Hur man sätter upp och konfigurerar en OpenVPN server på Debian 6 och 7

Att börja med

Denna guide sätter upp en enkel OpenVPN anslutning mellan klient och server för krypterad kommunikation.
För att sätta upp OpenVPN servern som ”roadwarrior” VPN-server (dvs så all internet trafik på din dator tunnlas via OpenVPN) så se tilläggsavsnittet längst ned.

Som med alla guider av teknisk karaktär så friskriver vi oss från ansvar för eventuella problem som kan följa. Guiden förutsätter grundläggande teknisk kompetens.

Du behöver en SSH anslutning till din dedikerade server eller molnserver. Du kan installera som root men vi rekommenderar en vanlig användare med sudo access och det är även så vi kommer sätta upp det i denna guide. Om du ändå vill använda root så ignorera ”sudo”-kommandot  i varje kommandorad.
För att komma åt din server via SSH på Linux eller Mac så kan du använda SSH i en vanlig terminal. Under Windows rekommenderar vi SSH med  PuTTY. När du har en terminal uppe så kan du logga in med kommandot:

ssh username@ipaddress

Efter att du skrivit in lösenordet är du redo att installera OpenVPN.

Installera OpenVPN och generera nödvändiga filer


Innan vi installerar så ska vi se till att alla paket på systemet är uppdaterade. Det kan vi göra genom att köra följande kommando:

sudo apt-get update

Ovanstående kommando laddar ned och uppdaterar paketlistor för Debians pakethanterare ”apt”. Kör nu följande kommando för att uppgradera paket som har nya versioner:

sudo apt-get upgrade

När systemet uppdaterat alla paket kan vi nu installera OpenVPN med följande kommando:

sudo apt-get install openvpn udev

När installationen är klar så kan vi börja konfigurera OpenVPN. Till att börja med så kopierar vi distributionsfilerna (exempelfiler) till en faktisk konfigurationskatalog:

sudo cp -r /usr/share/doc/openvpn/examples/easy-rsa /etc/openvpn

När det är klart så kan vi generera filer för RSA algoritmen som används till ditt VPN. Du kommer efterfrågas om ett antal olika värden när du genererar nycklarna. Dessa är valfria att fylla in men du bör tänka på att de kommer inkluderas i certifikatet du genererar så skriv inte in några hemliga uppgifter som du inte vill att någon annan ska få reda på.

Kör följande kommandon:

cd /etc/openvpn/easy-rsa/2.0/

För att generera RSA filer:

sudo ./vars
sudo ./clean-all
sudo ./build-ca

Efter att certifikaten är genererade så kan du skapa en privat nyckel för servern (denna ska inte delas ut till klienten). För att göra detta skriv följande kommandon, och ändra ’server’ till vad du vill att namnet på din OpenVPN servers filer ska vara. Scriptet kommer också fråga dig om annan information samt generera serverns .crt och .key filer:

sudo . /etc/openvpn/easy-rsa/2.0/build-key-server server

Gennerera Diffie Hellman nyckelparet med följande kommando:

sudo . /etc/openvpn/easy-rsa/2.0/build-dh

Nu kan du generera klientnycklarna för denna OpenVPN installation. Du bör göra detta för varje klient som kommer använda denna OpenVPN anslutning.
Se till att ”common name” är unikt för varje framtida certifikat du skapar. Rekommenderar att du har samma namn på client som common name för att förenkla filhanteringen. Kör följande kommando för att skapa nyckelpar .crt och .key filer med namnet ’client’:

sudo . /etc/openvpn/easy-rsa/2.0/build-key client

Flytta nu serverns certifikaten och nycklar till /etc/openvpn katalogen. Byt ut server.crt och server.key med de filnamn du använde.

sudo cp /etc/openvpn/easy-rsa/2.0/keys/ca.crt /etc/openvpn
sudo cp /etc/openvpn/easy-rsa/2.0/keys/ca.key /etc/openvpn
sudo cp /etc/openvpn/easy-rsa/2.0/keys/dh1024.pem /etc/openvpn
sudo cp /etc/openvpn/easy-rsa/2.0/keys/server.crt /etc/openvpn
sudo cp /etc/openvpn/easy-rsa/2.0/keys/server.key /etc/openvpn

För att ta bort någons access till OpenVPN så kan du köra följande kommandon. Byt ut ”commonnameförklienten” mot det common name du använde när du skapade klient-certifikatet.

sudo . /etc/openvpn/easy-rsa/2.0/vars
sudo . /etc/openvpn/easy-rsa/2.0/revoke-full commonnameförklienten

Konfigurera OpenVPN


Nu när filerna är skapade för vår konfiguration så kan vi gå vidare med att konfigurera server och klienter. För att hämta standardfiler kör följande kommandon:

sudo gunzip -d /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz
sudo cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf /etc/openvpn
sudo cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf ~/
cd

Du måste nu ändra klientkonfigurationsfil för att det ska ansluta till rätt server och använda rätt nycklelfiler. Det finns ett flertal rader man kan ändra på men till att börja med ska vi ändra raden ’remote’ så att den ansluter mot till OpenVPN servern. Öppna upp filen och ändra remote så att det står ip-adressen eller hostname till din server  följt av 1194 (porten).  T.ex. ”remote 1.2.3.4 1194” Ändra sedan raderna för ’cert’ och ’key’ så de matchar namnet på din egen certifikatfil och nyckel. När du gjort dessa ändringar tryck Ctrl+X och skriv ’y’ följt av enter-tangent för att spara.

nano ~/client.conf

Kopiera nu klient konfigurationsfiler ”client.conf” samt client nycklar och certifikat (client.crt / client.key) som finns i katalogen /etc/openvpn/easy-rsa/2.0/keys till lokala machinen för dina klienter.

Innan vi är klara så behöver vi göra några ändringar till server konfigurationsfilen . Ändra värdena för ’cert’ och ’key’ för att peka på filerna till certifikat och nyckel som din server använder . De som skapades tidigare.

sudo nano /etc/openvpn/server.conf

Efter att det är klart så behöver du bara starta om openvpn för att konfigurationen av OpenVPN ska vara färdig:

sudo /etc/init.d/openvpn restart

RoadWarrior setup


För att konvertera OpenVPN servern till Roadwarrior konfiguration behöver man ändra serverns konfigurationt.

På servern ändrar man i filen /etc/openvpn/server.conf (eller vad du kallat den tidigare)
Lägg till följande rader i slutet (eller avkommentera motsvarande i konfiguratione):

push "redirect-gateway"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"

Byt ut 8.8.8.8 och 8.8.4.4 mot valfri DNS server du vill använda. Ovanstående använder googles publika DNS:er.
push ”redirect-gateway” gör så att all trafik på klienten går via openvpn.