So richten Sie einen OpenVPN-Server unter Debian 9 ein

Ganz gleich, ob Sie sicher und sicher auf das Internet zugreifen möchten, während Sie mit einem nicht vertrauenswürdigen öffentlichen Wi-Fi-Netzwerk verbunden sind, geografisch eingeschränkte Inhalte umgehen oder Ihren Mitarbeitern die Möglichkeit geben möchten, eine sichere Verbindung zu Ihrem Unternehmensnetzwerk herzustellen, wenn Sie remote arbeiten, ist ein VPN die beste Lösung.

Mit einem VPN können Sie eine Verbindung zu Remote-VPN-Servern herstellen, Ihre Verbindung verschlüsseln und sichern sowie anonym im Internet surfen, indem Sie Ihre Verkehrsdaten privat halten.

Es gibt viele kommerzielle VPN-Anbieter, aus denen Sie auswählen können, Sie können jedoch nie sicher sein, dass der Anbieter Ihre Aktivitäten nicht protokolliert. Am sichersten ist es, einen eigenen VPN-Server einzurichten.

In diesem Tutorial wird erklärt, wie OpenVPN unter Debian 9 installiert und konfiguriert wird. Außerdem wird gezeigt, wie Client-Zertifikate generiert und Konfigurationsdateien erstellt werden

OpenVPN ist eine voll funktionsfähige Open-Source-VPN-Lösung (Secure Socket Layer, SSL). Es implementiert die sichere Netzwerkerweiterung der OSI-Schicht 2 oder 3 unter Verwendung des SSL / TLS-Protokolls.

Voraussetzungen

Um dieses Tutorial abzuschließen, benötigen Sie:

Client-Zertifikate widerrufen

Ein Zertifikat zu widerrufen bedeutet, ein signiertes Zertifikat für ungültig zu erklären, damit es nicht mehr für den Zugriff auf den OpenVPN-Server verwendet werden kann.

Führen Sie die folgenden Schritte aus, um ein Client-Zertifikat zu widerrufen:

1. Melden Sie sich bei Ihrem CA-Computer an und wechseln Sie in das EasyRSA-Verzeichnis:

   cd EasyRSA-v3.0.6

   Führen Sie das Skript easyrsa mit dem Argument revoke aus, gefolgt vom Namen des Clients, den Sie widerrufen möchten:

   ./easyrsa revoke client1

   Sie werden aufgefordert, zu bestätigen, dass Sie das Zertifikat widerrufen möchten. Geben Sie yes und drücken Sie die enter , um zu bestätigen:

   Please confirm you wish to revoke the certificate with the following subject: subject= commonName = client1 Type the word 'yes' to continue, or any other input to abort. Continue with revocation: yes…

   Wenn Ihr CA-Schlüssel kennwortgeschützt ist, werden Sie aufgefordert, das Kennwort einzugeben. Nach der Überprüfung widerruft das Skript das Zertifikat.

   … Revocation was successful. You must run gen-crl and upload a CRL to your infrastructure in order to prevent the revoked cert from being accepted.

   Verwenden Sie die Option gen-crl , um eine Zertifikatsperrliste (Certificate Revocation List, CRL) zu generieren:

   ./easyrsa gen-crl

   An updated CRL has been created. CRL file: /home/causer/EasyRSA-v3.0.6/pki/crl.pem

   Laden Sie die CRL-Datei auf den OpenVPN-Server hoch:

   scp ~/EasyRSA-v3.0.6/pki/crl.pem serveruser@your_server_ip:/tmp

   Melden Sie sich bei Ihrem OpenVPN- Server an und verschieben Sie die Datei in das Verzeichnis /etc/openvpn :

   sudo mv /tmp/crl.pem /etc/openvpn

   Öffnen Sie die OpenVPN-Serverkonfigurationsdatei:

   sudo nano /etc/openvpn/server1.conf

   Fügen Sie die folgende Zeile am Ende der Datei ein

   /etc/openvpn/server1.conf

   crl-verify crl.pem

   Speichern und schließen Sie die Datei.

   Starten Sie den OpenVPN-Dienst neu, damit die Widerrufsanweisung wirksam wird:

   sudo systemctl restart openvpn@server1

   Zu diesem Zeitpunkt sollte der Client mit dem widerrufenen Zertifikat nicht mehr auf den OpenVPN-Server zugreifen können.

Fazit

In diesem Tutorial haben Sie gelernt, wie Sie einen OpenVPN-Server auf einem Debian 9-Rechner installieren und konfigurieren.

VPN-Sicherheit Debian