Yhteyden muodostaminen Access Server -palvelimeen Linuxilla
Asiakasohjelmiston valinta
Yhteyden muodostaminen OpenVPN Access Server -palvelimeen Linuxista vaatii asiakasohjelman. Se kaappaa liikenteen, jonka haluat lähettää OpenVPN-tunnelin kautta, salaa sen ja välittää sen OpenVPN-palvelimelle. Ja tietysti päinvastoin, purkaa paluuliikenteen salauksen.
Linux-paketeista keskusteltiin
| OpenVPN Access Server | openvpn-as |
| OpenVPN 3 Linux Client | openvpn3 |
| OpenVPN avoin lähdekoodi | openvpn |
OpenVPN 3 Linux-asiakas
OpenVPN 3 Linux -projekti on uusi asiakas, joka on rakennettu OpenVPN 3 Core Libraryn päälle. Tämä asiakasohjelma on virallinen OpenVPN Linux Client -ohjelma. Löydät yleiskatsauksen ominaisuuksista, usein kysyttyjä kysymyksiä ja ohjeet openvpn3-paketin asentamiseen OpenVPN 3 for Linux -sivustoltamme.
Kun olet noudattanut siellä olevia ohjeita asiakkaan asentamiseksi, tarvitset yhteysprofiilin. Tämä on tiedosto, jonka OpenVPN Access Server -asennus luo tietylle käyttäjätilillesi. Se sisältää tarvittavat varmenteet ja yhteysasetukset. Siirry Access-palvelimesi Client-verkkokäyttöliittymään (pääosoite, ei /admin-osio). Kirjaudu sisään käyttäjätunnuksillasi. Sinulle näytetään luettelo ladattavissa olevista tiedostoista. Valitse käyttäjälukittu profiili tai automaattinen kirjautumisprofiili, ja sinulle lähetetään client.ovpn-tiedosto. Tallenna tämä tiedosto Linux-käyttöjärjestelmääsi.
Kun olet siirtänyt tiedoston Linux-järjestelmääsi, voit tuoda sen.
openvpn3 config-import --config ${client.ovpn}
Voit aloittaa uuden VPN-istunnon:
openvpn3 session-start --config ${client.ovpn}
Voit hallita käynnissä olevaa VPN-istuntoa:
openvpn3 sessions-list
Ja niin edelleen. Lisätietoja löytyy täältä: OpenVPN3Linux.
OpenVPN avoimen lähdekoodin OpenVPN CLI-ohjelma
Avoiman lähdekoodin projektin asiakasohjelma voi myös muodostaa yhteyden Access-palvelimeen. Paketti on saatavilla useimmissa jakeluissa ja tunnetaan yksinkertaisesti nimellä openvpn. Se tukee mahdollisuutta muodostaa yhteys useisiin OpenVPN-palvelimiin samanaikaisesti, ja sen mukana tulee palvelukomponentti, joka voi automaattisesti ja äänettömästi käynnistää kaikki /etc/openvpn-kansiosta löytämänsä automaattiset kirjautumisprofiilit jo ennen kuin käyttäjä on kirjautunut sisään. Tämä palvelukomponentti voidaan asettaa käynnistymään automaattisesti käynnistyksen yhteydessä Linux-jakelussasi saatavilla olevilla työkaluilla, jos se on tuettu. Ubuntussa ja Debianissa, kun asennat openvpn-paketin, se määritetään käynnistymään automaattisesti käynnistyksen yhteydessä.
OpenVPN-asiakasohjelman asentamiseksi Linuxiin on monissa tapauksissa mahdollista käyttää vain Linux-jakelun ohjelmistovarastossa olevaa versiota. Jos kohtaat yhteysongelmia käyttäessäsi vanhentunutta ohjelmistoa, se voi johtua siitä, että OpenVPN:n vanhemmat versiot eivät mahdollisesti tue korkeampia TLS-versioita. Seuraa avoimen lähdekoodin openvpn-yhteisön wikistä löytyviä ohjeita, jos haluat asentaa OpenVPN-asiakasohjelman Linux-järjestelmääsi.
Asennuksen jälkeen tarvitset yhteysprofiilin. Tämä on tiedosto, jonka OpenVPN Access Server -asennus luo tietylle käyttäjätilillesi. Se sisältää tarvittavat varmenteet ja yhteysasetukset. Siirry Access-palvelimesi Client-verkkokäyttöliittymään (pääosoite, ei /admin-osio). Kirjaudu sisään käyttäjätunnuksillasi. Sinulle näytetään luettelo ladattavissa olevista tiedostoista. Valitse käyttäjälukittu profiili tai automaattinen kirjautumisprofiili, ja sinulle lähetetään client.ovpn-tiedosto. Tallenna tämä tiedosto jonnekin Linux-käyttöjärjestelmääsi. OpenVPN Access Server tukee palvelinlukittuja, käyttäjälukittuja ja automaattisen kirjautumisen profiileja, mutta OpenVPN-komentoriviasiakas pystyy muodostamaan yhteyden vain käyttäjälukitulla tai automaattisen kirjautumisen yhteysprofiililla.
Oletamme, että käynnistät yhteyden joko komentorivin kautta root-käyttäjänä tai palveludemonilla. Jos haluat, että etuoikeudettomat käyttäjät voivat muodostaa yhteyden, katso yhteisön wikistä lisätietoja siitä, miten se toteutetaan. Tässä keskitymme yksinkertaisimpaan toteutukseen: yhteyden muodostaminen suoraan pääkäyttäjänä tai palveludemonin kautta.
Aloita yhteys automaattisella sisäänkirjautumisprofiililla manuaalisesti:
openvpn --config client.ovpn
Aloita yhteys käyttäjälle lukitulla profiililla manuaalisesti:
openvpn --config client.ovpn --auth-user-pass
Jos käytät Google Authenticatoria tai muuta lisätekijätodennusta, lisää parametri auth-retry:
openvpn --config client.ovpn --auth-user-pass --auth-retry interact
Aloittaaksesi automaattisen sisäänkirjautumisyhteyden palveludemonin kautta aseta client.ovpn tiedostoon /etc/openvpn/ ja nimeä tiedosto uudelleen. Sen on päätyttävä tiedostopäätteenä .conf. Varmista, että palveludemon on aktivoitu toimimaan uudelleenkäynnistyksen jälkeen, ja käynnistä järjestelmä sitten yksinkertaisesti uudelleen. Automaattisen sisäänkirjautumisen tyyppinen profiili poimitaan automaattisesti ja yhteys käynnistyy itsestään. Voit tarkistaa tämän tarkistamalla ifconfig-komennon tulosteen; luettelossa pitäisi näkyä tun0-verkkosovitin.
Yksi merkittävä ominaisuus, joka puuttuu komentoriviasiakkaasta, on kyky ottaa automaattisesti käyttöön VPN-palvelimen työntämät DNS-palvelimet. Se on mahdollista, mutta se edellyttää DNS-hallintaohjelman, kuten resolvconfin tai openresolvin, asentamista, ja se voi olla ristiriidassa käyttöjärjestelmäsi olemassa olevien verkonhallintaohjelmien kanssa. Ideana tässä on kuitenkin se, että käytät skriptiä, joka suoritetaan, kun yhteys muodostuu, ja kun se katkeaa, ja joka käyttää resolvconf- tai openresolv-ohjelmaa DNS-palvelimien toteuttamiseen puolestasi. Syy siihen, miksi tämä asiakas ei pysty hallitsemaan sitä täysin itse, on lähinnä se, että käyttöjärjestelmässä, kuten Windowsissa, Macintoshissa, Androidissa tai iOS:ssä, on jo vakiintunut yksittäinen menetelmä DNS:n hallintaan. Siksi meidän on helppo luoda ohjelmistoasiakas näille käyttöjärjestelmille, jotka jo osaavat käsitellä DNS:ää. Linuxia on kuitenkin saatavilla niin monina variaatioina, ja se tukee myös erilaisia ohjelmia ja menetelmiä DNS-palvelimien toteuttamiseksi, joten oli järkevää jättää sisäänrakennettu DNS-tuki pois OpenVPN-ohjelmasta ja tarjota sen sijaan mahdollisuuksien mukaan skripti, joka hoitaa DNS:n toteutuksen. Tällaisen skriptin voisi jopa itse kirjoittaa tekemään kaikki tehtävät, jotka ovat tarpeen DNS-palvelimien toteuttamiseksi ainutlaatuisessa tilanteessasi.
Onneksi esimerkiksi Ubuntussa ja Debianissa on openvpn-paketin mukana tuleva /etc/openvpn/update-resolv-conf-skripti, joka hoitaa DNS-toteutuksen näissä käyttöjärjestelmissä. Sinun tarvitsee vain aktivoida niiden käyttö noudattamalla ohjeita:
Avaa client.ovpn-tiedostosi tekstieditorilla:
nano client.ovpn
Aivan alareunaan lisää yksinkertaisesti nämä rivit:
script-security 2up /etc/openvpn/update-resolv-confdown /etc/openvpn/update-resolv-conf
Ensimmäinen rivi mahdollistaa ulkoisten skriptien käytön DNS-toteutustehtävien hoitamiseen. Ylös- ja alas-rivit ovat olemassa VPN-palvelimen työntämien DNS-palvelimien toteuttamiseksi, kun yhteys nousee, ja sen jälkeen sen peruuttamiseksi, kun yhteys laskee.
Ubuntun verkonhallintaohjelma
On myös mahdollisuus muodostaa yhteys graafisen käyttöliittymän kautta Gnome-verkonhallintaohjelman laajennuksen openvpn-laajennuksen avulla. Mutta tämä on tällä hetkellä hieman hankala asentaa. On esimerkiksi virheellinen oletus, että kaikki VPN:t pystyvät ohjaamaan Internet-liikennettä uudelleen, ja vanhemmat versiot eivät välttämättä ymmärrä .ovpn-tiedostomuotoa, jolloin siihen upotettu varmenne on jaettava erilliseen tiedostoon. Lisäksi sinun pitäisi todennäköisesti tutkia asetuksia varmistaaksesi, että VPN-palvelimen kautta kulkeva oletusarvoinen Internet-liikennereitti ei ole aina oletusarvoisesti käytössä, erityisesti palvelimilla, joille annat pääsyn vain joihinkin sisäisiin resursseihin, etkä koko Internetiin. GUI-komponentin käytön etuna on kuitenkin se, että voit käynnistää/pysäyttää yhteyden Linuxin työpöytäympäristöstä.