я уже несколько месяцев назад на точный вопрос, но кроме того, я хотел иметь подключение к IPv6, если это возможно. Вы можете быть заинтересованы в моих вопросах на Serverfault: Как настроить openvpn для доступа в Интернет с одной сетевой карты? Как я могу настроить openvpn с IPv4 и IPv6 с помощью крана устройство?
я только одного сетевого адаптера ("сетевой интерфейс") на моем сервере для использования. В моей установке, networkmanager был не достаточно, потому что мне нужно запустить специальный скрипт для поддержки IPv6. Для простоты, однако, я буду использовать здесь networkmanager и опустить поддержка IPv6.
во-первых, просто принять решение о методе проверки подлинности. Я буду использовать более безопасный способ сертификат, который работает SSL, например: во время рукопожатия выбрали общий секрет, который будет использоваться для сеанса. Другие методы общий ключ; имя пользователя и пароль.
во-первых, установить openvpn сервер. Это так же легко, как [ф20]. Самой сложной частью является настройка его. Конфигурация присутствует в [клавиши f21].
сервер нужны сертификаты для идентификации себя и своих клиентов. Эти сертификат извлекаются из центра сертификации (Общие полномочия). Создание сертификатов и закрытых ключей, связанных с можно сделать на любой машине, это не должно быть сделано на сервере. Если вы действительно параноик, вы должны сделать его на компьютере, который не подключен к сети, и использовать флешку для переноса сертификатов.
этот шаг надо сделать один раз, если ваш закрытый ключ ЦС переврали. В этом случае действительные сертификаты могут быть созданы, которые будут приняты сервером, в результате чего происходит нарушение безопасности.
официальная документация предполагает делать администрация в [ф22]. Я не большой поклонник работает все, как корень, так что я положил его в другой каталог.
[dиода d17] создать справочник администрации и скопируйте файлы в нем: [Ф1] редактировать параметры по умолчанию в [ф23] по мере необходимости, например, установка [ф24] потому, что вы параноик. Загрузить переменные и создать раздел каталога с помощью команды: [Ф2] если вы получаете сообщение об ошибке, что [f25 привод датчика] запустите [ф26], а затем . vars снова. Если это ваш первый раз, используя этот центр сертификации, подготовить среду ключи. Не выполняйте эту команду, если вы хотите сохранить ранее созданную Калифорния. Это потребует развертывания новых [ф28]. [Ф3] создать центр сертификации путем выполнения ./build-ca. Вы можете заполнить какие-либо подробности в Вы хотите, но учтите, что эта информация будет видна в файлах журнала, когда клиенты подключаются к серверу. При этом будут созданы файлы [ф30 и ф31] в папке [f32 из]. Сохранить ca.key файл секрет при любых обстоятельствах. Невыполнение этого требования позволит никому с ключом для подключения к вашему серверу. Если у вас есть предыдущий сертификат, который потерян или просрочен, нужно аннулировать старую сначала с ./revoke-full server. В противном случае вы получите ошибку базы данных. Создать сертификат для сервера с помощью команды: [Ф4] когда просят пароль, оставьте это поле пустым, если Вы не хотите вводить пароль при каждом запуске сервера (не рекомендуется). Подтверждения о подписании сертификата и его совершении. Две новые файлы появятся в папке [ф35]: [f36 В] И [фунции f37]. [!dиода d17]
создать официальная документация параметр:
[ф5]
за советы закаливания, использовать tls-auth. Для этого сгенерировать общий секретный ключ, используя:
[ф6]
полученный файл ([ф39]) должны быть распространены на клиентов, а также, но Вы не должны положить его в общественных местах.
[и D40]создать сертификаты для клиентов[!и D40] [dрайвер d41]для каждого клиента, эти шаги должны быть повторены:[!dрайвер d41] создать справочник администрации и скопируйте файлы в нем: [Ф1] создать справочник администрации и скопируйте файлы в нем:
если ты пропустил ЦС создания шаг, потому что вы уже одна, вам нужно загрузить переменные из первых:
[о d54] создать справочник администрации и скопируйте файлы в нем:
по умолчанию openvpn работает как корень, когда принимать соединения. Не очень хорошая идея, если услуга занимает от злого Интернета.
создать файл /etc/openvpn/server.conf и поместить следующие строки в нем:
[г70] Как настроить openvpn для доступа в Интернет с одной сетевой карты? server.crt: для проверки сервера и общение с ним как я могу настроить openvpn с IPv4 и IPv6 с помощью крана устройство? you.crt: идентифицировать себя с сервера you.key: это как пароль, права доступа к файлам должен быть 400 (чтение только для владельца) [!г70]
если вы создали сертификатов на сервер, это хорошая идея, чтобы зашифровать его или переместить его с сервера. В любом случае, не теряйте ca.key и server.key. В первом случае другие пользователи смогут подключиться к вашему серверу. В последнем случае закаливание советы возможно.
[ф15]
помимо IP-адрес сервера, администратор должен сдать следующие файлы:
Устанавливаем openvpn и через networkmanager плагин (подходит для KDE и GNOME):
server.crt: для проверки сервера и взаимодействовать с ней типа: "сертификаты (СС)" (GNOME) или "сертификат X. 509" (в KDE) you.crt: идентифицировать себя с сервера сертификат пользователя: путь к you.crt you.key: это как пароль, права доступа к файлам должен быть 400 (чтение только для владельца)[от f60] в репозиторий Вселенной.
типа: "сертификаты (СС)" (GNOME) или "сертификат X. 509" (в KDE) использовать сжатие данных ЛЗО: включено сертификат пользователя: путь к you.crt использовать водопроводную устройства: Шифр включено: проверка подлинности по умолчанию КСОМ: использовать TLS по умолчанию проверка подлинности: включено укажите путь к имеющемуся ключевому файлу для [64-го фокуса] и выберите "ключевым направлением", чтобы [камера f65]. (тодо - проверить его) сервера раздвигает шлюз по умолчанию весь трафик идет через VPN-соединение. В последний раз я проверил, сети-менеджер-плагин для openvpn не сделал этого.[кадрах, снятых D80]на панели управления, используйте следующие детали:[!кадрах, снятых D80] [ф16]
в передовые:
[f17 в]
если Вы не можете сделать networkmanager не работает или не хотите использовать его, положить файлы (ca.crt, ...) в /etc/openvpn и создать файл [f68 не]:
[ф18]
если Вы не хотите, чтобы включить этот VPN на время загрузки, редактирования /etc/default/openvpn и раскомментируйте следующую строку, удалив [р70]:
чтобы начать это подключение, запустите:
[зг19]