Debian 9 в качестве сервера OpenVPN и Mikrotik в качестве клиента

Выкладываем здесь готовые конфигурации под определенные типовые задачи
Ответить
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Несколько похожих тем про сервера и настройку туннеля к ним пояснили мне, что нужен мануал, на который просто ссылаешься и всё. Сел и написал.
Настройка сервера как правило дело долгое и нудное. Его всегда оттягивают, пока уж совсем не припечёт. Но наступает тот самый момент, когда тянуть дальше просто невозможно. И начинается судорожная установка, со стандартными, повторяющимися ошибками, забытыми в десятый раз одними и теми же мелочами и тому подобной хренью. Надо попробовать записать основные шаги как для себя, так и для тех, кому сложно всё делать самому и сразу.
Итак, есть множество провайдеров, предоставляющих услуги аренды виртуальных серверов. Показанный в примере сервер просто выбран по одной единственной причине - мне удобен этот провайдер. В реальной ситуации ищем своего провайдера с нужным набором услуг по той цене, которая вас устраивает. Регистрируемся у провайдера, входим в личный кабинет, и заказываем сервер.
Изображение
Изображение
После нескольких простых шагов и процедуры оплаты, провайдер примет ваш заказ и через некоторое время ( от нескольких минут до нескольких суток, в зависимости от провайдера) ваш сервер будет готов к работе. В тем или иным способом от провайдера получите уведомление с параметрами входа, адресом, паролем и всем остальным. У части провайдеров пароль на вход одноразовый, при первой авторизации сразу предлагается его сменить. Нормальный шаг, вполне его одобряю.
По умолчанию предполагаю, что все знают о входе по ssh и клиентах, с помощью которых это осуществляется. Опять же выбор клиента только за вами. Помним, что главное - бережно и аккуратно относиться к паролям. У пароля всегда только один пользователь, как у зубной щётки. Не стоит посторонним без очень веской причины давать пароль от сервера. Лучше создать ещё одного пользователя с ограниченными правами и позволить рулить от имени этого юзера. Там последствия, как правило гораздо менее катастрофичны. Ещё один момент - бэкап. Бэкап это первое, что нужно сделать, если собрался поработать с сервером. Сделай и сохрани у себя бэкап, а уж потом меняй всё, что тебе нужно. Я столько раз ругал себя за то, что не сделал бэкап, что мне теперь просто стыдно заранее, когда я только вхожу на сервер. И у меня есть бэкап...
Входим на сервер по ssh,
Изображение
и первая команда просто тривиальна до ужаса, но она нужна.

Код: Выделить всё

apt update && apt upgrade -y
Затем ставим то, с чем мы будем работать. У всех разные наборы пакетов. Я как минимум ставлю набор для компиляции ( хоть и редко пользуюсь им), привычный текстовый редактор и иногда файловый менеджер.

Код: Выделить всё

apt install nano build-essential mc
Вход по паролю не слишком секьюрный вариант, и хотя я не очень страдаю паранойей, мне нравится вход по ключу. Настраиваем:

Код: Выделить всё

ssh-keygen
По-умолчанию ключи создаются в директории /root/.ssh/ , о чём будут информационные сообщения в консоли.

Код: Выделить всё

Enter file in which to save the key (/root/.ssh/id_rsa):
Если хочется как-то изменить имя ключа для простоты идентификации, надо вводить весь путь полностью /root/.ssh/rsa_vasya После этого ключи будут созданы в указанной директории. Так как у меня это просто пример для простоты описания, я сделаю имена с именем провайдера, просто чтобы отличать их от других ключей с разных серверов. Публичный ключ перетаскиваем на Микротик и импортируем его для нужного пользователя. Потом пробуем войти с сервера на Микротик (52222 - нестандартный порт для входа, vasya - пользователь, которому мы прикрутили публичный ключ, IP-адрес - адрес Микротика в сети)

Код: Выделить всё

ssh -i ~/.ssh/id_rsa_ihor -p 52222 vasya@199.226.133.148
Если неохота каждый раз указывать путь, где лежит ключ ( у меня обычно разные файлы ключей к различным железкам и Debian может путаться в них), создаём файлик

Код: Выделить всё

touch /root/.ssh/config
со следующим содержимым

Код: Выделить всё

Host IP-client
IdentityFile ~/.ssh/id_rsa_ihor
Следует понимать, что у кого то из пары клиент сервер должен быть приватный ключ, при этом соединение можно инициализировать только с одной стороны. Для двух стороннего соединения приватный ключ должен быть у обоих. Но с Микротика на сервер мы вряд ли будем ходить, так что того, что мы сделали вполне хватит для всех наших нужд.
Не забываем перезагрузить ssh

Код: Выделить всё

/etc/init.d/ssh restart
Следующим действием мы поставим на сервер OpenVPN. Про это написано столько, что буду комментировать по минимуму.

Код: Выделить всё

apt install openvpn
Система спросит и мы скажем да

Код: Выделить всё

Do you want to continue? [Y/n] Y
Копируем

Код: Выделить всё

cp -r /usr/share/easy-rsa /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa
Если хочется, можно подредактировать файл переменных

Код: Выделить всё

nano vars

Код: Выделить всё

export KEY_SIZE=1024
export KEY_COUNTRY="RU"
export KEY_PROVINCE="MO"
export KEY_CITY="Moscow"
export KEY_ORG="MyHome-MyFort"
export KEY_EMAIL="vasya@server.domain"
export KEY_OU="NoAdmin"
Маленькая хитрость. Потребуется файл openssl.cnf, создадим его

Код: Выделить всё

touch openssl.cnf
nano openssl.cnf
Содержание файла

Код: Выделить всё

# For use with easy-rsa version 2.0 and OpenSSL 1.0.0*

# This definition stops the following lines choking if HOME isn't
# defined.
HOME = .
RANDFILE = $ENV::HOME/.rnd
openssl_conf = openssl_init

[ openssl_init ]
# Extra OBJECT IDENTIFIER info:
#oid_file = $ENV::HOME/.oid
oid_section = new_oids
engines = engine_section

# To use this configuration file with the "-extfile" option of the
# "openssl x509" utility, name here the section containing the
# X.509v3 extensions to use:
# extensions =
# (Alternatively, use a configuration file that has only
# X.509v3 extensions in its main [= default] section.)

[ new_oids ]

# We can add new OIDs in here for use by 'ca' and 'req'.
# Add a simple OID like this:
# testoid1=1.2.3.4
# Or use config file substitution like this:
# testoid2=${testoid1}.5.6

####################################################################
[ ca ]
default_ca = CA_default # The default ca section

####################################################################
[ CA_default ]

dir = $ENV::KEY_DIR # Where everything is kept
certs = $dir # Where the issued certs are kept
crl_dir = $dir # Where the issued crl are kept
database = $dir/index.txt # database index file.
new_certs_dir = $dir # default place for new certs.

certificate = $dir/ca.crt # The CA certificate
serial = $dir/serial # The current serial number
crl = $dir/crl.pem # The current CRL
private_key = $dir/ca.key # The private key
RANDFILE = $dir/.rand # private random number file

x509_extensions = usr_cert # The extentions to add to the cert

# Extensions to add to a CRL. Note: Netscape communicator chokes on V2 CRLs
# so this is commented out by default to leave a V1 CRL.
# crl_extensions = crl_ext

default_days = 3650 # how long to certify for
default_crl_days= 30 # how long before next CRL
default_md = sha256 # use public key default MD
preserve = no # keep passed DN ordering

# A few difference way of specifying how similar the request should look
# For type CA, the listed attributes must be the same, and the optional
# and supplied fields are just that :-)
policy = policy_anything

# For the CA policy
[ policy_match ]
countryName = match
stateOrProvinceName = match
organizationName = match
organizationalUnitName = optional
commonName = supplied
name = optional
emailAddress = optional

# For the 'anything' policy
# At this point in time, you must list all acceptable 'object'
# types.
[ policy_anything ]
countryName = optional
stateOrProvinceName = optional
localityName = optional
organizationName = optional
organizationalUnitName = optional
commonName = supplied
name = optional
emailAddress = optional

####################################################################
[ req ]
default_bits = $ENV::KEY_SIZE
default_keyfile = privkey.pem
default_md = sha256
distinguished_name = req_distinguished_name
attributes = req_attributes
x509_extensions = v3_ca # The extentions to add to the self signed cert

# Passwords for private keys if not present they will be prompted for
# input_password = secret
# output_password = secret

# This sets a mask for permitted string types. There are several options.
# default: PrintableString, T61String, BMPString.
# pkix : PrintableString, BMPString (PKIX recommendation after 2004).
# utf8only: only UTF8Strings (PKIX recommendation after 2004).
# nombstr : PrintableString, T61String (no BMPStrings or UTF8Strings).
# MASK:XXXX a literal mask value.
string_mask = nombstr

# req_extensions = v3_req # The extensions to add to a certificate request

[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = $ENV::KEY_COUNTRY
countryName_min = 2
countryName_max = 2

stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = $ENV::KEY_PROVINCE

localityName = Locality Name (eg, city)
localityName_default = $ENV::KEY_CITY

0.organizationName = Organization Name (eg, company)
0.organizationName_default = $ENV::KEY_ORG

# we can do this but it is not needed normally :-)
#1.organizationName = Second Organization Name (eg, company)
#1.organizationName_default = World Wide Web Pty Ltd

organizationalUnitName = Organizational Unit Name (eg, section)
#organizationalUnitName_default =

commonName = Common Name (eg, your name or your server\'s hostname)
commonName_max = 64

name = Name
name_max = 64

emailAddress = Email Address
emailAddress_default = $ENV::KEY_EMAIL
emailAddress_max = 40

# JY -- added for batch mode
organizationalUnitName_default = $ENV::KEY_OU
commonName_default = $ENV::KEY_CN
name_default = $ENV::KEY_NAME


# SET-ex3 = SET extension number 3

[ req_attributes ]
challengePassword = A challenge password
challengePassword_min = 4
challengePassword_max = 20

unstructuredName = An optional company name

[ usr_cert ]

# These extensions are added when 'ca' signs a request.

# This goes against PKIX guidelines but some CAs do it and some software
# requires this to avoid interpreting an end user certificate as a CA.

basicConstraints=CA:FALSE

# Here are some examples of the usage of nsCertType. If it is omitted
# the certificate can be used for anything *except* object signing.

# This is OK for an SSL server.
# nsCertType = server

# For an object signing certificate this would be used.
# nsCertType = objsign

# For normal client use this is typical
# nsCertType = client, email

# and for everything including object signing:
# nsCertType = client, email, objsign

# This is typical in keyUsage for a client certificate.
# keyUsage = nonRepudiation, digitalSignature, keyEncipherment

# This will be displayed in Netscape's comment listbox.
nsComment = "Easy-RSA Generated Certificate"

# PKIX recommendations harmless if included in all certificates.
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid,issuer:always
extendedKeyUsage=clientAuth
keyUsage = digitalSignature


# This stuff is for subjectAltName and issuerAltname.
# Import the email address.
# subjectAltName=email:copy
subjectAltName=$ENV::KEY_ALTNAMES

# Copy subject details
# issuerAltName=issuer:copy

#nsCaRevocationUrl = http://www.domain.dom/ca-crl.pem
#nsBaseUrl
#nsRevocationUrl
#nsRenewalUrl
#nsCaPolicyUrl
#nsSslServerName

[ server ]

# JY ADDED -- Make a cert with nsCertType set to "server"
basicConstraints=CA:FALSE
nsCertType = server
nsComment = "Easy-RSA Generated Server Certificate"
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid,issuer:always
extendedKeyUsage=serverAuth
keyUsage = digitalSignature, keyEncipherment
subjectAltName=$ENV::KEY_ALTNAMES

[ v3_req ]

# Extensions to add to a certificate request

basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment

[ v3_ca ]


# Extensions for a typical CA


# PKIX recommendation.

subjectKeyIdentifier=hash

authorityKeyIdentifier=keyid:always,issuer:always

# This is what PKIX recommends but some broken software chokes on critical
# extensions.
#basicConstraints = critical,CA:true
# So we do this instead.
basicConstraints = CA:true

# Key usage: this is typical for a CA certificate. However since it will
# prevent it being used as an test self-signed certificate it is best
# left out by default.
# keyUsage = cRLSign, keyCertSign

# Some might want this also
# nsCertType = sslCA, emailCA

# Include email address in subject alt name: another PKIX recommendation
# subjectAltName=email:copy
# Copy issuer details
# issuerAltName=issuer:copy

# DER hex encoding of an extension: beware experts only!
# obj=DER:02:03
# Where 'obj' is a standard or added object
# You can even override a supported extension:
# basicConstraints= critical, DER:30:03:01:01:FF

[ crl_ext ]

# CRL extensions.
# Only issuerAltName and authorityKeyIdentifier make any sense in a CRL.

# issuerAltName=issuer:copy
authorityKeyIdentifier=keyid:always,issuer:always

[ engine_section ]
#
# If you are using PKCS#11
# Install engine_pkcs11 of opensc (www.opensc.org)
# And uncomment the following
# verify that dynamic_path points to the correct location
#
#pkcs11 = pkcs11_section

[ pkcs11_section ]
engine_id = pkcs11
dynamic_path = /usr/lib/engines/engine_pkcs11.so
MODULE_PATH = $ENV::PKCS11_MODULE_PATH
PIN = $ENV::PKCS11_PIN
init = 0
И поехали, со всем соглашаемся, где надо, вставляем y. Обратим внимание, что я создаю несколько клиентских сертификатов, на несколько устройств сразу.

Код: Выделить всё

source ./vars
./clean-all
./build-ca
./build-key-server server-ihor
./build-key vasya
./build-key petya
./build-key pasha
./build-key yulya
./build-key phone
./build-dh
cd keys
mkdir /etc/openvpn/.keys
cp ca.crt ca.key dh1024.pem server-ihor.crt server-ihor.key /etc/openvpn/.keys
Правим файл sysctl.conf

Код: Выделить всё

nano /etc/sysctl.conf
Находим строку и раскомментируем, если параметр равен 0, меняем на 1:

Код: Выделить всё

net.ipv4.ip_forward=1
Перезагружаем правила

Код: Выделить всё

sysctl -p
Создаём конфигурацию

Код: Выделить всё

touch /etc/openvpn/server.conf
nano /etc/openvpn/server.conf
Содержание будет приблизительно такое. Нет смысла описывать то, что в сети просто по крупицам расписано сотни раз

Код: Выделить всё

port 1194
proto tcp
dev tun
ca .keys/ca.crt
cert .keys/server-ihor.crt
key .keys/server-ihor.key
dh .keys/dh1024.pem
# topology subnet
server 10.100.0.0 255.255.255.0
client-config-dir .ccd
client-to-client
keepalive 10 120
tun-mtu 1500
mssfix 1450
cipher AES-256-CBC # AES
auth sha1
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log
log /var/log/openvpn.log
verb 3
mute 10
Создаём директорию клиентских конфигураций

Код: Выделить всё

mkdir /etc/openvpn/.ccd
Название файла конфигурации в ней должно соответствовать названию файла сертификата для этого же клиента.

Код: Выделить всё

nano /etc/openvpn/.ccd/vasya
Там мы можем прописать некоторые маршруты и определить адреса

Код: Выделить всё

# Клиентская подсеть за vasya (192) и адрес openvpn у роутера (10)
iroute 192.168.188.0 255.255.255.0 10.100.0.2
# Добавим шлюз по умолчанию для машин за клиентом vasya, заодно закрепим адрес.
ifconfig-push 10.100.0.2 10.100.0.1
Перезапускаем всё это

Код: Выделить всё

systemctl enable openvpn
service openvpn restart
Осталось разобраться с маскарадом. Смотрим наименование интерфейса. В Debian 9 это делается командой

Код: Выделить всё

ip link show
Теперь маскарадим трафик

Код: Выделить всё

iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE
Где ens3 - интерфейс на сервере, смотрящий в мир. У меня на Debian 9 он именно так называется. Присутствие данной записи в таблице NAT после перезагрузки сервера обеспечивает соответствующая запись в файле rc.local. Кстати, rc.local по-умолчанию в Debian 9 не существовал, пришлось создать файл

Код: Выделить всё

nano /etc/rc.local
Содержание файла ( сразу с правилом маскарада)

Код: Выделить всё

#!/bin/sh -e

#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.
iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE
exit 0
Делаем исполняемым

Код: Выделить всё

chmod +x /etc/rc.local
Теперь создаем службу

Код: Выделить всё

nano /etc/systemd/system/rc-local.service
Содержание файла

Код: Выделить всё

[Unit]
Description=/etc/rc.local Compatibility
ConditionPathExists=/etc/rc.local
[Service]
Type=forking
ExecStart=/etc/rc.local start
TimeoutSec=0
StandardOutput=tty
RemainAfterExit=yes
SysVStartPriority=99
[Install]
WantedBy=multi-user.target
Ну и включение службы и ее запуск

Код: Выделить всё

systemctl enable rc-local
systemctl start rc-local
Если надо посмотреть статус

Код: Выделить всё

systemctl status rc-local
Полезли теперь на Микротик и порулим немного там. Тащим на него сертификаты и применяем по следующему порядку - ca.crt, vasya.crt, vasya.key

Код: Выделить всё

certificate import file-name=ca.crt
certificate import file-name=vasya.crt
certificate import file-name=vasya.key
Создаём профиль и секрет, а затем и само соединение.
/

Код: Выделить всё

ppp profile
add name=ovpn-vasya
/ppp secret
add local-address=10.100.0.2 name=ovpn-vasya profile=ovpn-vasya remote-address=10.100.0.1 service=ovpn
/interface ovpn-client add certificate=vasya.crt_0 cipher=aes256 connect-to=ХХХ.ХХХ.ХХХ.ХХХ name=ovpn-vasya port=1194 profile=ovpn-vasya
user=ovpn-vasya
Осталось направить нужный трафик в туннель для части юзеров

Код: Выделить всё

/ip firewall mangle
add action=mark-routing chain=prerouting comment=vpn_rout dst-address-list="Vasya address" new-routing-mark=vpn_rout passthrough=yes
/ip firewall nat
add action=masquerade chain=srcnat comment=vasya dst-address-list="Vasya address" out-interface=ovpn-vasya src-address-list="Vasya user"
/ip route
add comment=ovpn-vasya distance=2 gateway=10.100.0.1 routing-mark=vpn_rout
Формирование адрес-листов оставляю на усмотрение читающих. Естественно, это не единственный вариант настройки. Но этот работает точно. Сервер арендовался исключительно для написания статьи. Все настройки в режиме реального времени писались в эту статью. Как правило, большая часть вопросов возникает при мелких неточностях, которые оказываются критическими.
Всем добра и внимательности.
Старички, если кому не лень, проверьте на правильность записей, у меня уже в глазах рябит :-)


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
yden
Сообщения: 96
Зарегистрирован: 27 июл 2017, 21:12

Добрый.
Спасибо за мануал.
Но я на шаге
certificate import file-name=vasya.crt
certificate import file-name=vasya.key
застопорился. Где взять эти файлы? В /root/.ssh есть только файл *.pub.

благодарю


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

yden писал(а): 03 ноя 2019, 21:16 Добрый.
Спасибо за мануал.
Но я на шаге
certificate import file-name=vasya.crt
certificate import file-name=vasya.key
застопорился. Где взять эти файлы? В /root/.ssh есть только файл *.pub.

благодарю
А при чём здесь ssh? С ssh мы закончили, настроили вход по ключу и на этом всё. Мы же с openvpn вроде как имеем дело уже. А файлы мы генерировали в директории /etc/openvpn/easy-rsa/keys Вот там их и ищите...


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
FOP Osypenko
Сообщения: 4
Зарегистрирован: 27 апр 2021, 01:11

А для Debian 10 эта инструкция подойдет или надо как-то по другому немного настраивать?


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

В целом ничего от версии к версии в Debian не меняется. С init.d вроде как всё на месте, хоть и грозились поменять там что-то, easy-rsa были там же, когда последний раз ставил... Вот насчёт sysctl я не уверен, что-то там проскальзывало в релизах, но я сижу везде на девятой версии, потому что лень и мне хватает. Но думаю, что даже если что-то поменялось, сложностей не будет. Сами системы автозапуска скриптов и создания служб не знаю, как в десятке реализуются, но если подходить вдумчиво, разобраться можно очень быстро. Ну и фаервол там какой, не знаю, я писал для iptables. Его давненько выпилить хотели, поменять на что-либо более суровое. Ну уж маскарад-то вы пропишите в любой оболочке... Пробуйте, если не получится, пишите, попробуем вместе. Лишь бы я со временем был посвободнее.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Ответить