Создание OpenVPN на VPS

Автор grotec96, 29 июня 2020, 09:40:12

« назад - далее »

0 Пользователи и 2 гостей просматривают эту тему.

grotec96

Добрый день! Задался вопросом поднятия vpn на vps. Есть несколько вопросов, которые интересуют. Практически во всех иструкциях советуют хранить сертификаты на третьей машине, которая будет выполнять роль центра сертификации. У меня такой возможности нет. Стоит ли продолжать, если сертификаты будут храниться на стороне сервера? Насколько это безопасно? Какие шаги можно принять для того, чтоб максимально себя обезопасить?
Второй вопрос касается настройки клиента на сервере с правами root. Во многих инструкциях настраивается все от рута. А не проще ли создать пользователя и все операции совершать через sudo? Или же некоторые парметры только из под рута доступны?
Можно ли пользоваться скриптами (например этим https://github.com/Nyr/openvpn-install) для быстрой настройки?

endru

Цитата: grotec96 от 29 июня 2020, 09:40:12Практически во всех иструкциях советуют хранить сертификаты на третьей машине, которая будет выполнять роль центра сертификации. У меня такой возможности нет. Стоит ли продолжать, если сертификаты будут храниться на стороне сервера?
В процессе генерации сертификата для сервера и клиентов - нужно держать где-то приватный CA ключ. Где безопасно, там и держите.
Цитата: grotec96 от 29 июня 2020, 09:40:12А не проще ли создать пользователя и все операции совершать через sudo?
Никто не запрещает. Инструкции люди пишут для себя, а не для окружающих. Как удобно так и делайте.
Цитата: grotec96 от 29 июня 2020, 09:40:12Можно ли пользоваться скриптами (например этим https://github.com/Nyr/openvpn-install) для быстрой настройки?
Можно. Если открыть эту ссылку в браузере можно увидеть какие команды там выполняются последовательно.

grotec96

Цитата: endru от 29 июня 2020, 09:56:36
Цитата: grotec96 от 29 июня 2020, 09:40:12Практически во всех иструкциях советуют хранить сертификаты на третьей машине, которая будет выполнять роль центра сертификации. У меня такой возможности нет. Стоит ли продолжать, если сертификаты будут храниться на стороне сервера?
В процессе генерации сертификата для сервера и клиентов - нужно держать где-то приватный CA ключ. Где безопасно, там и держите.
Цитата: grotec96 от 29 июня 2020, 09:40:12А не проще ли создать пользователя и все операции совершать через sudo?
Никто не запрещает. Инструкции люди пишут для себя, а не для окружающих. Как удобно так и делайте.
Цитата: grotec96 от 29 июня 2020, 09:40:12Можно ли пользоваться скриптами (например этим https://github.com/Nyr/openvpn-install) для быстрой настройки?
Можно. Если открыть эту ссылку в браузере можно увидеть какие команды там выполняются последовательно.
Спасибо. А при редактировании файла server.conf в первой графе local IP address вводить ip арендованного сервера? И на стороне клиента так же?

grotec96

и у меня почему-то выдает ошибку при создании сертификата клиента Missing expected CA file: index.txt (perhaps you need to run build-ca?)
Run easyrsa without commands for usage and command help. Почему такое может быть?

grotec96

Цитата: grotec96 от 30 июня 2020, 15:09:20
и у меня почему-то выдает ошибку при создании сертификата клиента Missing expected CA file: index.txt (perhaps you need to run build-ca?)
Run easyrsa without commands for usage and command help. Почему такое может быть?
отвечаю сам на свой же вопрос, из-за этой ошибки пришлось все переделать по новому. во второй раз все нормально было, кроме запуска службы. Фишка заключалась в том что в файле server.conf нужно подробно расписать пути к файлам сертификатов и ключей, после этого запускается нормально