Cách thiết lập và cấu hình server OpenVPN trên CentOS 7

Mạng riêng ảo (VPN) cho phép bạn truy cập các mạng không tin cậy như thể bạn đang ở trên một mạng riêng. Nó cho phép bạn tự do truy cập Internet một cách an toàn và bảo mật từ điện thoại thông minh hoặc notebook của bạn khi được kết nối với mạng không tin cậy , như WiFi tại khách sạn hoặc quán cà phê.

---

Khi được kết hợp với kết nối HTTPS , cài đặt này cho phép bạn bảo mật thông tin đăng nhập và giao dịch không dây của bạn . Bạn có thể vượt qua các hạn chế địa lý và kiểm duyệt, đồng thời che chắn vị trí của bạn và bất kỳ lưu lượng truy cập HTTP không được mã hóa nào khỏi mạng không tin cậy .

OpenVPN là một giải pháp VPN Lớp cổng bảo mật (SSL) open-souce đầy đủ tính năng, có thể đáp ứng nhiều loại cấu hình. Trong hướng dẫn này, bạn sẽ cài đặt OpenVPN trên server CentOS 7, sau đó cấu hình nó để có thể truy cập được từ client .

Lưu ý: Nếu bạn định cài đặt server OpenVPN trên DigitalOcean Server, hãy lưu ý ta , giống như nhiều nhà cung cấp dịch vụ lưu trữ, tính phí băng thông trung bình. Vì lý do này, hãy lưu ý đến lượng lưu lượng truy cập mà server của bạn đang xử lý.

Xem trang này để biết thêm thông tin.

Yêu cầu

Để làm theo hướng dẫn này, bạn cần :

• Một server CentOS 7 với một user không phải root có quyền sudo và một firewall được cài đặt với firewalld, bạn có thể đạt được điều này với Hướng dẫn Cài đặt Server Ban đầu với CentOS 7 của ta và Các bước Khuyến nghị Bổ sung cho Server CentOS 7 Mới .

• Miền hoặc domain phụ phân giải tới server của bạn mà bạn có thể sử dụng cho các certificate . Để cài đặt điều này, trước tiên bạn cần đăng ký một domain và sau đó thêm bản ghi DNS thông qua Control panel DigitalOcean . Lưu ý chỉ cần thêm một bản ghi A sẽ đáp ứng các yêu cầu của hướng dẫn này.

• Máy khách mà bạn sẽ sử dụng để kết nối với server OpenVPN của bạn . Vì mục đích của hướng dẫn này, bạn nên sử dụng máy local của bạn làm ứng dụng client OpenVPN.

Với các yêu cầu này, bạn đã sẵn sàng bắt đầu cài đặt và cấu hình server OpenVPN trên CentOS 7.

Bước 1 - Cài đặt OpenVPN

Để bắt đầu, ta sẽ cài đặt OpenVPN trên server . Ta cũng sẽ cài đặt Easy RSA, một công cụ quản lý cơ sở hạ tầng public key sẽ giúp ta cài đặt cơ quan cấp certificate nội bộ (CA) để sử dụng với VPN của ta . Ta cũng sẽ sử dụng Easy RSA để tạo các cặp khóa SSL sau này nhằm bảo mật các kết nối VPN.

Đăng nhập vào server với quyền là user sudo không phải root và cập nhật danh sách gói đảm bảo bạn có tất cả các version mới nhất.

sudo yum update -y 

Kho lưu trữ Extra Packages for Enterprise Linux (EPEL) là một repository bổ sung do Dự án Fedora quản lý chứa các gói không chuẩn nhưng phổ biến. OpenVPN không có sẵn trong repository lưu trữ CentOS mặc định nhưng nó có sẵn trong EPEL, vì vậy hãy cài đặt EPEL:

sudo yum install epel-release -y 

Sau đó, cập nhật danh sách gói của bạn :

sudo yum update -y 

Tiếp theo, cài đặt OpenVPN và wget , mà ta sẽ sử dụng để cài đặt Easy RSA:

sudo yum install -y openvpn wget 

Sử dụng wget , download Easy RSA. Với mục đích của hướng dẫn này, ta khuyên bạn nên sử dụng easy-rsa-2 vì có nhiều tài liệu hơn cho version này. Bạn có thể tìm thấy liên kết download version mới nhất của easy-rsa-2 trên trang Phát hành của dự án:

wget -O /tmp/easyrsa https://github.com/OpenVPN/easy-rsa-old/archive/2.3.3.tar.gz 

Tiếp theo, extract file nén bằng tar :

tar xfz /tmp/easyrsa 

Thao tác này sẽ tạo một folder mới trên server của bạn có tên easy-rsa-old- 2.3.3 . Tạo một folder con mới trong /etc/openvpn và đặt tên là easy-rsa :

sudo mkdir /etc/openvpn/easy-rsa 

Sao chép file Easy RSA đã extract vào folder mới:

sudo cp -rf easy-rsa-old-2.3.3/easy-rsa/2.0/* /etc/openvpn/easy-rsa 

Sau đó, thay đổi chủ sở hữu của folder thành user sudo không phải root của bạn:

sudo chown sammy /etc/openvpn/easy-rsa/ 

Khi các chương trình này được cài đặt và đã được chuyển đến đúng vị trí trên hệ thống của bạn, bước tiếp theo là tùy chỉnh cấu hình phía server của OpenVPN.

Bước 2 - Cấu hình OpenVPN

Giống như nhiều công cụ open-souce được sử dụng rộng rãi khác, có hàng tá tùy chọn cấu hình có sẵn cho bạn. Trong phần này, ta sẽ cung cấp hướng dẫn về cách cài đặt cấu hình server OpenVPN cơ bản.

OpenVPN có một số file cấu hình ví dụ trong folder tài liệu của nó. Đầu tiên, sao chép file server.conf mẫu làm điểm bắt đầu cho file cấu hình của bạn .

sudo cp /usr/share/doc/openvpn-2.4.4/sample/sample-config-files/server.conf /etc/openvpn 

Mở file mới để chỉnh sửa bằng editor mà bạn chọn. Ta sẽ sử dụng nano trong ví dụ của bạn , bạn có thể download bằng lệnh yum install nano nếu bạn chưa có nó trên server của bạn :

sudo nano /etc/openvpn/server.conf 

Có một vài dòng ta cần thay đổi trong file này, hầu hết chỉ cần bỏ ghi chú bằng cách bỏ dấu chấm phẩy , ; , ở đầu dòng. Các chức năng của các dòng này và các dòng khác không được đề cập trong hướng dẫn này, được giải thích sâu trong các comment ở trên mỗi dòng.

Để bắt đầu, hãy tìm và bỏ comment chứa push "redirect-gateway def1 bypass-dhcp" . Làm điều này sẽ yêu cầu khách hàng của bạn chuyển hướng tất cả lưu lượng truy cập của nó thông qua server OpenVPN của bạn. Lưu ý việc bật chức năng này có thể gây ra sự cố kết nối với các dịch vụ mạng khác, như SSH:

push "redirect-gateway def1 bypass-dhcp" 

Vì client của bạn sẽ không thể sử dụng các server DNS mặc định do ISP của bạn cung cấp (vì lưu lượng truy cập của nó sẽ được định tuyến lại), bạn cần cho nó biết server DNS nào mà nó có thể sử dụng để kết nối với OpenVPN. Bạn có thể chọn các server DNS khác nhau, nhưng ở đây ta sẽ sử dụng các server DNS công cộng của Google có IP là 8.8.8.8 và 8.8.4.4 .

Đặt điều này bằng cách bỏ ghi chú cả hai dòng push "dhcp-option DNS ..." và cập nhật địa chỉ IP:

push "dhcp-option DNS 8.8.8.8" push "dhcp-option DNS 8.8.4.4" 

Ta muốn OpenVPN chạy mà không có quyền khi nó đã khởi động, vì vậy ta cần yêu cầu nó chạy với user và group không ai cả . Để kích hoạt điều này, hãy bỏ ghi chú user nobody và group nobody dòng:

user nobody group nobody 

Tiếp theo, bỏ comment topology subnet . Điều này, cùng với dòng server 10.8.0.0 255.255.255.0 bên dưới, cấu hình cài đặt OpenVPN của bạn để hoạt động như một mạng con và cho client biết địa chỉ IP nào nó nên sử dụng. Trong trường hợp này, server sẽ trở thành 10.8.0.1 và client đầu tiên sẽ trở thành 10.8.0.2 :

topology subnet 

Bạn cũng nên thêm dòng sau vào file cấu hình server của bạn . Điều này kiểm tra kỹ xem bất kỳ certificate client nào đến có thực sự đến từ client hay không, củng cố các thông số bảo mật mà ta sẽ cài đặt trong các bước sau:

remote-cert-eku "TLS Web Client Authentication" 

Cuối cùng, OpenVPN thực sự khuyến nghị user nên bật Xác thực TLS, một giao thức mật mã đảm bảo giao tiếp an toàn qua mạng máy tính. Để làm điều này, bạn cần tạo khóa mã hóa tĩnh (được đặt tên trong ví dụ của ta là myvpn .tlsauth , mặc dù bạn có thể chọn bất kỳ tên nào bạn thích). Trước khi tạo khóa này, hãy comment dòng trong file cấu hình chứa tls-auth ta.key 0 bằng cách thêm dấu chấm phẩy vào trước. Sau đó, thêm tls-crypt myvpn .tlsauth vào dòng bên dưới:

;tls-auth ta.key 0 tls-crypt myvpn.tlsauth 

Lưu và thoát khỏi file cấu hình server OpenVPN (trong nano, nhấn CTRL - X , Y , sau đó ENTER để thực hiện ), sau đó tạo khóa mã hóa tĩnh bằng lệnh sau:

sudo openvpn --genkey --secret /etc/openvpn/myvpn.tlsauth 

Bây giờ server của bạn đã được cấu hình , bạn có thể chuyển sang cài đặt các khóa và certificate SSL cần thiết để kết nối an toàn với kết nối VPN của bạn .

Bước 3 - Tạo khóa và certificate

Easy RSA sử dụng một tập hợp các tập lệnh được cài đặt trong chương trình để tạo các khóa và certificate . Để tránh cấu hình lại mỗi khi cần tạo certificate , bạn có thể sửa đổi cấu hình của Easy RSA để xác định các giá trị mặc định mà nó sẽ sử dụng cho các trường certificate , bao gồm quốc gia, city và địa chỉ email bạn muốn .

Ta sẽ bắt đầu quá trình tạo khóa và certificate bằng cách tạo một folder nơi Easy RSA sẽ lưu trữ bất kỳ khóa và certificate nào bạn tạo:

sudo mkdir /etc/openvpn/easy-rsa/keys 

Các biến certificate mặc định được đặt trong file vars trong /etc/openvpn/easy-rsa , vì vậy hãy mở file đó để chỉnh sửa:

sudo nano /etc/openvpn/easy-rsa/vars 

Cuộn xuống cuối file và thay đổi các giá trị bắt đầu bằng export KEY_ để trùng với thông tin của bạn. Những điều quan trọng nhất là:

• KEY_CN : Tại đây, hãy nhập domain hoặc domain phụ phân giải cho server của bạn.
• KEY_NAME : Bạn nên nhập server tại đây. Nếu bạn nhập một cái gì đó khác, bạn cũng sẽ phải cập nhật các file cấu hình tham chiếu server.key và server.crt .

Các biến khác trong file này mà bạn có thể cần thay đổi là:

• KEY_COUNTRY : Đối với biến này, hãy nhập tên viết tắt gồm hai chữ cái của quốc gia bạn cư trú.
• KEY_PROVINCE : Đây phải là tên hoặc chữ viết tắt của tiểu bang nơi cư trú của bạn.
• KEY_CITY : Tại đây, hãy nhập tên city bạn đang sống.
• KEY_ORG : Đây phải là tên của tổ chức hoặc công ty của bạn.
• KEY_EMAIL : Nhập địa chỉ email mà bạn muốn được kết nối với certificate bảo mật.
• KEY_OU : Đây phải là tên của “Đơn vị tổ chức” mà bạn thuộc về, thường là tên của phòng ban hoặc group của bạn.

Phần còn lại của các biến có thể được bỏ qua một cách an toàn bên ngoài các trường hợp sử dụng cụ thể. Sau khi bạn đã áp dụng các thay đổi của bạn , file sẽ trông giống như sau:

. . .  # These are the default values for fields # which will be placed in the certificate. # Don't leave any of these fields blank. export KEY_COUNTRY="US" export KEY_PROVINCE="NY" export KEY_CITY="New York" export KEY_ORG="DigitalOcean" export KEY_EMAIL="sammy@example.com" export KEY_EMAIL=sammy@example.com export KEY_CN=openvpn.example.com export KEY_NAME="server" export KEY_OU="Community" . . . 

Lưu và đóng file .

Để bắt đầu tạo khóa và certificate , hãy chuyển vào folder easy-rsa và source trong các biến mới mà bạn đặt trong file vars :

cd /etc/openvpn/easy-rsa 
source ./vars 

Chạy tập lệnh clean-all của Easy RSA để xóa mọi khóa và certificate đã có trong folder và tạo cơ quan cấp certificate :

./clean-all 

Tiếp theo, xây dựng tổ chức phát hành certificate với script build-ca . Bạn sẽ được yêu cầu nhập giá trị cho các trường certificate , nhưng nếu bạn đặt các biến trong file vars trước đó, tất cả các tùy chọn của bạn sẽ được đặt làm mặc định. Bạn có thể nhấn ENTER để chấp nhận các giá trị mặc định cho từng cái:

./build-ca 

Tập lệnh này tạo một file có tên ca.key . Đây là private key được sử dụng để ký certificate server và ứng dụng client của bạn. Nếu nó bị mất, bạn không thể tin tưởng bất kỳ certificate nào từ tổ chức phát hành certificate này nữa và nếu bất kỳ ai có thể truy cập vào file này, họ có thể ký certificate mới và truy cập VPN của bạn mà bạn không biết. Vì lý do này, OpenVPN khuyên bạn nên lưu trữ ca.key ở một vị trí có thể offline càng nhiều càng tốt và nó chỉ nên được kích hoạt khi tạo certificate mới.

Tiếp theo, tạo khóa và certificate cho server bằng tập lệnh build-key-server :

./build-key-server server 

Giống như khi xây dựng CA, bạn sẽ thấy các giá trị bạn đã đặt làm giá trị mặc định để bạn có thể nhấn ENTER tại các dấu nhắc này. Ngoài ra, bạn sẽ được yêu cầu nhập password thử thách và tên công ty tùy chọn. Nếu bạn nhập password thử thách, bạn cần nhập password đó khi kết nối với VPN từ ứng dụng client của bạn . Nếu bạn không muốn đặt password thử thách, chỉ cần để trống dòng này và nhấn ENTER . Ở cuối, nhập Y để commit các thay đổi .

Phần cuối cùng của việc tạo khóa server và certificate là tạo file trao đổi khóa Diffie-Hellman. Sử dụng tập lệnh build-dh để thực hiện việc này:

./build-dh 

Quá trình này có thể mất vài phút để hoàn thành.

Sau khi server của bạn hoàn tất việc tạo file trao đổi khóa, hãy sao chép các khóa server và certificate từ folder keys vào folder openvpn :

cd /etc/openvpn/easy-rsa/keys 
sudo cp dh2048.pem ca.crt server.crt server.key /etc/openvpn 

Mỗi client cũng cần một certificate để server OpenVPN xác thực nó. Các khóa và certificate này sẽ được tạo trên server và sau đó bạn sẽ phải sao chép chúng sang client của bạn , việc này ta sẽ thực hiện ở bước sau. Bạn nên tạo các khóa và certificate riêng biệt cho từng ứng dụng client mà bạn định kết nối với VPN của bạn .

Bởi vì ta chỉ cài đặt một khách hàng ở đây, ta gọi nó là client , nhưng bạn có thể thay đổi tên này thành một tên mô tả hơn nếu bạn muốn:

cd /etc/openvpn/easy-rsa 
./build-key client 

Cuối cùng, sao chép file cấu hình OpenSSL version , openssl-1.0.0.cnf , sang tên không có version , openssl.cnf . Không làm như vậy có thể dẫn đến lỗi trong đó OpenSSL không thể tải cấu hình vì nó không thể phát hiện version của nó:

cp /etc/openvpn/easy-rsa/openssl-1.0.0.cnf /etc/openvpn/easy-rsa/openssl.cnf 

Bây giờ tất cả các khóa và certificate cần thiết đã được tạo cho server và client của bạn, bạn có thể chuyển sang cài đặt định tuyến giữa hai máy.

Bước 4 - Định tuyến

Lúc này, bạn đã cài đặt OpenVPN trên server của bạn , cấu hình nó và tạo các khóa và certificate cần thiết để khách hàng của bạn có thể truy cập VPN. Tuy nhiên, bạn vẫn chưa cung cấp cho OpenVPN bất kỳ hướng dẫn nào về nơi gửi lưu lượng truy cập web đến từ client . Bạn có thể quy định cách server xử lý lưu lượng client bằng cách cài đặt một số luật firewall và cấu hình định tuyến.

Giả sử bạn đã làm theo các yêu cầu khi bắt đầu hướng dẫn này, thì bạn hẳn đã cài đặt và chạy firewalld trên server của bạn . Để cho phép OpenVPN thông qua firewall , bạn cần biết vùng firewalld đang hoạt động của bạn là gì. Tìm điều này bằng lệnh sau:

sudo firewall-cmd --get-active-zones 

Output
trusted   Interfaces: tun0 

Tiếp theo, thêm dịch vụ openvpn vào danh sách các dịch vụ được firewalld cho phép trong vùng hoạt động của bạn, rồi đặt cài đặt đó vĩnh viễn bằng cách chạy lại lệnh nhưng có thêm tùy chọn --permanent :

sudo firewall-cmd --zone=trusted --add-service openvpn 
sudo firewall-cmd --zone=trusted --add-service openvpn --permanent 

Bạn có thể kiểm tra xem dịch vụ đã được thêm đúng cách hay chưa bằng lệnh sau:

sudo firewall-cmd --list-services --zone=trusted 

Output
openvpn 

Tiếp theo, thêm một giả trang vào version thời gian chạy hiện tại, rồi thêm lại nó bằng tùy chọn --permanent để thêm giả trang vào tất cả các version trong tương lai:

sudo firewall-cmd --add-masquerade 
sudo firewall-cmd --permanent --add-masquerade 

Bạn có thể kiểm tra xem lễ hội hóa trang đã được thêm đúng cách hay chưa bằng lệnh này:

sudo firewall-cmd --query-masquerade 

Output
yes 

Tiếp theo, chuyển tiếp định tuyến tới mạng con OpenVPN của bạn. Bạn có thể thực hiện việc này trước tiên bằng cách tạo một biến ( SHARK trong ví dụ của ta ) sẽ đại diện cho network interface chính được server của bạn sử dụng, sau đó sử dụng biến đó để thêm vĩnh viễn luật định tuyến:

SHARK=$(ip route get 8.8.8.8 | awk 'NR==1 {print $(NF-2)}') 
sudo firewall-cmd --permanent --direct --passthrough ipv4 -t nat -A POSTROUTING -s 10.8.0.0/24 -o $SHARK -j MASQUERADE 

Đảm bảo thực hiện những thay đổi này đối với các luật firewall của bạn bằng cách cập nhật firewall d:

sudo firewall-cmd --reload 

Tiếp theo, bật chuyển tiếp IP. Điều này sẽ định tuyến tất cả lưu lượng truy cập web từ client của bạn đến địa chỉ IP của server và địa chỉ IP công cộng của client của bạn sẽ bị ẩn một cách hiệu quả.

Mở sysctl.conf để chỉnh sửa:

sudo nano /etc/sysctl.conf 

Sau đó, thêm dòng sau vào đầu file :

net.ipv4.ip_forward = 1 

Cuối cùng, khởi động lại dịch vụ mạng để chuyển tiếp IP có hiệu lực:

sudo systemctl restart network.service 

Với các luật định tuyến và firewall , ta có thể bắt đầu dịch vụ OpenVPN trên server .

Bước 5 - Khởi động OpenVPN

OpenVPN được quản lý như một dịch vụ systemd sử dụng systemctl . Ta sẽ cấu hình OpenVPN để khởi động khi server khởi động để bạn có thể kết nối với VPN của bạn bất kỳ lúc nào miễn là server của bạn đang chạy. Để thực hiện việc này, hãy bật server OpenVPN bằng cách thêm nó vào systemctl :

sudo systemctl -f enable openvpn@server.service 

Sau đó khởi động dịch vụ OpenVPN:

sudo systemctl start openvpn@server.service 

Kiểm tra kỹ xem dịch vụ OpenVPN có đang hoạt động hay không bằng lệnh sau. Bạn sẽ thấy active (running) trong kết quả :

sudo systemctl status openvpn@server.service 

Output
● openvpn@server.service - OpenVPN Robust And Highly Flexible Tunneling Application On server    Loaded: loaded (/usr/lib/systemd/system/openvpn@.service; enabled; vendor preset: disabled)    Active: **active (running)** since Wed 2018-03-14 15:20:11 EDT; 7s ago  Main PID: 2824 (openvpn)    Status: "Initialization Sequence Completed"    CGroup: /system.slice/system-openvpn.slice/openvpn@server.service            └─2824 /usr/sbin/openvpn --cd /etc/openvpn/ --config server.conf . . . 

Hiện ta đã hoàn thành cấu hình phía server cho OpenVPN. Tiếp theo, bạn sẽ cấu hình client của bạn và kết nối với server OpenVPN.

Bước 6 - Cấu hình client

Dù hệ điều hành của client của bạn là gì, nó cần bản sao được lưu local của certificate CA và khóa client và certificate được tạo ở Bước 3, cũng như khóa mã hóa tĩnh mà bạn đã tạo ở cuối Bước 2.

Định vị các file sau trên server của bạn . Nếu bạn đã tạo nhiều khóa ứng dụng client có tên mô tả, duy nhất, thì khóa và tên certificate sẽ khác nhau. Trong bài viết này, ta đã sử dụng client .

/etc/openvpn/easy-rsa/keys/ca.crt /etc/openvpn/easy-rsa/keys/client.crt /etc/openvpn/easy-rsa/keys/client.key /etc/openvpn/myvpn.tlsauth 

Sao chép các file này vào máy khách của bạn. Bạn có thể sử dụng SFTP hoặc phương pháp ưa thích của bạn . Bạn thậm chí có thể chỉ cần mở các file trong editor của bạn và copy paste nội dung vào các file mới trên client của bạn. Dù bạn sử dụng phương pháp nào, hãy nhớ ghi lại nơi bạn lưu các file này.

Tiếp theo, tạo một file có tên client.ovpn trên client của bạn . Đây là file cấu hình cho client OpenVPN, cho biết cách kết nối với server :

sudo nano client.ovpn 

Sau đó thêm các dòng sau vào client.ovpn . Lưu ý nhiều dòng trong số này phản ánh những dòng mà ta đã bỏ ghi chú hoặc thêm vào file server.conf hoặc đã có trong đó theo mặc định:

client tls-client ca /path/to/ca.crt cert /path/to/client.crt key /path/to/client.key tls-crypt /path/to/myvpn.tlsauth remote-cert-eku "TLS Web Client Authentication" proto udp remote your_server_ip 1194 udp dev tun topology subnet pull user nobody group nobody 

Khi thêm những dòng này, vui lòng lưu ý những điều sau:

• Bạn cần thay đổi dòng đầu tiên để phản ánh tên bạn đã đặt cho khách hàng trong khóa và certificate của bạn ; trong trường hợp của ta , đây chỉ là client
• Bạn cũng cần cập nhật địa chỉ IP từ your_server_ip thành địa chỉ IP của server của bạn; cổng 1194 có thể giữ nguyên
• Đảm bảo rằng các đường dẫn đến file khóa và certificate của bạn là chính xác

Tệp này hiện được dùng bởi bất kỳ client OpenVPN nào để kết nối với server của bạn. Dưới đây là hướng dẫn dành riêng cho hệ điều hành về cách kết nối ứng dụng client của bạn:

Các cửa sổ:

Trên Windows, bạn cần các tệp binary OpenVPN Community Edition chính thức đi kèm với GUI. Đặt file cấu hình .ovpn của bạn vào folder thích hợp, C:\Program Files\OpenVPN\config và nhấp vào Kết nối trong GUI. OpenVPN GUI trên Windows phải được thực thi với các quyền quản trị.

hệ điều hành Mac:

Trên macOS, ứng dụng open-souce Tunnelblick cung cấp giao diện tương tự như OpenVPN GUI trên Windows, đi kèm với OpenVPN và trình điều khiển TUN / TAP bắt buộc. Như với Windows, bước chỉ được yêu cầu là đặt của bạn .ovpn file cấu hình vào ~/Library/Application Support/Tunnelblick/Configurations folder . Ngoài ra, bạn có thể nhấp đúp vào file .ovpn của bạn .

Linux:

Trên Linux, bạn nên cài đặt OpenVPN từ repository chính thức của bản phân phối của bạn . Sau đó, bạn có thể gọi OpenVPN bằng cách thực thi:

sudo openvpn --config ~/path/to/client.ovpn 

Sau khi cài đặt kết nối ứng dụng client thành công, bạn có thể xác minh lưu lượng truy cập của bạn đang được định tuyến qua VPN bằng cách kiểm tra Google để tiết lộ IP công khai của bạn .

Kết luận

Đến đây bạn sẽ có một mạng riêng ảo hoạt động đầy đủ chạy trên server OpenVPN của bạn . Bạn có thể duyệt web và download nội dung mà không phải lo lắng về các tác nhân độc hại theo dõi hoạt động của bạn.

Có một số bước bạn có thể thực hiện để tùy chỉnh cài đặt OpenVPN của bạn hơn nữa, chẳng hạn như cấu hình client của bạn để kết nối với VPN tự động hoặc cấu hình các luật và policy truy cập dành riêng cho client . Đối với những tùy chỉnh này và các tùy chỉnh OpenVPN khác, bạn nên tham khảo tài liệu OpenVPN chính thức . Nếu bạn quan tâm đến các cách khác có thể bảo vệ bản thân và máy của bạn trên internet, hãy xem bài viết của ta về 7 Biện pháp An ninh để Bảo vệ Server của Bạn .

---

---

Các tin liên quan

Cách thiết lập và cấu hình server OpenVPN trên CentOS 7
2018-03-19
Cách chặn quảng cáo ở cấp DNS bằng Pi-hole và OpenVPN trên Ubuntu 16.04
2017-12-04
Cách tạo mạng nội bộ với OpenVPN trên Ubuntu 16.04
2016-09-23
Cách thiết lập server OpenVPN trên Ubuntu 16.04
2016-05-04
3 cách duyệt Internet an toàn với OpenVPN trên Debian 8
2015-08-31
Cách thiết lập server OpenVPN trên Debian 8
2015-08-10
Cách cấu hình và kết nối với server OpenVPN riêng trên FreeBSD 10.1
2015-04-14
Cách chạy OpenVPN trong Docker Container trên Ubuntu 14.04
2015-02-02
Cách thiết lập server OpenVPN trên Ubuntu 14.04
2015-01-28
Cách cài đặt và cấu hình server truy cập OpenVPN trên CentOS 6.5
2014-04-04