如何在Zentyal 3.4 PDC上安裝和配置OpenVPN伺服器？

---

OpenVPN是一個流行且廣泛使用的開源VPN解決方案，允許安全地遠端訪問您的網路資源。Zentyal 3.4是一個Linux發行版，為中小型企業提供完整的伺服器平臺。本文將討論如何在Zentyal 3.4 PDC上安裝和配置OpenVPN伺服器。

步驟1：安裝OpenVPN

第一步是在您的Zentyal伺服器上安裝OpenVPN。開啟終端並輸入以下命令：

sudo apt-get update
sudo apt-get install openvpn

步驟2：生成證書和金鑰

OpenVPN使用證書和金鑰來驗證客戶端和伺服器。要生成這些證書和金鑰，我們將使用OpenVPN提供的EasyRSA指令碼。

cd /usr/share/doc/openvpn/examples/easy-rsa/2.0/
sudo ./clean-all
sudo ./build-ca
sudo ./build-key-server server

第一個命令將目錄更改為EasyRSA指令碼的位置。第二個命令清除任何現有的金鑰和證書。第三個命令生成證書頒發機構。最後，第四個命令生成伺服器證書和金鑰。

步驟3：配置OpenVPN

下一步是配置OpenVPN。使用以下命令建立一個新的配置檔案：

sudo nano /etc/openvpn/server.conf

在檔案中新增以下幾行：

port 1194
proto udp
dev tun
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3

儲存檔案並退出。

步驟4：配置防火牆

下一步是配置防火牆以允許OpenVPN流量。您需要開啟UDP埠1194。為此，請執行以下命令：

sudo ufw allow 1194/udp
sudo ufw enable

步驟5：啟動OpenVPN

使用以下命令啟動OpenVPN服務：

sudo service openvpn start

步驟6：配置客戶端

最後一步是配置客戶端以連線到OpenVPN伺服器。為此，您需要向客戶端提供以下檔案：

ca.crt
client.crt
client.key

您可以使用任何OpenVPN客戶端軟體連線到伺服器。只需將檔案匯入客戶端軟體，並使用伺服器的IP地址連線到伺服器。

詳細配置OpenVPN

讓我們仔細看看我們在步驟3中新增到server.conf檔案的選項：

• port 1194 − 指定OpenVPN將用於傳入連線的埠。預設情況下，OpenVPN使用UDP埠1194。

• proto udp − 指定OpenVPN應使用UDP協議進行資料傳輸。UDP通常比TCP更適合VPN流量，因為它開銷較低，並且不太可能被防火牆阻止。

• dev tun − 指定OpenVPN應使用虛擬隧道介面而不是物理網路介面。

• ca /etc/openvpn/keys/ca.crt − 指定我們在步驟2中生成的證書頒發機構檔案的位置。證書頒發機構用於驗證伺服器和客戶端證書的真實性。

• cert /etc/openvpn/keys/server.crt − 指定我們在步驟2中生成的伺服器證書的位置。伺服器證書用於向客戶端驗證伺服器。

• key /etc/openvpn/keys/server.key − 指定伺服器私鑰的位置，該私鑰用於解密傳入的VPN流量。

• dh /etc/openvpn/keys/dh1024.pem − 指定Diffie-Hellman引數檔案的位置，該檔案用於初始連線期間的金鑰交換。

• server 10.8.0.0 255.255.255.0 − 指定將用於VPN客戶端的虛擬網路的IP地址和子網掩碼。在此示例中，我們使用的是10.8.0.0/24子網。

• ifconfig-pool-persist ipp.txt − 指定OpenVPN將儲存客戶端分配的IP地址的檔案。

• keepalive 10 120 − 指定OpenVPN將向客戶端傳送保活資料包的間隔，以確保連線仍然處於活動狀態。

• comp-lzo − 啟用VPN流量壓縮以減少頻寬使用。

• persist-key − 告訴OpenVPN在重啟後保留伺服器的私鑰。

• persist-tun − 告訴OpenVPN在重啟後保留虛擬隧道介面。

• status openvpn-status.log − 指定OpenVPN將記錄連線和效能資訊的檔案。

• verb 3 − 設定OpenVPN日誌輸出的詳細程度。值越高，日誌越詳細。

詳細配置客戶端

要連線到OpenVPN伺服器，客戶端需要匯入以下檔案：

• ca.crt − 這是在步驟2中生成的證書頒發機構檔案。它用於驗證伺服器和客戶端證書的真實性。

• client.crt − 這是在步驟2中生成的客戶端證書。它用於向伺服器驗證客戶端。

• client.key − 這是客戶端的私鑰，用於加密傳出的VPN流量。

大多數OpenVPN客戶端軟體都提供匯入這些檔案和配置連線設定的方法。某些客戶端可能還需要其他配置選項，例如伺服器的IP地址和埠號。

使用防火牆規則保護OpenVPN

我們配置了防火牆以允許在OpenVPN使用的UDP埠1194上進行傳入流量。但是，務必確保防火牆已正確配置，以限制僅授權使用者和裝置才能訪問。

一種方法是設定防火牆規則，只允許來自已知IP地址或子網的傳入流量。例如，您可以建立一個規則，只允許來自您公司辦公室IP地址的傳入OpenVPN流量。

要在Zentyal上設定防火牆規則，您可以使用基於Web的管理介面。轉到“安全”>“防火牆”，然後單擊“新增新規則”以建立新規則。您可以指定源IP地址或子網、目標埠（OpenVPN為1194）以及要採取的操作（允許或拒絕）。

建立規則後，請務必將其應用於相應的網路介面或區域（例如，如果您接受來自網際網路的傳入連線，則為“外部”）。

啟用雙因素身份驗證

增強OpenVPN連線安全的另一種方法是啟用雙因素身份驗證（2FA）。這要求使用者除了使用者名稱和密碼外，還需要提供第二種身份驗證方式，例如智慧手機應用程式生成的一次性程式碼或物理令牌。

要在您的OpenVPN伺服器上啟用2FA，您需要使用支援您選擇的2FA方法的外掛或模組。例如，OpenVPN Access Server包含對Google Authenticator和其他2FA方法的內建支援。

安裝和配置2FA外掛後，您需要更新OpenVPN伺服器配置，以要求客戶端連線進行2FA。這通常需要向server.conf檔案新增其他配置選項，例如：

auth-user-pass-optional
auth-token

這告訴OpenVPN需要使用者名稱/密碼和2FA令牌才能進行身份驗證。您還需要更新客戶端配置以包含2FA令牌。

監控OpenVPN效能

最後，監控OpenVPN連線的效能非常重要，以確保它滿足您的需求並解決出現的任何問題。

OpenVPN包含內建的日誌記錄和監控功能，例如狀態日誌和即時統計資訊。您還可以使用第三方監控工具來收集和分析OpenVPN效能指標。

一些有用的效能指標包括：

• 連線速度和延遲

• 頻寬使用率

• 併發連線

• 錯誤率和錯誤訊息

• 伺服器和客戶端CPU和記憶體使用率

透過監控這些指標，您可以識別並解決效能問題，以免影響使用者或導致停機。

結論

本文討論瞭如何在 Zentyal 3.4 PDC 上安裝和配置 OpenVPN 伺服器。OpenVPN 是一款功能強大且靈活的 VPN 解決方案，可為您的網路資源提供安全的遠端訪問。按照本文中概述的步驟，您可以輕鬆地在 Zentyal 伺服器上設定自己的 OpenVPN 伺服器。