Siguranța conexiunii în OpenVPN, în acest caz, se bazează pe utilizarea certificatelor și chei pentru server și clienți. Pentru generarea lor în pachetul OpenVPN are script-uri speciale amplasate în /usr/share/doc/openvpn/examples/easy-rsa/2.0 Înainte de a le copia, astfel încât să nu se schimbe originalul.
Vom trece la directorul creat în cazul în care se va face generarea și certificarea cheie
Editați fișierul variabile
Aici puteți umple așa:
copie config OpenSSL
Noi clar vechile certificate și cheile de dosar și de a crea un chei de serie, și fișiere de index pentru chei noi
Creați un certificat. În mod implicit, câmpul va fi completat cu datele introduse mai devreme în Vars. astfel încât să nu se poate schimba nimic.
Creați o cheie de server
O parolă provocare []: Se completează o valoare arbitrară, așa cum am înțeles că are nevoie doar pentru a crea o cheie și mai mult nu avem nevoie. Cine știe exact articol corect.
La final suntem de acord cu cererea de semnare și adăugarea certificatului de la baza de date.
Puteți seta doar cheile de la client de a merge la partea relevantă a articolului. Am predat într-o secțiune separată, astfel cum cheile client pot fi generate de mai multe ori pentru a face mai clar pentru a începe, în cazul în care trebuie să adăugați clientul
Crearea unei chei Diffie-Hellman
Creați o cheie pentru TSL-autifikatsii
Creați un director pentru configurare client
Puteți rula serverul nostru OpenVPN
Bucurându-se de o listă de interfețe
Dacă vedeți, printre altele,
VPN-server înseamnă rana. Dacă nu, atunci uita-te la jurnalul
Dacă serverul are un „» IP alb, care nu trebuie să configurați orice rutare de pe partea de server. Dacă serverul este situat într-o rețea locală în spatele unui router NAT, trebuie să configurați rutare.
Pentru a permite clienților să ajungă la serverul trebuie să port forwarding cu router-ul la server. Diferitele modele se face în mod diferit. Concluzia este că bate la portul extern, cum ar fi 12345 1). clienții a scăzut la server-portul OpenVPN 1194 (sau oricare alta, am cerut serverul nostru). În plus față de dispozitivele LAN trebuie să fie informați că accesul la rețea din spatele OpenVPN-serverul trebuie să-l contacteze. Dar este mai ușor să solicite acest traseu pe router, care servește lokalku.
Creați un fișier în directorul CCD cu același nume ca și cheia clientului, și anume, / Etc / OpenVPN / ccd / client
cheile sunt generate de client pe server
Vom trece la directorul creat, și în care zamomsya generarea de chei și certificate
Creați o cheie de client
În acest caz, numele cheie - client. Fiecare cheie este de a fi cu numele lui.
Dacă doriți să protejeze parola cheie, genera de o altă echipă
În acest caz, conexiunea este pornit, va trebui să introduceți o parolă de fiecare dată când o tastă.
Acum, nu uitați să copiați cheile (ca.crt, client.crt, client.key, ta.key) pe client OpenVPN în / etc / OpenVPN / chei /
Puteți rula clientul nostru OpenVPN
Masina cu OpenVPN este gata de a lucra cu serverul așa cum se poate vedea
Dar, în scopul de a utiliza tunelul către un alt birou ar putea alte dispozitive din rețea trebuie să le arate că accesul la subrețea 192.168.1.0/24 prin 192.168.0.100. Sau că este adesea mai ușor și mai rapid pentru a înregistra această regulă de rutare pe router, care este poarta de acces la dispozitivele de rețea.
De asemenea, așa cum este cazul cu serverul.
În cazul în care obiectivele sunt - doar pentru a organiza o rețea VPN sau conectați-vă la o rețea izolată (de exemplu, de la domiciliu la rețeaua locală la locul de muncă), această parte a articolului nu aveți nevoie.
Aici am indicat că rețeaua 10.8.0.0/24 va merge in afara prin eth0 interfață.
Pentru a configura iptables conservate după o repornire este necesară pentru a le salva în continuare:
Pentru configurare client client.conf nevoie pentru a adăuga o linie
Dacă totul merge curat, ar trebui să vedeți următoarea ieșire, care spune că certificatul este revocat:
revoca plin script va CRL-fișier (lista de certificate revocate, CRL), cu numele unei chei crl.pem subdirectoare. Fișierul trebuie să fie copiat în directorul în care serverul OpenVPN poate accesa. Mai devreme, în config am înregistrat că dosarul trebuie să fie localizat în / etc / OpenVPN, și pentru a copia.
Acest lucru este util, de exemplu, pentru un client cu o cheie protejată prin parolă, astfel cum încă la pornire o astfel de conexiune nu se ridică în absența unei parole pentru cheia. Și în acest caz, dacă ai făcut-o cheie cu o parolă, atunci cel mai probabil, nu aveți nevoie de o conexiune permanentă.
VPN-server VM Virtualbox (1 i5-4670 core)
Gigabit (viteza necriptate de transmisie serială de 120 Mb / s). Viteza va fi specificată în megaocteți, nu megabiți în!
Transmiterea către gazdă
Windows 7 client, OpenVPN 2.3 64, FX-6300
Viteza sa odihnit întotdeauna într-o VM, în cazul în care procesorul va fi ocupată în totalitate. CPU de client a fost încărcat până la 10% - 40% la 1/6 nuclee.
Cu configurare de mai sus - 14 MB / s
Oprirea de compresie; comp-LZO - o creștere de cel mult 1 Mb / s - de până la 15 MB / s
Dezactivați autentificare AUTH niciuna + 2 MB / s - de până la 17 MB / s
Dezactivați criptare cifru niciuna + 2 MB / s - de până la 19 MB / s
Compresie comp-LZO comprese comprimă fișiere în 2 ori mai rău decât zlib, dar aproape nici un efect nici utilizarea procesorului (de zece ori mai rapid). Verificarea pe copii instalate în Windows LibreOffice 5. Comprimarea în arhivator zip folosind 7z a dat un rezultat de aproximativ 35%, de compresie comp-LZO statisticilor de interfață de rețea - aproximativ 70%.
Câștigul maxim la deconectarea de compresie, criptare și autentificare a fost de aproximativ 35%. Nu cred că merită să dezactivați mecanismele de securitate, dar situațiile sunt diferite.
Poate cineva ca mine ar fi opțiuni interesante influență asupra performanței și nu trebuie să-și petreacă timpul pe colectarea de măsurători, deși mi-ar plăcea cunoștință cu rezultatele altor persoane. Inițial, aluatul pentru ei înșiși, măsurătorile atât de exacte nu sunt efectuate, atunci am decis să împartă rezultatele.