<ก่อนหน้านี้ | เนื้อหา | ถัดไป>
1.6.1. การกำหนดค่า VPN ที่กำหนดเส้นทางขั้นสูงบนเซิร์ฟเวอร์
ข้างต้นเป็น VPN ที่ใช้งานได้ง่ายมาก ไคลเอนต์สามารถเข้าถึงบริการบนเครื่องเซิร์ฟเวอร์ VPN ผ่านช่องสัญญาณที่เข้ารหัส หากคุณต้องการเข้าถึงเซิร์ฟเวอร์เพิ่มเติมหรืออะไรก็ตามในเครือข่ายอื่น ให้ส่งบางเส้นทางไปยังไคลเอนต์ เช่น หากเครือข่ายของบริษัทคุณสามารถสรุปเป็นเครือข่าย 192.168.0.0/16 คุณสามารถส่งเส้นทางนี้ไปยังไคลเอนต์ได้ แต่คุณจะต้องเปลี่ยนเส้นทางสำหรับทางกลับ - เซิร์ฟเวอร์ของคุณต้องรู้เส้นทางไปยังเครือข่ายไคลเอนต์ VPN
หรือคุณอาจพุชเกตเวย์เริ่มต้นไปยังไคลเอนต์ทั้งหมดเพื่อส่งปริมาณการใช้งานอินเทอร์เน็ตทั้งหมดไปยังเกตเวย์ VPN ก่อน จากนั้นผ่านไฟร์วอลล์ของบริษัทไปยังอินเทอร์เน็ต ส่วนนี้จะแสดงตัวเลือกที่เป็นไปได้
ส่งเส้นทางไปยังไคลเอนต์เพื่อให้สามารถเข้าถึงเครือข่ายย่อยส่วนตัวอื่น ๆ ที่อยู่เบื้องหลังเซิร์ฟเวอร์ จำไว้ว่าซับเน็ตส่วนตัวเหล่านี้จำเป็นต้องรู้เพื่อกำหนดเส้นทางกลุ่มที่อยู่ไคลเอนต์ OpenVPN (10.8.0.0/24) กลับไปที่เซิร์ฟเวอร์ OpenVPN
กด "เส้นทาง 10.0.0.0 255.0.0.0"
หากเปิดใช้งาน คำสั่งนี้จะกำหนดค่าไคลเอ็นต์ทั้งหมดให้เปลี่ยนเส้นทางเกตเวย์เครือข่ายเริ่มต้นผ่าน VPN ทำให้การรับส่งข้อมูล IP ทั้งหมด เช่น การท่องเว็บและการค้นหา DNS ผ่าน VPN (เครื่องเซิร์ฟเวอร์ OpenVPN หรือไฟร์วอลล์กลางของคุณอาจต้องใช้ NAT the TUN /TAP เชื่อมต่อกับอินเทอร์เน็ตเพื่อให้ทำงานได้อย่างถูกต้อง)
กด "redirect-gateway def1 bypass-dhcp"
กำหนดค่าโหมดเซิร์ฟเวอร์และจัดหาซับเน็ต VPN สำหรับ OpenVPN เพื่อดึงที่อยู่ไคลเอนต์ เซิร์ฟเวอร์จะใช้เวลา 10.8.0.1 สำหรับตัวเอง ส่วนที่เหลือจะให้บริการแก่ลูกค้า ลูกค้าแต่ละรายจะสามารถเข้าถึงเซิร์ฟเวอร์ได้บน
10.8.0.1. แสดงความคิดเห็นบรรทัดนี้หากคุณกำลังเชื่อมต่ออีเธอร์เน็ต
เซิร์ฟเวอร์ 10.8.0.0 255.255.255.0
รักษาบันทึกของไคลเอนต์ไปยังการเชื่อมโยงที่อยู่ IP เสมือนในไฟล์นี้ หาก OpenVPN หยุดทำงานหรือรีสตาร์ท ไคลเอ็นต์ที่เชื่อมต่อใหม่สามารถกำหนดที่อยู่ IP เสมือนเดียวกันจากพูลที่ได้รับมอบหมายก่อนหน้านี้ได้
ifconfig-พูล-คงอยู่ ipp.txt
พุชเซิร์ฟเวอร์ DNS ไปยังไคลเอนต์
กด "dhcp-option DNS 10.0.0.2" กด "dhcp-option DNS 10.1.0.2"
อนุญาตให้ลูกค้าสื่อสารกับลูกค้า
ไคลเอนต์ต่อไคลเอนต์
เปิดใช้งานการบีบอัดบนลิงค์ VPN
คอมพ์-lzo
การขอ ให้มีชีวิตอยู่ คำสั่งทำให้ข้อความที่เหมือนปิงถูกส่งไปมาบนลิงก์เพื่อให้แต่ละฝ่ายรู้ว่าเมื่อใดที่อีกฝ่ายหนึ่งลงไป ปิงทุก 1 วินาที สมมติว่าเพียร์ระยะไกลหยุดทำงานหากไม่มีการปิงที่ได้รับในช่วงเวลา 3 วินาที
keepalive 1 3
เป็นความคิดที่ดีที่จะลดสิทธิ์ของ OpenVPN daemon หลังจากเริ่มต้น
ผู้ใช้ ไม่มีกลุ่ม nogroup
OpenVPN 2.0 มีคุณสมบัติที่ช่วยให้เซิร์ฟเวอร์ OpenVPN รับชื่อผู้ใช้และรหัสผ่านอย่างปลอดภัยจากไคลเอนต์ที่เชื่อมต่อ และใช้ข้อมูลนั้นเป็นพื้นฐานสำหรับการรับรองความถูกต้องของไคลเอนต์ หากต้องการใช้วิธีการตรวจสอบสิทธิ์นี้ ก่อนอื่นให้เพิ่มคำสั่ง auth-user-pass ไปที่การกำหนดค่าไคลเอ็นต์ มันจะสั่งให้ไคลเอนต์ OpenVPN ค้นหาชื่อผู้ใช้/รหัสผ่านจากผู้ใช้ โดยส่งต่อไปยังเซิร์ฟเวอร์ผ่านช่องทาง TLS ที่ปลอดภัย
# การกำหนดค่าไคลเอนต์! auth-user-pass
สิ่งนี้จะบอกเซิร์ฟเวอร์ OpenVPN ให้ตรวจสอบชื่อผู้ใช้/รหัสผ่านที่ลูกค้าป้อนโดยใช้โมดูลล็อกอิน PAM มีประโยชน์ถ้าคุณมีการพิสูจน์ตัวตนแบบรวมศูนย์ด้วยเช่น Kerberos
ปลั๊กอิน /usr/lib/openvpn/openvpn-plugin-auth-pam.so เข้าสู่ระบบ
โปรดอ่านคู่มือการรักษาความปลอดภัย OpenVPN ที่แข็งตัว1 สำหรับคำแนะนำด้านความปลอดภัยเพิ่มเติม