erstellt. Sie werden aufgefordert, die von vars bereitgestellten Authentifizierungseinstellungen zu bestätigen:

 # ./clean-all # ./build-ca Generating a 2048 bit RSA private key 

Als nächstes kommt das Build-Key-Server-Skript. Da dasselbe pkitool-Skript zusammen mit dem neuen Stammzertifikat verwendet wird, werden dieselben Fragen angezeigt, um die Erstellung des Schlüsselpaars zu bestätigen. Die Schlüssel erhalten Namen basierend auf den von Ihnen übergebenen Argumenten. Wenn Sie nicht mehrere VPNs auf diesem Computer starten, handelt es sich normalerweise um Server, wie im Beispiel:

 # ./build-key-server server [...] Certificate is to be certified until Aug 15 23:52:34 2027 GMT (3650 days) Sign the certificate? [y/n]:y 1 out of 1 certificate requests certified, commit? [y/n]y Write out database with 1 new entries Data Base Updated 

OpenVPN verwendet die vom Diffie-Hellman-Algorithmus (unter Verwendung von build-dh) generierten Parameter, um die Authentifizierung für neue Verbindungen auszuhandeln. Die hier erstellte Datei sollte nicht geheim sein, sondern muss mit dem Build-Dh-Skript für die derzeit aktiven RSA-Schlüssel generiert werden. Wenn Sie in Zukunft neue RSA-Schlüssel erstellen, müssen Sie die Datei auch basierend auf dem Diffie-Hellman-Algorithmus aktualisieren:

 # ./build-dh 

Ihre serverseitigen Schlüssel befinden sich jetzt im Verzeichnis / etc / openvpn / easy-rsa / keys /, OpenVPN weiß dies jedoch nicht. Standardmäßig sucht OpenVPN in / etc / openvpn / nach Schlüsseln. Kopieren Sie sie also:

 # cp /etc/openvpn/easy-rsa/keys/server* /etc/openvpn # cp /etc/openvpn/easy-rsa/keys/dh2048.pem /etc/openvpn # cp /etc/openvpn/easy-rsa/keys/ca.crt /etc/openvpn 

Client-Verschlüsselungsschlüssel vorbereiten

Wie Sie bereits gesehen haben, verwendet die TLS-Verschlüsselung Paare entsprechender Schlüssel: einer ist auf dem Server und der andere auf dem Remoteclient installiert. Dies bedeutet, dass Sie Client-Schlüssel benötigen. Unser alter Freund pkitool ist genau das, was Sie dafür brauchen. In diesem Beispiel übergeben wir das Client-Argument, indem wir das Programm im Verzeichnis / etc / openvpn / easy-rsa / ausführen, um Dateien mit den Namen client.crt und client.key zu generieren:

 # ./pkitool client 

Die beiden Client-Dateien sollten nun zusammen mit der ursprünglichen ca.crt-Datei, die sich noch im Verzeichnis keys / befindet, sicher auf Ihren Client übertragen werden. Aufgrund ihrer Zugehörigkeit und Zugriffsrechte ist dies möglicherweise nicht so einfach. Am einfachsten ist es, den Inhalt der Quelldatei (und nur diesen Inhalt) manuell auf das Terminal zu kopieren, das auf dem Desktop Ihres PCs ausgeführt wird (wählen Sie den Text aus, klicken Sie mit der rechten Maustaste darauf und wählen Sie Kopieren aus dem Menü). Fügen Sie diese dann in eine neue Datei mit demselben Namen ein, den Sie im zweiten mit Ihrem Client verbundenen Terminal erstellt haben.

Aber jeder kann ausschneiden und einfügen. Denken Sie stattdessen als Administrator, da Sie nicht immer Zugriff auf die GUI haben, wo ein Ausschneiden / Einfügen möglich ist. Kopieren Sie die Dateien in das Ausgangsverzeichnis Ihres Benutzers (damit der Remote-SCP-Vorgang darauf zugreifen kann), und ändern Sie dann mit chown den Eigentümer der Dateien von root in einen regulären Nicht-Root-Benutzer, damit die Remote-scp-Aktion ausgeführt werden kann. Stellen Sie sicher, dass alle Ihre Dateien aktuell installiert und zugänglich sind. Sie werden sie etwas später auf den Client verschieben:

 # cp /etc/openvpn/easy-rsa/keys/client.key /home/ubuntu/ # cp /etc/openvpn/easy-rsa/keys/ca.crt /home/ubuntu/ # cp /etc/openvpn/easy-rsa/keys/client.crt /home/ubuntu/ # chown ubuntu:ubuntu /home/ubuntu/client.key # chown ubuntu:ubuntu /home/ubuntu/client.crt # chown ubuntu:ubuntu /home/ubuntu/ca.crt 

Wenn ein vollständiger Satz von Verschlüsselungsschlüsseln einsatzbereit ist, müssen Sie dem Server mitteilen, wie Sie ein VPN erstellen möchten. Dies erfolgt über die Datei server.conf.

Reduzieren Sie die Anzahl der Tastenanschläge

Zu viel zum Drucken? Eine Erweiterung mit Klammern hilft dabei, diese sechs Befehle auf zwei zu reduzieren. Ich bin sicher, dass Sie diese beiden Beispiele studieren und verstehen können, was passiert. Noch wichtiger ist, dass Sie verstehen, wie Sie diese Prinzipien auf Operationen anwenden, an denen Dutzende oder sogar Hunderte von Elementen beteiligt sind:

 # cp /etc/openvpn/easy-rsa/keys/{ca.crt,client.{key,crt}} /home/ubuntu/ # chown ubuntu:ubuntu /home/ubuntu/{ca.crt,client.{key,crt}} 

Einrichten der Datei server.conf

Wie können Sie wissen, wie die Datei server.conf aussehen soll? Erinnern Sie sich an die easy-rsa-Verzeichnisvorlage, die Sie aus / usr / share / kopiert haben? Während der Installation von OpenVPN blieb eine komprimierte Konfigurationsvorlagendatei übrig, die Sie nach / etc / openvpn / kopieren können. Ich werde auf der Tatsache aufbauen, dass die Vorlage archiviert wurde, und Ihnen ein nützliches Tool vorstellen: zcat.

Sie wissen bereits, wie der Textinhalt einer Datei mit dem Befehl cat angezeigt wird. Was ist jedoch, wenn die Datei mit gzip komprimiert wird? Sie können die Datei jederzeit entpacken, und cat zeigt sie dann gerne an. Dies sind jedoch ein oder zwei Schritte mehr als erforderlich. Stattdessen können Sie, wie Sie wahrscheinlich bereits vermutet haben, den Befehl zcat eingeben, um den entpackten Text in einem Schritt in den Speicher zu laden. Im folgenden Beispiel leiten Sie Text nicht auf dem Bildschirm, sondern in eine neue Datei mit dem Namen server.conf um:

 # zcat \ /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz \ > /etc/openvpn/server.conf $ cd /etc/openvpn 

Wir lassen die umfangreiche und nützliche Dokumentation, die mit der Datei geliefert wurde, beiseite und sehen, wie sie nach Abschluss der Bearbeitung aussehen könnte. Beachten Sie, dass das Semikolon (;) OpenVPN anweist, die nächste Zeile nicht zu lesen oder auszuführen (Listing 10.2).


Lassen Sie uns einige dieser Einstellungen durchgehen.

• Standardmäßig funktioniert OpenVPN über Port 1194. Sie können dies beispielsweise ändern, um Ihre Aktionen noch mehr auszublenden oder Konflikte mit anderen aktiven Tunneln zu vermeiden. Da 1194 nur eine minimale Koordination mit den Kunden erfordert, ist dies am besten möglich.
• OpenVPN verwendet entweder das Transmission Control Protocol (TCP) oder das User Datagram Protocol (UDP) für die Datenübertragung. TCP ist zwar etwas langsamer, aber zuverlässiger und wird von Anwendungen, die an beiden Enden des Tunnels ausgeführt werden, mit größerer Wahrscheinlichkeit verstanden.
• Sie können dev tun mitteilen, wann Sie einen einfacheren und effizienteren IP-Tunnel erstellen möchten, der den Inhalt der Daten überträgt und nicht mehr. Wenn Sie andererseits mehrere Netzwerkschnittstellen (und die Netzwerke, die sie darstellen) durch Erstellen einer Ethernet-Brücke verbinden müssen, müssen Sie dev tap auswählen. Wenn Sie nicht verstehen, was dies alles bedeutet, verwenden Sie das Argument tun.
• In den nächsten vier Zeilen werden die OpenVPN-Namen der drei Authentifizierungsdateien auf dem Server und die zuvor erstellte dh2048-Einstellungsdatei übergeben.
• Die Serverzeile legt den Bereich und die Subnetzmaske fest, die verwendet werden, um Clients bei der Anmeldung IP-Adressen zuzuweisen.
• Mit dem optionalen Push-Parameter "route 10.0.3.0 255.255.255.0" können Remoteclients auf private Subnetze hinter dem Server zugreifen. Um diese Arbeit auszuführen, müssen Sie auch das Netzwerk auf dem Server selbst konfigurieren, damit das private Subnetz über das OpenVPN-Subnetz (10.8.0.0) informiert ist.
• Mit der Leitung port-share localhost 80 können Sie den über Port 1194 kommenden Client-Verkehr an den lokalen Webserver umleiten, der Port 80 überwacht. (Dies ist hilfreich, wenn Sie den Webserver zum Testen Ihres VPN verwenden möchten.) Dies funktioniert nur, wenn wenn das TCP-Protokoll ausgewählt ist.
• Der Benutzer Nobody und die Gruppen-Nogroup-Zeilen müssen aktiv sein. Löschen Sie dazu die Semikolons (;). Durch das Erzwingen, dass Remoteclients unter niemandem und unter Nogroup arbeiten, wird sichergestellt, dass Sitzungen auf dem Server nicht privilegiert sind.
• log gibt an, dass aktuelle Protokolleinträge bei jedem Start von OpenVPN alte Einträge überschreiben, während log-append einer vorhandenen Protokolldatei neue Einträge hinzufügt. Die Datei openvpn.log selbst wird in das Verzeichnis / etc / openvpn / geschrieben.

Darüber hinaus wird der Client-zu-Client-Wert häufig zur Konfigurationsdatei hinzugefügt, sodass sich mehrere Clients zusätzlich zum OpenVPN-Server sehen können. Wenn Sie mit Ihrer Konfiguration zufrieden sind, können Sie den OpenVPN-Server starten:

 # systemctl start openvpn 

Aufgrund der sich ändernden Beziehung zwischen OpenVPN und systemd kann manchmal die folgende Syntax erforderlich sein, um einen Dienst zu starten: systemctl start openvpn @ server.

Wenn Sie ip addr ausführen, um die Liste der Netzwerkschnittstellen Ihres Servers anzuzeigen, sollte jetzt ein Link zu einer neuen Schnittstelle mit dem Namen tun0 angezeigt werden. OpenVPN erstellt es, um eingehende Clients zu bedienen:

 $ ip addr [...] 4: tun0: mtu 1500 qdisc [...] link/none inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0 valid_lft forever preferred_lft forever 

Möglicherweise müssen Sie den Server neu starten, bevor alles vollständig funktioniert. Die nächste Station ist der Client-Computer.

10.1.2. OpenVPN-Client-Konfiguration

Traditionell werden Tunnel mit mindestens zwei Ausgängen gebaut (sonst würden wir sie Höhlen nennen). Ein ordnungsgemäß konfiguriertes OpenVPN auf dem Server leitet einerseits den Datenverkehr zum und vom Tunnel. Sie benötigen aber auch eine clientseitige Software, dh am anderen Ende des Tunnels.

In diesem Abschnitt werde ich mich darauf konzentrieren, einen Linux-Computer des einen oder anderen Typs manuell als OpenVPN-Client einzurichten. Dies ist jedoch nicht die einzige Möglichkeit, diese Gelegenheit zu nutzen. OpenVPN unterstützt Clientanwendungen, die auf Desktop-Computern und Laptops mit Windows oder MacOS sowie auf Smartphones und Tablets mit Android und iOS installiert und verwendet werden können. Siehe openvpn.net für Details.

Das OpenVPN-Paket muss auf dem Client-Computer installiert werden, so wie es auf dem Server installiert wurde, obwohl easy-rsa nicht erforderlich ist, da die von Ihnen verwendeten Schlüssel bereits vorhanden sind. Sie müssen die Vorlagendatei client.conf in das Verzeichnis / etc / openvpn / kopieren, das Sie gerade erstellt haben. Dieses Mal wird die Datei nicht archiviert, daher erledigt der reguläre Befehl cp diese Aufgabe perfekt:

 # apt install openvpn # cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf \ /etc/openvpn/ 

Die meisten Einstellungen in Ihrer client.conf-Datei sind recht einfach: Sie sollten mit den Werten auf dem Server übereinstimmen. Wie Sie dem folgenden Dateibeispiel entnehmen können, lautet der eindeutige Parameter remote 192.168.1.23 1194, der dem Client die IP-Adresse des Servers mitteilt. Stellen Sie erneut sicher, dass dies die Adresse Ihres Servers ist. Sie müssen den Clientcomputer auch zwingen, das Serverzertifikat zu authentifizieren, um einen möglichen Man-in-the-Middle-Angriff zu verhindern. Eine Möglichkeit, dies zu tun, besteht darin, den Line Remote-Cert-TLS-Server hinzuzufügen (Listing 10.3).


Jetzt können Sie in das Verzeichnis / etc / openvpn / gehen und die Zertifizierungsschlüssel vom Server extrahieren. Ersetzen Sie die Server-IP-Adresse oder den Domänennamen im Beispiel durch Ihre Werte:


Es ist wahrscheinlich, dass nichts Aufregendes passiert, bis Sie OpenVPN auf dem Client ausführen. Da Sie einige Argumente übergeben müssen, tun Sie dies über die Befehlszeile. Das Argument --tls-client teilt OpenVPN mit, dass Sie als Client fungieren und mithilfe der TLS-Verschlüsselung eine Verbindung herstellen. --Config verweist auf Ihre Konfigurationsdatei:

 # openvpn --tls-client --config /etc/openvpn/client.conf 

Lesen Sie die Ausgabe des Befehls sorgfältig durch, um sicherzustellen, dass Sie richtig angeschlossen sind. Wenn zum ersten Mal etwas schief geht, kann dies an einer Nichtübereinstimmung zwischen den Einstellungen zwischen den Server- und Client-Konfigurationsdateien oder an einem Netzwerkverbindungs- / Firewall-Problem liegen. Hier sind einige Tipps zur Fehlerbehebung.

• Lesen Sie die Ausgabe der OpenVPN-Operation auf dem Client sorgfältig durch. Es enthält oft wertvolle Ratschläge, was genau nicht durchgeführt werden kann und warum.
• Überprüfen Sie die Fehlermeldungen in den Dateien openvpn.log und openvpn-status.log im Verzeichnis / etc / openvpn / auf dem Server.
• Überprüfen Sie OpenVPN-bezogene und zeitgerechte Nachrichten in den Systemprotokollen auf dem Server und dem Client. (journalctl -ce zeigt die neuesten Einträge an.)
• Stellen Sie sicher, dass Sie eine aktive Netzwerkverbindung zwischen dem Server und dem Client haben (weitere Informationen finden Sie in Kapitel 14).

Über den Autor

David Clinton ist Systemadministrator, Lehrer und Autor. Er verwaltete, schrieb darüber und erstellte Schulungsmaterialien für viele wichtige technische Disziplinen, darunter Linux-Systeme, Cloud Computing (insbesondere AWS) und Containertechnologien wie Docker. Er schrieb das Buch Learn Amazon Web Services in einem Monat des Mittagessens (Manning, 2017). Viele seiner Video-Tutorials finden Sie auf Pluralsight.com. Links zu seinen anderen Büchern (zur Linux-Administration und Servervirtualisierung) finden Sie unter bootstrap-it.com .

»Weitere Informationen zum Buch finden Sie auf der Website des Herausgebers
» Inhalt
» Auszug

25% Rabatt auf Gutschein für Händler - Linux
Nach Bezahlung der Papierversion des Buches wird ein elektronisches Buch per E-Mail verschickt.