Ubuntu 22.04 üzerinde OpenVPN kurulumu ve yapılandırması için adım adım kılavuz.

Ubuntu 22.04'te OpenVPN'i neden kurmalıyız?

Bu kılavuz, kurulum ve yapılandırma için pratik ve kapsamlı bir eğitim sunmaktadır. OpenVPN Açık Ubuntu 22.04 Bu, sistem yöneticileri, DevOps uzmanları, yatırımcılar ve oyuncular için tasarlanmıştır. Adımlar arasında paketlerin yüklenmesi, EasyRSA ile bir PKI oluşturulması, sunucu ve istemcinin yapılandırılması, güvenlik duvarının (ufw/iptables) kurulması, yönlendirmenin etkinleştirilmesi ve güvenlik çözümleri gibi işlemler yer almaktadır. tls-cryptSertifika İptal Listesi (CRL) Yönetimi ve Kullanımı başarısız2ban Olacak.

Ön koşullar

Bu kılavuzu takip etmek için aşağıdakilere ihtiyacınız olacak:

• Bir sunucu Ubuntu 22.04 Erişim yetkisine sahip bir kullanıcı ile sudo
• Herkese açık bir IP adresi veya özel bir IP aralığı (gerekirse IPv4/IPv6).
• Ücretsiz port (önerilen: UDP 1194 veya tarama olasılığını azaltmak için özel bir bağlantı noktası)
• Temel yük için en az 1 GB RAM; kurumsal kullanım veya yüzlerce bağlantı için kaynakları artırın.

Birinci Bölüm — OpenVPN ve EasyRSA Kurulumu

Öncelikle paketleri güncelleyin, ardından OpenVPN ve EasyRSA'yı kurun.

sudo apt update && sudo apt upgrade -y
sudo apt install -y openvpn easy-rsa

EasyRSA şablonunu kopyalayın ve PKI'yı hazırlayın:

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa
./easyrsa init-pki

Bölüm 2 — CA'lar, Anahtarlar ve Sertifikalar Oluşturma

EasyRSA ile CA, anahtarlar ve sertifikalar oluşturma adımları:

./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
./easyrsa gen-req client1 nopass
./easyrsa sign-req client client1
./easyrsa gen-dh
openvpn --genkey --secret /etc/openvpn/ta.key
./easyrsa gen-crl
cp pki/crl.pem /etc/openvpn/crl.pem
chmod 644 /etc/openvpn/crl.pem

Sunucu için gerekli dosyalar:

• /etc/openvp/server.crt
• /etc/openvpn/server.key
• /etc/openvpp/ca.crt
• /etc/openvpp/dh.pem
• /etc/openvpp/ta.key
• /etc/openvpp/crl.pem

Bölüm 3 — OpenVPN Sunucusunun Yapılandırılması

Örnek bir yapılandırma dosyası /etc/openvpn/server/server.conf Oluştur. Aşağıdaki örnek, AES-256-GCM ve tls-crypt kullanan temel ve güvenli bir yapılandırmadır.

port 1194
proto udp
dev tun

ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh.pem
tls-crypt /etc/openvpn/ta.key

server 10.8.0.0 255.255.255.0
ifconfig-pool-persist /var/log/openvpn/ipp.txt

push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 1.1.1.1"
push "dhcp-option DNS 8.8.8.8"

keepalive 10 120
cipher AES-256-GCM
auth SHA256
ncp-ciphers AES-256-GCM
persist-key
persist-tun

user nobody
group nogroup

status /var/log/openvpn/status.log
log /var/log/openvpn/openvpn.log
verb 3

crl-verify /etc/openvpn/crl.pem

İpuçları:

• Kullanımı AES-256-GCM Ve SHA256 kimlik doğrulaması Tavsiye edilen.
• Alım satım veya oyun gibi hassas ağlarda minimum gecikme için, UDP Daha uygundur; sınırlı ağlarda mümkündür. TCP Gerekli olabilir.
• Yapabilirsiniz tls-sürüm-minimum 1.2 Veya tls-sürüm-minimum 1.3 Ve daha sıkı şifreleme yöntemlerinin bir listesini ekleyin.

Bölüm 4 — Yönlendirme ve NAT'ı Etkinleştirme

İstemci trafiğinin internete iletilmesi için yönlendirme etkinleştirilmeli ve NAT yapılandırılmalıdır.

IPv4 yönlendirmeyi geçici olarak etkinleştirin:

sudo sysctl -w net.ipv4.ip_forward=1

Kalıcı hale getirmek için:

echo "net.ipv4.ip_forward=1" | sudo tee /etc/sysctl.d/99-openvpn.conf
sudo sysctl --system

iptables kullanarak bir NAT kuralı ekleme (çıkış arayüzünün eth0 olduğunu varsayarak):

sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Kuralları kalıcı hale getirmek için iptables-persistent veya netfilter-persistent kullanın:

sudo apt install -y iptables-persistent
sudo netfilter-persistent save

Eğer ki nftables NFT'de NAT'ın eşdeğerini tanımlarsınız.

UFW yapılandırması (etkinleştirilmişse)

Eğer ki ufw NAT'ı etkinleştirmeden önce dosyayı kullanırsınız. /etc/ufw/before.rules NAT bölümünü düzenleyin ve ekleyin. Kısa bir örnek:

*nat
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
COMMIT

Sonra /etc/default/ufw Miktar IPV4_YÖNLENDİRME ile "“Evet”" veya sysctl kullanın. Ardından OpenVPN portunu açın ve ufw'yi etkinleştirin:

sudo ufw allow 1194/udp
sudo ufw enable

Bölüm 5 — OpenVPN Hizmetinin Kurulumu

Hizmeti çalıştırın ve etkinleştirin (hizmet adı dağıtıma bağlı olarak değişebilir):

sudo systemctl start [email protected]
sudo systemctl enable [email protected]

Durumu kontrol etmek ve kaydetmek için:

sudo systemctl status openvpn-server@server
journalctl -u openvpn-server@server -f

Bölüm 6 — Satır İçi Sertifikalı Bir İstemci Dosyası (.ovpn) Oluşturma

Dağıtımı kolaylaştırmak için, tümünü içeren bir .ovpn dosyası oluşturun. sertifika/anahtar İçinde satır içi olarak yer alırlar. Oluşturulan değerlere göre aşağıdaki örneği değiştirin:

client
dev tun
proto udp
remote YOUR_SERVER_IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-GCM
auth SHA256
verb 3

<ca>
-----BEGIN CERTIFICATE-----
(محتوای ca.crt)
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
(محتوای client1.crt)
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
(محتوای client1.key)
-----END PRIVATE KEY-----
</key>
<tls-crypt>
-----BEGIN OpenVPN Static key V1-----
(محتوای ta.key)
-----END OpenVPN Static key V1-----
</tls-crypt>

Bu dosyayı Windows, Mac veya Linux istemcilerinize aktarın. Linux'ta NetworkManager'ı veya komutu kullanabilirsiniz. openvpn --config client.ovpn Kullanmak.

Bölüm 7 — Kullanıcı Yönetimi, Sertifika İptali ve Güvenlik

Kullanıcı yönetimi ve güvenliği şunları içerir:

• Yeni kullanıcı ekle: Anahtar oluşturun ve client1 gibi imzalayın.
• Sertifika iptali (geri alma): ./easyrsa revoke client1 && ./easyrsa gen-crl komutunu çalıştırın, ardından crl.pem dosyasını /etc/openvpn/crl.pem konumuna kopyalayın ve sunucuyu yeniden başlatın.
• Sertifika tabanlı ve kullanıcı-şifre tabanlı kimlik doğrulama yöntemlerinin birlikte kullanımı: Güvenliği artırmak için PAM veya RADIUS kullanabilir ve OTP/2FA ekleyebilirsiniz.
• Başarısız2 yasağı: Günlük kayıtlarını izlemek ve izinsiz giriş girişimlerini engellemek için kurulum ve yapılandırma.
• Günlük kaydı yönetimi: Üretim ortamındaki log seviyelerini azaltın ve log dosyalarını korumak için logrotate kullanın.

sudo apt install -y fail2ban
# create a custom jail for openvpn as needed

Bölüm 8 — Uygulamalar için Teknik İpuçları ve Optimizasyon

Farklı senaryolar için bazı pratik öneriler:

Forex ve kripto para alım satımı için

• RTT'yi azaltmak için borsalara veya işlem sunucularına yakın bir konum seçin (örneğin Londra, Frankfurt, New York, Tokyo).
• Alım satım işlemleri için düşük ping süresi, özel kaynaklar ve DDoS saldırılarına karşı koruma sağlayan bir sunucuya sahip özel bir VPS kullanın.
• Parçalanmayı önlemek için UDP kullanın ve uygun MTU değerini ayarlayın (örneğin, tun-mtu 1500 veya daha az).

Oyun için

• En düşük ping değerine sahip bir konum seçin ve hızlı bir ağa sahip VPS veya yüksek hızlı sunucular kullanın.
• VPN'in yönlendirmeyi gerçekten iyileştirip ping süresini azaltıp azaltmadığını görmek için A/B testi.

Yapay zeka ve görüntü oluşturma için

• Büyük veri transferleri için, bulut özel ağları (VPC'ler) veya BGP ile ağ düzeyinde VPN'ler kullanmak daha iyidir.
• GPU sunucusuna bağlanmak için 10 Gbps ağ hızına sahip sunucular kullanın.

Bölüm 9 — Konumların ve Altyapının Karşılaştırılması

Bölgelere göre fayda örnekleri:

• Avrupa (Frankfurt, Londra, Amsterdam): Avrupa'daki yatırımcılar için uygundur ve borsalara düşük gecikme süresi sunar.
• Amerika (NY, NJ, Miami): Kuzey Amerika pazarları ve gecikmeye duyarlı yükler için uygundur.
• Asya (Tokyo, Singapur, Seul): Asya-Pasifik pazarları ve bölgedeki oyun ve yapay zeka hizmetleri için uygundur.

Şirketimizin birden fazla... 85 küresel lokasyonBGP ve CDN ağ iletişimi sunarak gecikmeyi azaltmada, istikrarı artırmada ve DDoS saldırılarını önlemede etkili olabilir.

Bölüm 10 — İzleme ve Bakım

Bakım ve ölçeklenebilirlik ipuçları:

• Prometheus/Grafana veya Zabbix (dışa aktarıcılar veya günlük analizi kullanarak) ile OpenVPN izleme.
• CRL'nin düzenli olarak bakımı ve bağlantı kayıtlarının kontrolü.
• Çok sayıda istemci için, yük dengeleyici ve yüksek kullanılabilirlik (HA) ve paylaşımlı sertifika yetkilisi (CA) özelliklerine sahip birden fazla OpenVPN sunucusu kullanın.

Hızlı sorun giderme

• Kayıtları kontrol edin: sudo journalctl -u openvpn-server@server -e
• Tünel incelemesi: ip a show tun0
• Liman kontrolü: sudo ss -ulpn | grep 1194
• NAT testi: Bir VPN istemcisinden 8.8.8.8 adresine ve sunucunun genel IP adresine ping atın.

Özet ve güvenlik önerileri

Başlıca öneriler:

• Her zaman TLS (tls-crypt) ve güçlü bir CA kullanın.
• Güçlü şifreleme (AES-256-GCM) ve en az TLS 1.2 kullanın.
• Anahtar sızıntısı durumunda erişimi kaldırmak için bir iptal ve CRL prosedürü uygulayın.
• Güvenlik duvarınızda fail2ban ve hız sınırlama kurallarını kullanın.
• Kayıtları düzenli olarak izlemeyi ve incelemeyi unutmayın.

Sağlanan altyapı ve konumların faydaları

Birden fazla lokasyona sahip hazır altyapı kullanmak, düşük ping, artırılmış istikrar ve DDoS koruması gibi avantajlar sağlar. Özel senaryolar için işlem VPS'si, oyun sunucusu, GPU sunucusu ve DDoS karşıtı sunucu gibi seçenekler sunulmaktadır.

Sıkça Sorulan Sorular