Hvordan laver jeg en VPN adgang til mit CloudServers netværk
Hvordan laver jeg en VPN adgang til mit CloudServers netværk
Hej 👋
Hvis du sidder og læser denne artikel, så er du jo nok på udkig efter at skabe en VPN forbindelse 👀 En VPN forbindelse ind til dine servere og SDN/vLAN hos os - CloudServers.dk
Her kommer lidt inspiration 😊
Virtual Private Network - i daglig tale VPN - er en praktisk måde, at oprette en krypteret og sikker forbindelse til f.eks. et internt netværk eller en enkelt server, som netop er placeret de-centralt af hvor éns egen arbejdstation befinder sig. Altså f.eks. servere og SDN/vLAN hos CloudServers.dk
Der er mange muligheder og produkter som kan skabe et sikker og krypteret VPN miljø. I følgende kigger vi på én af de mest anerkendte og roste produkter - det kan være dette setup passer lige til din virksomhed 🤩
Løsningen du skal læse om her er baseret på en OpenVPN Access Server.
OpenVPN Access Server er open source-software, der tilbyder VPN-muligheder gennem brugerdefinerede sikkerhedsprotokoller. I følgende kigger vi dog på ét overordnet setup, gældende for klienter (medarbejdere) som udnytter VPN forbindelsen.
Understøttede klienter og servere
OpenVPN-klienter kan installeres på Windows, Mac og Linux samt Android og iOS, mens OpenVPN Access Server er tilgængelig til de fleste Linux-distributioner.
I denne artikel kigger vi specifikt på Windows og Mac som klienter, samt Ubuntu Server 20.04 LTS (Focal Fossa) som server.
Er det gratis?
OpenVPN Access Server software er gratis - ja 👍 op til to samtidige VPN forbindelser er gratis.
Herefter betaler man for antal aktive forbindelser. i skrivende stund ~37 dkk. pr. forbindelse.
Se eksakte priser på OpenVPNs hjemmeside. Link
Herudover skal der benyttes en lille Ubuntu 20.04 LTS (Focal Fossa) server fra CloudServers.dk.
Serveren skal naturligt ligge i samme datacenter og være tilnyttet det SDN/vLAN, du ønsker at skabe en krypteret forbindelse ind til.
Da alle CloudServers.dk servere, uanset størrelsen, er baseret på nyeste teknologiske backend udstyr, så vil en server bestykket med 1xCPU-1GBram kunne dække op til omkring 10 samtidige VPN forbindelser.
Har du behov for mere en 10 samtidige VPN forbindelser anbefales vores 1xCPU-2GBram servere.
Forberedelse af Ubuntu serveren
Ubuntu serveren oprettes igennem dit Kundecenter hos os, nøjagtig på samme måde som du vanligt opretter servere. Husk blot at vælge en Ubuntu Server 20.04 LTS samt tilknytte dit SDN/vLAN til serveren.
Det er nu tid til at gå i terminal mode 🤩 SSH ind til din nye Ubuntu Server 20.04 LTS.
TIP: husk at åbne for SSH ind til serveren, fra din egen WAN ip-adresse.
Tjek at din Ubuntu har fået både WAN og SDN/vLAN netkort tilknyttet
ip addr
eksempel på output ses her...
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether 6a:1a:4e:b6:23:9c brd ff:ff:ff:ff:ff:ff
inet 91.247.82.128/22 brd 91.247.82.255 scope global dynamic eth0
valid_lft 86050sec preferred_lft 86050sec
inet6 fe90::681a:4eff:feb6:239c/64 scope link
valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether 6a:1a:4e:b6:35:d5 brd ff:ff:ff:ff:ff:ff
inet6 2a04:3542:1000:910:681a:4eff:feb6:35d5/64 scope global dynamic mngtmpaddr
valid_lft 86052sec preferred_lft 14052sec
inet6 fe80::681a:4eff:feb6:35d5/64 scope link
valid_lft forever preferred_lft forever
4: eth2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether 6a:1a:4e:b6:d4:1e brd ff:ff:ff:ff:ff:ff
inet 10.50.10.2/24 brd 10.50.10.255 scope global dynamic eth2
valid_lft 3250sec preferred_lft 3250sec
inet6 fe80::681a:4eff:feb6:d41e/64 scope link
valid_lft forever preferred_lft forever
Ses det interne SDN/vLAN netkort ikke, skal det tilknyttes manuelt.
sudo nano /etc/network/interfaces
Tilføj næste eth i rækken.
eksempel ses her for eth2...
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet dhcp
auto eth1
iface eth1 inet6 auto
auto eth2
iface eth2 inet dhcp
Genstart netværket og tjek efter SDN/vLAN netkort igen.
sudo systemctl restart networking
ip addr
Opdatere din Ubuntu
Tjek og installere nyeste software pakker, kerne- og sikkerhedspatches. Ikke et krav, men blot god praksis 👏
cat /etc/lsb-release
sudo apt update
sudo apt dist-upgrade -y
Genstarte serveren efter opdateringen er kørt.
sudo reboot
Grund-installation af OpenVPN miljøet
OpenVPN Access Server understøtter mange muligheder for konfiguration. Alt fra fjernadgang til et internt netværk (SDN/vLAN) eller til adgang segmenteret ned til helt specifikke applikationer, tcp/port m.v.
I denne guide kigger vi specifikt på adgang for Client-2-vLAN. Altså adgang fra en workstation, som ønsker forbindelse ind til et SDN/vLAN (servere) hos CloudServers.dk
OpenVPN Access Server består af tre hovedkomponenter
OpenVPN Access Server : det fundamentale komponent, der sørger for bl.a. routing, tunneling og kryptering.
Admin Web Interface : gør serveradministrationen enkel og benyttes gennem et brugervenligt kontrolpanel.
OpenVPN Client Connect : Windows- eller Mac klienten tillader login via Access Serverens webportalen, og kan downloades direkte fra Access Serveren.
Grund-installation af OpenVPN Access Server
At få OpenVPN Access Server installeret er enkelt og vi gør det i følgende skridt
Downloader den passende Ubuntu pakke
Installere Ubuntu pakken på serveren
Installationsprocessen opretter en standardkonfiguration, der giver mulighed for en hurtig og nem måde at få VPN serveren i drift
Download og installation af OpenVPN Access Server
Via din nye Ubuntu Server 20.04 LTS udføres følgende.
sudo su
apt update && apt -y install ca-certificates wget net-tools gnupg
wget -qO - https://as-repository.openvpn.net/as-repo-public.gpg | apt-key add -
echo "deb http://as-repository.openvpn.net/as/debian focal main">/etc/apt/sources.list.d/openvpn-as-repo.list
apt update && apt -y install openvpn-as
Når installationen er færdig, vil du se et output svarende til eksemplet nedenfor.
Please enter "passwd openvpn" to set the initial
administrative password, then login as "openvpn" to continue
configuration here: https://DIN-WAN-IP:943/admin
To reconfigure manually, use the /usr/local/openvpn_as/bin/ovpn-init tool.
+++++++++++++++++++++++++++++++++++++++++++++++
Access Server 2.8.7 has been successfully installed in /usr/local/openvpn_as
Configuration log file has been written to /usr/local/openvpn_as/init.log
Access Server Web UIs are available here:
Admin UI: https://DIN-WAN-IP:943/admin
Client UI: https://DIN-WAN-IP:943/
+++++++++++++++++++++++++++++++++++++++++++++++
⚡ Skriv både Admin UI & Client UI URL ned - du skal bruge dem om lidt ⚡
Admin UI : benyttes til at konfigurerer OpenVPN serveren.
Client UI : benyttes af workstations som ønsker at hente en OpenVPN klient og herefter forbinde side til VPN’en.
TIP: tcp/ip port 443 laver automatisk redirect til tcp/ip port 943. Derfor vil https://DIN-WAN-IP muligt være en lettere måde for brugere at tilgå OpenVPN Access Server site’et.
Åben din software eller hardware firewall for tcp/ip portene ind til Ubuntu serveren.
eksempel på firewall filtre via CloudServers kontrolpanel ses her...
Grund-installationen er nu færdiggjort. Du er klar til at konfigurere din nye VPN-server.
Konfiguration af OpenVPN Access Sever
Som det første skal vi have lavet et password til OpenVPN admin brugeren.
sudo passwd openvpn
Fra din lokale internet browser tilgås Admin UI herefter på OpenVPN Access Serveren.
Adressen skrev du ned tidligere i denne artikel 😄
Når du åbner Admin UI sitet for første gang, vil du se en advarsel som fortæller, at din forbindelse ikke er sikker. Dette er helt OK og alt er krypteret - blot uden dit eget certifikat - da OpenVPN Access Serveren leveres med et selfsigned certifikat..
Ved at klikke igennem accepteres det selfsigned certifikat og du kan fortsætte til Admin UI.
eksempel vist fra Safari browseren - varierer alt efter hvilken browser der benyttes...
På login-skærmen indtastes brugernavnet og adgangskoden til din openvpn bruger.
TIP: de to gratis samtidige brugere skulle nu kunne ses.
Oprettelse af ny OpenVPN admin bruger
For at øge sikkerheden, opretter vi nu vores egen OpenVPN admin bruger. Herefter laver vi en lock på den interne og kendte openvpn bruger som følger med installationen.
Skift af login til ny OpenVPN admin bruger
Vi logger af serveren med den interne og medfølgende OpenVPN admin bruger, og herefter logger vi på med vores nyoprettede VPN admin bruger.
Nedlukning af OpenVPN interne admin bruger
Som afslutning laver vi en lock på OpenVPNs interne admin bruger - via SSH på serveren.
sudo passwd openvpn -l
TIP: parameteren -u vil unlock en account.
OpenVPN Access Serveren er nu installeret samt konfigureret i sin grundform og er klar til at tage imod VPN klient forbindelser.
Der er selvfølgelig mange andre konfigurationsmuligheder og scenarier som din OpenVPN Access Server kan understøtte.
Setup af OpenVPN klient forbindelse til Access Server
Du er nu klar til at installere en OpenVPN Connect Client på din workstation 🤩
For Mac og Windows brugere er den nemmeste måde at installere VPN-klienten på, direkte via OpenVPN Access Serverens client UI.
Herefter oprettes en forbindelse til VPN'en (SDN/vLAN) ved at benytte den installerede klient.
OpenVPN Connect Client installation
Åbn OpenVPN Access Serverens Client UI - url adressen du skrev du ned tidligere - og lav login med dit brugernavn og adgangskode.
Du vil muligt blive mødt af en advarsel omkring der ikke er tillid til forbindelsen. Dette er OK. Alt er krypteret - blot uden dit eget certifikat - da OpenVPN Access Serveren leveres med et selfsigned certifikat.
TIP: nogle Internet browsere vil muligt kræve at sitet godkendes som Trusted Site. Dette skyldes det selfsigned certifikat. Hvis det ønskes kan eget købte certifikat erstatte det selfsigned certifikat, og så vil sitet ikke skulle godkendes i Internet browseren.
Efter login vil din Mac eller Windows klient have muligheden for, at download en OpenVPN Connect Client.
Installér nu klientsoftwaren imens OpenVPN websitet stadig er åben. Følg instruktionerne i installationsguiden, og lad applikationen oprette forbindelse til et ikke-betroet SSL-certifikat, hvis du bliver spurgt om det.
Efter installationen er afsluttet kan OpenVPN websitet lukkes.
Start nu OpenVPN Connect Client fra genvejen oprettet under installationen. VPN profilen for brugeren er nu automatisk oprettet - i dette tilfælde company-vpn-admin.
⚡Du kan nu kommunikere med dit SDN/vLAN via VPN klienten ⚡
Lad os teste din VPN forbindelse
Du er nu klar til at teste din forbindelse fra din arbejdsstation.
Følgende 3 test er godt at for konstateret. Når VPN-forbindelsen er aktiveret på din Mac eller Windows kontrolleres følgende.
Er der adgang til internettet: Tilgå en hjemmeside fra din browser som du kender, f.eks. cloudservers.dk eller cloudnet.dk
Surfer jeg igennem min Access Server som forventet: Slå din WAN adresse op, altså adressen som du kommer fra. Denne skulle gerne afspejle din Access Server, benyt eventuel https://min.cloudip.dk
INFO: når du har en aktiv forbindelse til VPN'en, går alt din netværkstrafik først gennem VPN-serveren, inden trafikken når frem til den ønskede destination. Dermed vil det for alle andre på internettet se ud til, at dine anmodninger stammer fra din OpenVPN Access Server.
Kan jeg tilgå mine servere hos CloudServers.dk, på interne ip-adresser: Test forbindelsen ved evt. at ping eller telnet én af dine servere hos CloudServers, på den interne IP adresse. Benyt evt. ping private-ip eller telnet private-ip port fra din lokale Windows eller Mac command prompt.
Hvis alle 3 ovenstående forsøg går som forventet - så er du nu godt igang med at udnytte din nye OpenVPN Access Server løsning 🌟
Nu er du klar til at oprette almindelige brugere, som netop ikke er admin | God fornøjelse 😊
Lad os afslutte denne guide
At have en VPN-server kan give mange fordele, lige fra forbedret sikkerhed samt privatliv og til bekvemmeligheden ved en fast IP. Og i mange tilfælde benyttes en god VPN løsning til netop, at skabe forbindelse imellem en lokal workstations og virksomhedens drifts-servere.
OpenVPN Access Server er i stand til meget mere end der kunne forklares i denne simple opstartsguide. Hvis du ønsker at lære mere om de forskellige konfigurationsindstillinger, er https://openvpn.net et rigtig godt sted at starte.
Bemærk, at når du bruger en VPN til at oprette forbindelse til din cloud-server, giver VPN ikke anonymitet, og enhver netværkstrafik skal overholde CloudServers.dk servicevilkår og politik for acceptabel brug.
Læs mere hos OpenVPN
Er du nørd - præcis som os 🤓 - så kunne følgende guides fra netop OpenVPN være interessant
OpenVPN Access Server Admin Manual
Download Software Packages
Finishing Configuration of Access Server
Brug for hjælp:
Du er meget velkommen til at kontakte vores danske support.
via ticket i kundecentret
via chat
via telefonopkald til vores kundeservice
👋️ God fornøjelse med din Cloud Server fra CloudServers.dk
Opdateret den: 18/08/2022
Tak!