OpenVPN

Материал из ALT Linux Wiki

Рассмотрена настройка OpenVPN в режиме "server" на сервере Altlinux P7 с SysVinit. В случае systemd есть отличия.

Stub.png
Данная страница находится в разработке.
Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.

Пакеты

openvpn - полнофункциональное решение VPN на базе SSL

Размещение файлов

  • /var/lib/openvpn/ — Корневой каталог после инициализации демона (chroot).
    • /var/lib/openvpn/etc/openvpn/ccd — Каталог, в котором размещаются файлы особых параметров для подключаемых клиентов (Client Config Directory).
    • /var/lib/openvpn/cache — Рабочий каталог, является текущим для работы демона после инициализации (в него демон записывает файлы, у которых не указан путь - ipp и status).
  • /etc/openvpn/ — Каталог с файлами настройки.
    • /etc/openvpn/ccd — Символическая ссылка на /var/lib/openvpn/etc/openvpn/ccd (файлы доступны и до, и после chroot).
    • /etc/openvpn/keys/ — Каталог для хранения ключей (точнее, для информации ограниченного доступа)

Особенности работы и конфигурации

Каждый файл конфигурации по маске /etc/openvpn/*.conf является конфигурацией отдельного экземпляра демона openvpn. Для имени экземпляра берётся имя файла без суффикса ".conf".

Настройки стартового скрипта располагаются в файле /etc/sysconfig/openvpn, по умолчанию он устанавливает следующие переменные окружения:

CHROOT=yes
OPENVPNUSER=openvpn
OPENVPNGROUP=openvpn
MANUAL=""

Стартовый скрипт /etc/init.d/openvpn может запускать и останавливать как все экземпляры демона, так и каждый по отдельности. Значение переменной MANUAL в /etc/sysconfig/openvpn указывает экземпляры, которые нужно запустить при старте системы (и при запуске стартового скрипта без параметра).

Для ручного запуска (остановки, проверки) одного экземпляра в конце командной строки указываем имя экземпляра. Например:

[root@kuvepus openvpn]# service openvpn start server
Adjusting environment for openvpn:                                                                                                                                                            [ DONE ]
Starting openvpn service:                                                                                                                                                                     [ DONE ]
[root@kuvepus openvpn]# service openvpn status client-one
openvpn is stopped


Когда запускаем сервис, демон openvpn запускается, читает файл конфигурации из /etc/openvpn/, читает оттуда же файлы dh, ca и ключи. Этот каталог доступен демону только при его запуске.

Дальше демон выполняет chroot в /var/lib/openvpn/ и cd в /var/lib/openvpn/cache, понижает привилегии до пользователя openvpn, затем инициализирует работу с сетью.

Таким образом, файл конфигурации размещаем в /etc/openvpn, все ключи размещаем в /etc/openvpn/keys, файлы настроек клиентов - в /etc/openvpn/ccd/ или /var/lib/openvpn/etc/openvpn/ccd/. В файле конфигурации указываем

  • ifconfig-pool-persist и status — без полного пути либо с путём /cache/
  • ca, dh, cert, key — с путём /etc/openvpn/keys/
  • client-config-dir /etc/openvpn/ccd
Совет.

Если нужны несколько экземпляров сервера openvpn, файлы в параметрах status и ifconfig-pool-persist указывайте разные, например, с именем экземпляра в префиксе.

Пример

$ cat /etc/openvpn/server.conf
port 1194
proto udp
dev tun
ca   /etc/openvpn/keys/admin.ca
dh   /etc/openvpn/keys/dh4096.pem
cert /etc/openvpn/keys/server.crt
key  /etc/openvpn/keys/server.key
comp-lzo
server 192.168.254.0 255.255.255.0
tls-server
cipher AES-256-CBC
verb 3
mute 10
keepalive 10 60
user nobody
group nogroup
persist-key
persist-tun
status server_status.log
ifconfig-pool-persist server_ipp.txt
verb 3
management localhost 1194
push "route 192.168.1.0 255.255.255.0"
client-config-dir /etc/openvpn/ccd
route 192.168.2.0 255.255.255.0
route 192.168.3.0 255.255.255.0

Создание ключей

Создание ключей для OpenVPN тунеля средствами openssl утилиты. (p7 systemd)

Наличие в системе установленного пакета.

rpm -qa openssl
openssl-1.0.1k-alt3.M70P.1

Открываем файл /var/lib/ssl/openssl.cnf и меняем значение параметра policy на:

policy = policy_anything

Это для того, чтобы можно было подписывать любые сертификаты. После чего создаем следующие папки и файлы:

mkdir -p /root/CA/demoCA
cd /root/CA - далее все команды вводим находясь в данном каталоге /root/CA
mkdir -p ./demoCA/newcerts
touch ./demoCA/index.txt - текстовый файл база с действующими и отозванными сертификатами
echo '01' > ./demoCA/serial - файл индекса для базы ключей и сертификатов
echo '01' > ./demoCA/crlnumber - файл индекса для базы отозванных сертификатов

(без этого OpenSSL будет сильно ругаться, ответ кроется в файле /var/lib/ssl/openssl.cnf ).

less /var/lib/ssl/openssl.cnf   - посмотреть файл (выход q)

Создадим "самоподписанный" сертификат my-ca.crt и закрытый ключ my-ca.pem, которыми мы будем заверять/подписывать ключи и сертификаты клиентов, желающих подключиться к нашему серверу.

openssl req -new -x509 -keyout my-ca.pem -out my-ca.crt

Generating a 2048 bit RSA private key
..................................................+++
................................................................................+++
writing new private key to 'my-ca.pem'
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
…
-----
Country Name (2 letter code) [RU]:RU
State or Province Name (full name) []:
Locality Name (eg, city) []:
Organization Name (eg, company) []:
Organizational Unit Name (eg, section) []:
Common Name (e.g., your name or your server's hostname) []:CA-ORG
Email Address []:

Подробнее:

  • -req - запрос на создание сертификата,
  • -x509 - создать самоподписанный сертификат стандарта X.509,
  • -keyout - записать закрытый ключ в файл,
  • -out - записать сертификат в файл.

В процессе создания, первым делом, нам предложат ввести пароль для закрытого ключа (крайне важно). Придумываем пароль, вводим, подтверждаем. Далее, будет задано несколько вопросов о том, кто мы такие. Вводим международное обозначение страны, например RU, UA, CN, далее указываем регион, город/село/деревню, название нашей организации, свои ФИО, адрес электронной почты. Все. Наш корневой "самоподписанный" сертификат готов к употреблению.

Далее, нам потребуется создать пару "ключ-сертификат" для сервера и каждого клиента, желающего подключиться к нашему серверу.

Создание ключа и запроса на подпись для сервера:

openssl req -new -nodes -keyout server.pem -out server.crs

Generating a 2048 bit RSA private key
......................+++
..........................................+++
writing new private key to 'server.pem'
-----
...
-----
Country Name (2 letter code) [RU]:RU
State or Province Name (full name) []:
Locality Name (eg, city) []:
Organization Name (eg, company) []:
Organizational Unit Name (eg, section) []:
Common Name (e.g., your name or your server's hostname) []:vpn-server
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
  • -nodes - означает, что шифровать закрытый ключ не нужно (иначе при каждом запуске туннеля надо будет вводить пароль на ключ).

Так же вводим описание для владельца ключа, как и ранее.

И подписываем запрос на сертификат своим "самоподписанным" my-ca.crt сертификатом и ключом my-ca.pem:

openssl ca -cert my-ca.crt -keyfile my-ca.pem -days 3650 -in server.crs -out server.crt
Using configuration from /var/lib/ssl/openssl.cnf
Enter pass phrase for my-ca.pem:
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number: 1 (0x1)
        Validity
            Not Before: Aug 26 11:58:11 2015 GMT
            Not After : Aug 23 11:58:11 2025 GMT
        Subject:
            countryName               = RU
            commonName                = vpn-server
        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            Netscape Comment:
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier:
                FA:E5:0B:67:9A:B9:03:18:8F:13:D1:30:FB:63:21:A1:83:8D:99:0C
            X509v3 Authority Key Identifier:
                keyid:65:29:B0:0A:8A:93:AA:4C:68:77:9F:6F:AF:FF:E8:FA:6B:11:27:BA

Certificate is to be certified until Aug 23 11:58:11 2025 GMT (3650 days)
Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
  • -cert, корневой сертификат удостоверяющего центра
  • -keyfile, секретный ключ удостоверяющего центра

Отвечаем два раза положительным "игреком" (y), в итоге, получаем связку "ключ-сертификат" для сервера server.

Теперь генерируем запрос на сертификат для пользователя:

openssl req -new -nodes -keyout user_1.pem -out user_1.crs

И подписываем запрос на сертификат своим "самоподписанным" my-ca.crt сертификатом и ключом my-ca.pem:

openssl ca -cert my-ca.crt -keyfile my-ca.pem -days 365 -in user_1.crs -out user_1.crt

Отвечаем два раза положительным "игреком" (y), в итоге, получаем связку "ключ-сертификат" для пользователя user_1.

Последние действие - создание параметров Диффи-Хеллмана (исключительно для сервера):

openssl gendh -out server.dh 2048

Файлы запросов на сертификаты можно удалить:

rm  *.crs

В результате в каталоге /root/CA должен получиться такой набор файлов:

ls -l
итого 40
drwxr-xr-x 3 root root 4096 авг 26 15:07 demoCA
-rw-r--r-- 1 root root 1123 авг 26 14:47 my-ca.crt
-rw-r--r-- 1 root root 1834 авг 26 14:47 my-ca.pem
-rw-r--r-- 1 root root 4202 авг 26 14:58 server.crt
-rw-r--r-- 1 root root  424 авг 26 15:14 server.dh
-rw-r--r-- 1 root root 1708 авг 26 14:52 server.pem
-rw-r--r-- 1 root root 4190 авг 26 15:07 user_1.crt
-rw-r--r-- 1 root root 1708 авг 26 15:05 user_1.pem

Разносим ключи и сертификаты по каталогам сервера и клиента.

  • my-ca.crt - для сервера и клиентов
  • my-ca.pem - только для подписи сертификатов, лучше хранить на отдельном от OpenVPN сервера компьютере
  • my-ca.crt, server.crt, server.dh, server.pem - для сервера OpenVPN
  • my-ca.crt, user_1.crt, user_1.pem - для клиента OpenVPN

Для новых клиентов создать новые ключи и отдать комплектом my-ca.crt, новый_сертификат.crt, новый_ключ.pem.

В конфигурационном файле OpenVPN сервера размещаем ссылку на эти ключи (пути до ключей подставляем свои) :

ca   /root/CA/my-ca.crt
cert /root/CA/server.crt
key  /root/CA/server.pem
dh   /root/CA/server.dh

В конфигурационном файле OpenVPN клиента размещаем ссылку на эти ключи (пути до ключей подставляем свои):

ca   /etc/net/ifaces/tun0/my-ca.crt
cert /var/lib/ssl/certs/user_1.crt
key  /var/lib/ssl/private/user_1.pem

Смотрим базу ключей:

cat  /root/CA/demoCA/index.txt
V       250823115811Z           01      unknown /C=RU/CN=vpn-server
V       160825120737Z           02      unknown /C=RU/CN=user_1
  • v- действующий ключ (валидный)

Создание списка отзыва сертификатов

Для создания списка отзыва сертификатов необходимо выполнить следующую команду:

openssl ca -cert my-ca.crt -keyfile my-ca.pem -gencrl -out crl.pem

Просмотр crl.pem:

openssl crl -noout -text -in crl.pem

Certificate Revocation List (CRL):
        Version 2 (0x1)
    Signature Algorithm: sha1WithRSAEncryption
        Issuer: /C=RU/CN=CA-ORG
        Last Update: Aug 26 13:19:40 2015 GMT
        Next Update: Sep 25 13:19:40 2015 GMT
        CRL extensions:
            X509v3 CRL Number:
                1
No Revoked Certificates.
    Signature Algorithm: sha1WithRSAEncryption
         32:b5:de:eb:99:3c:30:7f:0d:11:7c:80:39:36:0d:d7:35:72:
         a3:6b:e8:b3:8f:de:3f:77:06:27:e0:68:ea:5c:25:ea:3d:92:
         22:6e:d9:8a:11:28:4a:82:f4:95:cf:db:6c:51:f6:b1:f1:ca:
         1e:34:a2:b6:21:18:a1:84:96:13:90:db:94:bc:a5:f3:19:5d:
         cb:09:df:49:b8:2d:3b:4f:23:3b:04:e3:fd:49:5b:1b:35:19:
         ce:a5:c4:2b:61:c4:58:70:94:32:8f:2a:85:ed:fb:d5:21:da:
         8c:f1:29:0d:51:fb:22:17:fa:6b:21:37:81:b6:0d:cf:c9:8a:
         f9:19:a4:aa:d1:cd:33:6c:b7:eb:a3:bf:0d:5c:d7:87:e4:a5:
         34:2e:2c:29:e2:86:50:8d:5d:80:ac:7f:bd:8d:34:5a:20:e9:
         f2:cc:77:d7:97:a3:14:3a:39:ab:14:5b:1c:67:23:76:19:b7:
         31:15:4b:88:f2:cd:4a:4b:63:a6:ab:de:4d:7f:7d:23:49:1b:
         a1:36:c4:9f:62:86:6a:f2:77:22:cd:ff:73:ff:4c:b3:f0:c8:
         a7:68:4e:7e:26:a6:5f:55:4e:25:aa:7c:e8:e2:38:63:3a:d6:
         15:76:02:8d:22:00:94:87:72:5d:e1:ed:44:35:7b:02:c6:bb:
         9f:f2:76:0e

Отозвать серификат user_1.crt:

openssl ca -cert my-ca.crt -keyfile my-ca.pem -revoke user_1.crt -out crl.pem

Using configuration from /var/lib/ssl/openssl.cnf
Enter pass phrase for my-ca.pem:
Revoking Certificate 02.
Data Base Updated

Обновить список (обязательно после каждого отзыва сертификата):

openssl ca -cert my-ca.crt -keyfile my-ca.pem -gencrl -out crl.pem

Просмотр crl.pem:

openssl crl -noout -text -in crl.pem

Certificate Revocation List (CRL):
        Version 2 (0x1)
    Signature Algorithm: sha1WithRSAEncryption
        Issuer: /C=RU/CN=CA-ORG
        Last Update: Aug 26 13:30:36 2015 GMT
        Next Update: Sep 25 13:30:36 2015 GMT
        CRL extensions:
            X509v3 CRL Number:
                3
Revoked Certificates:
    Serial Number: 02
        Revocation Date: Aug 26 13:28:05 2015 GMT
    Signature Algorithm: sha1WithRSAEncryption
         55:eb:cb:99:6e:01:e5:47:77:69:fc:ca:8b:d7:d0:8d:a2:5a:
         2f:90:93:71:f7:d1:70:16:75:eb:99:fa:4a:8a:43:e9:79:7d:
         43:f1:82:ac:7f:46:df:41:3b:39:59:ac:bc:5d:e1:79:85:03:
         7d:72:cb:65:c8:2e:7c:54:ec:67:07:7d:3a:08:8b:87:64:b4:
         7b:b7:dd:1c:a2:44:b1:ad:e5:76:fd:a3:10:b3:a7:81:fd:05:
         34:3f:eb:20:66:d2:7d:77:a0:e5:79:f8:88:10:e5:bb:95:d8:
         f0:d2:92:c2:ae:0f:42:2b:34:09:f5:3d:73:7d:c8:42:ea:7b:
         dc:d9:3f:c2:f2:a8:8d:63:77:3d:89:37:0b:50:70:7e:0d:c2:
         66:a5:03:61:b8:5e:25:98:9a:42:93:cf:38:74:3e:d3:a3:5c:
         2f:6c:76:52:6c:c6:0e:24:72:71:40:34:98:06:50:08:a9:8f:
         8f:66:05:3c:c2:f5:55:fe:14:d6:01:44:99:c2:8d:ce:41:c3:
         42:1e:3f:8b:c0:7f:07:44:51:bd:1d:eb:bf:ca:6d:fa:31:77:
         f1:f5:69:30:11:b1:35:58:53:05:e2:7c:90:34:66:a1:58:1d:
         78:ef:84:8b:22:23:d0:71:8f:84:9d:f7:53:f9:81:96:01:03:
         60:73:1b:b2

Для AltLinux файл crl.pem поместить в каталог /var/lib/openvpn