Aprenda cómo instalar y configurar OpenVPN Server en Rocky Linux 8 siguiendo el enlace a continuación;
Configurar el servidor OpenVPN en Rocky Linux 8
Instalar y configurar el cliente OpenVPN en Rocky Linux 8
Instalar cliente OpenVPN en Rocky Linux 8
Instale el cliente OpenVPN en Rocky Linux 8 ejecutando los siguientes comandos:
dnf epel-release -y
información dnf openvpn
Paquetes disponiblesNombre:openvpnVersión:2.4.11 Lanzamiento:1.el8Arquitectura:x86_64Tamaño:543 kFuente:openvpn-2.4.11-1.el8.src.rpmRepositorio:epelResumen:Una solución SSL VPN con todas las funcionesURL:https://community .openvpn.net/License :GPLv2Description :OpenVPN es una aplicación de tunelización robusta y altamente flexible que utiliza todas las funciones de encriptación, autenticación y certificación de la biblioteca OpenSSL para tunelizar redes IP de forma segura a través de un solo puerto UDP o TCP . Puede usar la biblioteca LZO de Marcus Franz Xaver Johannes Oberhumers:para compresión
Luego puede instalar el cliente OpenVPN ejecutando el comando;
dnf install openvpn
Configurar cliente OpenVPN en Rocky Linux 8
Para poder conectarse al servidor OpenVPN, debe crear la configuración del cliente que contiene el certificado de CA, el certificado del servidor del cliente y la clave.
Si siguió nuestra guía sobre cómo configurar el servidor OpenVPN en Rocky Linux 8, describimos cómo generar las claves y los archivos de certificado de los clientes.
Una vez que haya generado las claves, cópielas en el cliente y tome nota de la ruta donde están almacenadas.
También debe copiar la clave HMAC y el certificado de CA al cliente.
A continuación, puede crear la configuración del cliente OpenVPN.
Por ejemplo, para crear un archivo de configuración de OpenVPN para el cliente, gentoo , cuyos certificados y claves son, gentoo.crt y gentoo.key;
vim gentoo.ovpn
clienttls-clientpulldev tunproto udp4remote 192.168.60.19 1194resolv-retry infinitenobind#user Nobody#group nogrouppersist-keypersist-tunkey-direction 1remote-cert-tls serverauth-nocachecomp-lzoverb 3auth SHA512tls-auth ta.key 1ca ca.crtcert gentoo. clave crt gentoo.clave
Tenga en cuenta que en esta configuración, el certificado del cliente, la clave, el certificado de CA y la clave HMAC se encuentran en la misma ruta que la configuración del cliente OpenVPN, gentoo.ovpn.
ls -1 .
ca.crt
gentoo.crt
gentoo.key
gentoo.ovpn
ta.key
Para evitar los problemas con las rutas a los certificados y las claves, puede ponerlos en línea en el archivo de configuración; tunkey-direction 1remote-cert-tls serverauth-nocachecomp-lzoverb 3auth SHA512
Haga lo mismo en todos los servidores del cliente para cada usuario que necesite conectarse a la vpn.
Si se dio cuenta, las líneas a continuación están comentadas para evitar el error, ERROR:el comando de agregar ruta de Linux falló:el programa externo salió con el estado de error:2 vaciando las rutas creadas antes de volver a agregarlas en la reconexión.
El archivo de configuración del cliente OpenVPN ya está listo.
Luego puede conectarse al servidor OpenVPN a pedido o configurar su servidor para establecer un archivo de configuración VPN cada vez que se reinicia el sistema.
Para conectarse a pedido, simplemente use
o
Donde client-config es el archivo de configuración openvpn del cliente, como el archivo gentoo.ovpn anterior.
Si la conexión al servidor OpenVPN se realiza correctamente, debería ver
Para verificar las direcciones IP;
Pruebe la conectividad con el servidor VPN;
También debería poder obtener acceso a Internet dependiendo de la configuración de las rutas de su servidor.
Para establecer conexiones automáticamente cada vez que se reinicia el servidor, puede habilitar el servicio systemd del cliente OpenVPN.
Antes de que pueda hacer esto, cambie la extensión de su archivo de configuración de VPN de
Copie el
A continuación, deshabilite SELinux (aunque no lo recomiendo, -:));
Inicie el servicio systemd del cliente OpenVPN. Reemplace el nombre gentoo con el nombre de su archivo de configuración .conf.
Para verificar el estado;
Para permitir que se ejecute en el arranque del sistema;
Ha instalado y configurado con éxito el cliente OpenVPN Rocky Linux 8.
Eso nos lleva al final de nuestro tutorial sobre cómo instalar y configurar OpenVPN Client en Rocky Linux 8.
Asigne direcciones IP estáticas para clientes OpenVPN
Configurar la autenticación basada en LDAP de OpenVPN #user none#group nogroup
Conexión al servidor OpenVPN en Rocky Linux 8
Conéctese a OpenVPN en la línea de comandos usando el comando openvpn
openvpn comando como;sudo openvpn client-config.ovpn
sudo openvpn --config client-config.ovpn
Initialization Sequence Completed .miércoles 30 de junio 15:27:16 2021 OpenVPN 2.4.11 x86_64-redhat-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] construido el 21 de abril de 2021 Miércoles 30 de junio 15:27:16 Versiones de biblioteca de 2021:OpenSSL 1.1.1g FIPS 21 de abril de 2020, LZO 2.08 Miércoles 30 de junio 15:27:16 2021 Autenticación de canal de control saliente:Uso de hash de mensaje de 512 bits 'SHA512' para Autenticación HMAC Miércoles 30 de junio 15:27:16 2021 Autenticación de canal de control entrante:Uso de hash de mensaje de 512 bits 'SHA512' para autenticación HMAC Miércoles 30 de junio 15:27:16 2021 TCP/UDP:Conservación de la dirección remota utilizada recientemente:[AF_INET]192.168.60.19 :1194 Mié 30 de junio 15:27:16 Búferes de socket de 2021:R=[212992->212992] S=[212992->212992] Mié 30 de junio 15:27:16 Enlace UDPv4 local de 2021:(no vinculado) Mié 30 de junio de 15 :27:16 Enlace remoto de UDPv4 de 2021:[AF_INET]192.168.60.19:1194 Miércoles, 30 de junio, 15:27:16 TLS de 2021:Paquete inicial de [AF_INET]192.168.60.19:1194, sid=7ec70642 fdcdad40, Miércoles, 30 de junio, 15:27:16 2021 VERIFICAR OK:profundidad =1, CN =Kifarunix-demo CAWed Jun 30 15:27:16 2021 VERIFY KU OKWed 30 de junio 15:27:16 2021 Validando el uso extendido de la clave del certificado Mié 30 de junio 15:27:16 2021 ++ El certificado tiene EKU (str) Autenticación de servidor web TLS, espera autenticación de servidor web TLS Mié 30 de junio 15:27:16 2021 VERIFICAR EKU OKMié 30 de junio 15:27:16 2021 VERIFICAR OK:profundidad =0, CN =serverWed 30 de junio 15:27:16 2021 ADVERTENCIA:'link-mtu' se usa de manera inconsistente, local ='link-mtu 1586', remote ='link -mtu 1602'Wed Jun 30 15:27:16 2021 ADVERTENCIA:'cipher' se usa de manera inconsistente, local='cipher BF-CBC', remote='cipher AES-256-CBC'Wed Jun 30 15:27:16 2021 ADVERTENCIA:'keysize' se usa de manera inconsistente, local='keysize 128', remote='keysize 256'Wed Jun 30 15:27:16 2021 Control Channel:TLSv1.3, cipher TLSv1.3 TLS_AES_256_GCM_SHA384, 2048 bit RSAWed Jun 30 15 :27:16 2021 [servidor] Conexión de pares iniciada con [AF_INET]192.168.60.19:1194 Mié 30 de junio 15:27:17 2021 CONTROL ENVIADO [servidor]:'PUSH_REQUEST' (estado =1) Mié 30 de junio 15:27:17 2021 PUSH:Mensaje de control recibido:'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option D NS 208.67.222.222, opción DHCP DNS 192.168.10.3, puerta de enlace de ruta 10.8.0.1, subred de topología, ping 10, reinicio de ping 120, ifconfig 10.8.0.2 255.255.255.0, id. de pares 0, cifrado AES-256-GCM 'Mié 30 de junio 15:27:17 2021 IMPORTACIÓN DE OPCIONES:temporizadores y/o tiempos de espera modificados Mié 30 de junio 15:27:17 2021 IMPORTACIÓN DE OPCIONES:--ifconfig/up opciones modificadas Mié 30 de junio 15:27:17 2021 IMPORTACIÓN DE OPCIONES:opciones de ruta modificado Mié 30 de junio 15:27:17 2021 IMPORTACIÓN DE OPCIONES:opciones relacionadas con la ruta modificado Mié 30 de junio 15:27:17 2021 IMPORTACIÓN DE OPCIONES:--ip-win32 y/o --dhcp-option opciones modificadas Miércoles 30 de junio 15:27:17 IMPORTACIÓN DE OPCIONES DE 2021:peer-id setMiércoles 30 de junio 15:27:17 IMPORTACIÓN DE OPCIONES DE 2021:ajuste de link_mtu a 1625 miércoles 30 de junio 15:27:17 IMPORTACIÓN DE OPCIONES DE 2021:canal de datos opciones criptográficas modificadas Miércoles 30 de junio 15:27:17 Canal de datos de 2021:usando el cifrado negociado 'AES-256-GCM' Miércoles 30 de junio 15:27:17 2021 Canal de datos salientes:Cifrado 'AES-256-GCM' inicializado con clave de 256 bits Miércoles 30 de junio 15:27:17 2021 Canal de datos entrantes:Cifrado ' AES-256-GCM' inicializado con 256 bits keyWed Jun 30 15:27:17 2021 ROUTE_GATEWAY 10.0.2.2/255.255.255.0 IFACE=enp0s3 HWADDR=08:00:27:98:30:73Wed Jun 30 15:27:17 2021 TUN/TAP dispositivo tun0 abrió el miércoles 30 de junio 15 :27:17 2021 TUN/TAP Longitud de la cola TX establecida en 100 mié 30 de junio 15:27:17 2021 /sbin/ip link set dev tun0 up mtu 1500 mié 30 de junio 15:27:17 2021 /sbin/ip addr add dev tun0 10.8 .0.2/24 difusión 10.8.0.255 Miércoles 30 de junio 15:27:17 2021 /sbin/ip ruta agregar 192.168.60.19/32 a través de 10.0.2.2Mié 30 de junio 15:27:17 2021 /sbin/ip ruta agregar 0.0.0.0 /1 vía 10.8.0.1Mié 30 de junio 15:27:17 2021 /sbin/ip ruta agregar 128.0.0.0/1 vía 10.8.0.1Mié 30 de junio 15:27:17 2021 Secuencia de inicialización completa
ip add show tun0
9: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 100
link/none
inet 10.8.0.2/24 brd 10.8.0.255 scope global tun0
valid_lft forever preferred_lft forever
inet6 fe80::697:ce38:b852:540c/64 scope link stable-privacy
valid_lft forever preferred_lft forever ping 10.8.0.1 -c 3
PING 10.8.0.1 (10.8.0.1) 56(84) bytes of data.
64 bytes from 10.8.0.1: icmp_seq=1 ttl=64 time=2.71 ms
64 bytes from 10.8.0.1: icmp_seq=2 ttl=64 time=2.42 ms
64 bytes from 10.8.0.1: icmp_seq=3 ttl=64 time=1.95 ms
--- 10.8.0.1 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 46ms
rtt min/avg/max/mdev = 1.952/2.362/2.713/0.316 ms Ejecución del cliente OpenVPN como servicio
.ovpn a .conf . Reemplace los nombres de los archivos según corresponda.cp gentoo.{ovpn,conf} .conf archivo al directorio de configuraciones del cliente OpenVPN, /etc/openvpn/client .mv gentoo.conf
/etc/openvpn/client setenforce 0 &&sed -i 's/=enforcing/=permissive/' /etc/selinux/config
systemctl start [email protected]
systemctl status [email protected]
● [email protected] - Túnel OpenVPN para gentoo Cargado:cargado (/usr/lib/systemd/system/[email protected]; deshabilitado; valor predeterminado del proveedor:deshabilitado) Activo:activo (en ejecución) desde el miércoles de 2021- 30-06 15:48:47 EDT; Hace 12 segundos Documentos:man:openvpn(8) https://community.openvpn.net/openvpn/wiki/Openvpn24ManPage https://community.openvpn.net/openvpn/wiki/HOWTO PID principal:39782 (openvpn) Estado:" Secuencia de inicialización completada" Tareas:1 (límite:11272) Memoria:1,6 M CGroup:/system.slice/system-openvpn\x2dclient.slice/[email protected] └─39782 /usr/sbin/openvpn --suppress-timestamps --nobind --config gentoo.conf 30 de junio 15:48:48 localhost.localdomain openvpn[39782]:Canal de datos entrante:Cifrado 'AES-256-GCM' inicializado con clave de 256 bits 30 de junio 15:48:48 localhost.localdomain openvpn [39782]:ROUTE_GATEWAY 10.0.2.2/255.255.255.0 IFACE=enp0s3 HWADDR=08:00:27:98:30:7330 de junio 15:48:48 localhost.localdomain openvpn[39782]:dispositivo TUN/TAP tun0 abierto el 30 de junio 15 :48:48 localhost.localdomain openvpn[39782]:longitud de la cola TUN/TAP TX establecida en 100 30 de junio 15:48:48 localhost.localdomain openvpn[39782]:/sbin/ip link set dev tun0 up mtu 1500 30 de junio 15:48 :48 servidor local.dominio local openv pn[39782]:/sbin/ip addr agregar dev tun0 10.8.0.2/24 difusión 10.8.0.255 30 de junio 15:48:48 localhost.localdomain openvpn[39782]:/sbin/ip ruta agregar 192.168.60.19/32 a través de 10.0 .2.230 de junio 15:48:48 localhost.localdomain openvpn[39782]:/sbin/ip ruta agregar 0.0.0.0/1 a través de 10.8.0.130 de junio 15:48:48 localhost.localdomain openvpn[39782]:/sbin/ ip route add 128.0.0.0/1 a través de 10.8.0.1 30 de junio 15:48:48 localhost.localdomain openvpn[39782]:Secuencia de inicialización completa
systemctl enable [email protected]
Otros tutoriales