Chápat konfiguraci sítě a firewallu OpenVPN

Konfigurace OpenVPN serveru a související síť a firewall nastavuje jsou rozhodující pro bezpečnost a funkčnost tvého VPN. V této příručce ti ukážu krok za krokem, jak provést potřebná nastavení, abys mohl úspěšně nastavit svůj OpenVPN servis.

Nejdůležitější poznatky

Aktivace IP přeposílání pro provoz přes VPN.
Nastavení pravidel firewallu pro povolení VPN provozu.
Maskování IP paketů pro ochranu identity interních klientů.

Krok 1: Aktivace IP přeposílání

Nejprve je třeba aktivovat IP přeposílání na tvém serveru. To je nezbytné, aby mohl být provoz přeposílán přes VPN. Otevři soubor sysctl.conf.

Porozumění konfiguraci sítě a firewallu OpenVPN

Zadej do terminálu příkaz pro otevření souboru s editorem Nano:

sudo nano /etc/sysctl.conf

Uvnitř tohoto souboru hledej řádek, který aktivuje IP přeposílání. Vypadá takto:

net.ipv4.ip_forward = 1

Odstraň znak komentáře před 1, takže řádek vypadá takto. Ulož soubor pomocí Ctrl + O a opusť editor pomocí Ctrl + X.

Pochopení konfigurace sítě a firewallu OpenVPN

Načti nová nastavení zadaním následujícího příkazu:

sudo sysctl -p

Krok 2: Konfigurace firewallu

Teď se věnujeme nastavení firewallu. Musíš zajistit, aby firewall povoloval provoz pro klienty, kteří jsou připojeni přes VPN. Toho dosáhneš vytvořením nového pravidla v UFW (Uncomplicated Firewall).

Nejprve se podívej na směrovací informace, abys identifikoval správnou výchozí trasu pro svůj server:

ip route

Ujisti se, že si poznamenáš výchozí trasu, která se obvykle zobrazuje jako default via. Zapamatuj si zařízení sítě, které se používá (obvykle eth0 nebo podobně).

Nyní otevři pravidla pro UFW:

sudo nano /etc/ufw/before.rules

Nahraď eth0 za zařízení, které jsi si dříve poznamenal. Ulož soubor pomocí Ctrl + O a opusť pomocí Ctrl + X.

Pochopení konfigurace sítě a firewalu OpenVPN

Krok 3: Úprava nastavení firewallu

Nyní musíš upravit výchozí pravidla firewallu. Otevři konfigurační soubor UFW:

sudo nano /etc/default/ufw

Hledej řádek s výchozí politikou pro přeposílání. Ten by měl být nastaven na DROP. Změň to na ACCEPT.

Porozumět konfiguraci sítě a firewallu OpenVPN

Znovu ulož soubor pomocí Ctrl + O a opusť pomocí Ctrl + X.

Krok 4: Otevření portu pro OpenVPN

Zjisti konfigurační soubor OpenVPN serveru, abys ověřil, že je port 1194 správně nastaven. Otevři následující soubor:

sudo nano /etc/openvpn/server.conf

Ujisti se, že je řádek proto udp nebo proto tcp aktivován, podle tvého použití.

Také zkontroluj, zda je povoleno SSH spojení, pokud to ještě nebylo provedeno:

sudo ufw allow OpenSSH

Pochopit konfiguraci sítě a firewallu OpenVPN

Deaktivuj a aktivuj UFW, aby se uplatnily poslední změny:

sudo ufw disable
sudo ufw enable

Shrnutí

Správné nastavení IP přeposílání a pravidel firewallu je klíčové pro fungování tvého OpenVPN serveru. Následováním kroků v této příručce jsi provedl potřebná nastavení, abys zajistil, že provoz přes tvoje VPN bude chráněn a efektivní.

Často kladené otázky

Jak aktivuji IP přeposílání?Použij příkaz sudo nano /etc/sysctl.conf, odstraň znak komentáře před řádkem net.ipv4.ip_forward = 1 a ulož soubor.

Co mám dělat, když je firewall příliš restriktivní?Ujisti se, že je výchozí politika pro přeposílání nastavena na ACCEPT. Zkontroluj také specifická pravidla pro OpenVPN v UFW.

Jak mohu zajistit, že VPN provoz funguje správně?Ověř, že je port OpenVPN 1194 otevřen a že pakety jsou maskovány přes správnou síťovou trasu.