So rollen Sie Ihren eigenen OpenVPN-Server auf einem VPS – Teil 2

Teil 2 – Fortgeschrittene

In Teil 1 dieser zweiteiligen Anleitung zum Einrichten von OpenVPN auf einem CentO6-VPS-Server haben wir uns angesehen, warum Sie dies tun möchten und welche Vor- und Nachteile dies hat. Wir haben auch Schritt-für-Schritt-Anleitungen für die Installation der OpenVPN Access Server-Software auf Ihrem VPS und die Erstellung einer einfachen VPN-Verbindung mit dem OpenVPN Connect-Client bereitgestellt.

In Teil 2 (Fortgeschrittene) werden wir untersuchen, wie Sie die Sicherheit verbessern können, indem Sie die verwendete Chiffre ändern, wie Sie ein selbstsigniertes OpenVPN-CA-Zertifikat erstellen und wie Sie eine OpenVPN-.ovpn-Konfigurationsdatei erstellen, sodass jeder OpenVPN-Client zum Herstellen einer Verbindung verwendet werden kann Ihres Servers und wie Sie weitere Benutzer hinzufügen.

Für diese Tutorials haben wir uns für die OpenVPN Access Server-Software entschieden, die sich von OpenVPN Server unterscheidet. OpenVPN Access Server ist benutzerfreundlicher als OpenVPN Server und ermöglicht es Ihnen, viele ansonsten komplexe Aufgaben mit einer einfachen GUI auszuführen. Der einzige wirkliche Nachteil ist, dass für mehr als zwei Benutzer eine Lizenz erworben werden muss (ab 9,60 $/Jahr pro Client-Verbindung). Da sich dieses Tutorial jedoch an Heimanwender richtet, die einen persönlichen DIY-Remote-OpenVPN-Server erstellen, betrachten wir dies nicht als großen Nachteil.

Ändern der Verschlüsselungs-Chiffre

Das ist einfach! Standardmäßig verwendet OpenVPN die 128-Bit-Verschlüsselung mit Blowfish Cipher-Block Chaining (BF-CBC). Obwohl es für die meisten Zwecke mehr als ausreichend ist, gibt es Schwächen, die dazu geführt haben, dass sogar der Schöpfer der Blowfish-Chiffre, Bruce Schneier, den Benutzern empfohlen hat, eine sicherere Alternative zu wählen.

Wie wir bereits besprochen haben, würden wir gerne sehen, dass sich kommerzielle VPN-Anbieter von NIST-erstellten und/oder zertifizierten Verschlüsselungsalgorithmen entfernen, aber leider unterstützt OpenVPN derzeit nicht unsere bevorzugten Optionen – Twofish und Threefish. Die meisten kommerziellen Anbieter haben stattdessen standardmäßig auf 256-Bit-AES umgestellt, da dies die Chiffre ist, die von der US-Regierung verwendet wird, um sensible Informationen zu verschlüsseln.

1. Öffnen Sie die Seite Ihres OpenVPN-Zugriffsservers (indem Sie zu Ihrer Admin-UI-Adresse gehen, wie in Teil 1 dieses Handbuchs beschrieben), und gehen Sie zur Seite „Erweitertes VPN“.

Erweiterte Einstellungen

2. Scrollen Sie nach unten zu „Zusätzliche OpenVPN-Konfigurationsanweisungen (erweitert)“ und fügen Sie die folgende Zeile in die Felder „Server-Konfigurationsanweisungen“ und „Client-Konfigurationsanweisungen“ ein:

Chiffre

z.B Chiffre AES-256-CBC

Erweiterte VPN-Einstellungen

Klicken Sie auf „Änderungen speichern“.

Dann ‘Update Running Server’, wenn Sie dazu aufgefordert werden.

Update-Server

OpenVPN unterstützt die folgenden Chiffren:

DES-CBC (Data Encryption Standard – 56-Bit-Schlüssel, gilt jetzt als unsicher)
DES-EDE3-CBC (auch Triple DES oder 3DES – erhöht die Schlüssellänge von DES)
BF-CBC (Kugelfisch)
AES-128-CBC (Erweiterter Verschlüsselungsstandard)
AES-192-CBC
AES-256-CBC
Kamelie-128-CBC (Kamelie)
Kamelie-192-CBC
Kamelie-256-CBC

So erstellen Sie ein OpenVPN-Zertifikat

OpenVPN Connect macht Ihnen das Leben leichter, indem es ein gültiges CA-Zertifikat für Sie erstellt, sodass Sie dies nicht selbst tun müssen. Wenn Sie jedoch Ihr eigenes selbstsigniertes Zertifikat erstellen möchten, führen Sie die folgenden Schritte aus (Sie können auch die Schritte 1 und 2 befolgen, um eine Zertifikatsignierungsanforderung (CSR) zu erstellen, die an eine kommerzielle Zertifizierungsstelle (CA) gesendet werden kann) zum Unterschreiben, wenn Sie möchten.)

1. Die erforderlichen SSL-Bibliotheken sollten bereits auf Ihrem System installiert sein, als Sie OpenVPN Access Server in Teil 1 installiert haben, aber Sie sollten dies überprüfen, indem Sie den folgenden Befehl eingeben:

openssl-Version

csr1

Wenn dies nicht der Fall ist, können Sie sie eingeben, indem Sie Folgendes eingeben:

apt-get install openssl (Überprüfen Sie dann erneut, ob sie wie oben installiert sind).

2. Jetzt ist es an der Zeit, das Zertifikat zu erstellen. Wir werden zuerst eine Zertifikatsignierungsanforderung (CSR) erstellen. Dieses kann zum Signieren an eine kommerzielle Zertifizierungsstelle (CA) übermittelt werden, aber in diesem Tutorial werden wir es in ein selbstsigniertes CA-Zertifikat umwandeln.

Eintreten:

openssl req -out server.csr -new -newkey rsa:2048 -nodes -keyout server.key

Die Antwort wird eine Reihe von Fragen sein:

Ländername (2-Buchstaben-Code): (Buchstabencodes hier verfügbar)
Name des Staates oder der Provence:
Stadt:
Organisationsname:
Organisationsname Einheit: (z. B. IT-Support)
Gemeinsamen Namen: (genau Domainname oder DNS-Name Ihres VPS)
E-Mail-Addresse:

Plus ‘zusätzliche’ Attribute –

Ein Challenge-Passwort:
Ein optionaler Firmenname:

csr3

Diese sollten ausgefüllt werden, wenn Sie beabsichtigen, die CSR bei einer kommerziellen Zertifizierungsstelle (CA) einzureichen, aber für den Zweck dieses Tutorials können Sie einfach für jede einzelne klicken, um die Felder leer zu lassen.

3. Wir sollten jetzt zwei Dateien in Ihrem Stammverzeichnis namens server.csr und server.key haben. Wir werden diese verwenden, um ein selbstsigniertes CA-Zertifikat zu erstellen. Typ:

cp server.key server.key.org

openssl rsa -in server.key.org -out server.key und

openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

csr4

Wir sollten jetzt 3 Dateien haben: Server.key, Server.crt und Server.csr (geben Sie dir um den Inhalt des aktuellen Verzeichnisses zu sehen).

Installieren des neuen CA-Zertifikats

4. Laden Sie diese Dateien mit einem FTP-Client auf Ihren PC herunter (wir haben FOSS WinSCP verwendet), installieren Sie sie dann auf dem OpenVPN-Zugriffsserver, indem Sie zur Seite „Webserver“ (unter „Konfiguration“ links auf der Seite) gehen und „Durchsuchen“. zu folgenden Dateien:

  • CA-Paket: server.crt
  • Zertifikat: server.crt
  • Privater Schlüssel: server.key

Installation von CA1

5. Klicken Sie auf „Validieren“ und scrollen Sie dann zum Anfang der Seite – die „Validierungsergebnisse“ sollten „selbstsigniertes Zertifikat“ lauten und die Informationen anzeigen, die Sie oben in Schritt 2 eingegeben haben. Das Zertifikat ist 1 Jahr gültig.

Installation von CA2

6. Scrollen Sie nun zurück zum Ende der Webseite und klicken Sie auf „Speichern“ und dann im Dialogfeld „Einstellungen geändert“ auf „Ausgeführten Server aktualisieren“.

Update-Server

Sie haben jetzt Ihren OpenVPN-Server mit einem selbstsignierten CA-Zertifikat validiert!

Erstellen einer .ovpn-Datei

Eines der großartigen Dinge bei der Verwendung von OpenVPN Access Server ist, dass es einen Großteil der schweren Arbeit für Sie erledigt, und eines der nützlichsten Dinge, die es tut, ist die automatische Generierung von .ovpn OpenVPN-Konfigurationsdateien, damit sich jeder OpenVPN-Client mit Ihrem Server verbinden kann .
1. Melden Sie sich bei Ihrer Client-UI-Adresse an (nicht bei der Admin-UI). Wenn Sie den automatischen Download-Bildschirm (unten) sehen, aktualisieren Sie Ihren Browser.

openvpn-Client-Anmeldung 2

2. Ihnen wird nun eine Auswahl an Downloadmöglichkeiten angeboten. Wählen Sie „Yourself (Benutzer-gesperrtes Profil)“ oder „Yourself (Autologin-Profil)“ (falls verfügbar – Sie müssen dies einrichten – siehe „Andere Benutzer hinzufügen“ unten).

Laden Sie die ovpn-Datei herunter

3. Importieren Sie die heruntergeladene .ovpn-Datei wie gewohnt in Ihren OpenVPN-Client (für den standardmäßigen Widows OpenVPN-Client kopieren Sie die Datei einfach in den OpenVPN-Ordner „config“). Die .ovpn-Datei kann beliebig umbenannt werden, um sie besser identifizieren zu können. Dann melden Sie sich ganz normal an.

Autologin für neue Benutzer

Andere Benutzer hinzufügen

1. Zusätzliche Benutzer können über das Verwaltungsfenster des OpenVPN Access-Servers hinzugefügt werden, indem Sie zu „Benutzerberechtigungen“ gehen.

Benutzerberechtigungen

Wenn Sie nur von einem sicheren Ort aus auf Ihren OpenVPN-Server zugreifen möchten, können Sie die Anmeldung vereinfachen, indem Sie „Automatische Anmeldung zulassen“ auswählen.

Die kostenlose OpenVPN Access Server-Basislizenz erlaubt bis zu 2 Client-Verbindungen. Als wir unseren VPN-Server eingerichtet haben, war die Option zum Hinzufügen eines zweiten Benutzers bereits verfügbar. Wenn diese Option jedoch nicht angezeigt wird (oder Sie eine Gruppenlizenz erworben haben und weitere Benutzer hinzufügen möchten), müssen Sie diese (bis zu Ihrer Lizenzbeschränkung) manuell hinzufügen, indem Sie in PuTTY den Befehl „# adduser“ eingeben ( oder Terminal ect.).

Nachdem Sie einen neuen Benutzer hinzugefügt haben, werden Sie aufgefordert, den laufenden Server zu aktualisieren (tun Sie dies).

2. Melden Sie sich mit dem neuen Benutzernamen und Kennwort bei der Client-UI-Adresse an und befolgen Sie die oben unter „Erstellen einer .ovpn-Datei“ beschriebenen Schritte.

Eine Liste weiterer kommerzieller VPNs, die einfacher zu verwenden sind, finden Sie in unserem besten VPN-Leitfaden.