reklam

Centos Open VPN

Tarih: 8 Ağustos 2011Kategori: LinuxYorum Yok

OpenVPN açık kaynak kodlu, oldukça güvenilir bir SSL VPN çözümüdür. IPSec kullanan VPN çözümleri gibi NAT üzerinde sıkıntı çıkartmaz, hem sunucu hem de istemci tarafında makinaları yormaz. Endian UTM, pfSense gibi firewall dağıtımlarında kurulu olarak gelir ve örneğin tek bir sunucuya bağlanabilmek için kullanılabildiği gibi bir VPN concentrator olarak da çalışabilir. Hatta iki ofis arasında site to site olarak bile ayarlanabilir.

Burada tek bir makina üzerinde kurulumu deneyelim.

Öncelikle RPMForge repositorysinin sisteme kuralım. Bu repository için kurulum bilgilerini http://dag.wieers.com adresinden bulabilirsiniz.

Bu paketi kurduktan sonra
yum -y install openvpn
komutu ile kurulum gerçekleşecektir.

Bundan sonrası ise çok kolay. /usr/share/doc/openvpn*/easy-rsa dizinini ve /usr/share/doc/openvpn*/sample-config-files/server.conf dosyasını /etc/openvpn dizini altına kopyalayın.

/etc/openvpn/easy-rsa dizinine gidin ve vars dosyasının altındaki export ile başlayan bilgileri kendinize göre düzenleyin.

Ardından;
source ./vars
./clean-all

Artık sertifikaları oluşturabiliriz.

./build-ca
Bu esnada eğer vars dosyasının içeriğini değiştirdiyseniz varsayılan değerleri olduğu gibi kabul edebilirsiniz.

./build-key-server server
./build-key patron
./build-dh
Bu üç satır sizden ek bilgiler isteyebilir, genel olarak varsayılanı sağladığınız bilgiler olacaktır. Yalnız vars dosyasını editlemeden kabul ettiğiniz tüm varsayılan değerler güvenlik anlamında zayıflığa sebep verecektir. Normalde OpenVPN kullanıcı-adı şifre çifti yerine sertifikalar ile oturum açar fakat user-pass implementasyonu kolaydır.

Eğer sıkıntı yaşamadan buraya kadar geldiyseniz artık işimiz neredeyse bitti.

Halen bulunduğunuz dizinde ismi keys olan başka bir dizin oluştu bunun altında az önce oluşturduğumuz sertifikalar vs vs var. Bu dizinde bulunan aşağıdaki dosyalarının tamamını /etc/openvpn altına kopyalayın:
ca.crt
ca.key
dh1024.pem
server.crt
server.key

Aynı yerde aşağıdaki dosyaları da istemci makinaya alın:
ca.crt
patron.crt
patron.key
Ayrıca /usr/share/doc/openvpn*/sample-config-files/client.conf dosyasını da istemci makinaya kopyalayın.

Sunucu tarafında yapılacak olan ayarlar /etc/openvpn/server.conf içerisinde yapılacak. Gerçi teknik anlamda server 10.0.0.0/255.255.255.0 olan satır haricinde bir değişiklik yapmanıza gerek yok keza easy-rsa uygulamasının ürettiği dosyalar bu örnek yapılandırma dosyası için :) Bu değiştireceğiniz IP adresi de istemcilerin bağlantıyı sağladıktan sonra alacağı IP adreslerinin bloğu. Bir de eğer başka istemci üretmeyecekseniz ve herkes aynı sertifikayı (patron.crt) kullanacaksa duplicate-cn satırını açmanız gerek. Yine de tavsiye edilen bir uygulama değil kanımca, ya da user-pass ile desteklenmesi gereken bir uygulama.
chkconfig –add openvpn
service openvpn start
ile sunucu başlatılır. Başlamazsa (ki buraya kadar geldiyseniz bu çok zor bir ihtimal) /var/log/messages size nerede havaya uçtuğunu söyler. Bu noktada server NAT arkasında ise UDP/1194 portunu yönlendirmeniz gerek.

Windows için istemci yapılandırmayı anlatacak olursak;
http://openvpn.se/files/install_packages/openvpn-2.0.9-gui-1.0.3-install.exe dosyası çekilir ve kurulur. Saatin yanına çirkin ve kırmızı bir logonun geldiği görülür. Start-Programs-OpenVPN Config Files açılır ve bahsettiğimiz 4 dosya buraya kopyalanır. Bu noktada, client.conf dosyasının ismi OFIS.ovpn olarak değiştirilerek notepad ile açılır.
remote my-server 1194
olan satır sizin IP adresiniz ile
remote W.X.Y.Z 1194
olarak değiştirilir. Şimdi saatin yanındaki o çirkin kırmızı ikon sağ tıklanır ve “OFIS” tıklanır. (OFIS yoksa programı kapatın ve Start menüden tekrar açın). Önünüzden birşeyler akacak, ardından pencere kapanacak ve Connected IP Address A.B.C.D balonu görünecektir. Bilmeniz gereken şey bu noktada sunucu her zaman server.conf da belirtilen server ip bloğunun ilk ip adresidir. Yani 10.0.0.0 bıraktıysanız 10.0.0.1 her zaman sunucu IP adresidir. SSH ile bağlanmayı deneyin mesela ;)
NOT: Windows familyasında bu yapılandırma sadece XP de çalışmakta. Vista ve 7 gibi garabetlerde de çalıştırabilmek adına .ovpn dosyasının sonuna
route-method exe
ekleyin. Bir de OpenVPN bu garabetlerde admin yetkisi ile başlatılmalı.

Diğer tip yapılandırmalar artık RTFM ister.
Son olarak Linux ile VPN kurmak zor falan diyenler için bütün bu işler 10 dakikanın altında sürüyor, tabii klavye kullanma hızınız aslında belirleyici faktör ;) Tabii bu andan itibaren makinada özellikle ssh gibi terminale erişebileceğiniz tüm uygulamaları iptables ile sadece OpenVPN networküne açmanız gerek, yoksa niye uğraştınız ki?

Etiketler:

Cevapla

Sayfalar

Kategori

Son Yorumlar

© Ahmet Güven TIN 2019 | Tema: Bidusun