Поддельный wifi с помощью Easy Creds
Продолжим начатое в статье где программа настроена и готова к использованию. Давайте, наконец заставим появиться наш поддельный wifi с помощью этой программы.
Фотографий для наглядности процесса будет больше, чем описания. Придётся потерпеть. Если вы совсем новичок, что-то будет не получаться – просто перезагружайте систему.
Запустите Easy Creds . Пройдите в место, где хранится распакованная папка с файлами (у меня с прошлой статьи она так и осталась в Загрузках), откройте в папке (у меня папке Загрузок) окно терминала и запустите утилиту командой
Она, утилита, в своих настройках содержит прямую процедуру запуска в пункте (так и называется – атака по поддельной точке). Рассмотрим порядок работы конкретно с программой. Однако нередко скрипт выдаёт на определённом этапе ошибку, которая сведёт на нет все усилия хакера. Так что вероятно придётся проводить небольшую предварительную работу.
Поддельный wifi – описание процедуры как есть.
Под рукой оказался модем TL-WDN3200 N600 – не самый лучший вариант модема для Кали Линукс, который, однако, отлично сработал в идентичном способе про Взлом пароля wifi из-под windows. Заказанная карта ещё не пришла, но для примера подойдёт и указанная.
Итак, в окне Easy creds :
…выберем пункт 3.
Теперь выберем пункт 1 – FakeAP Attack Static – атаку с точки. Утилита спросит, не желает ли хакер сразу начать взлом текущей компьютерной сессии (для последующего несанкционированного входа в систему жертвы). Пропустим, ответив нет:
Затем утилита предложит выбрать карту, которая имеет и будет в последующем иметь выход в интернет. Это может быть любой вариант выхода в сеть: напрямую через кабель, модем (самый простой), личную беспроводную точку доступа. На фото – единственная ТД с действующим адресом (eth1). Введём её и подтвердим:
Далее, не торопитесь переходить к следующему пункту. Следующее действо – выбор альфа-карты, которая и будет транслировать жертвам сигнал. Именно к этой карте предъявляются самые жёсткие требования со стороны взломщика. У меня она имеет интерфейс wlan0, и она – единственная в списке подключённых сейчас устройств.
Однако львиную долю хакеров подстерегает ошибка утилиты, которая не очень хорошо справляетcя с дальнейшим переводом альфа-карты (по крайней мере, не всех из мною опробованных) в режим мониторинга. Потому я сразу советую сделать это в отдельном окне терминала и утилитой, специально для того предназначенной.
Откроем новое окно терминала и введём команду
airmon-ng start имя-альфа-карты
У меня такая команда выглядит как:
Обратите внимание, что при попытке перевода карты в режим мониторинга, airmon-ng выдала ошибку о мешающих тому процессах в составе списка (у меня из шести служб). И предлагает их убить одним махом командой:
Не торопитесь. В режим мониторинга часто мешает перейти менеджер сетевых подключений NetworkManager. Его часто и достаточно закрыть. Так и сделаем командой:
и дождёмся успешной смены режима. Вот и он:
Альфа-карта сменила название (у меня она теперь именуется как wlan0mon). Теперь можно вернуться к окну Easy creds в пункте, который требовал имя альфа-карты. Самый момент ввести имя карты, и это должно быть имя карты в режиме мониторинга. Его я и ввожу в Easy creds:
Строка ESSID you would like your rogue AP to be called, example FreeWiFi спрашивает, каким именем вы хотите назвать беспроводную ТД. Хакеры обычно именуют её неприметным и логичным названием, если хотят (a) затеряться среди остальных реальных бесплатных точек торгового центра или (б) подставить существующее название реальной ТД с одновременной её блокировкой от подключённых клиентов. Сейчас же назовите как хотите, например, просто 1. Затем номер транслируемого канала. Вы берите от 1 до 12, однако знайте, что предпочтительнее всего действовать на самом незанятом другими ТД канале во избежание помех с их стороны. Мощность альфа-карты хакера в этот момент приобретает . Но потренироваться в своей комнате можно и с такой слабенькой, как у меня. Так вот, я выберу канал 6, он обычно редко используется окружающими:
Через секунду easy creds сообщит об успешном переводе карты в режим мониторинга и спросит о её новом названии. Можете имя карты не изменять и снова повторить имя интерфейса. У меня, напомню, оно wlan0mon
Следующая же строка – предложение сменить MAC адрес карты. Пока откажемся – N. Введём название поддельного интерфейса. В статье настройки мы его уже установили: at0. Его и вводим.
Далее. Утилита спрашивает, имеется ли у нас файл конфигурации сервера. Есть или его можно создать, но я посоветую вам ответить N – утилита сама напишет новый файл без проблем, а вам ничего не придётся искать и изменять:
Далее копируем предложенные адреса и поехали…
Ждём запуска и поддельный wifi готов к работе.
Самый простой способ узнать, как поддельный wifi работает, это подключиться к нему с любого устройства через wifi. Я подключусь к ней со смартфона на операционной системе Андроид. Утилиты готовы к работе, стабильность соединения клиента-жертвы и оборудования хакера зависит от качества оперируемых инструментов взломщика. Указанный модем отрабатывает ни шалко ни валко.
Вроде всё, извините, ежели что напутал или подзабыл. Тренируйте мозг. Как это работает и что сие значит, рассмотрим позже. Пока отрабатывайте действия до автоматизма.
Easy creds . Установка и настройки.
Устанавливаем и настраиваем easy creds
Приветствую вас, сейчас будем рассматривать установку скрипта easy-creds на кали линукс, у меня версия Кали 2.0, на предыдущую easy-creds станет также без проблем. Скрипт easy creds – идеальное решение для того, кто хочет быстро (в последующем) и изящно создать поддельную беспроводную ТД, попутно запуская сниферы и анализаторы трафика. Сейчас – только установка и коррекция кода во избежание ошибок, которые будут сопровождать хакера в последующем.
Настоятельно советую часть с ручной правкой кода советую не пропускать. Работа с easy creds в том виде, как она поступает, порой невозможна, так как некоторые из установленных утилит из состава пакета aircrack-ng в обновлённой версии идут с ошибками. Так что, если “каменный цветок не выходит”, обратитесь к статье ?
Easy creds . Приступаем к установке.
Последнюю версию easy creds можно скачать на Sourceforge.net Вы скачаете архив tar.gz, который и распакуем. Отправляемся в папку загрузок:
Видим в ней искомый архив, откроем в папке терминал и вводим команду на распаковку архива (просто скопируйте его имя полностью):
Переходим в подкаталог /easy-creds:
Посмотрим, что там есть командой ls:
Ставим доступ к файлам и дополнительным атрибутом исполняем скрипт:
Ещё раз команда ls и запустим установщик:
Выбираем в новом окне версию нашей операционной системы. Для Кали Линукс, напомню, это 1-й пункт:
Выберем директорию по умолчанию:
/opt
Началась установка. Некоторые библиотеки, установленные в моей Кали, имеют более новые версии, и установщик это видит:
Удачная установка заканчивается пожеланием удачной охоты …happy hunting !. Попробуем запустить. Откройте новое окно терминала и наберите easy creds
и сразу выберем первый пункт для завершения настроек Prerequisites & Configurations.
Мы попадём в следующее окошко и выберем пункт 1 . В окне редактора стрелочкой ВНИЗ доходим до пункта привилегий [privs] и обнулим их значения:
ec_uid = 0
ec_gid = 0
Окно не закрываем. Спустимся ещё ниже (нажмите три раза клавишу PageDown) и найдите настройки Linux. В пункте if you use iptables в обеих строчках снимите значки “ # “. Теперь строчки выглядят так:
Сохранимся через Ctrl + O, Enter; командой Ctrl + X закроем окно редактора.
В окне easy creds теперь выберем второй пункт и снова запустим редактор. Клавишей PageDown ищем пункт с характерным названием microsoft sucks 😉 redirect to www.linux.org и добавим некоторые строчки для перехвата поиска будущих жертв по конкретным сайтам. Этот список мы ещё не раз будем редактировать, пока введём, скажем, самую популярную соцсеть . Сделайте вот так:
Причём указанный адрес IP – это адрес вашей карты (модема). Его легко узнать, набрав в новом окне терминала команду ifconfig
Сохраняемся как в прошлый раз: Ctrl + O, Enter; командой Ctrl + X закроем окно редактора. И ещё раз обратимся к меню программы. Теперь переходим к 3-му пункту easy-creds: установка dhcp сервер. Просто выберите 3 и через пару мгновений сервер у вас на борту. Это же можно сделать и в новом окне терминала командой
Лично мне хватило команд из меню easy-creds . Теперь нас интересует 5-й пункт утилиты: установка, а точнее, добавление интерфейса для запускаемого в будущем сервера. В появившемся окне редактора прокрутите клавишей “вниз” до последней строке и установите значение
INTERFACES=”at0″ (запомните название интерфейса, оно будет нас сопровождать постоянно):
Сохраняемся, клавиша “Ёптер” и выходим. Закрываем терминал, перезагружаемся. Easy-creds настроена для создания поддельной точки. Остальные настройки будут касаться конкретных задач и будут рассмотрены на конкретных примерах.
The domain name
Make an offer
Make an offer
Covered by our Buyer Protection Program
Get this domain
in less than 24 hours
Safe payments by our payment processor Adyen
Seller’s notes about this domain
RELATED PREMIUM GTLD SALES
shop.app 200,000 USD, 2020-03-25
online.casino 510,000 USD, 2018-06-30
vacation.rentals 500,300 USD, 2017-12-04
home.loans 500,000 USD, 2017-12-31
free.games 335,000 USD, 2019-05-26
the.club 300,000 USD, 2017-12-12
casino.online 201,250 USD, 2017-03-20
video.games 183,000 USD, 2017-02-02
Buyer Protection Program
DAN.COM is a third party domain escrow & transfer provider. We safeguard all domain purchases conducted on our marketplace. All transactions are protected by our careful escrow process & team. DAN.COM also offers post transaction support to our buyers at no additional cost. Here is how our escrow process works:
First, we secure the domain from its current owner. Then, we help you become the new owner. Finally, we only proceed with paying the seller out after you confirm the reception of the domain.
DAN.COM’s escrow agents monitor every transaction and swiftly intervene in case of a problem.
Sellers go through a careful verification process before they can join our marketplace.
You receive all the documentation necessary to acquire the domain from the seller.
If the seller doesn’t deliver on their part of the deal, we refund you within 24 hours.
Fast Domain Transfers
Transferring a domain tends to take a long time, a very long time actually. But who says it has to be like this?
98% of the transactions conducted on DAN.COM are completed within 24 hours after payment!
We secure the domain from its current owner and send you the transfer instructions right after you pay.
Getting a new domain no longer needs to take a lot of time!
Safe Payments By Adyen
Adyen is a global payment company offering businesses an end-to-end infrastructure delivering frictionless payments anywhere in the world.
Popular payment methods
With Adyen and DAN.COM, you can purchase domain names with the payment options you know and trust.
Comprehensive risk management
RevenueProtect is an integrated risk management system designed to maintain the perfect balance between your safety and that of the seller.
Powering growth for leading industries
Adyen helps some of the world’s leading brands accelerate their growth in specific industries.
Buyer Protection Program
DAN.COM is a third party domain escrow & transfer provider. We safeguard all domain purchases conducted on our marketplace. All transactions are protected by our careful escrow process & team. DAN.COM also offers post transaction support to our buyers at no additional cost. Here is how our escrow process works:
First, we secure the domain from its current owner. Then, we help you become the new owner. Finally, we only proceed with paying the seller out after you confirm the reception of the domain.
DAN.COM’s escrow agents monitor every transaction and swiftly intervene in case of a problem.
Sellers go through a careful verification process before they can join our marketplace.
You receive all the documentation necessary to acquire the domain from the seller.
If the seller doesn’t deliver on their part of the deal, we refund you within 24 hours.
Fast Domain Transfers
Transferring a domain tends to take a long time, a very long time actually. But who says it has to be like this?
98% of the transactions conducted on DAN.COM are completed within 24 hours after payment!
We secure the domain from its current owner and send you the transfer instructions right after you pay.
Getting a new domain no longer needs to take a lot of time!
Safe Payments By Adyen
Adyen is a global payment company offering businesses an end-to-end infrastructure delivering frictionless payments anywhere in the world.
Popular payment methods
With Adyen and DAN.COM, you can purchase domain names with the payment options you know and trust.
Comprehensive risk management
RevenueProtect is an integrated risk management system designed to maintain the perfect balance between your safety and that of the seller.
Powering growth for leading industries
Adyen helps some of the world’s leading brands accelerate their growth in specific industries.
Установка и настройка OpenVPN в Linux
VPN – Virtual Private Network, т. е. защищённая частная сеть, которая объединяет в себе несколько разных сетей, соединённых через Интернет. OpenVPN – это свободная реализация этой технологии. Сети VPN удобны тем, что позволяют получить доступ к частным сетям из любой точки в сети Интернет верифицированным клиентам. Многие организации таким образом строят свои локальные или интрасети, когда их офисы (сервера и компьютеры) расположены далеко (даже на разных континентах) друг от друга. Это единственный вариант в такой ситуации поскольку аренда выделенного физического канала связи (кабели по дну моря например) — слишком дорогое удовольствие. Таким образом сотрудники могут подключаться к сети своей организации из дома или из любой другой точки, имея только доступ в интернет и специальный ключ. Именно с помощью ключей шифрования организуется туннели связи, объединяющие разные сети в одну защищённую VPN-структуру.
Что для этого нужно?
Настройка OpenVPN требует наличия следующих компонентов:
- несколько компьютеров-клиентов для организации, собственно, инфраструктуры сети VPN;
- OpenVPN на всех компьютерах-клиентах;
- Easy-RSA – для организации центров сертификации и работы с ключами, также на всех компьютерах;
- корректно настроенный центр сертификации.
Следует отметить, что центр сертификации (ЦС) рекомендуется использовать на отдельной машине. ЦС служит для обслуживания запросов на сертификаты.
Установка ПО
Это, пожалуй самый простой этап. Здесь достаточно воспользоваться менеджером пакетов или системой управления пакетами (СУП) для установки требуемых пакетов ПО. Для любого из популярных дистрибутивов Linux они доступны из стандартный репозиториев. Например, для Ubuntu 18.04:
В зависимости от используемого дистрибутива наименования пакетов могут различаться. Оба пакета нужно устанавливать и на сервере, и у клиентов.
Организация центра сертификации
Это очень важный этап, поскольку от наличия собственного ЦС зависит безопасность организуемой сети VPN. Также это удобно, поскольку собственный ЦС позволяет легко управлять ключами и сертификатами, а также распространять их для клиентов. Также отпадает необходимость хранения всех сертификатов клиентов, поскольку их подписи находятся у ЦС.
ЦС будет находиться в каталоге /etc/openvpn/easy-rsa . Вообще, ЦС можно разместить где угодно. Также необходимо скопировать в хранилище конфигурационные скрипты Easy-RSA:
Теперь необходимо развернуть сам ЦС в каталоге /etc/openvpn/easy-rsa . Для этого следует выполнить в нём некоторые скрипты (которые ранее были сюда скопированы) для создания инфраструктуры для работы ЦС:
Для удобства командная консоль была переведена в «суперпользовательский» режим командой sudo -i. Вторая команда устанавливает все необходимые переменные окружения. Третья команда проверяет, существует ли каталог keys/ и если его нет, то создаёт его. Если он существует, то производится очистка его содержимого. Далее устанавливаются необходимые режимы доступа. Четвёртая команда помещает в keys/ серверные ключи и сертификаты по-умолчанию.
Генерация и настройка ключей клиентов
На данном этапе нужно произвести похожие настройки для Easy-RSA на клиентских машинах, с той лишь разницей, что генерировать ключи нужно на основе главного сертификата серверной машины, на которой работает OpenVPN-сервер. Главный сертификат нужно скопировать на клиентские машины. Но для начала следует создать инфраструктуру клиентского окружения для работы с ключами:
Далее, нужно скопировать главный сертификат сервера (файл *.crt) на все клиентские компьютеры. Для этого удобно использовать утилиту scp:
Далее можно создавать (генерировать) клиентские ключи, используя скопированный с сервера сертификат. Для этого на клиентском компьютере в каталоге /etc/openvpn/easy-rsa нужно выполнить следующие команды:
Важно понимать, что для того, чтобы генерация клиентских ключей была возможной, необходимо, чтобы серверный сертификат находился в каталоге keys/ у клиентов. Сгенерированные в результате клиентские ключи позволяют подключаться к серверу OpenVPN. Однако, для того, чтобы сервер их принимал и предоставлял доступ к VPN-сети, необходимо, чтобы эти ключи (файлы *.csr) были подписаны на самом сервере. Можно также, используя SCP, отправить их на сервер:
$ scp /etc/openvpn/easy-rsa/keys/John.csr username@host:
Теперь, на сервере, предварительно перейдя в каталог /etc/openvpn/easy-rsa , можно выполнить подпись переданного ключа John.csr:
В результате будет создан уже подписанный сервером сертификат, который необходимо отдать клиенту:
На этом организация инфраструктуры для работы с ключами (и сертификатами) завершена. Теперь этого достаточно, чтобы сервер OpenVPN и клиенты установили защищённую связь. Однако необходимо ещё произвести некоторые настройки самой системы OpenVPN.
Также, если планируется для более надёжной защиты использовать TLS-шифрование, то на стороне сервера всё в том же в каталоге /etc/openvpn/easy-rsa выполнить команду:
Настройка сервера OpenVPN
После установки OpenVPN обычно по-умолчанию никаких конфигурационных файлов для работы не предоставляется. Это сделано потому, что для начала нужно определить, как использовать OpenVPN на конкретной машине: в качестве сервера или клиента. Только после этого должна определяться конфигурация, которая, как можно понимать, будет различаться для сервера и для клиента.
Для более удобного задания конфигурации существуют файлы-шаблоны, доступные в /usr/share/doc/openvpn/examples/sample-config-files/ . На их основе можно относительно быстро сконфигурировать целый сервер OpenVPN или его клиент:
Эта команда (точнее конвейер команд) извлечёт и архива server.conf.gz текстовые данные и создаст из них конфигурационный файл server.conf с базовыми настройками работы OpenVPN-сервера. Теперь нужно задать, собственно, актуальные опции. Протокол и номер порта:
Серверные ключи и сертификаты из каталога /etc/openvpn/easy-rsa/keys также необходимо определить в конфигурации:
Также нужно указать диапазон VPN-сети:
Эта запись определяет адрес самого OpenVPN-сервера (10.8.0.0), а также маску его сети. В итоге рабочая конфигурация должна выглядеть следующим образом:
Теперь можно сохранить файл server.conf. Настройка сервера OpenVPN завершена. Далее нужно выполнить его запуск с помощью команды openvpn, указав соответствующий конфигурационный файл:
Настройка клиентов OpenVPN
Теперь необходимо настроить клиентские машины. Также нужно воспользоваться файлами шаблонами, но они доступны без распаковки:
Для клиента может быть задано несколько конфигурационных файлов для подключения к разным серверам OpenVPN. Ключевыми параметрами для клиентской конфигурации являются , , , а также :
Здесь задаёт IP-адрес сервера OpenVPN в Интернет, а также порт подключения, который должен совпадать с тем, что указан в серверной конфигурации. Параметр – это серверный сертификат, а – созданный на его основе ключ John.csr, а теперь подписанный сертификат John.crt. Параметр – это закрытый ключ клиента. Следует отметить, что именно при помощи параметров cert и key обеспечивается подключение клиентов к сети VPN.
Готовая рабочая клиентская конфигурация будет следующей:
Теперь можно запускать OpenVPN на клиентском компьютере:
После этого, если всё настроено правильно, клиенты подключатся к VPN. Но на этом ещё не всё. Необходимо настроить перенаправление для туннеля VPN, чтобы пользователи могли направлять и получать через него трафик. Для начала необходимо разрешить серверу пропускать пакеты:
Затем разрешить всем подключаться к серверу OpenVPN:
Ну а также разрешить клиентам доступ в интернет через туннель:
Предыдущие три правила iptables стоит применять, когда в сети действует запрещающая политика. Также нужно следить за тем, чтобы брандмауэр не блокировал подключения по протоколу UDP к OpenVPN-серверу.
Заключение
В заключение необходимо отметить, что настройка сети VPN – довольно трудоёмкое и ответственное занятие. Особое внимание здесь нужно уделять организации ЦС, распространению ключей и сертификатов, а также форвардингу пакетов. Поэтому для таких задач очень важно иметь хорошую квалификацию по администрированию сетей. Также стоит учитывать, что была рассмотрена настройка OpenVPN для систем Ubuntu, однако принципиальной разницы для других дистрибутивов нет.
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите .
Net Creds – инструмент для поиска паролей и хэшей в сети с открытым исходным кодом
Net Creds – бесплатный инструмент, который перехватиывает пароли и хэши из сетевого интерфейса. Инструмент запускает атаку MITM для захвата сетевых пакетов и, в конечном счете, учетных данных для входа. Атака MITM работает для протоколов, которые отправляют учетные данные в виде открытого текста. Примеры протоколов включают HTTP, TELNET, POP, SNMP, IMAP и NNTP. Эти протоколы уязвимы для атаки MITM, поскольку они держат пароль в незашифрованном формате. Net Creds способен перехватывать сетевые запросы на основе аналогичных протоколов, таких как HTTP-поиск, HTTP-формы, базовая аутентификация HTTP, POP-логины, логины IRC, логины FRP, логины SMTP, логины IRC, учетные записи IMAP и все поддерживаемые протоколы NTLM версии 1 и версии2.
Как установить Net Creds
Net Creds – это инструмент на основе python, который требует использования библиотеки scapy и wsgiref. Net Creds работает как на Linux, так и на ОС Windows. Linux (Kali) имеет встроенный пакет Python, однако для установки Windows для запуска скрипта рекомендуется использовать компилятор python. Инструмент можно загрузить из репозитория github, используя следующую команду.
git clone https://github.com/DanMcInerney/net-creds
Кража паролей с помощью Net Creds
Net Creds способен красть учетные данные как с интерфейса, так и с файла pcap. Чтобы автоматически обнаружить доступный интерфейс, выполните следующую команду на терминале ОС.
sudo python net-creds.py
Инструмент обнаружил «eth0» в качестве доступного сетевого интерфейса. Следующая команда может использоваться для начала кражи на доступном интерфейсе i-e ‘eth0’.
sudo python net-creds.py -i eth0
Чтобы проверить работу инструмента откроем пример веб-приложения, работающего по протоколу HTTP. Также войдем в веб-приложение, чтобы проверить, не вошли ли учетные данные для входа в Net Cred. После запуска веб-приложения в браузере инструмент начинает собирать пакеты и учетные данные для входа, как показано на следующем снимке экрана.
Пакеты с определенного IP-адреса можно игнорировать, используя следующую команду.
sudo python net-creds.py -f
Аналогично, следующая команда может использоваться для чтения пакетов из файла pcap.
Выводы об инструменте Net Creds
Net Creds прост в установке и использовании. Инструмент способен захватывать пакеты и незашифрованные пароли из известных сетевых протоколов. В настоящее время большинство сетевых служб используют широкую технологию шифрования для совместного использования учетных данных паролей. Аналогично, большинство веб-приложений работают по протоколу HTTPS. Инструмент должен быть обновлен, чтобы включать в себя потенциальные смягчения, такие как SSLstrip.
Подписывайтесь на обновление сайта, а также на наш Telegram.
Установка и настройка OpenVPN (клиента и сервера) и Easy-RSA 3 в CentOS 7
Установка и настройка OpenVPN (клиента и сервера) и Easy-RSA 3 в CentOS 7
OpenVPN — свободная реализация технологии виртуальной частной сети с открытым исходным кодом для создания зашифрованных каналов типа точка-точка или сервер-клиенты между компьютерами.
Easy-RSA — программа для создания и ведения инфраструктуры открытых ключей (PKI) в openVPN
Установка необходимого софта
Добавляем репозиторий EPEL и обновляемся
Устанавливает OpenVPN 2.4 и Easy-RSA 3
Проверим их версии
Настройка Easy-RSA 3
Скопируем скрипты easy-rsa в каталог /etc/openvpn/
Переходим в каталог /etc/openvpn/easy-rsa/3/ и создаем там файл vars
Делаем файл исполняемым
Создание ключа и сертификата для OpenVPN Сервера
Прежде чем создавать ключ, нам нужно инициализировать каталог PKI и создать ключ CA.
На этом необходимо придумать пароль для своего CA-ключа, чтобы сгенерировались файлы ‘ca.crt’ и ‘ca.key’ в каталоге ‘pki’.
Этот пароль нам потребуется дальше
Создаем корневой сертификат
Создадим ключ сервера (название сервера srv-openvpn)
опция nopass — отключение пароля для srv-openvpn
Создаем ключ сервера
Подпишем ключ srv-openvpn используя наш CA-сертификат
В процессе у нас спросят пароль, который мы задавали ранее
Подписываем ключ, используя CA-сертификат
Проверим файлы сертификата, что бы убедится, что сертификаты сгенерировались без ошибок
Все сертификата OpenVPN сервера созданы.
- Корневой сертификат расположен: ‘pki/ca.crt’
- Закрытый ключ сервера расположен: ‘pki/private/srv-openvpn.key’
- Сертификат сервера расположен: ‘pki/issued/srv-openvpn.crt’
Создание ключа клиента
Сгенерируем ключ клиента client-01
Генерируем ключ клиента
Теперь подпишем ключ client-01, используя наш CA сертификат
В процессе у нас спросят пароль, который мы задавали ранее
Подписываем ключ клиента, используя корневой сертификат
Проверим файлы сертификата
Дополнительная настройка OpenVPN сервера
Сгенерируем ключ Диффи-Хеллмана
Генерация ключа Диффи-Хеллмана
Если мы в дальнейшем планируем отзывать клиентские сертификаты, нам необходимо сгенерировать CRL ключ
В процессе у нас спросят пароль, который мы задавали ранее
Для того, что бы отозвать сертификат надо выполнить команду:
где client-02 имя сертификата, который мы отзываем
Все необходимые сертификаты созданы, теперь их надо скопировать в директории
Копируем сертификаты сервера
Копируем сертификаты клиента
Копируем ключи DH и CRL
. Проверить, надо ли перегенерировать CRL и заново копировать его в каталог /etc/openvpn/server/ после отзыва сертификата .
Настройка OpenVPN сервера
Создадим файл конфигурации server.conf
Настройка Firewalld
Активируем модуль ядра port-forwarding
Добавим службу openvpn в firewalld, и интерфейс tun0 в доверенную зону
Активируем ‘MASQUERADE’ для доверенной зоны firewalld
Запустим OpenVPN и добавим его в автозагрузку
Проверяем, запущен ли OpenVPN
Настройка OpenVPN клиента
Создадим файл конфигурации client-01.ovpn
В строке ‘remote xx.xx.xx.xx 1194‘ надо прописать IP-адрес вместо ‘xx.xx.xx.xx‘
Теперь для надо заархивировать сертификаты (ca.crt, client-01.crt), ключ клиента (client-01.key), файл конфигурации (client-01.ovpn), и передать их на ПК, который будет подключаться к OpenVPN серверу
Установим архиватор zip и создадим архив с файлами
Пробуем подключиться с другого ПК к OpenVPN серверу и смотрим лог:
Смотрим log-файл OpenVPN сервера
У блога появился хостинг, его любезно предоставила компания Облакотека. Облакотека — облачные сервисы для создания и управления виртуальной ИТ-инфраструктурой.
Если вам понравился мой блог и вы хотели бы видеть на нем еще больше полезных статей, большая просьба поддержать этот ресурс.
Здрвствуйте.
Подключение проходит, устанавливается, но на келиентской машине пропадает интернет, работает только локалка.
Извинете, ложная паника. 🙂 Ошибку нашёл и исправил, она была в роутинге. Ошибка моя, не ваша. Спасибо за статью.
Благодарю за отзыв 🙂
Спасибо Автору! Очень полезная и хорошая статья, а главное актуальная по релизам на день когда я настраивал. По долгу службы, впервые настраиваю OpenVPN сервер, уже 3 дня мучаюсь, а с этой статьей всего за пол часа всё поднял.
Единственное, что в чистой CentOS 7 не установлен net-tools по умолчанию.
Благодарю за отзыв. Рад, что статья оказалась полезной 🙂
У себя на работе обычно использую дистрибутив CentOS 7 minimal. Что бы в системе было как можно меньше мусора из не нужного ПО. И доустанавливаю недостающий софт.
Спасибо за статью!
И пара маленьких замечаний, если позволите.
В файле vars Вы указываете опцию EASYRSA_DN «cn_only».
В этом случае в поле Subject для сертификатов будет добавлено только значение CN (CommonName).
Остальные значения Country/Province/City/Org/OU/email добавлены не будут.
Лучше тогда использовать EASYRSA_DN «org».
EASYRSA_KEY_SIZE 4096
Рекомендуемое значение 2048. Пишут, что большие размеры ключей замедляют согласование TLS
и делают генерацию параметров ключей / DH более длительной.
Но это нужно проверять.
Источник: