Một Virtual Private Network hay VPN là một dịch vụ mạng rằng các tuyến đường giao thông mạng của bạn thông qua một máy chủ. Với điều này, tất cả các kết nối mạng của bạn sẽ được ngụy trang như thể chúng bắt nguồn từ kết nối của máy chủ VPN. Địa chỉ đích không thể biết vị trí thực của bạn, do đó cung cấp cả quyền riêng tư và an toàn trực tuyến. VPN cũng được sử dụng bởi các tập đoàn và môi trường doanh nghiệp để cho phép một mạng riêng an toàn để bảo vệ dữ liệu quan trọng của họ.
OpenVPN là một giao thức VPN xác định cách truyền dữ liệu qua VPN. Các giao thức phổ biến khác là PTP, L2TP, SSTP và IKEV2.
OpenVPN cung cấp kết nối an toàn nhất trong số các giao thức khác vì nó cung cấp xác thực an toàn (như sử dụng chứng chỉ và khóa) cũng như sử dụng thuật toán mã hóa cập nhật. Trên hết, OpenVPN là phần mềm nguồn mở được cung cấp bởi hàng ngàn nhà phát triển từ các cộng đồng khác nhau. Nó được phân phối theo giấy phép GNU GPL. Hãy bắt đầu với việc cài đặt.
Điều kiện tiên quyết:
Đối với hướng dẫn này, nên sử dụng cài đặt VPS Ubuntu 18.04 mới .
Vui lòng đảm bảo rằng máy chủ của bạn đáp ứng các yêu cầu phần cứng và phần mềm tối thiểu sau:
Phần cứng:
- Lõi 1 CPU
- 512MB RAM
- 5GB dung lượng đĩa trống
Phần mềm:
- Ubuntu 18.04
- 1 địa chỉ IP chuyên dụng
- Toàn quyền truy cập hoặc truy cập vào tài khoản có quyền sudo
Bước 1: Đăng nhập, Kiểm tra cập nhật và cài đặt phụ thuộc
Đăng nhập vào máy chủ của bạn thông qua SSH:
ssh username@server_ip_address -p port_number
Hãy chắc chắn thay thế tên người dùng của người dùng khác với tên tài khoản của người dùng root được tìm thấy trên máy chủ (hoặc chính người dùng root) và thay thế server server_ip thấy bằng địa chỉ IP và port portumberumber bằng số cổng SSH của máy chủ của bạn.
Trước khi bắt đầu cài đặt, nên cập nhật tất cả các gói Ubuntu đã cài đặt lên phiên bản mới nhất của chúng để tối đa hóa khả năng tương thích:
apt-get update apt-get upgrade
Đảm bảo các phụ thuộc cần thiết được cài đặt bằng cách chạy lệnh sau:
apt-get install software-properties-common build-essential -y
Bước 2: Cài đặt OpenVPN bằng cách sử dụng Script cài đặt
May mắn thay, có các tập lệnh mã nguồn mở có sẵn từ GitHub cung cấp bản cài đặt OpenVPN không rắc rối và có thể tùy chỉnh.
Bạn có thể kiểm tra thêm chi tiết về kịch bản chúng tôi sắp sử dụng ở đây .
1. Tải xuống tập lệnh và thay đổi quyền
cd /opt curl -O https://raw.githubusercontent.com/Angristan/openvpn-install/master/openvpn-install.sh chmod +x openvpn-install.sh
2. Chạy kịch bản
Sau khi tải xuống và quyền chính xác đã được áp dụng, chúng tôi có thể kích hoạt tập lệnh bằng cách nhập:
./openvpn-install.sh
Trong quá trình cài đặt, một số câu hỏi sẽ được hỏi và chúng tôi sẽ giải quyết từng câu hỏi một.
1. Địa chỉ IP – đây sẽ là địa chỉ IP công cộng của máy chủ của bạn.
2. Bạn có muốn bật hỗ trợ IPv6 (NAT) không? [y / n]: n – Hiện tại, IPv4 sẽ làm.
3. Port nào bạn muốn OpenVPN nghe? [1-3]: 1 – cổng mặc định cho máy chủ OpenVPN là 1194.
4. Giao thức nào bạn muốn OpenVPN sử dụng? [1-2]: 1 – Cả TCP và UDP đều là các giao thức để gửi các gói trên internet. Sự khác biệt chính là TCP có kiểm tra lỗi trong khi UDP thì không. UDP được trình cài đặt khuyên dùng vì nó cung cấp kết nối nhanh hơn. Nó chủ yếu được sử dụng để phát trực tuyến và chơi game. Đối với các mục đích khác, chúng tôi khuyên bạn nên sử dụng TCP để tránh mất dữ liệu.
5. Bạn muốn sử dụng trình phân giải DNS nào với VPN?: 3 – Đối với điều này, chúng tôi khuyên dùng DNS của Google nhưng đây là một lựa chọn cá nhân.
6. Bạn có muốn sử dụng nén không?: N – Để tránh một số lỗ hổng, cách tốt nhất là tắt tính năng nén.
7. Bạn có muốn tùy chỉnh cài đặt mã hóa? y – Vì mục đích của hướng dẫn này, chúng tôi sẽ thực hiện các cài đặt mã hóa để cung cấp thông tin chuyên sâu về mã hóa sẽ được sử dụng bởi máy chủ OpenVPN của chúng tôi.
8. Chọn loại mật mã bạn muốn sử dụng cho kênh dữ liệu: 1 [AES] – AES hiện là mật mã nhanh nhất có sẵn cho OpenVPN. Giá trị được đề xuất là AES-128-GCM. Bạn có thể nhận thấy rằng AES-256-GCM cũng có sẵn nhưng điều đó cung cấp hiệu suất chậm hơn.
9. Chọn loại chứng chỉ bạn muốn sử dụng: 1 [ECDSA] – RSA đã trở nên phổ biến nhờ hiệu suất, độ chín và khả năng tương thích của nó đối với hầu hết các ứng dụng nhưng trong bảo mật ngày nay, ECDSA cung cấp kích thước khóa cao hơn, có thể mở rộng , và là tương lai của chứng chỉ.
10. Chọn đường cong mà bạn muốn sử dụng cho khóa của chứng chỉ: 1 [Prime256v1] – Kể từ khi phát hành OpenVPN 2.4, các khóa Hellie hay ECDH của Elliptic-cong đã được hỗ trợ.
11. Chọn loại mật mã bạn muốn sử dụng cho kênh điều khiển: 1 [ECDHE-ECDSA-AES-128-GCM-SHA256] – Một lần nữa, khóa 128 bit đủ an toàn và vẫn cung cấp hiệu suất tốt hơn.
12. Chọn loại khóa Diffie-Hellman bạn muốn sử dụng: 1 [ECDH] – ECDH đang được sử dụng theo tiêu chuẩn hiện đại.
13. Chọn đường cong bạn muốn sử dụng cho khóa ECDH: 1 [Prime256v1] – Khóa 256 bit là đủ.
14. Thuật toán digest nào bạn muốn sử dụng cho HMAC? : 1 [SHA256] – Một lần nữa , khóa 256 bit là đủ và là điểm hấp dẫn cho bảo mật và hiệu suất.
15. Một lớp bảo mật bổ sung cho kênh điều khiển: 1 [tls-crypt] – Để tăng tính bảo mật, chúng ta nên chọn tls-crypt trên tls-auth vì nó cũng mã hóa ngăn xếp TLS.
Bước 3: Tạo cấu hình máy chủ-máy khách OpenVPN đầu tiên của chúng tôi
Sau khi trả lời các câu hỏi sau, bây giờ chúng tôi sẽ tiến hành cung cấp thông tin khách hàng.
Thí dụ:
- Tên khách hàng : client1
- Bạn có muốn bảo vệ tệp cấu hình bằng mật khẩu không?: 2 – Bạn sẽ được yêu cầu nhập cụm mật khẩu.
Sau khi hoàn thành, bạn sẽ được cung cấp bởi vị trí của cài đặt OVPN của máy khách mà bạn có thể tìm thấy tại /root/[client name].ovpn.
Bây giờ chúng ta có thể tải xuống cấu hình qua SFTP bằng ứng dụng khách FTP và nhập cấu hình đó vào máy khách OpenVPN.
Nếu bạn cần thêm một khách hàng / người dùng mới, bạn có thể chạy lại tập lệnh và nó sẽ cung cấp các tùy chọn sau:
What do you want to do? 1) Add a new user 2) Revoke existing user 3) Remove OpenVPN 4) Exit Select an option [1-4]:
Và bạn hiện có một máy chủ OpenVPN đang hoạt động trên máy chủ Ubuntu 18.04 có thể bảo vệ quyền riêng tư trực tuyến của bạn.
