Установка настройка Open VPN

 OVPN_VPS – Telegraph

OpenVPN HOWTO 

OpenVPN (Русский) - ArchWiki 

VPN-Firewall/Troubleshooting

user/group (только не для Windows)

OpenVPN была очень тщательно разработан таким образом, чтобы привелегии суперпользователя могли быть сброшены после инициализации, и эта возможность всегда должна быть использована на Linux/BSD/Solaris. Работающий без привилегий суперпользователя демон OpenVPN-сервера является гораздо менее привлекательной целью для злоумышленника.
user nobody
group nobody

Непривилегированный режиме (только Linux)

В Linux OpenVPN может работать полностью непривилегированным. Эта конфигурация немного сложнее, но обеспечивает лучшую безопасность.
Для того чтобы работать с этой конфигурацией, OpenVPN должен быть настроен на использование iproute-интерфейса, это достигается путем указания --enable-iproute2 в configure-скрипте. На вашей системе также должен быть доступен пакет sudo.
В этой конфигурации используется возможность Linux изменять разрешения на устройство tun таким образом, чтобы обычный пользователь мог получить к нему доступ. Также, для того, чтобы свойства интерфейса и таблица маршрутизации могли быть изменены (непривилегированным пользователем -- прим. перев.) для запуска (execute) iproute используется sudo.
Конфигурация OpenVPN:
  • Поместите следующий скрипт в файл /usr/local/sbin/unpriv-ip (не забудьте установить на этот файл права на исполнение -- прим. перев.):
    • #!/bin/sh
    sudo /sbin/ip $*
  • Чтобы позволить пользователю 'user1' выполнять /sbin/ip запустите visudo и добавьте следующее:
    • user1 ALL=(ALL)  NOPASSWD: /sbin/ip
    Вы также можете разрешить группу пользователей с помощью следующей команды: 
    %users ALL=(ALL)  NOPASSWD: /sbin/ip
  • Добавьте следующее в вашу конфигурацию OpenVPN:
    • dev tunX/tapX
    iproute /usr/local/sbin/unpriv-ip
    Обратите внимание, что вы должны выбрать константу X и указать или tun или tap, но не оба.
  • Как root добавьте постоянный интерфейс и разрешите пользователю и/или группе управлять им, следующая команда создаст tunX (замените своим собственным) и разрешит пользователю user1 и группе users доступ к нему.
    • openvpn --mktun --dev tunX --type tun --user user1 --group users
  • Запустите OpenVPN в контексте непривилегированного пользователя.
Дальнейшие ограничения безопасности могут быть добавлены путем проверки параметров в скрипте /usr/local/sbin/unpriv-ip.

https://community.openvpn.net/openvpn/wiki/UnprivilegedUser

First make a directory to store OpenVPN keys and configuration files such as /etc/openvpn.
Decide whether you want to use TLS or Static Key mode and copy appropriate .conf, .up, .key, .pem, and .crt files to /etc/openvpn.
Protect your .key files:
chmod go-rwx /etc/openvpn/*.key
If you are using Linux iptables, edit the firewall configuration file firewall.sh, making changes appropriate to your site and copy to /etc/openvpn.

Комментарии

Отправить комментарий

Популярные сообщения из этого блога

Проверка и восстановление работоспособности таймера оттайки холодильника

Изображение
Проверка таймера Индезит ( Indesit ) ,    Ари c тон ( Ariston )    ТИМ-01 холодильников Электронный таймер Проверка работоспособности (рекомендации завода-изготовителя) Таймеры, подлежащие проверке:   -таймер NO FROST код 391650 производства Егоршинского радиозавода;  -таймер ТИМ-01 (и версии) код 391690 производства "Протон-Импульс" г.Орёл.  Параметры таймеров, доступные для проверки:   -ручная установки режима оттайки;  -время паузы (для таймера ТИМ-01);  -включение холодильного режима.  Последовательность проверки:   1. При замкнутых контактах теплового реле (термопредохранителя системы NO FROST), когда температура в морозильной камере ниже:  -для реле ТАБ-Т(см. маркировку на корпусе реле) t°= -8 (+/-5)C°,  -для реле COMBI-100 и 261N(см. маркировку на корпусе реле) t°= -10(+/-3)C°,  нажать кнопку таймера (у таймера NO FROST она имеет маркировку "ON", у таймера ТИМ-01 – без маркировки). При этом таймер должен п...
Далее...

Резьбы заправочных штуцеров R22 R410

Путаница с классификацией дюймовых резьб и условных диаметров по SAE, UNF и тому подобным.   Для человека немного соображающего в этом - вроде всё понятно, а вновь столкнувшийся с проблемой не может врубится, ну почему это полдюймовая труба имеет диаметр резьбы 20,63 мм, а условный проход (внутренний диаметр) трубы - 15 мм. Где здесь полдюйма? То есть где вообще присутствуют 12,7 мм? В случае с 3/4 трубой хоть условный проход соответствует - 19 мм (3/4), но резьба имеет размер 25,4 мм, то есть целый дюйм.   Так и в кондиционировании, штуцер под трубку 1/4 (6,35 мм) имеет резьбу 7/16 (11,1 мм) с шагом 20 ниток на дюйм. Заправочный штуцер под 22 фреон имеет такую же резьбу. Заправочный штуцер под 410 фреон имеет резьбу 1/2 (12,7 мм) с шагом 20 ниток на дюйм, но по условному проходу (или классификации SAE) имеет обозначение 5/16 (7,93 мм), хотя 5/16 дюйма Вы нигде там не отыщете   А например заглушка шестигранника вентиля порта имеет вообще метрическую резьбу М16х1,0 По разм...
Далее...

Сварочный аппарат Ресанта САИ 220К. Электрическая схема, ремонт.

Изображение
 Хороший миниатюрный сварочник Ресанта САИ 220К, при включении неожиданно полыхнул яркой вспышкой и щелчком. Напряжение на выходных клеммах пропало. Вентилятор молчит. Индикатор включения в сетевом выключателе на задней стенке светится.       При разборке на металической крышке заметно черное пятно от электрического разряда, в районе верхнего правого угла платы. Это Q02  транзистор полевой SV F9N90 F и почти все  детали, соединненные с ним непосредственно. Очень классный сайт  с схемами, нашел благодаря поиску схемы для этого аппарата.   По схеме Q02 это транзистор  K3878 K38778 Вместо него установил F12N60  F12N60 Так же под замену пробитый ШИМ-контроллер U1  UC3842BN,  резисторы R- 051; 013; 034; 012; 011 и стабилитрон D012 C18V был заменен на отечественные Д814А и Д814В соединненные  последовательно. (что бы получились нужные 18 вольт). Позже купил полевик который указан в схеме K3878, Видно как сил...
Далее...