Apprenez à installer et configurer OpenVPN Server sur Rocky Linux 8 en suivant le lien ci-dessous;
Configurer le serveur OpenVPN sur Rocky Linux 8
Installer et configurer le client OpenVPN sur Rocky Linux 8
Installer le client OpenVPN sur Rocky Linux 8
Installez le client OpenVPN sur Rocky Linux 8 en exécutant les commandes ci-dessous :
dnf epel-release -y
dnf infos openvpn
Packages disponiblesNom :openvpnVersion :2.4.11Version :1.el8Architecture :x86_64Taille :543 kSource :openvpn-2.4.11-1.el8.src.rpmRepository :epelRésumé :A full-featured SSL VPN solutionURL :https://community .openvpn.net/License :GPLv2Description :OpenVPN est une application de tunneling robuste et très flexible qui utilise toutes :les fonctionnalités de cryptage, d'authentification et de certification de la :bibliothèque OpenSSL pour tunneliser en toute sécurité les réseaux IP sur un seul port UDP ou TCP :. Il peut utiliser la librairie Marcus Franz Xaver Johannes Oberhumers LZO :pour la compression
Vous pouvez ensuite installer le client OpenVPN en exécutant la commande ;
dnf install openvpn
Configurer le client OpenVPN sur Rocky Linux 8
Pour pouvoir se connecter au serveur OpenVPN, vous devez créer la configuration du client contenant le certificat CA, le certificat du serveur client et la clé.
Si vous avez suivi notre guide sur la configuration du serveur OpenVPN sur Rocky Linux 8, nous avons décrit comment générer les fichiers et les clés de certificat des clients.
Une fois que vous avez généré les clés, copiez-les sur le client et notez le chemin où elles sont stockées.
Vous devez également copier la clé HMAC et le certificat CA sur le client.
Vous pouvez ensuite créer la configuration du client OpenVPN.
Par exemple, pour créer un fichier de configuration OpenVPN pour le client, gentoo , dont les certificats et les clés sont, gentoo.crt et gentoo.key;
vim gentoo.ovpn
clienttls-clientpulldev tunproto udp4remote 192.168.60.19 1194resolv-retry infininobind#utilisateur personne#groupe nogrouppersist-keypersist-tunkey-direction 1remote-cert-tls serverauth-nocachecomp-lzoverb 3auth SHA512tls-auth ta.key 1ca ca.crtcert gentoo. crtkey gentoo.key
Notez que dans cette configuration, le certificat client, la clé, le certificat CA et la clé HMAC sont situés sur le même chemin que la configuration du client OpenVPN elle-même, gentoo.ovpn.
ls -1 .
ca.crt
gentoo.crt
gentoo.key
gentoo.ovpn
ta.key
Afin d'éviter les problèmes avec les chemins d'accès aux certificats et aux clés, vous pouvez les mettre en ligne sur le fichier de configuration ; tunkey-direction 1remote-cert-tls serverauth-nocachecomp-lzoverb 3auth SHA512
Faites de même sur tous les serveurs clients pour chaque utilisateur qui doit se connecter au VPN.
Si vous avez remarqué que les lignes ci-dessous sont commentées pour éviter l'erreur, ERREUR :Échec de la commande d'ajout de route Linux :programme externe terminé avec l'état d'erreur : 2 en vidant les routes créées avant de les ajouter à nouveau lors de la reconnexion.
Le fichier de configuration du client OpenVPN est maintenant prêt.
Vous pouvez ensuite vous connecter au serveur OpenVPN à la demande ou configurer votre serveur pour établir un fichier de configuration VPN chaque fois que le système redémarre.
Pour vous connecter à la demande, utilisez simplement le
ou
Où client-config est le fichier de configuration openvpn du client, comme le fichier gentoo.ovpn ci-dessus.
Si la connexion au serveur OpenVPN est réussie, vous devriez voir un
Pour vérifier les adresses IP ;
Tester la connectivité au serveur VPN ;
Vous devriez également pouvoir obtenir un accès Internet en fonction de la configuration des routes de votre serveur.
Afin d'établir automatiquement des connexions à chaque redémarrage du serveur, vous pouvez activer le service systemd du client OpenVPN.
Avant de pouvoir le faire, modifiez l'extension de votre fichier de configuration VPN de
Copiez le
Ensuite, désactivez SELinux (je ne le recommande pas cependant, - :) );
Démarrez le service systemd du client OpenVPN. Remplacez le nom gentoo avec le nom de votre fichier de configuration .conf.
Pour vérifier l'état ;
Pour lui permettre de s'exécuter au démarrage du système :
Vous avez installé et configuré avec succès le client OpenVPN Rocky Linux 8.
Cela nous amène à la fin de notre tutoriel sur l'installation et la configuration du client OpenVPN sur Rocky Linux 8.
Attribuer des adresses IP statiques aux clients OpenVPN
Configurer l'authentification basée sur OpenVPN LDAP #user nobody#group nogroup
Connexion au serveur OpenVPN sur Rocky Linux 8
Connectez-vous à OpenVPN sur la ligne de commande à l'aide de la commande openvpn
openvpn commande en tant que ;sudo openvpn client-config.ovpn
sudo openvpn --config client-config.ovpn
Initialization Sequence Completed .mer 30 juin 15:27:16 2021 OpenVPN 2.4.11 x86_64-redhat-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] construit le 21 avril 2021Mer 30 juin 15:27:16 Versions de la bibliothèque 2021 :OpenSSL 1.1.1g FIPS 21 avril 2020, LZO 2.08Mer 30 juin 15:27:16 2021 Authentification du canal de contrôle sortant :Utilisation du hachage de message 512 bits 'SHA512' pour Authentification HMACMer 30 juin 15:27:16 2021 Authentification du canal de contrôle entrant :Utilisation du hachage de message 512 bits 'SHA512' pour l'authentification HMACMer 30 juin 15:27:16 2021 TCP/UDP :Préservation de l'adresse distante récemment utilisée :[AF_INET]192.168.60.19 :1194Mer 30 juin 15:27:16 2021 Socket Buffers :R=[212992->212992] S=[212992->212992]Mer 30 juin 15:27:16 2021 Lien UDPv4 local :(non lié) Mer 30 juin 15 :27:16 Liaison UDPv4 2021 distante :[AF_INET]192.168.60.19:1194Mer 30 juin 15:27:16 TLS 2021 :Paquet initial de [AF_INET]192.168.60.19:1194, sid=7ec70642 fdcdad40Mer 30 juin 15:27:16 2021 VERIFY OK :depth=1, CN=Kifarunix-demo CAWed Jun 30 15:27:16 2021 VERIFY KU OKWed Jun 30 15:27:16 2021 Validating certificate extended key useWed Jun 30 15:27:16 2021 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server AuthenticationWed Jun 30 15:27:16 2021 VERIFY EKU OKWed Jun 30 15:27:16 2021 VERIFY OK :depth=0, CN=serverWed Jun 30 15:27:16 2021 AVERTISSEMENT :'link-mtu' est utilisé de manière incohérente, local='link-mtu 1586', remote='link -mtu 1602'Wed Jun 30 15:27:16 2021 AVERTISSEMENT :'cipher' est utilisé de manière incohérente, local='cipher BF-CBC', remote='cipher AES-256-CBC'Wed Jun 30 15:27:16 2021 AVERTISSEMENT :'keysize' est utilisé de manière incohérente, local='keysize 128', remote='keysize 256'Wed Jun 30 15:27:16 2021 Control Channel :TLSv1.3, cipher TLSv1.3 TLS_AES_256_GCM_SHA384, 2048 bit RSAWed Jun 30 15 :27:16 2021 [server] Peer Connection Initiated with [AF_INET]192.168.60.19:1194Wed Jun 30 15:27:17 2021 SENT CONTROL [server] :'PUSH_REQUEST' (status=1)Wed Jun 30 15:27:17 2021 PUSH :Message de contrôle reçu :"PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option D NS 208.67.222.222, dhcp-option DNS 192.168.10.3, route-gateway 10.8.0.1, topology subnet, ping 10, ping-restart 120, ifconfig 10.8.0.2 255.255.255.0, peer-id 0, cipher AES-256-GCM 'Wed Jun 30 15:27:17 2021 OPTIONS IMPORT:timers and/or timeouts modifiedWed Jun 30 15:27:17 2021 OPTIONS IMPORT:--ifconfig/up options modifiedWed Jun 30 15:27:17 2021 OPTIONS IMPORT:route options modifiedWed Jun 30 15:27:17 2021 OPTIONS IMPORT :options liées à la route modifiéeWed Jun 30 15:27:17 2021 OPTIONS IMPORT :--ip-win32 et/ou --dhcp-option options modifiedWed Jun 30 15:27:17 2021 OPTIONS IMPORT :peer-id setWed Jun 30 15:27:17 2021 OPTIONS IMPORT :ajustement de link_mtu à 1625Wed Jun 30 15:27:17 2021 OPTIONS IMPORT :data channel crypto options modifiedWed Jun 30 15:27:17 2021 Data Channel :en utilisant le chiffrement négocié 'AES-256-GCM'Mer 30 juin 15:27:17 2021 Canal de données sortant :Chiffre 'AES-256-GCM' initialisé avec une clé de 256 bitsMer 30 juin 15:27:17 2021 Canal de données entrant :Chiffre ' AES-256-GCM' initialisé avec 256 bits keyWed Jun 30 15:27:17 2021 ROUTE_GATEWAY 10.0.2.2/255.255.255.0 IFACE=enp0s3 HWADDR=08:00:27:98:30:73Wed Jun 30 15:27:17 2021 TUN/TAP device tun0 openWed Jun 30 15 :27:17 2021 Longueur de la file d'attente TUN/TAP TX définie sur 100Mer 30 juin 15:27:17 2021 /sbin/ip link set dev tun0 up mtu 1500Wed Jun 30 15:27:17 2021 /sbin/ip addr add dev tun0 10.8 .0.2/24 diffusion 10.8.0.255Mer 30 juin 15:27:17 2021 /sbin/ip route add 192.168.60.19/32 via 10.0.2.2Mer 30 juin 15:27:17 2021 /sbin/ip route add 0.0.0.0 /1 via 10.8.0.1Mer 30 juin 15:27:17 2021 /sbin/ip route add 128.0.0.0/1 via 10.8.0.1Mer 30 juin 15:27:17 2021 Séquence d'initialisation terminée
ip add show tun0
9: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 100
link/none
inet 10.8.0.2/24 brd 10.8.0.255 scope global tun0
valid_lft forever preferred_lft forever
inet6 fe80::697:ce38:b852:540c/64 scope link stable-privacy
valid_lft forever preferred_lft forever ping 10.8.0.1 -c 3
PING 10.8.0.1 (10.8.0.1) 56(84) bytes of data.
64 bytes from 10.8.0.1: icmp_seq=1 ttl=64 time=2.71 ms
64 bytes from 10.8.0.1: icmp_seq=2 ttl=64 time=2.42 ms
64 bytes from 10.8.0.1: icmp_seq=3 ttl=64 time=1.95 ms
--- 10.8.0.1 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 46ms
rtt min/avg/max/mdev = 1.952/2.362/2.713/0.316 ms Exécuter le client OpenVPN en tant que service
.ovpn vers .conf . Remplacez les noms de fichiers en conséquence.cp gentoo.{ovpn,conf} .conf fichier dans le répertoire des configurations du client OpenVPN, /etc/openvpn/client .mv gentoo.conf
/etc/openvpn/client setenforce 0 &&sed -i 's/=enforcing/=permissive/' /etc/selinux/config
systemctl start [email protected]
systemctl status [email protected]
● [email protected] - Tunnel OpenVPN pour gentoo Chargé :chargé (/usr/lib/systemd/system/[email protected] ; désactivé ; préréglage fournisseur :désactivé) Actif :actif (en cours d'exécution) depuis mer 2021- 06-30 15:48:47 HAE ; Il y a 12 s Docs :man:openvpn(8) https://community.openvpn.net/openvpn/wiki/Openvpn24ManPage https://community.openvpn.net/openvpn/wiki/HOWTO PID principal :39782 (openvpn) Statut :" Séquence d'initialisation terminée" Tâches :1 (limite :11 272) Mémoire :1,6 Mo --nobind --config gentoo.confJun 30 15:48:48 localhost.localdomain openvpn[39782] :canal de données entrantes :chiffrement 'AES-256-GCM' initialisé avec une clé de 256 bitsJun 30 15:48:48 localhost.localdomain openvpn [39782] :ROUTE_GATEWAY 10.0.2.2/255.255.255.0 IFACE=enp0s3 HWADDR=08:00:27:98:30:73Jun 30 15:48:48 localhost.localdomain openvpn[39782] :TUN/TAP device tun0 ouvertJun 30 15 :48:48 localhost.localdomain openvpn[39782] :longueur de la file d'attente TUN/TAP TX définie sur 100Jun 30 15:48:48 localhost.localdomain openvpn[39782] :/sbin/ip link set dev tun0 up mtu 1500Jun 30 15:48 :48 localhost.localdomain openv pn[39782] :/sbin/ip addr add dev tun0 10.8.0.2/24 diffusion 10.8.0.255Jun 30 15:48:48 localhost.localdomain openvpn[39782] :/sbin/ip route add 192.168.60.19/32 via 10.0 .2.2Juin 30 15:48:48 localhost.localdomain openvpn[39782] :/sbin/ip route add 0.0.0.0/1 via 10.8.0.1Juin 30 15:48:48 localhost.localdomain openvpn[39782] :/sbin/ ip route add 128.0.0.0/1 via 10.8.0.1Jun 30 15:48:48 localhost.localdomain openvpn[39782] :séquence d'initialisation terminée
systemctl enable [email protected]
Autres tutoriels