OpenVPN erstellt einen verschlüsselten Tunnel zwischen zwei Punkten und verhindert, dass Dritte auf Ihren Netzwerkverkehr zugreifen. Durch die Einrichtung Ihres Virtual Private Network (VPN)-Servers werden Sie Ihr eigener VPN-Anbieter. Viele beliebte VPN-Dienste verwenden bereits OpenVPN. Warum also Ihre Verbindung an einen bestimmten Anbieter binden, wenn Sie selbst die vollständige Kontrolle haben?
Der erste Artikel dieser Serie richtet einen Server für Ihr VPN ein, der zweite Artikel zeigt, wie Sie die OpenVPN-Serversoftware installieren und konfigurieren, während der dritte Artikel erklärt, wie Sie Ihre Firewall konfigurieren und die OpenVPN-Serversoftware starten. Dieser vierte und letzte Artikel zeigt, wie Sie Ihren OpenVPN-Server von Client-Computern aus verwenden. Dies ist der Grund, warum Sie die ganze Arbeit in den vorherigen drei Artikeln gemacht haben!
Clientzertifikate erstellen
Denken Sie daran, dass die Authentifizierungsmethode für OpenVPN sowohl den Server als auch den Client erfordert, verfügen über etwas (Zertifikate) und zu kennt etwas (ein Passwort). Es ist Zeit, das einzurichten.
Erstellen Sie zunächst ein Clientzertifikat und einen privaten Schlüssel für Ihren Clientcomputer. Erstellen Sie auf Ihrem OpenVPN-Server eine Zertifikatsanforderung. Es fragt nach einer Passphrase; Denken Sie daran:
$ cd /etc/openvpn/ca
$ sudo /etc/openvpn/easy-rsa/easyrsa
gen-req greglaptop
In diesem Beispiel, greglaptop ist der Client-Computer, für den dieses Zertifikat erstellt wird.
Die Anforderung muss nicht in die Zertifizierungsstelle (CA) importiert werden, da sie bereits vorhanden ist. Überprüfen Sie es, um sicherzustellen, dass:
$ cd /etc/openvpn/ca
$ /etc/openvpn/easy-rsa/easyrsa
show-req greglaptop
Sie können auch als Kunde unterschreiben:
$ /etc/openvpn/easy-rsa/easyrsa
sign-req client greglaptop
Installieren Sie die OpenVPN-Client-Software
Unter Linux enthält Network Manager möglicherweise bereits einen OpenVPN-Client. Wenn nicht, können Sie das Plugin installieren:
$ sudo dnf install NetworkManager-openvpnUnter Windows müssen Sie den OpenVPN-Client von der OpenVPN-Download-Site herunterladen und installieren. Starten Sie das Installationsprogramm und folgen Sie den Anweisungen.
Zertifikate und private Schlüssel auf den Client kopieren
Jetzt benötigt Ihr Client die von Ihnen generierten Authentifizierungsdaten. Diese haben Sie auf dem Server generiert, also müssen Sie sie zu Ihrem Client übertragen. Dafür verwende ich eher SSH. Unter Linux ist das die scp Befehl. Unter Windows können Sie WinSCP als Administrator verwenden, um die Zertifikate und Schlüssel abzurufen.
Angenommen, der Kunde ist benannt greglaptop, hier sind die Dateinamen und Serverstandorte:
/etc/openvpn/ca/pki/issued/greglaptop.crt
/etc/openvpn/ca/pki/private/greglaptop.key
/etc/openvpn/ca/pki/issued/ca.crt
Kopieren Sie diese unter Linux in die /etc/pki/tls/certs/ Verzeichnis. Kopieren Sie sie unter Windows in das C:Program FilesOpenVPNconfig Verzeichnis.
Kopieren Sie die Client-Konfigurationsdatei und passen Sie sie an
Unter Linux können Sie entweder die /etc/openvpn/client/OVPNclient2020.ovpn Datei auf dem Server zu /etc/NetworkManager/system-connections/, oder navigieren Sie in den Systemeinstellungen zu Network Manager und fügen Sie eine VPN-Verbindung hinzu.
Wählen Sie als Verbindungstyp Zertifikate. Zeigen Sie Network Manager auf die Zertifikate und Schlüssel, die Sie vom Server kopiert haben.
Netzwerk-Manager-Profil.jpg
(Seth Kenlon, CC BY-SA 4.0)
Führen Sie unter Windows WinSCP als Administrator aus, um die Client-Konfigurationsvorlage zu kopieren /etc/openvpn/client/OVPNclient2020.ovpn auf dem Server zu C:Program FilesOpenVPNconfig auf dem Auftraggeber. Dann:
- Benennen Sie es so um, dass es dem obigen Zertifikat entspricht.
- Ändern Sie die Namen des CA-Zertifikats, des Client-Zertifikats und des Schlüssels so, dass sie mit den oben vom Server kopierten Namen übereinstimmen.
- Bearbeiten Sie die IP-Informationen entsprechend Ihrem Netzwerk.
Sie benötigen Superadministratorberechtigungen, um die Client-Konfigurationsdateien zu bearbeiten. Der einfachste Weg, dies zu erreichen, besteht möglicherweise darin, ein CMD-Fenster als Administrator zu starten und dann Notepad aus dem Administrator-CMD-Fenster zu starten, um die Dateien zu bearbeiten.
Verbinden Sie Ihren Client mit dem Server
Unter Linux zeigt der Netzwerkmanager Ihr VPN an. Wählen Sie es aus, um eine Verbindung herzustellen.
network-manager-connect.jpg
(Seth Kenlon, CC BY-SA 4.0)
Starten Sie unter Windows die grafische Benutzeroberfläche (GUI) von OpenVPN. Es erzeugt eine Grafik in der Windows-Taskleiste auf der rechten Seite der Taskleiste, normalerweise in der unteren rechten Ecke Ihres Windows-Desktops. Klicken Sie mit der rechten Maustaste auf die Grafik, um eine Verbindung herzustellen, zu trennen oder den Status anzuzeigen.
Bearbeiten Sie für die erste Verbindung die Zeile “remote” Ihrer Client-Konfigurationsdatei, um die innerhalb der IP-Adresse Ihres OpenVPN-Servers. Stellen Sie eine Verbindung zum Server innerhalb Ihres Büronetzwerks her, indem Sie mit der rechten Maustaste auf die OpenVPN-GUI in der Windows-Taskleiste klicken und auf klicken Verbinden. Debuggen Sie diese Verbindung. Dies sollte Probleme finden und beheben, ohne dass Firewall-Probleme im Weg sind, da sich sowohl der Client als auch der Server auf derselben Seite der Firewall befinden.
Bearbeiten Sie als Nächstes die Zeile “remote” Ihrer Client-Konfigurationsdatei, um die öffentliche IP-Adresse für Ihren OpenVPN-Server. Bringen Sie den Windows-Client in ein externes Netzwerk und stellen Sie eine Verbindung her. Debuggen Sie alle Probleme.
Sicher verbinden
Herzliche Glückwünsche! Sie haben ein OpenVPN-Netzwerk für Ihre anderen Client-Systeme bereit. Wiederholen Sie die Einrichtungsschritte für die restlichen Clients. Sie können Ansible sogar verwenden, um Zertifikate und Schlüssel zu verteilen und auf dem neuesten Stand zu halten.
Dieser Artikel basiert auf dem Blog von D. Greg Scott und wird mit Genehmigung weiterverwendet.