PiVPN – Einfachste OpenVPN-Einrichtung und -Konfiguration, entwickelt für Raspberry Pi
Vor einiger Zeit haben wir eine Anleitung veröffentlicht, die die einfachste Möglichkeit zur Installation und Konfiguration von OpenVPN mithilfe eines Skripts namens openvpn-install beschreibt. Mit diesem Skript kann jeder, auch Anfänger, innerhalb weniger Minuten ein funktionierendes OpenVPN-Setup in DEB-basierten und RPM-basierten Systemen implementieren. Neulich hat einer unserer Leser vorgeschlagen, dass es noch ein weiteres ähnliches Skript namens „PiVPN“ gibt, das zum Einrichten von OpenVPN in Raspberry Pi verwendet wird. Es ist in erster Linie für Raspberry Pi konzipiert, funktioniert jedoch auch unter Debian und Ubuntu. Derzeit wird nur Ubuntu 14.04 LTS unterstützt.
Wie sicher ist PiVPN?
Bevor wir zum Installationsteil übergehen, besprechen wir einige seiner Sicherheitsfunktionen. Auch wenn die Installation so trivial ist, heißt das nicht, dass PiVPN nicht sicher genug für den Einsatz in der Produktion ist. Alles wurde sofort über die Standardeinstellungen hinaus aktualisiert, um die Sicherheit des Servers und Clients zu erhöhen. Es gibt Ihnen die Möglichkeit, unbeaufsichtigte Upgrades zu aktivieren, die Ihren Server automatisch mit Sicherheitsupdates patchen. Außerdem verwendet die Serverkonfiguration nur das neueste TLS 1.2-Protokoll. Sowohl die Daten- als auch die Steuerkanäle verwenden verbesserte AES- und SHA256-Verschlüsselungs- und Hash-Algorithmen.
Ich würde es gerne ausprobieren und sehen, wie es in meiner Ubuntu 14.04 LTS-Server-Edition funktioniert. Auf geht's.
PiVPN – Einfachste OpenVPN-Einrichtung und -Konfiguration
Installieren Sie OpenVPN
Die Installation ist äußerst einfach. Öffnen Sie Terminal und führen Sie den folgenden Befehl aus:
curl -L https://install.pivpn.io | bash
Ja, so einfach ist das. Geben Sie nach einigen Sekunden das Sudo-Benutzerkennwort ein. Der obige Befehl lädt das neueste OpenVPN herunter und installiert es zusammen mit allen erforderlichen Abhängigkeiten in Ihrem System. PiVPN wird Ihnen dabei eine Reihe von Fragen stellen. Bleiben Sie einfach bei den Standardeinstellungen, da diese gerade ausreichen, um den funktionierenden OpenVPN-Server einzurichten.
Klicken Sie auf OK, um fortzufahren.
PiVPN benötigt eine STATISCHE IP-ADRESSE, um ordnungsgemäß zu funktionieren.
Wenn Sie mehr als eine Netzwerkschnittstelle haben, wählen Sie eine beliebige aus, um sie zu konfigurieren.
PiVPN konfiguriert keine statische IP-Adresse, wenn Sie kein Raspberry Pi-Gerät verwenden. Für die Zwecke dieses Handbuchs verwende ich Ubuntu 14.04, daher wird die statische IP nicht konfiguriert.
Wählen Sie als Nächstes einen lokalen Benutzer aus, der Ihre OVPN-Konfigurationen speichert.
Es wird empfohlen, unbeaufsichtigte Upgrades zu aktivieren, um Sicherheitsupdates automatisch zu aktualisieren. Wählen Sie „Ja“, um unbeaufsichtigte Upgrades zu aktivieren.
Wählen Sie ein Protokoll.
Wählen Sie den OpenVPN-Port. Der Standardwert reicht in den meisten Fällen aus.
Wählen Sie die gewünschte Verschlüsselungsstufe. Ich gehe mit dem Standardwert vor.
Klicken Sie auf „OK“, um den Diffie-Hellman-Schlüssel zu generieren:
Wählen Sie als Nächstes aus, ob die Clients eine öffentliche IP-Adresse oder einen DNS-Namen verwenden, um eine Verbindung zum Server herzustellen.
Wählen Sie den DNS-Anbieter für Ihre VPN-Clients. Um Ihr eigenes zu verwenden, wählen Sie „Benutzerdefiniert“ aus.
Glückwunsch! OpenVPN wurde auf Ihrem Server installiert.
Klicken Sie abschließend auf Ja, um Ihr System neu zu starten.
Um zu überprüfen, ob der OpnVPN-Dienst ausgeführt wird, geben Sie den folgenden Befehl ein:
sudo service openvpn status
* VPN 'server' is running
Überprüfen Sie, ob OpenVPN den Server abhört:
ps auxww | grep openvpn
nobody 936 0.0 0.3 28624 2428 ? Ss 16:15 0:00 /usr/sbin/openvpn --writepid /run/openvpn/server.pid --daemon ovpn-server --cd /etc/openvpn --config /etc/openvpn/server.conf --script-security 2
sk 1206 0.0 0.1 11740 940 pts/1 S+ 16:15 0:00 grep --color=auto openvpn
Wie Sie sehen können, ist der OpenVPN-Server betriebsbereit! Lassen Sie uns fortfahren und die Clients konfigurieren.
Erstellen Sie ein Client-OVPN-Profil
Führen Sie nach dem Neustart des Servers den folgenden Befehl aus, um ein Client-OVPN-Profil zu erstellen.
pivpn add
Oder,
pivpn -a
Geben Sie einen Namen für Ihr Client-System und ein sicheres Passwort ein.
Enter a Name for the Client: client ##ENTER client certificate name
Enter the password for the client: ##ENTER password
Enter the password again to verify: ##ENTER password again
spawn ./easyrsa build-client-full client
Note: using Easy-RSA configuration from: ./vars
Generating a 2048 bit RSA private key
..................................................+++
.....................................+++
writing new private key to '/etc/openvpn/easy-rsa/pki/private/client.key.YlVMZrBWgj'
Enter PEM pass phrase:ubuntu
Verifying - Enter PEM pass phrase:ubuntu
-----
Using configuration from /etc/openvpn/easy-rsa/openssl-1.0.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
commonName :PRINTABLE:'client'
Certificate is to be certified until Jul 9 09:47:17 2027 GMT (3650 days)
Write out database with 1 new entries
Data Base Updated
Client's cert found: client.crt
Client's Private Key found: client.key
CA public Key found: ca.crt
tls-auth Private Key found: ta.key
========================================================
Done! client.ovpn successfully created!
client.ovpn was copied to:
/home/sk/ovpns
for easy transfer.
========================================================
Wenn Sie kein Passwort für die Client-Zertifikate wünschen, können Sie die Passwortoption mit folgendem Befehl überspringen:
pivpn add nopass
Die Clientprofile werden unter /home/username/ovpns gespeichert. Um es zu überprüfen, führen Sie Folgendes aus:
ls /home/sk/ovpns/
client.ovpn
Sie müssen die Profile auf Ihre Client-Systeme kopieren, um eine Verbindung mit dem OpenVPN-Server herzustellen.
Beispielsweise kopieren Sie die Clientprofile mit dem scp-Befehl wie unten.
cd /home/sk/ovpns/
scp client.ovpn sk@192.168.43.150:/etc/openvpn/
Hier ist 192.168.43.150 die IP-Adresse meines OpenVPN-Clients.
Listen Sie alle Zertifikate auf
Führen Sie Folgendes aus, um alle gültigen und widerrufenen Zertifikate aufzulisten:
pivpn list
Oder,
pivpn -l
Beispielausgabe:
: NOTE : The first entry should always be your valid server!
::: Certificate Status List :::
:: Status || Name ::
Valid :: server
Valid :: client
Widerrufen Sie ein Client-OVPN-Profil
Um ein Client-OVPN-Profil zu widerrufen, führen Sie Folgendes aus:
pivpn revoke
Oder,
pivpn -r
Entfernen Sie PiVPN
Mögen Sie PiVPN nicht? Sie können es deinstallieren, indem Sie den folgenden Befehl ausführen:
pivpn -u
Oder,
pivpn uninstall
Und das ist alles für den Moment. Im nächsten Leitfaden erkläre ich, wie man OpenVPN-Clients authentifiziert. Hoffe das hilft. Wenn Sie unsere Leitfäden nützlich finden, nehmen Sie sich bitte einen Moment Zeit, sie in Ihren sozialen und beruflichen Netzwerken zu teilen und OSTechNix zu unterstützen!
Prost!
Ressource:
- PiVPN-Website