я уже несколько месяцев назад на точный вопрос, но кроме того, я хотел иметь подключение к IPv6, если это возможно. Вы можете быть заинтересованы в моих вопросах на Serverfault: Как настроить openvpn для доступа в Интернет с одной сетевой карты? Как я могу настроить openvpn с IPv4 и IPv6 с помощью крана устройство?

я только одного сетевого адаптера ("сетевой интерфейс") на моем сервере для использования. В моей установке, networkmanager был не достаточно, потому что мне нужно запустить специальный скрипт для поддержки IPv6. Для простоты, однако, я буду использовать здесь networkmanager и опустить поддержка IPv6.

во-первых, просто принять решение о методе проверки подлинности. Я буду использовать более безопасный способ сертификат, который работает SSL, например: во время рукопожатия выбрали общий секрет, который будет использоваться для сеанса. Другие методы общий ключ; имя пользователя и пароль.

сервер

1. Подготовить

во-первых, установить openvpn сервер. Это так же легко, как [ф20]. Самой сложной частью является настройка его. Конфигурация присутствует в [клавиши f21].

2. Настройка проверки подлинности

сервер нужны сертификаты для идентификации себя и своих клиентов. Эти сертификат извлекаются из центра сертификации (Общие полномочия). Создание сертификатов и закрытых ключей, связанных с можно сделать на любой машине, это не должно быть сделано на сервере. Если вы действительно параноик, вы должны сделать его на компьютере, который не подключен к сети, и использовать флешку для переноса сертификатов.

создать центр сертификации и сертификаты для сервера

этот шаг надо сделать один раз, если ваш закрытый ключ ЦС переврали. В этом случае действительные сертификаты могут быть созданы, которые будут приняты сервером, в результате чего происходит нарушение безопасности.

официальная документация предполагает делать администрация в [ф22]. Я не большой поклонник работает все, как корень, так что я положил его в другой каталог.

[dиода d17] создать справочник администрации и скопируйте файлы в нем: [Ф1] редактировать параметры по умолчанию в [ф23] по мере необходимости, например, установка [ф24] потому, что вы параноик. Загрузить переменные и создать раздел каталога с помощью команды: [Ф2] если вы получаете сообщение об ошибке, что [f25 привод датчика] запустите [ф26], а затем . vars снова. Если это ваш первый раз, используя этот центр сертификации, подготовить среду ключи. Не выполняйте эту команду, если вы хотите сохранить ранее созданную Калифорния. Это потребует развертывания новых [ф28]. [Ф3] создать центр сертификации путем выполнения ./build-ca. Вы можете заполнить какие-либо подробности в Вы хотите, но учтите, что эта информация будет видна в файлах журнала, когда клиенты подключаются к серверу. При этом будут созданы файлы [ф30 и ф31] в папке [f32 из]. Сохранить ca.key файл секрет при любых обстоятельствах. Невыполнение этого требования позволит никому с ключом для подключения к вашему серверу. Если у вас есть предыдущий сертификат, который потерян или просрочен, нужно аннулировать старую сначала с ./revoke-full server. В противном случае вы получите ошибку базы данных. Создать сертификат для сервера с помощью команды: [Ф4] когда просят пароль, оставьте это поле пустым, если Вы не хотите вводить пароль при каждом запуске сервера (не рекомендуется). Подтверждения о подписании сертификата и его совершении. Две новые файлы появятся в папке [ф35]: [f36 В] И [фунции f37]. [!dиода d17]

DH и использовать подготовить для TLS-авт

создать официальная документация параметр:

[ф5]

за советы закаливания, использовать tls-auth. Для этого сгенерировать общий секретный ключ, используя:

[ф6]

полученный файл ([ф39]) должны быть распространены на клиентов, а также, но Вы не должны положить его в общественных местах.

[и D40]создать сертификаты для клиентов[!и D40] [dрайвер d41]для каждого клиента, эти шаги должны быть повторены:[!dрайвер d41] создать справочник администрации и скопируйте файлы в нем: [Ф1]

создать справочник администрации и скопируйте файлы в нем:

[ф8] редактировать значения по умолчанию в [ф23] по мере необходимости, например, установка [ф24] потому, что вы параноик. создать сертификат клиента [ф41] и соответствующий сертификат you.crt: [F9] и в CommonName должно быть уникальным. Оставить пустой пароль, если вы используете KDE, так как это не поддерживается по состоянию на 10.10. Как с генерацией сертификата сервера, подтвердить подписание сертификата и внесения изменений.

3. Настройка openvpn сервис

если ты пропустил ЦС создания шаг, потому что вы уже одна, вам нужно загрузить переменные из первых:

[о d54]

создать справочник администрации и скопируйте файлы в нем:

[ф8] скопировать файлы [f45 с], server.crt, ca.crt и dh1024.pem (или dh2048.pem если вы изменили Размер ключа) из каталога ключей в [ф50]. Разрешение 400 (чтение только для владельца) в порядке. [ф11] загрузить переменные и создать раздел каталога с помощью команды: [Ф2] создать сертификат клиента [ф41] и соответствующий сертификат you.crt: [F9] и в CommonName должно быть уникальным. Оставить пустой пароль, если вы используете KDE, так как это не поддерживается по состоянию на 10.10. Как с генерацией сертификата сервера, подтвердить подписание сертификата и внесения изменений. если вы получаете сообщение об ошибке, что [f25 привод датчика] запустите [ф26], а затем . vars снова. [!о d54]

4. Отделка сервер

по умолчанию openvpn работает как корень, когда принимать соединения. Не очень хорошая идея, если услуга занимает от злого Интернета.

клиент

создать файл /etc/openvpn/server.conf и поместить следующие строки в нем:

[г70] Как настроить openvpn для доступа в Интернет с одной сетевой карты? server.crt: для проверки сервера и общение с ним как я могу настроить openvpn с IPv4 и IPv6 с помощью крана устройство? you.crt: идентифицировать себя с сервера you.key: это как пароль, права доступа к файлам должен быть 400 (чтение только для владельца) [!г70]

1. Установка

если вы создали сертификатов на сервер, это хорошая идея, чтобы зашифровать его или переместить его с сервера. В любом случае, не теряйте ca.key и server.key. В первом случае другие пользователи смогут подключиться к вашему серверу. В последнем случае закаливание советы возможно.

[ф15]

помимо IP-адрес сервера, администратор должен сдать следующие файлы:

2. Конфигурации

Устанавливаем openvpn и через networkmanager плагин (подходит для KDE и GNOME):

server.crt: для проверки сервера и взаимодействовать с ней типа: "сертификаты (СС)" (GNOME) или "сертификат X. 509" (в KDE) you.crt: идентифицировать себя с сервера сертификат пользователя: путь к you.crt you.key: это как пароль, права доступа к файлам должен быть 400 (чтение только для владельца)

[от f60] в репозиторий Вселенной.

типа: "сертификаты (СС)" (GNOME) или "сертификат X. 509" (в KDE) использовать сжатие данных ЛЗО: включено сертификат пользователя: путь к you.crt использовать водопроводную устройства: Шифр включено: проверка подлинности по умолчанию КСОМ: использовать TLS по умолчанию проверка подлинности: включено укажите путь к имеющемуся ключевому файлу для [64-го фокуса] и выберите "ключевым направлением", чтобы [камера f65]. (тодо - проверить его) сервера раздвигает шлюз по умолчанию весь трафик идет через VPN-соединение. В последний раз я проверил, сети-менеджер-плагин для openvpn не сделал этого.

[кадрах, снятых D80]на панели управления, используйте следующие детали:[!кадрах, снятых D80] [ф16]

в передовые:

[f17 в]

если Вы не можете сделать networkmanager не работает или не хотите использовать его, положить файлы (ca.crt, ...) в /etc/openvpn и создать файл [f68 не]:

[ф18]

если Вы не хотите, чтобы включить этот VPN на время загрузки, редактирования /etc/default/openvpn и раскомментируйте следующую строку, удалив [р70]:

чтобы начать это подключение, запустите:

[зг19]