# Installera en egen VPN-server (OpenVPN) ## Inledning VPN är en förkortning för Virtual Private Network och det är en teknik som innebär att du bygger en insynsskyddad förbindelse mellan två eller flera nätverk och datorer över Internet. ## Instruktioner Skapa en ny OpenVZ-server i vår [Kontrollpanel](https://cloud.glesys.com/#/login). Använd **Ubuntu 14.04 LTS 64-bit** som template med följande inställningar: **Disk:** 10 GB (vi behöver inte mer än 10 GB) \ **Memory:** 512 MB \ **CPU Cores:** 1 \ **Bandwidth:** 100 Mbit Vänta på att servern startar upp. Logga in på servern med SSH: ```sh ssh root@din_servers_ip_adress ``` Det första vi gör är att uppgradera servern: ```sh apt-get update && apt-get -y dist-upgrade ``` Kommer det upp dialoger som ställer frågor svarar du bara OK på dem. När uppgraderingarna är klara ser vi till att rensa lite: ```sh apt-get -y autoremove ``` Och sedan startar vi om servern, för att säkerställa att allt är korrekt. ```sh reboot ``` Omstarten på en OpenVZ-server går på ett par sekunder, så vi kan snabbt logga in på servern igen: ```sh ssh root@din_servers_ip_adress ``` Nu är det dags att installera OpenVPN och `easy-rsa` för att få igång VPN-tjänsten: ```sh apt-get install openvpn easy-rsa ``` Kopiera `easy-rsa` till katalogen `/etc/openvpn/`: ```sh cp -R /usr/share/easy-rsa /etc/openvpn/ ``` Vi behöver en texteditor för att redigera konfigurationsfilerna, installera din favoriteditor (nano är förinstallerad) till exempel vim: ```sh apt-get -y install vim ``` Nu skapar vi filen `/etc/openvpn/openvpn.conf` med följande innehåll: ```sh # Which local IP address should OpenVPN listen on? ;local a.b.c.d port 1194 proto udp dev tun # certificates ca easy-rsa/keys/ca.crt cert easy-rsa/keys/openvpn-server.crt key easy-rsa/keys/openvpn-server.key dh easy-rsa/keys/dh2048.pem # Which network do you want for vpn clients? server 192.168.76.0 255.255.255.0 # client <-> virtual IP address records ifconfig-pool-persist ipp.txt # force all traffic for clients through vpn push "redirect-gateway def1 bypass-dhcp" # DNS servers for clients (google dns) push "dhcp-options DNS 8.8.8.8" push "dhcp-options DNS 8.8.4.4" # If clients should see each other uncomment this line ; client-to-client # Should one certificate/key pair be able to connect # multiple times? If not, comment this line. duplicate-cn # ping vpn every 10 seconds, close connection if timeout # is 120 seconds keepalive 10 120 # enable compression on the vpn link comp-lzo # maximum number of connected clients max-clients 10 persist-key persist-tun # short status file of service status openvpn-status.log # verbosity for log # 0 is silent, 4 is resonable, 5+6 for debug and 9 is extremly verbose verb 3 ``` I konfigurationsfilen ovan refererar vi till ett par filer, nu skapar vi dem. Vi börjar med filen `myvars` som vi skapar från filen `vars` i katalogen `/etc/openvpn/easy-rsa/`: ```sh cd /etc/openvpn/easy-rsa cp vars myvars ``` När vi kopierat filen, öppnar vi filen `myvars` för redigering, leta reda på den här sektionen: ```sh # These are the default values for fields # which will be placed in the certificate. # Don't leave any of these fields blank. export KEY_COUNTRY="US" export KEY_PROVINCE="CA" export KEY_CITY="SanFrancisco" export KEY_ORG="Fort-Funston" export KEY_EMAIL="me@myhost.mydomain" export KEY_OU="MyOrganizationalUnit" ``` Vi ändrar värdena så de stämmer för oss: ```sh # These are the default values for fields # which will be placed in the certificate. # Don't leave any of these fields blank. export KEY_COUNTRY="SE" export KEY_PROVINCE="SE" export KEY_CITY="Falkenberg" export KEY_ORG="GleSYS" export KEY_EMAIL="info@glesys.se" export KEY_OU="Documentation Org" ``` Det är allt som behöver ändras i filen. Nu sparar vi filen och går vidare med att skapa våra certifikat och nycklar: ```sh source ./myvars ./clean-all (NOTERA: detta kommando RADERAR alla nycklar) ./build-dh ./pkitool --initca ./pkitool --server openvpn-server ``` Nu aktiverar vi OpenVPN-tjänsten och startar den, `update-rc.d openvpn enable` gör att tjänsten kommer startas vid varje uppstart av servern: ```sh update-rc.d openvpn enable service openvpn start ``` Kontrollera att OpenVPN är konfigurerat och klart med kommandot `ip addr`, du ska ha ett nätverksgränssnitt som heter `tun0` i listan. Det ser ut ungefär så här: ```sh 3: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100 link/none inet 192.168.76.1 peer 192.168.76.2/32 scope global tun0 ``` Om du saknar `tun0` får du gå igenom konfigurationsfilen och systemloggen `/var/log/syslog` för att försöka hitta var det är fel. Eftersom vi vill skicka all trafik från klienterna genom VPN:et och vidare till Internet behöver vi aktivera **routing** och **network address translation (NAT)** på servern, vi börjar med att aktivera routing genom att öppna filen `/etc/sysctl.conf` och leta reda på raderna: ```sh # Uncomment the next line to enable packet forwarding for IPv4 #net.ipv4.ip_forward=1 ``` Vi avkommenterar raden `#net.ipv4.ip_forward=1` så det ser ut så här: ```sh # Uncomment the next line to enable packet forwarding for IPv4 net.ipv4.ip_forward=1 ``` Sedan sparar vi filen och läser in ändringen med kommandot `sysctl -a`. Kontrollera att ip_forward är aktiverat genom att skriva: ```sh # cat /proc/sys/net/ipv4/ip_forward 1 ``` 1 betyder att **ip_forward** är aktiv, 0 betyder att det är inaktiverat. Normalt heter nätverksgränssnittet för en OpenVZ-server **venet0**, kontrollera med kommandot `ip addr` för att vara säker innan du går vidare. Nu ställer vi in **netfilter (iptables)** att använda **network address translation (NAT)**: ```sh iptables -I INPUT -p udp --dport 1194 -j ACCEPT iptables -t nat -A POSTROUTING -s 192.168.76.0/24 -d 0.0.0.0/0 -o venet0 -j MASQUERADE iptables -I FORWARD -i venet0 -o tun0 -j ACCEPT iptables -I FORWARD -i tun0 -o venet0 -j ACCEPT iptables -t nat -P POSTROUTING ACCEPT iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P OUTPUT ACCEPT ``` När vi kört de kommandona sparar vi inställningarna med kommandot `iptables-save` ```sh iptables-save > /etc/network/iptables.rules ``` Och för att reglerna skall laddas vid omstart av servern öppnar vi filen `/etc/network/interfaces` och lägger till pre-up under våt nätverksgränssnitt: ```sh auto venet0:0 iface venet0:0 inet static address 31.x.y.z netmask 255.255.255.255 pre-up iptables-restore < /etc/network/iptables.rules ``` Nu är det dags att skapa klientnycklarna så vi kan ansluta till vår OpenVPN-tjänst. ```sh cd /etc/openvpn/easy-rsa source ./myvars # (viktigt här är att INTE köra ./clean-all som vi gjorde när vi skapade serverns nycklar) ./build-key jonas ``` Vi får en massa frågor när vi skapar nyckeln, i det här läget behöver vi inte ändra något, så tryck bara `RETUR` fö att behålla det förvalda värdet, förutom på frågan om `Sign the certificate?` där vi svarar `y` och trycker `RETUR` och likaså på frågan om `requests certified, commit?`. ```sh Certificate is to be certified until Jul 26 21:30:51 2025 GMT (3650 days) Sign the certificate? [y/n]:y 1 out of 1 certificate requests certified, commit? [y/n]y Write out database with 1 new entries Data Base Updated ``` Nyckeln vi skapar kommer heta jonas om vi skriver som ovan. Här kan vi naturligtvis välja vad vi vill istället för jonas. För att kontrollera att nyckeln och certifikaten skapats listar vi innehållet av katalogen `keys/`: ```none ls keys/ 01.pem ca.key index.txt.attr jonas.crt openvpn-server.crt serial 02.pem dh2048.pem index.txt.attr.old jonas.csr openvpn-server.csr serial.old ca.crt index.txt index.txt.old jonas.key openvpn-server.key ``` Nu behöver vi en OpenVPN-klient för att ansluta till vår server med. För Windows laddar du ner klienten på [http://openvpn.se](http://openvpn.se), välj `Installation package` och installera. För Mac OSX laddar du ner Tunnelblick från [http://tunnelblick.net](http://tunnelblick.net) och installerar. Om du har en Android-telefon kan du använda din OpenVPN-server med en OpenVPN-klient för Android, till exempel **OpenVPN for Android** som du laddar ner från Google Play. För att klienten skall fungera behöver vi en del filer från vår server. Enklast är att skapa ett tar-arkiv med filerna och sedan ladda ner dem från servern med `scp`: ```sh tar zcvf /root/vpn.tar.gz /etc/openvpn/easy-rsa/keys/ca.crt /etc/openvpn/easy-rsa/keys/jonas.crt /etc/openvpn/easy-rsa/keys/jonas.key ``` Filerna klienten behöver är: ```sh /etc/openvpn/easy-rsa/keys/ca.crt /etc/openvpn/easy-rsa/keys/jonas.crt /etc/openvpn/easy-rsa/keys/jonas.key ``` Konfigurera din OpenVPN-klient enligt klientens dokumentation och starta anslutningen från klienten till servern. Kontrollera att anslutningen fungerar som den ska genom att öppna en webbläsare på klienten och gå till [http://www.whatsmyip.org](http://www.whatsmyip.org). Den IP-adress du får fram ska vara samma som du har på din OpenVZ-server hos GleSYS. För att skapa nya nycklar för andra användare repeterar du processen från att skapa klientnycklar. Om du ska ha många användare kan du lägga till en cpu core så du har två och kanske öka bandbredden. Detta gör du från [GleSYS Kontrollpanel](https://cloud.glesys.com/#/login).