Шаг 3 Повышение безопасности

Конфигурирование криптографического материала OpenVPN

Для дополнительного уровня безопасности мы добавим дополнительный общий секретный ключ, который сервер и все клиенты будут использовать с директивой OpenVPNtls-crypt . Эта опция используется для обфускации сертификата TLS, который используется, когда сервер и клиент подключаются друг к другу изначально. Он также используется сервером OpenVPN для быстрой проверки входящих пакетов: если пакет подписан с использованием предварительного общего ключа, то сервер обрабатывает его; если он не подписан, то сервер знает, что это из ненадежного источника, и может отменить его, не выполняя дополнительную работу по расшифровке.

Эта опция поможет гарантировать, что ваш сервер OpenVPN способен справиться с неаутентифицированным трафиком, сканированием портов и атаками типа «отказ в обслуживании», которые могут связать ресурсы сервера. Это также затрудняет идентификацию сетевого трафика OpenVPN.

Чтобы сгенерировать tls-cryptпредварительный общий ключ, выполните на сервере OpenVPN в ~/easy-rsaкаталоге следующее:

cd ~/easy-rsa

openvpn --genkey --secret ta.key

Результатом будет файл с именем ta.key. Скопируйте его в /etc/openvpn/server/каталог:

sudo cp ta.key /etc/openvpn/server

Имея эти файлы на сервере OpenVPN, вы готовы создавать сертификаты клиентов и файлы ключей для своих пользователей, которые вы будете использовать для подключения к VPN.