- OpenVPN сервер Ubuntu с веб интерфейсом
- Установка OpenVPN сервера на Ubuntu 20.04
- Установка WebMin для управления OpenVPN на Ubuntu 20.04
- Установка пакета управления OpenVpn серверов в WebMin на Ubuntu 20.04
- Устанавливаем модуль Webmin OpenVPN + CA.
- Настраиваем центр сертификации OpenVPN.
- Добавление ключа сервера и ключа клиента в WebMin на Ubuntu 20.04
- Настраиваем OpenVPN Server в WebMin на Ubuntu 20.04
- Скачиваем готовый конфиг в WebMin OpenVPN Server
- Дополнительная информация
- Настройка и использование OpenVPN на Ubuntu
- Подготовка Ubuntu
- Установка, настройка и запуск VPN-сервера
- Установка OpenVPN
- Создание сертификатов
- Графический веб интерфейс для сервера OpenVPN
OpenVPN сервер Ubuntu с веб интерфейсом
Ни для кого не секрет, что OpenVPN — самый удобный и безопасный способ организовать VPN для офиса, для доступа к интернету из другой страны или просто для скрытия реального IP адреса. Но стандартная версия, которую можно скачать с официального сайта, дает возможность бесплатно использовать только два подключения, а платная версия начинается от 10 пользователей и стоит очень дорого. На момент написания статьи — 720$ за год на 10 клиентов!
Если Вы ищете сервер для установки OpenVPN, Я рекомендую Вам хостинг TimeWeb. Он быстрый, трафик безлимитный и совсем недорогой. Ловите ссылку: https://cloud.timeweb.com/?i=38369
В этой статье я расскажу Вам, как поднять собственный сервер OpenVPN на Ubuntu 20.04 и без проблем администрировать его и добавлять любое количество пользователей бесплатно.
Установка OpenVPN сервера на Ubuntu 20.04
Для начала установим необходимые пакеты OpenVPN сервера. Для этого выполним команду в терминале.
sudo apt install openvpn easy-rsaОба пакета нужны как на сервере, так и на клиенте, если Вы будете подключать ubuntu к openvpn серверу.
Всё, больше ничего делать не требуется. Всё остальное будет сделано за нас в веб интерфейсе.
Установка WebMin для управления OpenVPN на Ubuntu 20.04
Теперь самое главное. Нужно установить веб интерфейс для управления OpenVPN. Для этого нужно выполнить несколько команд в терминале и добавить источники пакетов.
sudo nano /etc/apt/sources.listДобавляем в этот файл две строки источников для пакетов webmin:
deb http://download.webmin.com/download/repository sarge contrib
deb http://webmin.mirror.somersettechsolutions.co.uk/repository sarge contribТеперь добавит GPG-ключ для возможности обновлений с новых ресурсов:
sudo wget http://www.webmin.com/jcameron-key.ascsudo apt-key add jcameron-key.ascОбновляем список пакетов репозиториев:
И, наконец, устанавливаем WbMin для Ubuntu:
После всех данных манипуляций Вы сможете легко использовать ВебМин по адресу https://ip_адрес_сервера:10000
Обратите внимание, что открывать нужно именно https, так как http выдаст ошибку. Стандартный порт webmin 10000. Логин и пароль такой же, как при ssh подключении к Вашему серверу или к его графической оболочке, если Вы её используете.
Установка пакета управления OpenVpn серверов в WebMin на Ubuntu 20.04
Теперь нам предствоит самое интересное. Сайт данного модуля уже давно недоступен и разработчик выложил последнюю версию на github. Во всех статьях и на файлообменниках лежит старая версия «OpenVPN + CA», которая не работает с Ubuntu 20.04, но я нашел рабочий модуль.
Устанавливаем модуль Webmin OpenVPN + CA.
Для этого заходим в WbMin через веб интерфейс и переходим в Настройки WebMin, выбираем «Модули WebMin».
Устанавливаем скачанный модуль, выбрав его на компьютере.
Далее необходимо настроить центр сертификации, но прежде мы исправим главную проблему данной установки. Если мы оставим всё как есть и перейдем сразу к настройке, то стандартный клиент OpenVPN, скачанный с официального сайта, будет ругаться на то, что hash алгоритм слишком слабый( «You are using insecure hash algorithm in CA signature. Please regenerate CA with other hash algorithm«.), и Вы не сможете подключиться. Стандартный hash алгоритм модуля WebMin ставится md5, а его нужно поменять на sha256. Для этого переходим в файл конфига ssl.
sudo nano /etc/openvpn/openvpn-ssl.cnfНаходим строчку default_md = md5 и меняем md5 на sha256
Теперь официальный клиент OpenVPN не будет ругаться на слабый hash алгоритм( «You are using insecure hash algorithm in CA signature. Please regenerate CA with other hash algorithm».).
Настраиваем центр сертификации OpenVPN.
Переходим в «Службы», выбираем «OpenVPN + CA» и кликаем на «Certification Authority List»
Ничего сложного вводить не нужно, можно ввести данные организации или оставить как есть. Главное ввести название центра сертификации. На это нам намекает сам автор текстом «changeme».
Сохраняем и переходим к добавлению ключа сервера и ключей клиентов сервера ОпенВПН.
Добавление ключа сервера и ключа клиента в WebMin на Ubuntu 20.04
Переходим в «Key List» нашего нового центра сертификации как на скриншоте.
Для сервера достаточно одного ключа, но его нужно обязательно создать. Называем его как угодно, для удобства лучше назвать «server», никаких паролей для него не создаём. Главное выбрать «server» в «Key Server»
Теперь переходим к созданию ключа для клиента. Для этого так же переходим в «Key List» как выше, но теперь в «Key Server» выбираем «Client» и задаем пароль для клиента. Назовите сертификат как Вам будет удобно, его понадобится выбрать позже.
Настраиваем OpenVPN Server в WebMin на Ubuntu 20.04
Теперь нам необходимо создать сам сервер OpenVPN, точнее его конфигурацию.
Переходим в «VPN List» для добавления конфига сервера OpenVPN
ВЫбираем наш центр сертификации и нажимаем «New VPN Server»
Настроек здесь очень много и если Вы уже ранее имели опыт с OpenVPN, то Вы уже знаете что и куда ввести, поэтому я покажу только основные настройки. Нам нужно дать название нашему серверу, выбрать порт, который по умолчанию 1194, выбрать наш сертификат сервера, задать пул IP адресов, которые будут выдаваться клиентам сервера и выбрать шифрование. Так же рекомендую включить management, чтобы видеть подключенных клиентов. Порт можно ввести любой, например, 7505.
Сохраняемся и переходим к шагу добавления клиентов.
Клиентов можно добавить только после добавления сертификатов клиентов!
Переходим обратно в VPN List, и уже видим наш OpenVPN Server. Нажимаем на Client List.
Нажимаем на кнопку «New VPN Client» и добавляем клиента. Здесь обязательно нужно выбрать сертификат клиента и вписать внешний IP адрес сервера для подключения.
Сервер готов к запуску. Теперь просто переходим к VPN List и выбираем справа Start в столбце Action нашего OpenVPN Сервера.
Скачиваем готовый конфиг в WebMin OpenVPN Server
теперь переходим обратно в Client List и скачиваем полный .ovpn файл нашего сервера для клиента.
Данный файл можно просто импортировать в официальный клиент OpenVPN и подключиться, введя пароль клиента, который мы задавали при создании сертификата.
Дополнительная информация
Я не описывал в статье настройку маскарадинга пакетов OpenVPN сервера, настройку ufw и iptables. Если Вам нужна помощь, пишите в комментарии, обязательно отвечу.
Настройка и использование OpenVPN на Ubuntu
Обновлено: 05.03.2023 Опубликовано: 23.01.2019
Тематические термины: VPN, Ubuntu, OpenVPN. В инструкции рассмотрим процесс установки и настройки VPN сервера OpenVPN на Linux Ubuntu.
Подготовка Ubuntu
* в данном примере московское время. Если в нашей системе используется брандмауэр, открываем порт, на котором будет слушать OpenVPN:
* в данной инструкции предполагается, что мы настроим VPN-сервер на UDP-порту 443, однако, по-умолчанию, OpenVPN работает на порту 1194. Для сохранения правила используем iptables-persistent:
Установка, настройка и запуск VPN-сервера
Обязательные шаги для развертывания сервиса — установка программного обеспечения, генерация сертификатов, настройка OpenVPN. Рассмотрим эти процессы по шагам.
Установка OpenVPN
Создание сертификатов
export KEY_COUNTRY=»RU»
export KEY_PROVINCE=»Sankt-Petersburg»
export KEY_CITY=»Sankt-Petersburg»
export KEY_ORG=»DMOSK COMPANY»
export KEY_EMAIL=»master@dmosk.ru»
export KEY_CN=»DMOSK»
export KEY_OU=»DMOSK»
export KEY_NAME=»name-openvpn-server.dmosk.ru»
export KEY_ALTNAMES=»name-openvpn-server»
* где KEY_CN и KEY_OU: рабочие подразделения (например, можно указать название отдела); KEY_NAME: адрес, по которому будет выполняться подключение (можно указать полное наименование сервера); KEY_ALTNAMES — альтернативный адрес. Следующие действия будут записеть от версии OpenVPN. Более новая позволяет создавать сертификаты на основе Easy RSA 3, старая работает на базе 2-й версии. Понять, какой вариант наш можно посмотрев на содержимое каталога easy-rsa:
Либо мы увидим в нем утилиту easyrsa (новая версия), либо набор утилит, начинающихся на build. Рассмотрим процесс формирования сертификата с использованием как RSA3, так и RSA2. а) Если используется новая версия (утилита easyrsa) 1. Инициализируем PKI:
* после вводим дважды пароль, который хотим использовать для ключа центра сертификации. На запрос «Common Name» можно просто нажать Enter:
* nopass можно упустить, если хотим повысить безопасность с помощью пароля на сертификат. На запрос «Common Name» можно просто нажать Enter:
Графический веб интерфейс для сервера OpenVPN
По умолчанию OpenVPN сервер настраивается и управляется только из командной строки. Для OpenVPN доступно несколько панелей управления через Web, которые вы можете использовать для выполнения рутинных операций (заведение пользователей, генерация/отзыв сертификатов и т.д.)
Разработчики OpeVPN предлагают официальное решение для реализации веб интерфейса управления — Access Server. Основное его недостаток – это платный продукт, а его бесплатная версиях ограничена двумя VPN подключениями к серверу. Access Server позволяет:
- Управлять OpenVPN через веб-интерфейс, доступны команды CLI и открытый API;
- Создать новое подключение и файл конфигурации в один клик;
- Ограничить подключения по IP;
- Поддерживает разные способы аутентификации для OpenVPN (Active Directory, LDAP, Radius, PAM).
Одна из лучших панелей управления для OpenVPN – Pritunl. Это также коммерческий продукт, реализующий очень удобный веб интерфейс для управления OpenVPN и Wireguard. Доступна версия как для Linux, так и для Windows. С помощью Pritunl вы можете развернуть сервер OpenVPN, управлять пользователями, сертификатами и подключениями. Поддерживается такие возможности, как port forwarding, обновление конфигурации клиента при подключении, построение кластерных конфигураций OpenVPN, доступен API, встроенный мониторинг и многое другое.
Для Pritunl можно найти на GitHub патч Pritunl Fake API, который позволяет разблокировать энтерпрайз версию.
В качестве бесплатной панели управления для OpenVPN с базовым функционалом можно рекомендовать Webmin с модулем OpenVPN-admin. Вы можете развернуть Webmin на любом Linux сервере.
Рассмотрим, как установить Webmin + OpenVPN-admin на Ubuntu.
$ sudo apt install openvpn easy-rsa
Добавьте врепозиторий Webmin:
$ sudo mcedit /etc/apt/sources.list
deb http://download.webmin.com/download/repository sarge contrib deb http://webmin.mirror.somersettechsolutions.co.uk/repository sarge contrib
$ sudo wget http://www.webmin.com/jcameron-key.asc
$ sudo apt-key add jcameron-key.asc
$ sudo apt update
$ sudo apt install webmin
Откройте веб интерфейс Webmin: https://ip_адрес_сервера:10000
В веб интерфейсе Webmin перейдите в раздел Webmin -> Webmin Configuration -> Webmin Modules -> From uploaded file.
Установите модуль из файла.
Перейдите в Servers -> OpenVPN + CA -> Certification Authority List и создайте новый центр сертификации.
Выберите Key list вашего CA и создайте ключ сервера (Key Server = server ).
Затем создайте по аналогии ключ клиента.
Теперь перейдите в OpenVPN + CA -> VPN List и создайте новый VPN сервера для вашего центра сертификации. Задайте настройки сервера OpenVPN.
Теперь можно создать клиентов: OpenVPN + CA -> VPN List -> OpenVPN Server -> Client List. Создайте клиента (выберите сертификат клиента, укажите IP адрес для подключения к вашему OpnVPN серверу и порт подключения)
Нажмите Start чтобы запустить OpenVPN сервер.
Теперь перейдите в Client List и скачайте .ovpn файл для подключения клиента.