Комментарии 18
Или можно установить Pritunl
Почему именно debian 11, это же самое с небольшими изменениями можно применить и в других дистрибутивах.
Почему в статье речь только про ipv4, где про ipv6?
... второй — для центра сертификации (Certificate Authority или CA);
Радостно потираю руки )
Поскольку мы уже установили Easy‑RSA на оба сервера в качестве предварительного условия и инициализировали CA
(Поваренная книга 1905г)
при генерации ключей/сертиф. клиента - можно обойтись одной командой:
./pkitool clientNN
Также, можно споткнуться на отсутствии файла openssl.cnf - надо скопировать один из входящих в комплект Easy-RSA (например openssl-1.1.0.cnf)
Ну и не забыть о сроке годности сертификата )
Это поможет клиентам перенастроить конфигурацию DNS, чтобы использовать VPN-туннель в качестве шлюза по умолчанию.
Не совсем так - это указание клиентской ОС использовать ДРУГИЕ DNS, которые возможно доступны через туннель.
Настроить нормальную парольную аутентификацию (например в MS AD) и возможность использовать всем один и тот же клиентский сертификат. При истечении сертификата просто раздать всем новый конфиг файл с новым сертификатом.
просто раздать всем новый конфиг файл с новым сертификатом.
это сродни тому что каждому клиенту выпустить сертификат и потом присылать новый конфиг с новыми сертификатами… проблема не решена, особенно если это «железка в поле», на которой этот новый файл просто так не подпихнуть… (причины разные, главное факт)
из мыслей — только каким то образом выпустить сертификаты на 100лет, не меньше, или разрешать подключаться с недействительными сертификатами, но обязательно проверить логин\пароль
Ответ один - писать скрипты для поставки свежих сертификатов очевидно. Безопасность это всегда в ущерб удобству
У меня как раз в конце февраля закончились 10 лет на CA и серверный серт. Установил все заново с новыми сертами, сохранив предварительно ccd (единственное, что действительно необходимо). Все клиентские серты перевыпустил, никакого provisioning - пошаговая картинка для бестолковых, куда класть, и вперед в светлое будущее.
Я год назад настраивал VPN для семейного пользования. Понравилась простота и скорость развертывания и добавления новых пользователей.
Может быть, кому-то сейчас тоже пригодится.
github.com/Nyr/openvpn-install
github.com/Nyr/wireguard-install
когда года 3 назад искал подобные установщики, скрипты от Nyr показали себя менее проблемными чем от angristan, хотя сейчас ситуация наверняка могла перемениться.
Нет слов. Миром правит копи&паста и лень.
Работу с easy-rsa начинаем с make-cadir my_ca
В Debian 11 перед apt install openvpn, сперва задайте вопрос, а с какой версией мы будем работать? Из репозиториев Debian (2.5.1), или может быть https://build.openvpn.net/debian/openvpn/release/2.5 (2.5.9) , а может 2.6?
https://github.com/OpenVPN/openvpn/blob/master/sample/sample-config-files/server.conf
Если используем tcp\443 тогда возможно стоит упомянуть о port-share
не tls-auth, а tls-crypt
не cipher, а data-ciphers, и в конфигурации по умолчанию параметр опускается, применяется значение по умолчанию, https://community.openvpn.net/openvpn/wiki/CipherNegotiation
В Debian 11 нету sudo и ufw, и они явно излишни в руководстве про openvpn. Есть фаервол, nftables.
Лучший способ настроить openvpn это начать с команды apt install wireguard и не мучаться.
Самое "смешное" в этой инструкции - это допущение, что тут уже установлен и настроен easy-rda ... На самом деле, если следовать этой инструкции, пошагово ( а она же рассчитана тех, кто не разбирается в теме? ) - то ничего не сможете настроить....
Как настроить OpenVPN на Debian 11. Часть 1