OpenVPN

OpenVPN er et open source VPN for sikker tilkobling over internett.

Installasjon (Ubuntu server)

sudo apt install openvpn easy-rsa
sudo make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa
sudo su
./easyrsa init-pki
./easyrsa build-ca

Lag server-nøkler: ./easyrsa gen-req myservername nopass, ./easyrsa gen-dh, ./easyrsa sign-req server myservername. Kopier dh.pem, ca.crt, myservername.crt og myservername.key til /etc/openvpn/.

Klient-sertifikat: ./easyrsa gen-req myclient1 nopass, ./easyrsa sign-req client myclient1. Send ca.crt, myclient1.crt og myclient1.key trygt til klienten.

Kopier /usr/share/doc/openvpn/examples/sample-config-files/server.conf til /etc/openvpn/myserver.conf. Sett ca, cert, key. Aktiver tls-auth og generer ta.key med openvpn --genkey secret ta.key. Aktiver ip_forward i sysctl og systemctl start openvpn@myserver.

Konfigurasjon

All trafikk via VPN: I server.conf fjern kommentar fra push "redirect-gateway def1 bypass-dhcp". Sett masquerade: sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j MASQUERADE. Bruk iptables-persistent for å lagre regler.

Tilgang til nettverk bak VPN: Fjern kommentar fra push "route 192.168.10.0 255.255.255.0" (ikke CIDR). Restart openvpn@myserver.

Klient (Linux)

sudo apt install openvpn. Kopier client.conf til /etc/openvpn. Legg inn ca, cert, key, tls-auth ta.key 1, og remote server-IP/domene 1194. sudo systemctl start openvpn@client.

Klient (Windows)

Last ned OpenVPN fra openvpn.net. Legg ca.crt, klient.crt, klient.key og ta.key i C:\Brukere\BRUKERNAVN\OpenVPN\config. Bruk .ovpn-fil med samme innhold som client.conf. Start OpenVPN som administrator og koble til.

Ny bruker: gen-req og sign-req for nytt klientnavn; send cert og key til brukeren. Slette bruker: I server.conf legg til crl-verify crl.pem. I easy-rsa: ./easyrsa revoke clientname, ./easyrsa gen-crl. Kopier crl.pem til /etc/openvpn og restart OpenVPN. Oppdatering: apt update && apt upgrade. Backup: zip pki-mappen og server.conf.