🧛 🍻 🔔 पुस्तक "लिनक्स इन एक्शन" 👊🏿 ⛷️ 🚶🏽

हाय, हब्रोज़ितेली! पुस्तक में, डेविड क्लिंटन 12 वास्तविक दुनिया की परियोजनाओं का वर्णन करता है, जिसमें एक बैकअप और रिकवरी सिस्टम को स्वचालित करना, एक व्यक्तिगत ड्रॉपबॉक्स-शैली फ़ाइल क्लाउड स्थापित करना और अपना मीडियाविकि सर्वर बनाना शामिल है। दिलचस्प उदाहरणों के साथ, आप वर्चुअलाइजेशन, डिजास्टर रिकवरी, सिक्योरिटी, बैकअप, देवओप्स की तैनाती और समस्या निवारण प्रणाली के बारे में जानेंगे। प्रत्येक अध्याय व्यावहारिक सिफारिशों, नए शब्दों की एक शब्दावली और अभ्यास की समीक्षा के साथ समाप्त होता है।

अंश “10.1। एक OpenVPN सुरंग बनाना »

इस पुस्तक में, मैंने पहले ही एन्क्रिप्शन के बारे में बहुत सारी बातें की हैं। एसएसएच और एससीपी दूरस्थ कनेक्शन (अध्याय 3) के माध्यम से प्रेषित डेटा की रक्षा कर सकते हैं, फ़ाइल एन्क्रिप्शन आपको सर्वर (अध्याय 8) पर संग्रहीत होने पर डेटा की सुरक्षा करने की अनुमति देता है, और टीएलएस / एसएसएल प्रमाण पत्र साइटों और क्लाइंट ब्राउज़रों (9 अध्याय) के बीच संचरण की सुरक्षा कर सकते हैं। लेकिन कभी-कभी आपके डेटा को व्यापक श्रेणी के कनेक्शन में सुरक्षा की आवश्यकता होती है। उदाहरण के लिए, यह संभव है कि आपकी टीम के कुछ सदस्यों को सार्वजनिक पहुंच बिंदुओं के माध्यम से वाई-फाई के माध्यम से नेटवर्क से जुड़कर सड़क पर काम करना है। आपको निश्चित रूप से यह नहीं मानना चाहिए कि ऐसे सभी पहुंच बिंदु सुरक्षित हैं, लेकिन आपके लोगों को वास्तव में कंपनी के संसाधनों से जुड़ने के लिए एक तरीका चाहिए - जिस स्थिति में एक वीपीएन मदद करेगा।

ठीक से डिज़ाइन की गई वीपीएन सुरंग रिमोट क्लाइंट और सर्वर के बीच एक सीधा संबंध प्रदान करती है, इस तरह से जब इसे असुरक्षित नेटवर्क पर प्रसारित किया जाता है, तो डेटा को छिपाया जाता है। तो क्या? आपने पहले से ही कई उपकरण देखे हैं जो एन्क्रिप्शन के साथ ऐसा कर सकते हैं। वीपीएन का वास्तविक मूल्य यह है कि सुरंग को खोलकर, आप दूरस्थ नेटवर्क को जोड़ सकते हैं, जैसे कि वे सभी एक साथ स्थानीय थे। एक अर्थ में, आप वर्कअराउंड का उपयोग कर रहे हैं।

ऐसे विस्तारित नेटवर्क का उपयोग करके, प्रशासक अपने सर्वर पर कहीं से भी अपना काम कर सकते हैं। लेकिन, इससे भी महत्वपूर्ण बात यह है कि कई शाखाओं में वितरित संसाधनों के साथ एक कंपनी उन सभी समूहों के लिए सभी दृश्यमान और सुलभ बना सकती है जो उनकी आवश्यकता है, जहां कहीं भी हो (छवि 10.1)।

सुरंग खुद सुरक्षा की गारंटी नहीं देती है। लेकिन एक एन्क्रिप्शन मानकों को नेटवर्क संरचना में शामिल किया जा सकता है, जो सुरक्षा के स्तर को काफी बढ़ाता है। ओपन सोर्स OpenVPN पैकेज का उपयोग करके बनाई गई सुरंगें उसी TLS / SSL एन्क्रिप्शन का उपयोग करती हैं, जिसके बारे में आप पहले से पढ़ चुके हैं। OpenVPN टनलिंग के लिए एकमात्र विकल्प उपलब्ध नहीं है, लेकिन सबसे प्रसिद्ध में से एक है। माना जाता है कि यह वैकल्पिक लेयर 2 टनलिंग प्रोटोकॉल की तुलना में थोड़ा तेज़ और सुरक्षित है जो IPsec एन्क्रिप्शन का उपयोग करता है।

क्या आप चाहते हैं कि आपकी टीम में हर कोई सड़क पर या अलग-अलग इमारतों में काम करते हुए एक-दूसरे के साथ सुरक्षित संवाद करे? ऐसा करने के लिए, आपको एप्लिकेशन साझा करने और सर्वर के स्थानीय नेटवर्क वातावरण तक पहुंचने की अनुमति देने के लिए एक OpenVPN सर्वर बनाना होगा। यह काम करने के लिए, दो आभासी मशीनों या दो कंटेनरों को शुरू करने के लिए पर्याप्त है: एक सर्वर / होस्ट के रूप में कार्य करने के लिए, और दूसरा क्लाइंट के लिए। एक वीपीएन बनाना एक आसान प्रक्रिया नहीं है, इसलिए बड़ी तस्वीर पाने के लिए कुछ मिनट लगना संभव है।

10.1.1। OpenVPN सर्वर को कॉन्फ़िगर करना

शुरू करने से पहले, मैं आपको उपयोगी सलाह दूंगा। यदि आप सब कुछ स्वयं करने जा रहे हैं (और मैं आपको इसकी अत्यधिक अनुशंसा करता हूं), तो आप शायद पाएंगे कि आप कई टर्मिनल विंडो के साथ काम कर रहे हैं जो डेस्कटॉप पर खुली हैं, जिनमें से प्रत्येक इसकी मशीन से जुड़ी है। एक जोखिम है कि कुछ बिंदु पर आप विंडो में गलत कमांड दर्ज करेंगे। इससे बचने के लिए, आप कमांड लाइन पर प्रदर्शित मशीन का नाम बदलने के लिए hostname कमांड का उपयोग कर सकते हैं, जो आपको स्पष्ट रूप से बताएगा कि आप कहां हैं। जैसे ही आप ऐसा करते हैं, आपको सर्वर से बाहर निकलने और नई सेटिंग्स को प्रभावी होने के लिए फिर से लॉग इन करना होगा। यहाँ यह कैसा दिखता है:

इस दृष्टिकोण का पालन करना और आपके द्वारा काम करने वाली प्रत्येक मशीन को संबंधित नाम निर्दिष्ट करना, आप आसानी से ट्रैक कर सकते हैं कि आप कहां हैं।

होस्टनाम का उपयोग करने के बाद, जब आप निम्न कमांड चलाते हैं, तो आप होस्ट ओपनवीपीएन-सर्वर संदेशों को हल करने में असमर्थ हो सकते हैं। संबंधित नए होस्ट नाम के साथ / etc / मेजबान फ़ाइल को अद्यतन करने से समस्या ठीक होनी चाहिए।

OpenVPN के लिए आपका सर्वर तैयार करना

OpenVPN को अपने सर्वर पर इंस्टॉल करने के लिए दो पैकेजों की आवश्यकता होती है: Openvpn और easy-rsa (एन्क्रिप्शन कुंजी को जेनरेट करने की प्रक्रिया को नियंत्रित करने के लिए)। यदि आवश्यक हो, तो CentOS उपयोगकर्ताओं को पहले एपल-रिलीज़ रिपॉजिटरी को स्थापित करना होगा, जैसा कि आपने अध्याय 2 में किया था। सर्वर एप्लिकेशन तक पहुंच की जांच करने में सक्षम होने के लिए, आप Apache वेब सर्वर (Ubuntu के लिए Apache2 और CentOS पर httpd) भी इंस्टॉल कर सकते हैं।

जब आप सर्वर स्थापित कर रहे हैं, तो मैं आपको 22 (एसएसएच) और 1194 (डिफ़ॉल्ट ओपनवीपीएन पोर्ट) को छोड़कर सभी बंदरगाहों को ब्लॉक करने वाले फ़ायरवॉल को सक्रिय करने की सलाह देता हूं। यह उदाहरण बताता है कि ufw उबंटू पर कैसे काम करेगा, लेकिन मुझे यकीन है कि आप अभी भी अध्याय 9 से फ़ायरवॉल CentOS कार्यक्रम को याद करेंगे:

# ufw enable # ufw allow 22 # ufw allow 1194

सर्वर पर नेटवर्क इंटरफेस के बीच आंतरिक रूटिंग की अनुमति देने के लिए, आपको /etc/sysctl.conf फ़ाइल में एक पंक्ति (net.ipv4.ip_forward = 1) को अनइंस्टॉल करना होगा। यह आपको दूरस्थ क्लाइंट को कनेक्ट करने के बाद आवश्यकतानुसार पुनर्निर्देशित करने की अनुमति देगा। नया पैरामीटर कार्य करने के लिए, sysctl -p चलाएं:

 # nano /etc/sysctl.conf # sysctl -p

अब सर्वर वातावरण पूरी तरह से कॉन्फ़िगर किया गया है, लेकिन आपके तैयार होने से पहले कुछ और किया जाना है: आपको इन चरणों का पालन करना होगा (हम उन्हें नीचे और अधिक विस्तार से विचार करेंगे)।

सार्वजनिक कुंजी इन्फ्रास्ट्रक्चर (पीकेआई) को एन्क्रिप्ट करने के लिए सर्वर पर एक कुंजी सेट बनाएं जो आसान-rsa पैकेज के साथ आती हैं। संक्षेप में, OpenVPN सर्वर अपने स्वयं के प्रमाणन प्राधिकरण (CA) के रूप में भी कार्य करता है।
क्लाइंट के लिए उपयुक्त कुंजी तैयार करें
सर्वर के लिए server.conf फ़ाइल को कॉन्फ़िगर करें
अपने OpenVPN क्लाइंट को कॉन्फ़िगर करें
अपने वीपीएन की जाँच करें

एन्क्रिप्शन कुंजी जनरेशन

अपने जीवन को जटिल नहीं करने के लिए, आप अपने मुख्य बुनियादी ढांचे को उसी मशीन पर कॉन्फ़िगर कर सकते हैं जहां OpenVPN सर्वर चल रहा है। हालाँकि, सुरक्षा अनुशंसाएँ सामान्यतया उत्पादन वातावरण में परिनियोजन के लिए एक अलग CA सर्वर का उपयोग करने का सुझाव देती हैं। OpenVPN में उपयोग के लिए एन्क्रिप्शन कुंजी संसाधनों को बनाने और आवंटित करने की प्रक्रिया को अंजीर में चित्रित किया गया है। 10.2।

जब आपने OpenVPN स्थापित किया था, तो निर्देशिका / etc / openvpn / स्वचालित रूप से बनाया गया था, लेकिन इसमें अभी तक कुछ भी नहीं है। Openvpn और आसान-rsa संकुल नमूना टेम्पलेट फ़ाइलों के साथ आते हैं जिन्हें आप अपने विन्यास के लिए आधार के रूप में उपयोग कर सकते हैं। प्रमाणन प्रक्रिया शुरू करने के लिए, / rr / share / से / etc / openvpn तक आसान-rsa टेम्पलेट डायरेक्टरी को कॉपी करें और easy-rsa / directory में बदलें:

 # cp -r /usr/share/easy-rsa/ /etc/openvpn $ cd /etc/openvpn/easy-rsa

आसान-रसा निर्देशिका में अब काफी कुछ स्क्रिप्ट शामिल होंगी। तालिका में। 10.1 उन टूल्स को सूचीबद्ध करता है जिनका उपयोग आप कुंजियाँ बनाने के लिए करेंगे।

इन ऑपरेशनों के लिए विशेषाधिकारों की आवश्यकता होती है, इसलिए sudo su के माध्यम से आपको रूट बनने की आवश्यकता होती है।

आपके साथ काम करने वाली पहली फ़ाइल को vars कहा जाता है और इसमें परिवेश चर शामिल होते हैं जो किज पैदा करते समय आसान-rsa उपयोग करते हैं। आपको पहले से मौजूद डिफ़ॉल्ट मानों के बजाय अपने स्वयं के मूल्यों का उपयोग करने के लिए फ़ाइल को संपादित करने की आवश्यकता है। यह वही है जो मेरी फ़ाइल की तरह दिखेगा (सूचीकरण 10.1)।

लिस्टिंग 10.1। फ़ाइल के मुख्य टुकड़े / etc / openvpn / easy-rsa / vars

 export KEY_COUNTRY="CA" export KEY_PROVINCE="ON" export KEY_CITY="Toronto" export KEY_ORG="Bootstrap IT" export KEY_EMAIL="info@bootstrap-it.com" export KEY_OU="IT"

Vars फ़ाइल चलाने से आप इसके मूल्यों को शेल वातावरण में स्थानांतरित कर सकते हैं, जहाँ से वे आपकी नई कुंजी की सामग्री में शामिल किए जाएंगे। क्यों सूडो कमांड अकेले काम नहीं करता है? क्योंकि पहले चरण में, हम var नामक स्क्रिप्ट को संपादित करते हैं, और फिर इसे लागू करते हैं। अनुप्रयोग और इसका मतलब है कि var फ़ाइल अपने मानों को शेल वातावरण में स्थानांतरित करती है, जहां से वे आपकी नई कुंजी की सामग्री में शामिल किए जाएंगे।

अपूर्ण प्रक्रिया को पूरा करने के लिए नए शेल का उपयोग करके फ़ाइल को फिर से चलाना सुनिश्चित करें। जब यह हो जाता है, तो स्क्रिप्ट आपको दूसरी स्क्रिप्ट चलाने, क्लीन-ऑल, / / ओपनवपन / आसान-आरएसए / कुंजी / निर्देशिका में किसी भी सामग्री को हटाने के लिए प्रेरित करेगी:

स्वाभाविक रूप से, अगला चरण क्लीन-ऑल स्क्रिप्ट को चलाने के लिए है, इसके बाद बिल्ड-सीए, जो रूट सर्टिफिकेट बनाने के लिए पुलकित स्क्रिप्ट का उपयोग करता है। आपको var द्वारा प्रदान की गई प्रमाणीकरण सेटिंग्स की पुष्टि करने के लिए कहा जाएगा:

 # ./clean-all # ./build-ca Generating a 2048 bit RSA private key

इसके बाद बिल्ड-की-सर्वर स्क्रिप्ट आती है। चूंकि यह नए रूट प्रमाणपत्र के साथ एक ही pkitool स्क्रिप्ट का उपयोग करता है, आपको कुंजी जोड़ी के निर्माण की पुष्टि करने के लिए समान प्रश्न दिखाई देंगे। आपके द्वारा पास किए गए तर्कों के आधार पर कुंजियों को नाम दिए जाएंगे, जब तक कि आप इस कंप्यूटर पर कई वीपीएन शुरू नहीं करते, आमतौर पर उदाहरण के रूप में सर्वर होंगे:

 # ./build-key-server server [...] Certificate is to be certified until Aug 15 23:52:34 2027 GMT (3650 days) Sign the certificate? [y/n]:y 1 out of 1 certificate requests certified, commit? [y/n]y Write out database with 1 new entries Data Base Updated

OpenVPN नए कनेक्शन के लिए प्रमाणीकरण पर बातचीत करने के लिए डिफी-हेलमैन एल्गोरिथम (बिल्ड-डीएच का उपयोग करके) द्वारा उत्पन्न मापदंडों का उपयोग करता है। यहां बनाई गई फ़ाइल गुप्त नहीं होनी चाहिए, लेकिन आरएसए कुंजियों के लिए बिल्ड-डीएच स्क्रिप्ट का उपयोग करके उत्पन्न की जानी चाहिए जो वर्तमान में सक्रिय हैं। यदि आप भविष्य में नए आरएसए कुंजी बनाते हैं, तो आपको डिफी-हेलमैन एल्गोरिथ्म के आधार पर फाइल को अपडेट करना होगा:

 # ./build-dh

आपकी सर्वर-साइड कुंजियाँ अब / etc / openvpn / easy-rsa / keys / directory में होंगी, लेकिन OpenVPN को यह पता नहीं है। डिफ़ॉल्ट रूप से, OpenVPN / etc / openvpn / में कुंजियों की तलाश करेगा, इसलिए उन्हें कॉपी करें:

 # cp /etc/openvpn/easy-rsa/keys/server* /etc/openvpn # cp /etc/openvpn/easy-rsa/keys/dh2048.pem /etc/openvpn # cp /etc/openvpn/easy-rsa/keys/ca.crt /etc/openvpn

क्लाइंट एन्क्रिप्शन कुंजी तैयार करना

जैसा कि आपने पहले ही देखा है, टीएलएस एन्क्रिप्शन संबंधित कुंजियों के जोड़े का उपयोग करता है: एक सर्वर पर स्थापित है, और दूसरा दूरस्थ क्लाइंट पर। इसका मतलब है कि आपको क्लाइंट कुंजियों की आवश्यकता होगी। हमारा पुराना दोस्त प्रितकुल ठीक वही है जो आपको इसके लिए चाहिए। इस उदाहरण में, / etc / openvpn / easy-rsa / directory में प्रोग्राम को चलाकर, हम client.crt और client.key नामक फ़ाइलों को जनरेट करने के लिए इसे क्लाइंट तर्क पास करते हैं:

 # ./pkitool client

मूल ca.crt फ़ाइल के साथ दो क्लाइंट फाइलें, जो अभी भी कुंजी / निर्देशिका में हैं, को अब आपके क्लाइंट को सुरक्षित रूप से स्थानांतरित किया जाना चाहिए। उनके संबद्धता और पहुँच अधिकारों के कारण, यह इतना आसान नहीं हो सकता है। सबसे आसान तरीका है अपने पीसी के डेस्कटॉप पर चल रहे टर्मिनल में स्रोत फ़ाइल (और इस सामग्री के अलावा कुछ भी नहीं) की सामग्री को मैन्युअल रूप से कॉपी करें (पाठ का चयन करें, उस पर राइट-क्लिक करें और मेनू से कॉपी का चयन करें)। फिर इसे उसी फ़ाइल के साथ एक नई फ़ाइल में पेस्ट करें जिसे आप अपने क्लाइंट से जुड़े दूसरे टर्मिनल में बनाते हैं।

लेकिन कोई भी काट और पेस्ट कर सकता है। इसके बजाय, एक व्यवस्थापक के रूप में सोचें, क्योंकि आपके पास हमेशा GUI तक पहुंच नहीं होगी, जहां कट / पेस्ट ऑपरेशन संभव है। फ़ाइलों को अपने उपयोगकर्ता के होम डायरेक्टरी में कॉपी करें (ताकि रिमोट एसपीपी ऑपरेशन उन तक पहुंच सके), और फिर फ़ाइलों के मालिक को रूट से नियमित गैर-रूट उपयोगकर्ता में बदलने के लिए चाउन का उपयोग करें ताकि रिमोट एसपीपी कार्रवाई की जा सके। सुनिश्चित करें कि आपकी सभी फाइलें वर्तमान में स्थापित और सुलभ हैं। आप उन्हें बाद में क्लाइंट के पास ले जाएंगे:

 # cp /etc/openvpn/easy-rsa/keys/client.key /home/ubuntu/ # cp /etc/openvpn/easy-rsa/keys/ca.crt /home/ubuntu/ # cp /etc/openvpn/easy-rsa/keys/client.crt /home/ubuntu/ # chown ubuntu:ubuntu /home/ubuntu/client.key # chown ubuntu:ubuntu /home/ubuntu/client.crt # chown ubuntu:ubuntu /home/ubuntu/ca.crt

कार्रवाई के लिए तैयार एन्क्रिप्शन कुंजी का एक पूरा सेट के साथ, आपको सर्वर को यह बताने की आवश्यकता है कि आप वीपीएन कैसे बनाना चाहते हैं। यह server.conf फ़ाइल का उपयोग करके किया जाता है।

कीस्ट्रोक्स की संख्या कम करें

बहुत छपना है? कोष्ठक के साथ एक विस्तार इन छह आदेशों को दो तक कम करने में मदद करेगा। मुझे यकीन है कि आप इन दो उदाहरणों का अध्ययन कर सकते हैं और समझ सकते हैं कि क्या हो रहा है। इससे भी महत्वपूर्ण बात, आप समझ सकते हैं कि दर्जनों या सैकड़ों तत्वों से जुड़े इन सिद्धांतों को कैसे लागू किया जाए:
 # cp /etc/openvpn/easy-rsa/keys/{ca.crt,client.{key,crt}} /home/ubuntu/ # chown ubuntu:ubuntu /home/ubuntu/{ca.crt,client.{key,crt}} 

Server.conf फ़ाइल सेट करना

आप कैसे जान सकते हैं कि server.conf फाइल कैसी दिखनी चाहिए? उस आसान-rsa निर्देशिका टेम्पलेट को याद रखें जिसे आपने / usr / share / से कॉपी किया था? OpenVPN की स्थापना के दौरान, एक संपीड़ित कॉन्फ़िगरेशन टेम्पलेट फ़ाइल बनी रही, जिसे आप / etc / openvpn / को कॉपी कर सकते हैं। मैं इस तथ्य पर निर्माण करूंगा कि टेम्प्लेट को संग्रहीत किया गया है और आपको एक उपयोगी उपकरण से मिलवाता है: zcat।

आप पहले से ही बिल्ली कमांड का उपयोग करके एक फ़ाइल की पाठ सामग्री को प्रदर्शित करने के बारे में जानते हैं, लेकिन क्या होगा अगर फ़ाइल gzip का उपयोग करके संकुचित हो? आप हमेशा फ़ाइल को अनज़िप कर सकते हैं, और फिर बिल्ली ख़ुशी से इसे प्रदर्शित करेगी, लेकिन यह आवश्यक से एक या दो कदम अधिक है। इसके बजाय, जैसा कि आप शायद पहले ही अनुमान लगा चुके हैं, आप एक चरण में अनपैक्ड टेक्स्ट को मेमोरी में लोड करने के लिए zcat कमांड दर्ज कर सकते हैं। निम्न उदाहरण में, स्क्रीन पर टेक्स्ट को प्रिंट करने के बजाय, आप इसे सर्वर.conf नामक एक नई फ़ाइल पर पुनर्निर्देशित करते हैं:

 # zcat \ /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz \ > /etc/openvpn/server.conf $ cd /etc/openvpn

हम फ़ाइल के साथ आए व्यापक और उपयोगी दस्तावेज़ीकरण को छोड़ देते हैं और देखते हैं कि जब आप संपादन समाप्त करते हैं तो यह कैसा दिख सकता है। ध्यान दें कि अर्धविराम (;) ओपनवीपीएन को अगली पंक्ति को पढ़ने या निष्पादित करने के लिए नहीं बताता है (सूची 10.2)।

आइए इनमें से कुछ सेटिंग्स से गुजरें।

डिफ़ॉल्ट रूप से, OpenVPN पोर्ट 1194 के माध्यम से काम करता है। आप इसे बदल सकते हैं, उदाहरण के लिए, अपने कार्यों को और अधिक छिपाने के लिए या अन्य सक्रिय सुरंगों के साथ संघर्ष से बचने के लिए। चूंकि 1194 को ग्राहकों के साथ न्यूनतम समन्वय की आवश्यकता है, इसलिए यह सबसे अच्छा है।
OpenVPN डेटा ट्रांसफर के लिए ट्रांसमिशन कंट्रोल प्रोटोकॉल (टीसीपी) या यूजर डेटाग्राम प्रोटोकॉल (यूडीपी) का उपयोग करता है। टीसीपी थोड़ा धीमा हो सकता है, लेकिन यह सुरंग के दोनों सिरों पर चलने वाले अनुप्रयोगों द्वारा समझा जाने की अधिक विश्वसनीय और अधिक संभावना है।
जब आप एक सरल और अधिक कुशल IP सुरंग बनाना चाहते हैं, तो आप dev tun को बता सकते हैं जो डेटा की सामग्री को प्रसारित करता है और इससे अधिक कुछ नहीं। यदि, दूसरी ओर, आपको ईथरनेट ब्रिज बनाकर कई नेटवर्क इंटरफेस (और वे जिस नेटवर्क का प्रतिनिधित्व करते हैं) को कनेक्ट करने की आवश्यकता है, आपको देव टैप का चयन करना होगा। यदि आपको समझ में नहीं आता है कि यह सब क्या मतलब है, तो ट्यून तर्क का उपयोग करें।
अगली चार पंक्तियाँ सर्वर पर तीन ऑथेंटिकेशन फ़ाइलों के OpenVPN नाम और पहले बनाई गई dh2048 सेटिंग्स फ़ाइल को पास करती हैं।
सर्वर लाइन रेंज और सबनेट मास्क सेट करती है जिसका उपयोग लॉगिन पर ग्राहकों को आईपी पते आवंटित करने के लिए किया जाएगा।
वैकल्पिक पुश पैरामीटर "मार्ग 10.0.3.0 255.255.255.0" दूरस्थ क्लाइंट को सर्वर के पीछे निजी सबनेट का उपयोग करने की अनुमति देता है। इस कार्य को करने के लिए, आपको नेटवर्क को सर्वर पर ही कॉन्फ़िगर करना होगा, ताकि निजी सबनेट ओपनवीपीएन सबनेट (10.8.0.0) के बारे में जान सके।
पोर्ट-शेयर लोकलहोस्ट 80 लाइन आपको पोर्ट 1194 पर आने वाले क्लाइंट ट्रैफ़िक को पोर्ट 80 पर सुनने वाले स्थानीय वेब सर्वर पर रीडायरेक्ट करने की अनुमति देती है। (यह तब उपयोगी होगा जब आप अपने वीपीएन का परीक्षण करने के लिए वेब सर्वर का उपयोग करने का इरादा रखते हैं।) यह केवल तभी काम करता है यदि जब tcp प्रोटोकॉल चुना जाता है।
उपयोगकर्ता कोई भी और समूह नोग्रुप लाइनें सक्रिय नहीं होनी चाहिए - ऐसा करने के लिए, अर्धविराम (;) को हटाएं। दूरस्थ क्लाइंट को किसी के अधीन काम करने के लिए मजबूर करना और नोग्रुप यह सुनिश्चित करता है कि सर्वर पर सत्र अनपेक्षित हैं।
लॉग इंगित करता है कि वर्तमान लॉग प्रविष्टियाँ OpenVPN शुरू होने पर हर बार पुरानी प्रविष्टियों को अधिलेखित कर देगी, जबकि लॉग-अपेंड एक मौजूदा लॉग फ़ाइल में नई प्रविष्टियाँ जोड़ता है। Openvpn.log फ़ाइल को ही / etc / openvpn / निर्देशिका को लिखा जाता है।

इसके अलावा, क्लाइंट-टू-क्लाइंट मान को अक्सर कॉन्फ़िगरेशन फ़ाइल में भी जोड़ा जाता है, ताकि कई ग्राहक OpenVPN सर्वर के अलावा एक-दूसरे को देख सकें। यदि आप अपने कॉन्फ़िगरेशन से संतुष्ट हैं, तो आप OpenVPN सर्वर शुरू कर सकते हैं:

 # systemctl start openvpn

OpenVPN और systemd के बीच संबंध की बदलती प्रकृति के कारण, निम्नलिखित सिंटैक्स को कभी-कभी एक सेवा शुरू करने के लिए आवश्यक हो सकता है: systemctl start openvpn @ सर्वर।

अपने सर्वर के नेटवर्क इंटरफेस की सूची को प्रदर्शित करने के लिए चल रहे आईपी एड्र को अब ट्यून नामित एक नए इंटरफ़ेस के लिए एक लिंक प्रदर्शित करना चाहिए। OpenVPN आने वाले ग्राहकों की सेवा के लिए इसे बनाएगा:

 $ ip addr [...] 4: tun0: mtu 1500 qdisc [...] link/none inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0 valid_lft forever preferred_lft forever

सब कुछ पूरी तरह से काम करना शुरू करने से पहले आपको सर्वर को पुनरारंभ करने की आवश्यकता हो सकती है। अगला पड़ाव क्लाइंट कंप्यूटर है।

10.1.2। OpenVPN क्लाइंट कॉन्फ़िगरेशन

परंपरागत रूप से, सुरंगों का निर्माण कम से कम दो निकासों के साथ किया जाता है (अन्यथा हम उन्हें गुफाएं कहते हैं)। सर्वर पर एक ठीक से कॉन्फ़िगर किया गया ओपनवीपीएन एक तरफ सुरंग से और उसके लिए यातायात को निर्देशित करता है। लेकिन आपको सुरंग के दूसरे छोर पर किसी तरह के क्लाइंट-साइड सॉफ़्टवेयर की भी आवश्यकता है।

इस खंड में, मैं एक OpenVPN क्लाइंट के रूप में काम करने के लिए मैन्युअल रूप से एक प्रकार का लिनक्स कंप्यूटर स्थापित करने पर ध्यान केंद्रित करने जा रहा हूं। लेकिन यह एकमात्र तरीका नहीं है जो यह अवसर उपलब्ध है। OpenVPN क्लाइंट अनुप्रयोगों का समर्थन करता है जो विंडोज या मैकओएस के साथ डेस्कटॉप कंप्यूटर और लैपटॉप पर स्थापित और उपयोग किया जा सकता है, साथ ही एंड्रॉइड और आईओएस पर आधारित स्मार्टफोन और टैबलेट पर भी। विवरण के लिए openvpn.net देखें।

OpenVPN पैकेज क्लाइंट कंप्यूटर पर स्थापित करने की आवश्यकता होगी, क्योंकि यह सर्वर पर स्थापित किया गया था, हालांकि आसान-आरएएस की कोई आवश्यकता नहीं है, क्योंकि आपके द्वारा पहले से उपयोग की जाने वाली कुंजी मौजूद है। आपको क्लाइंट /conf टेम्पलेट फ़ाइल को / etc / openvpn / निर्देशिका में कॉपी करने की आवश्यकता है जिसे आपने अभी बनाया है। इस बार फ़ाइल संग्रहीत नहीं की जाएगी, इसलिए नियमित cp कमांड इस कार्य को पूरी तरह से करेगा:

 # apt install openvpn # cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf \ /etc/openvpn/

आपके client.conf फ़ाइल की अधिकांश सेटिंग्स बहुत सीधी होंगी: उन्हें सर्वर पर मौजूद मानों से मेल खाना चाहिए। जैसा कि आप निम्न फ़ाइल उदाहरण से देख सकते हैं, अद्वितीय पैरामीटर रिमोट 192.168.1.23 1194 है, जो क्लाइंट को सर्वर का आईपी पता बताता है। फिर से, सुनिश्चित करें कि यह आपके सर्वर का पता है। आप क्लाइंट कंप्यूटर को एक संभावित मैन-इन-द-बीच हमले को रोकने के लिए सर्वर प्रमाण पत्र को प्रमाणित करने के लिए मजबूर करना होगा। ऐसा करने का एक तरीका लाइन रिमोट-सर्टिफिकेट-टीएलएस सर्वर (लिस्टिंग 10.3) को जोड़ना है।

अब आप / etc / openvpn / directory में जा सकते हैं और सर्वर से प्रमाणन कुंजी निकाल सकते हैं। अपने मूल्यों के साथ सर्वर आईपी पते या डोमेन नाम को उदाहरण में बदलें:

जब तक आप क्लाइंट पर OpenVPN नहीं चलाते तब तक कुछ भी रोमांचक होने की संभावना नहीं है। चूंकि आपको कुछ दलीलें पास करने की जरूरत है, आप कमांड लाइन से ऐसा करेंगे। Thetls- क्लाइंट तर्क OpenVPN को बताता है कि आप ग्राहक के रूप में कार्य करेंगे और TLS एन्क्रिप्शन का उपयोग करके कनेक्ट होंगे, और --config आपकी कॉन्फ़िगरेशन फ़ाइल को इंगित करेगा:

 # openvpn --tls-client --config /etc/openvpn/client.conf

यह सुनिश्चित करने के लिए कि आप सही ढंग से जुड़े हैं, कमांड के आउटपुट को ध्यान से पढ़ें। यदि पहली बार कुछ गलत होता है, तो यह सर्वर और क्लाइंट कॉन्फ़िगरेशन फ़ाइलों या नेटवर्क कनेक्शन / फ़ायरवॉल समस्या के बीच सेटिंग्स के बीच एक बेमेल के कारण हो सकता है। यहाँ कुछ समस्या निवारण युक्तियाँ दी गई हैं।

क्लाइंट पर OpenVPN ऑपरेशन के आउटपुट को ध्यान से पढ़ें। इसमें अक्सर मूल्यवान सलाह होती है कि वास्तव में क्या किया जा सकता है और क्यों नहीं।
सर्वर पर / etc / openvpn / निर्देशिका में openvpn.log और openvpn-status.log फ़ाइलों में त्रुटि संदेशों की जाँच करें।
सर्वर और क्लाइंट पर सिस्टम लॉग में OpenVPN- संबंधित और समय-उपयुक्त संदेश देखें। (journalctl -ce सबसे हाल की प्रविष्टियाँ प्रदर्शित करेगा।)
सुनिश्चित करें कि आपके पास सर्वर और क्लाइंट के बीच एक सक्रिय नेटवर्क कनेक्शन है (अधिक विवरण के लिए, अध्याय 14 देखें)।

लेखक के बारे में

डेविड क्लिंटन एक प्रणाली प्रशासक, शिक्षक और लेखक हैं। उन्होंने प्रशासित किया, इसके बारे में लिखा और कई महत्वपूर्ण तकनीकी विषयों के लिए प्रशिक्षण सामग्री तैयार की, जिसमें लिनक्स सिस्टम, क्लाउड कंप्यूटिंग (विशेष रूप से AWS) और कंटेनर तकनीकें जैसे डोकर शामिल हैं। उन्होंने लंच के एक महीने में लर्न अमेज़ॅन वेब सर्विसेज नामक पुस्तक लिखी (मैनिंग, 2017)। उनके कई वीडियो ट्यूटोरियल प्लुरलसाइट डॉट कॉम पर देखे जा सकते हैं, और उनकी अन्य पुस्तकों के लिंक (लिनक्स प्रशासन और सर्वर वर्चुअलाइजेशन पर) bootstrap-it.com पर उपलब्ध हैं।

»पुस्तक की अधिक जानकारी प्रकाशक की वेबसाइट पर उपलब्ध है
» सामग्री
» अंश

फेरीवालों के लिए कूपन पर 25% की छूट - लिनक्स
पुस्तक के पेपर संस्करण के भुगतान पर, एक इलेक्ट्रॉनिक पुस्तक ई-मेल द्वारा भेजी जाती है।

पुस्तक "लिनक्स इन एक्शन"