COMPUTING > Virtual Private Cloud > VMware vCloud Director > VPN kapcsolat létrehozása OpenVPN-nel Windows Server 2019 rendszeren

3.4.1.1 VPN kapcsolat létrehozása OpenVPN-nel Windows Server 2019 rendszeren

A VPN (Virtual Private Network) egy virtuális magánhálózat, amely lehetővé teszi a védett hálózati kapcsolatot két független adathálózat között az interneten. VPN használatával tehát egy az internetre csatlakoztatott szerver vagy PC (kliens) hozzáférhet egy másik szerver hálózati erőforrásaihoz, közvetlen virtuális hálózati kapcsolatot hozva létre a kettő között, gyakorlatilag lemásolva egy fizikai kapcsolatot két hálózati pont között.

VPN létrehozható normál operációs rendszerekkel (beleértve a Windows) és egy erre célra szánt szolgáltatással, mint például az OpenVPN. Az OpenVPN egy nyílt forráskódú szoftver lehetővé teszi egy TLS/SSL-en (Transport Layer Security/Secure Sockets Layer) alapuló, titkosított virtuális csatorna létrehozását tanúsítványok segítségével a forgalom biztonságos továbbítására a szerver és egy vagy több kliens között.
 
Ez az útmutató ismerteti, hogyan kell konfigurálni/létrehozni VPN-t OpenVPN-nel egy Windows Server 2019 rendszert használó kiszolgálón és kliensen. Ezen útmutató egyes (a kiszolgálóra vagy a kliensre vonatkozó) részei hibrid (pl. Windows Server és Linux kliens, vagy fordítva) konfigurációhoz/telepítéshez is használhatók.

Ahhoz, hogy ugyanahhoz a hálózathoz csatlakozhasson, a VPN-hez csatlakoztatott két vagy több eszköznek (kliensnek és szervernek) hozzá kell férnie a 1194-es porthoz.

Hogy ezt engedélyezze, a porton áthaladó UDP forgalomhoz hozzá kell adni egy szabályt a tűzfalában.
Először töltse le az OpenVPN telepítőjét a Windows Server 2019 rendszerhez közvetlenül a hivatalos webhelyről.
 
A telepítő a Windows operációs rendszeren kiszolgáló és kliens oldalon is egyaránt használható.

A fájl letöltése után nyissa meg és indítsa el a telepítést. Győződjön meg róla, hogy bejelölte az "EasyRSA 2 Certificate Management Scripts" négyzetet, majd kattintson a "Next" gombra.



Folytassa a telepítést az egymást követő lépéseket végrehajtva.
Miután az OpenVPN telepítésének első szakasza befejeződött, létre kell hozni a VPN hozzáféréshez szükséges tanúsítványokat és kulcsokat.

Először nyissa meg a Windows Server parancssort. Ehhez kattintson a Start gombra, írja be a "cmd" parancsot és kattintson jobb gombbal a Command Prompt ikonra, majd válassza a "Run as administrator" lehetőséget..



Nyissa meg azt a mappát, amelybe telepítette az OpenVPN-t, és futtassa az "init-config" szkriptet.
 

cd "C:\Program Files\OpenVPN\easy-rsa"
init-config

Az alábbi ábrán láthatóhoz hasonló kimenetet kell kapnia.



Ezen a ponton módosítania kell a "C:\Program Files\OpenVPN\easy-rsa" mappában található "vars.bat" fájlt:
 

notepad vars.bat

Szinte a dokumentum végén található egy sor "set"-tel kezdődő sor, amely a környezeti változók egy részének beállítására szolgál. Szerkessze ezeket a mezőket saját adataival a tanúsítvány létrehozásához.



Ez a lépés nem létfontosságú, mert ezt az információt később is meg kell adnia, de ha beállítja ezeket az értékeket itt, ebben a fájlban, akkor biztosítja, hogy a jövőben alapértelmezett paraméterként használják őket.

Miután megadta ezeket az információkat, mentse a fájlt és zárja be a szövegszerkesztőt. Írja be a következő parancsot a változtatások végrehajtásához:
 

vars
clean-all

Ezután kezdje el a tanúsítvány létrehozását. Parancssorba (futtassa rendszergazdaként, továbbra is a "C:\Program Files\OpenVPN\easy-rsa" mappában) írja be:
 

build-ca

Ha már szerkesztette a "vars" fájlt az adataival, akkor ezek megjelennek minden kötelező mező szögletes zárójelében. Ebben az esetben egyszerűen nyomja meg az "Enter" gombot, hogy ezeket az értékeket alapértelmezett paraméterként állítsa be.

A "Common name" mezőben, azonban egy könnyen megjegyezhető nevet kell hozzárendelnie: ebben az esetben az "OpenVPN-CA" lesz használva.

A tanúsítvány sikeres generálásának megerősítése után a "ca.crt" és a "ca.key" fájlok létrejönnek az "easy-rsa\keys" mappában.



Ebben a szakaszban létre kell hozni a kulcsokat a szerverhez, amelyet a következő paranccsal lehet elindítani:
 

build-key-server server_name

Ebben az esetben a "Common Name" mezőben meg kell adnia a szerver általános nevét. Amint az alábbiakban látható, esetünkben a "server" nevet használjuk.



Az eljárás vége felé kétszer meg kell erősítenie, hogy az adatokat a megadott módon kell menteni. Mindkét alkalommal írja be az y betűt és nyomja meg az "Enter" gombot.
A VPN-ben minden csatlakoztatott eszköznek felismerhetőnek kell lennie, így a klienseknek egy kulcspárra van szükségük a kommunikációhoz. Még mindig a szerverén egy parancssorban a „C:\Program Files\OpenVPN\easy-rsa” mappában írja be a következőt:
 

build-key client_name

Ezúttal a "Common Name" mezőben a kliens általános nevét kell megadnia (amint alább látható, ebben az esetben a "client-desktop" lett megadva).

Creazione chiavi client

Most a Diffie-Hellman titkosítási protokollt kell használni ahhoz, hogy a két fél (szerver és kliens) döntsön egy „közös” kulcsról, amelyet hitelesítési kulcsként használnak egymás felismeréséhez. A következőt írja be:
 

build-dh

Ez a művelet a kiszolgáló által használt hardvertől függően eltarthat egy ideig, és nem igényel további műveletet a felhasználótól.



Végül létre kell hoznia egy „ta.key”-t, amely további védelmet nyújt a VPN számára. Pontosabban, egy TLS-hitelesítést kell meghatározni annak ellenőrzésére, hogy a hálózaton utazó csomagok teljesek-e. Ehhez gépelje be a következőt:
 

"C:\Program Files\OpenVPN\bin\openvpn.exe" --genkey --secret "C:\Program Files\OpenVPN\easy-rsa\keys\ta.key"

Az OpenVPN biztosít minta konfigurációs fájlokat, amelyeket a VPN megfelelő működéséhez szükséges konfiguráció generálásakor használhat.

Nyissa meg a következőt: Start -> All Programs -> OpenVPN -> OpenVPN Sample Configuration Files. Másolja a "server.ovpn" fájlt a "C:\Program Files\OpenVPN\easy-rsa\keys" mappába. A másolás után nyissa meg Notepad segítségével:
 

notepad "C:\Program Files\OpenVPN\easy-rsa\keys\server.ovpn"

Jelölje ki a következő bejegyzéseket:
  • ca ca.crt
  • cert server.crt
  • key server.key
  • dh dh2048.pem
majd cserélje azokat az alábbiakra:
  • ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
  • cert "C:\\Program Files\\OpenVPN\\config\\server.crt"
  • key "C:\\Program Files\\OpenVPN\\config\\server.key"
  • dh "C:\\Program Files\\OpenVPN\\config\\dh2048.pem"
A módosítás után mentse el és zárja be a fájlt.
A kliens konfigurációs fájljában végrehajtandó változtatások hasonlóak a kiszolgálón végzettekhez.

Nyissa meg a következőt: Start -> All Programs -> OpenVPN -> OpenVPN Sample Configuration Files. Másolja a "client.ovpn" fájlt a "C:\Program Files\OpenVPN\easy-rsa\keys" mappába. A másolás után nevezze át ugyanarra, mint a "Common Name" értéke, amit a kulcs generálásakor használt (ebben az esetben "client-desktop"), majd nyissa meg Notepad segítségével.
 

notepad "C:\Program Files\OpenVPN\easy-rsa\keys\client-desktop.ovpn"

Jelölje ki a következő bejegyzéseket:
  • ca ca.crt
  • cert server.crt
  • key server.key
majd cserélje azokat az alábbiakra:
  • ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
  • cert "C:\\Program Files\\OpenVPN\\config\\client-desktop.crt"
  • key "C:\\Program Files\\OpenVPN\\config\\client-desktop.key"
Ezután jelölje ki a remote my-server-1 1194 részt és cserélje ki a következőre "my-server-1" megadva a szervere IP címét. A módosítás után mentse el és zárja be a fájlt.

Ezután, másolja a következő fájlokat:
  • ca.crt
  • ta.key
  • dh2048.pem
  • server.crt
  • server.key
  • server.ovpn
a "C:\Program Files\OpenVPN\config" mappába, amely közvetlenül elvégezhető a robocopy eszköz segítségével.
 

robocopy "C:\Program Files\OpenVPN\easy-rsa\keys\ " "C:\Program Files\OpenVPN\config\ " ca.crt ta.key dh2048.pem server.crt server.key server.ovpn

Végül, másolja a következő fájlokat:
  • ca.crt
  • ta.key
  • client-desktop.crt
  • client-desktop.key
  • client-desktop.ovpn
a kliensébe a "C:\Program Files\OpenVPN\config\" mappába.

Megjegyzés: Ezenkívül telepítenie kell az OpenVPN grafikus felhasználói felületet a kliensre, amint azt a kiszolgálói útmutató elején ismertettük.

Most mind a kiszolgálón, mind a kliensen kattintson a Start -> All Programs -> OpenVPN -> OpenVPN GUI elemre.

Az OpenVPN grafikus felülete megnyílik a tálcán a jobb alsó sarokban. Kattintson jobb gombbal az OpenVPN ikonra, majd kattintson a „Connect” gombra.

Ha az ikon zöldre vált, az azt jelenti, hogy a kapcsolat a virtuális magánhálózattal megfelelően létrejött, így a két eszköz, a kliens és a szerver az imént létrehozott VPN-en keresztül fog kommunikálni.