Erfahren Sie, wie Sie OpenVPN Server auf Rocky Linux 8 installieren und konfigurieren, indem Sie dem folgenden Link folgen;
OpenVPN-Server auf Rocky Linux 8 einrichten
Installieren und konfigurieren Sie den OpenVPN-Client auf Rocky Linux 8
Installieren Sie den OpenVPN-Client auf Rocky Linux 8
Installieren Sie den OpenVPN-Client auf Rocky Linux 8, indem Sie die folgenden Befehle ausführen:
dnf epel-release -y
dnf info openvpn
Verfügbare PaketeName :openvpnVersion :2.4.11Release :1.el8Architektur :x86_64Größe :543 kQuelle :openvpn-2.4.11-1.el8.src.rpmRepository :epelZusammenfassung :A full-featured SSL VPN solutionURL :https://community .openvpn.net/License :GPLv2Description :OpenVPN ist eine robuste und hochflexible Tunnelanwendung, die alle :Verschlüsselungs-, Authentifizierungs- und Zertifizierungsfunktionen der :OpenSSL-Bibliothek verwendet, um IP-Netzwerke sicher über einen einzelnen UDP- oder TCP-Port :zu tunneln. Es kann die Marcus Franz Xaver Johannes Oberhumers LZO-Bibliothek verwenden:zur Komprimierung
Sie können dann den OpenVPN-Client installieren, indem Sie den folgenden Befehl ausführen:
dnf install openvpn
OpenVPN-Client auf Rocky Linux 8 konfigurieren
Um sich mit dem OpenVPN-Server verbinden zu können, müssen Sie die Client-Konfiguration erstellen, die das CA-Zertifikat, das Client-Server-Zertifikat und den Schlüssel enthält.
Wenn Sie unserem Leitfaden zum Einrichten des OpenVPN-Servers unter Rocky Linux 8 gefolgt sind, haben wir beschrieben, wie Sie die Client-Zertifikatdateien und -Schlüssel generieren.
Nachdem Sie die Schlüssel generiert haben, kopieren Sie sie auf den Client und notieren Sie sich den Pfad, in dem sie gespeichert sind.
Sie müssen auch den HMAC-Schlüssel und das CA-Zertifikat auf den Client kopieren.
Anschließend können Sie die OpenVPN-Client-Konfiguration erstellen.
Zum Beispiel, um eine OpenVPN-Konfigurationsdatei für den Client gentoo zu erstellen , dessen Zertifikate und Schlüssel sind, gentoo.crt und gentoo.key;
vim gentoo.ovpn
clienttls-clientpulldev tunproto udp4remote 192.168.60.19 1194resolv-retry infinitenobind#user none#group nogrouppersist-keypersist-tunkey-direction 1remote-cert-tls serverauth-nocachecomp-lzoverb 3auth SHA512tls-auth ta.key 1ca ca.crtcert gentoo. crtkey gentoo.key
Beachten Sie, dass sich in diesem Setup das Client-Zertifikat, der Schlüssel, das CA-Zertifikat und der HMAC-Schlüssel im selben Pfad befinden wie die OpenVPN-Client-Konfiguration selbst, gentoo.ovpn.
ls -1 .
ca.crt
gentoo.crt
gentoo.key
gentoo.ovpn
ta.key
Um die Probleme mit den Pfaden zu den Zertifikaten und den Schlüsseln zu vermeiden, können Sie sie inline in die Konfigurationsdatei einfügen; tunkey-direction 1remote-cert-tls serverauth-nocachecomp-lzoverb 3auth SHA512
Machen Sie dasselbe auf allen Client-Servern für jeden Benutzer, der eine Verbindung zum VPN herstellen muss.
Wenn Sie es bemerkt haben, sind die folgenden Zeilen kommentiert, um den Fehler zu vermeiden: ERROR:Linux route add command failed:external program been beend with error status:2 indem erstellte Routen geleert werden, bevor sie beim erneuten Verbinden wieder hinzugefügt werden.
Die OpenVPN-Client-Konfigurationsdatei ist jetzt fertig.
Sie können sich dann bei Bedarf mit dem OpenVPN-Server verbinden oder Ihren Server so konfigurieren, dass er bei jedem Neustart des Systems eine VPN-Konfigurationsdatei erstellt.
Um sich bei Bedarf zu verbinden, verwenden Sie einfach
oder
Wobei client-config die openvpn-Konfigurationsdatei des Clients ist, wie die Datei gentoo.ovpn oben.
Wenn die Verbindung zum OpenVPN-Server erfolgreich ist, sollten Sie einen
Um die IP-Adressen zu überprüfen,
Testen Sie die Verbindung zum VPN-Server;
Abhängig von der Einrichtung Ihrer Serverrouten sollten Sie auch in der Lage sein, Internetzugang zu erhalten.
Um beim Neustart des Servers automatisch Verbindungen herzustellen, können Sie den systemd-Dienst des OpenVPN-Clients aktivieren.
Bevor Sie dies tun können, ändern Sie die Erweiterung Ihrer VPN-Konfigurationsdatei von
Kopieren Sie die
Deaktivieren Sie als Nächstes SELinux (ich empfehle dies jedoch nicht, -:));
Starten Sie den systemd-Dienst des OpenVPN-Clients. Ersetzen Sie den Namen gentoo mit dem Namen Ihrer .conf-Konfigurationsdatei.
Um den Status zu prüfen,
Damit es beim Systemstart ausgeführt werden kann,
Sie haben den OpenVPN-Client Rocky Linux 8 erfolgreich installiert und eingerichtet.
Damit sind wir am Ende unseres Tutorials zur Installation und Konfiguration des OpenVPN-Clients unter Rocky Linux 8 angelangt.
Weisen Sie OpenVPN-Clients statische IP-Adressen zu
Konfigurieren Sie die OpenVPN-LDAP-basierte Authentifizierung #user none#group nogroup
Verbindung zum OpenVPN-Server unter Rocky Linux 8 herstellen
Verbinden Sie sich mit OpenVPN auf der Befehlszeile mit dem Befehl openvpn
openvpn Befehl als;sudo openvpn client-config.ovpn
sudo openvpn --config client-config.ovpn
Initialization Sequence Completed .Mi Jun 30 15:27:16 2021 OpenVPN 2.4.11 x86_64-redhat-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] erstellt am 21. April 2021 Mi 30. Juni 15:27:16 2021-Bibliotheksversionen:OpenSSL 1.1.1g FIPS 21. Apr 2020, LZO 2.08 Mi 30. Juni 15:27:16 2021 Outgoing Control Channel Authentication:Using 512 bit message hash 'SHA512' for HMAC-AuthentifizierungMi 30. Juni 15:27:16 2021 Authentifizierung des eingehenden Steuerkanals:Verwendung des 512-Bit-Nachrichtenhashs „SHA512“ für die HMAC-AuthentifizierungMi 30. Juni 15:27:16 2021 TCP/UDP:Beibehaltung der zuletzt verwendeten Remote-Adresse:[AF_INET]192.168.60.19 :1194Wed Jun 30 15:27:16 2021 Socket Buffers:R=[212992->212992] S=[212992->212992]Wed Jun 30 15:27:16 2021 UDPv4 link local:(nicht gebunden)Wed Jun 30 15 :27:16 2021 UDPv4 Link Remote:[AF_INET]192.168.60.19:1194Wed Jun 30 15:27:16 2021 TLS:Initial packet from [AF_INET]192.168.60.19:1194, sid=7ec70642 fdcdad40Wed Jun 30 15:27:16 2021 VERIFY OK:deep=1, CN=Kifarunix-demo CAMi 30. Juni 15:27:16 2021 VERIFY KU OKMi 30. Juni 15:27:16 2021 Validieren der erweiterten Schlüsselverwendung des ZertifikatsMi 30. Juni 15:27:16 2021 ++ Zertifikat hat EKU (str) TLS-Webserver-Authentifizierung, erwartet TLS-Webserver-AuthentifizierungMi 30. Juni 15:27:16 2021 VERIFY EKU OKMi 30. Jun 15:27:16 2021 VERIFY OK:Depth=0, CN=serverWed 30. Jun 15:27:16 2021 WARNUNG:'link-mtu' wird inkonsistent verwendet, local='link-mtu 1586', remote='link -mtu 1602'Wed Jun 30 15:27:16 2021 WARNUNG:'cipher' is inconsistent used, local='cipher BF-CBC', remote='cipher AES-256-CBC'Wed Jun 30 15:27:16 2021 WARNUNG:'Schlüsselgröße' wird inkonsistent verwendet, local='Schlüsselgröße 128', remote='Schlüsselgröße 256'Wed Jun 30 15:27:16 2021 Control Channel:TLSv1.3, cipher TLSv1.3 TLS_AES_256_GCM_SHA384, 2048 bit RSAWed Jun 30 15 :27:16 2021 [Server] Peer-Verbindung initiiert mit [AF_INET]192.168.60.19:1194Mittwoch 30. Juni 15:27:17 2021 SENT CONTROL [Server]:'PUSH_REQUEST' (Status=1)Mittwoch 30. Juni 15:27:17 2021 PUSH:Kontrollnachricht erhalten:„PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option D NS 208.67.222.222, DHCP-Option DNS 192.168.10.3, Route-Gateway 10.8.0.1, Topologie-Subnetz, Ping 10, Ping-Neustart 120, ifconfig 10.8.0.2 255.255.255.0, Peer-ID 0, Chiffre AES-256-GCM 'Mi Jun 30 15:27:17 2021 OPTIONS IMPORT:Timer und/oder Timeouts geändertMi 30 Jun 15:27:17 2021 OPTIONS IMPORT:--ifconfig/up options geändertMi 30 Jun 15:27:17 2021 OPTIONS IMPORT:Routenoptionen ModifiedWed Jun 30 15:27:17 2021 OPTIONS IMPORT:routenbezogene Optionen ModifiedWed 30 Jun 15:27:17 2021 OPTIONS IMPORT:--ip-win32 und/oder --dhcp-option options ModifiedWed 30 Jun 15:27:17 2021 OPTIONS IMPORT:peer-id setMi 30. Juni 15:27:17 2021 OPTIONS IMPORT:Anpassen von link_mtu auf 1625Mi 30. Jun 15:27:17 2021 OPTIONS IMPORT:Datenkanal-Kryptooptionen geändertMi 30. Juni 15:27:17 2021 Data Channel:using ausgehandelte Chiffre 'AES-256-GCM'Wed Jun 30 15:27:17 2021 Outgoing Data Channel:Cipher 'AES-256-GCM' initialized with 256 bit keyWed Jun 30 15:27:17 2021 Incoming Data Channel:Cipher ' AES-256-GCM' mit 256 Bit initialisiert keyWed Jun 30 15:27:17 2021 ROUTE_GATEWAY 10.0.2.2/255.255.255.0 IFACE=enp0s3 HWADDR=08:00:27:98:30:73Wed Jun 30 15:27:17 2021 TUN/TAP-Gerät tun0 geöffnetWed Jun 30 15 :27:17 2021 TUN/TAP TX-Warteschlangenlänge auf 100 gesetztWed Jun 30 15:27:17 2021 /sbin/ip link set dev tun0 up mtu 1500Wed Jun 30 15:27:17 2021 /sbin/ip addr add dev tun0 10.8 .0.2/24 Broadcast 10.8.0.255 Mi 30. Juni 15:27:17 2021 /sbin/ip route add 192.168.60.19/32 via 10.0.2.2 Mi 30. Juni 15:27:17 2021 /sbin/ip route add 0.0.0.0 /1 via 10.8.0.1Mi 30. Juni 15:27:17 2021 /sbin/ip route add 128.0.0.0/1 via 10.8.0.1Mi 30. Juni 15:27:17 2021 Initialisierungssequenz abgeschlossen
ip add show tun0
9: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 100
link/none
inet 10.8.0.2/24 brd 10.8.0.255 scope global tun0
valid_lft forever preferred_lft forever
inet6 fe80::697:ce38:b852:540c/64 scope link stable-privacy
valid_lft forever preferred_lft forever ping 10.8.0.1 -c 3
PING 10.8.0.1 (10.8.0.1) 56(84) bytes of data.
64 bytes from 10.8.0.1: icmp_seq=1 ttl=64 time=2.71 ms
64 bytes from 10.8.0.1: icmp_seq=2 ttl=64 time=2.42 ms
64 bytes from 10.8.0.1: icmp_seq=3 ttl=64 time=1.95 ms
--- 10.8.0.1 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 46ms
rtt min/avg/max/mdev = 1.952/2.362/2.713/0.316 ms OpenVPN-Client als Dienst ausführen
.ovpn zu .conf . Ersetzen Sie die Dateinamen entsprechend.cp gentoo.{ovpn,conf} .conf Datei in das Konfigurationsverzeichnis des OpenVPN-Clients, /etc/openvpn/client .mv gentoo.conf
/etc/openvpn/client setenforce 0 &&sed -i 's/=enforcing/=permissive/' /etc/selinux/config
systemctl start [email protected]
systemctl status [email protected]
● [email protected] - OpenVPN-Tunnel für Gentoo Geladen:geladen (/usr/lib/systemd/system/[email protected]; deaktiviert; Herstellervoreinstellung:deaktiviert) Aktiv:aktiv (läuft) seit Mittwoch 2021- 30.06. 15:48:47 EDT; vor 12s Dokumente:man:openvpn(8) https://community.openvpn.net/openvpn/wiki/Openvpn24ManPage https://community.openvpn.net/openvpn/wiki/HOWTO Haupt-PID:39782 (openvpn) Status:" Initialisierungssequenz abgeschlossen“ Aufgaben:1 (Grenze:11272) Arbeitsspeicher:1,6 MB CGroup:/system.slice/system-openvpn\x2dclient.slice/[email protected] └─39782 /usr/sbin/openvpn --suppress-timestamps --nobind --config gentoo.confJun 30 15:48:48 localhost.localdomain openvpn[39782]:Eingehender Datenkanal:Chiffre 'AES-256-GCM' initialisiert mit 256-Bit-SchlüsselJun 30 15:48:48 localhost.localdomain openvpn [39782]:ROUTE_GATEWAY 10.0.2.2/255.255.255.0 IFACE=enp0s3 HWADDR=08:00:27:98:30:73 Jun 30 15:48:48 localhost.localdomain openvpn[39782]:TUN/TAP-Gerät tun0 geöffnet am 30. Juni 15 :48:48 localhost.localdomain openvpn[39782]:TUN/TAP TX-Warteschlangenlänge auf 100 eingestellt Jun 30 15:48:48 localhost.localdomain openvpn[39782]:/sbin/ip link set dev tun0 up mtu 1500jun 30 15:48 :48 localhost.localdomain openv pn[39782]:/sbin/ip addr add dev tun0 10.8.0.2/24 broadcast 10.8.0.255Jun 30 15:48:48 localhost.localdomain openvpn[39782]:/sbin/ip route add 192.168.60.19/32 via 10.0 .2.2 Jun 30 15:48:48 localhost.localdomain openvpn[39782]:/sbin/ip route add 0.0.0.0/1 via 10.8.0.1Jun 30 15:48:48 localhost.localdomain openvpn[39782]:/sbin/ ip route add 128.0.0.0/1 via 10.8.0.1 Jun 30 15:48:48 localhost.localdomain openvpn[39782]:Initialisierungssequenz abgeschlossen
systemctl enable [email protected]
Andere Tutorials