راه‌اندازی OpenVPN از طریق Stunnel در اوبونتو ۲۲.۰۴ #

این راهنما، یک راهنمای گام به گام در مورد نحوه راه‌اندازی OpenVPN از طریق Stunnel در اوبونتو ۲۲.۰۴ ارائه می‌دهد. با کپسوله‌سازی ترافیک OpenVPN در یک تونل SSL با استفاده از Stunnel، می‌توانید امنیت را افزایش داده و به طور بالقوه از محدودیت‌های شبکه یا فایروال‌هایی که اتصالات VPN را مسدود یا محدود می‌کنند، عبور کنید.

پیش‌نیازها #

• سرور مجازی:
  • یک سرور مجازی که اوبونتو ۲۲.۰۴ روی آن  نصب شده باشد.
  • دسترسی روت یا sudo به سرور.
• دستگاه اتصال:
  • رایانه‌ای که اوبونتو یا هر توزیع لینوکس سازگار با OpenVPN و Stunnel را اجرا می‌کند.
  • دسترسی روت یا sudo.

نمای کلی #

ما مراحل زیر را انجام خواهیم داد:

1. روی سرور:
   • نصب و پیکربندی استونل
   • نصب و پیکربندی OpenVPN.
2. روی دستگاه کلاینت:
   • نصب و پیکربندی استونل
   • OpenVPN را برای اتصال از طریق Stunnel پیکربندی کنید.

مراحل روی سرور مجازی #

۱. به‌روزرسانی و ارتقاء بسته‌های سیستم #

مطمئن شوید که بسته‌ های سیستم شما به‌روز هستند.

sudo apt update && sudo apt upgrade -y

توضیح: این دستور لیست بسته‌ها را به‌روزرسانی می‌کند و بسته‌های نصب‌شده را به آخرین نسخه‌هایشان ارتقا می‌دهد و از داشتن آخرین وصله‌های امنیتی و ویژگی‌ها اطمینان حاصل می‌کند.

۲. استونل را نصب کنید #

Stunnel را نصب کنید، که برای ایجاد تونل SSL برای ترافیک OpenVPN استفاده خواهد شد.

sudo apt install stunnel4 -y

توضیح: بسته Stunnel را نصب می‌کند و به شما امکان می‌دهد اتصالات TCP دلخواه را درون SSL رمزگذاری کنید.

۳. ایجاد گواهینامه‌های SSL برای Stunnel #

به دایرکتوری پیکربندی Stunnel بروید و یک گواهی SSL خودامضا شده ایجاد کنید.

cd /etc/stunnel
sudo openssl req -new -x509 -days 365 -nodes -out stunnel.pem -keyout stunnel.pem

توضیح:

• openssl req -new -x509 -days 365 -nodesیک گواهی X.509 جدید تولید می‌کند که به مدت ۳۶۵ روز بدون عبارت عبور ( -nodes) معتبر است.
• -out stunnel.pem -keyout stunnel.pem: هم گواهی و هم کلید خصوصی را برای خروجی می‌دهد stunnel.pem.

توجه: از شما خواسته می‌شود اطلاعاتی (کشور، استان و غیره) را وارد کنید. می‌توانید این موارد را پر کنید یا خالی بگذارید.

۴. یک فایل لاگ برای Stunnel ایجاد کنید #

یک فایل لاگ برای Stunnel ایجاد کنید تا لاگ‌ها را بنویسد.

sudo mkdir -p /var/log/stunnel
sudo touch /var/log/stunnel/stunnel.log
sudo chown stunnel4:stunnel4 /var/log/stunnel/stunnel.log

توضیح:

• یک دایرکتوری برای لاگ‌های Stunnel ایجاد می‌کند.
• یک فایل لاگ خالی ایجاد می‌کند و مالکیت مناسب را تنظیم می‌کند.

۵. پیکربندی استونل #

فایل پیکربندی Stunnel را باز کنید.

sudo nano /etc/stunnel/stunnel.conf

پیکربندی زیر را اضافه کنید:

# Global options
output = /var/log/stunnel/stunnel.log

# Service-level options
[openvpn]
client = no
accept = 443
connect = 127.0.0.1:1194
cert = /etc/stunnel/stunnel.pem

توضیح:

• output: مشخص می‌کند که خروجی لاگ کجا نوشته شود.
• [openvpn]: سرویسی به نام “openvpn” را تعریف می‌کند.
• client = no: Stunnel را در حالت سرور اجرا می‌کند.
• accept = 443‎: به پورت ۴۴۳ گوش می‌دهد (پورت رایج HTTPS که اغلب از طریق فایروال‌ها مجاز است).
• connect = 127.0.0.1:1194: اتصالات ورودی را به سرویس محلی OpenVPN هدایت می‌کند.
• cert: فایل گواهی SSL را مشخص می‌کند.

۶. فعال کردن و شروع سرویس Stunnel #

فعال کردن Stunnel برای شروع در هنگام بوت و شروع سرویس.

sudo systemctl enable stunnel4
sudo systemctl restart stunnel4
sudo systemctl status stunnel4

توضیح:

• enable: تضمین می‌کند که Stunnel در هنگام بوت سیستم شروع به کار کند.
• restart: سرویس Stunnel را شروع یا مجدداً راه‌اندازی می‌کند.
• status: بررسی می‌کند که آیا Stunnel به درستی کار می‌کند یا خیر.

۷. نصب OpenVPN #

اسکریپت نصب OpenVPN را دانلود و اجرا کنید.

cd ~
wget https://git.io/vpn -O openvpn-install.sh
sudo bash openvpn-install.sh

توضیح: این اسکریپت نصب و پیکربندی OpenVPN را خودکار می‌کند. گزینه‌های پیکربندی را درخواست می‌کند – تنظیماتی را انتخاب کنید که متناسب با نیازهای شما باشد.

۸. پیکربندی سرور OpenVPN را تغییر دهید #

فایل پیکربندی سرور OpenVPN را ویرایش کنید تا به همه رابط‌ها گوش دهد.

sudo nano /etc/openvpn/server/server.conf

دستورالعمل را پیدا کرده و اصلاح کنید local:

# Comment out if present:
# local 127.0.0.1

# Or add:
local 0.0.0.0

توضیح: این تنظیم local 0.0.0.0تضمین می‌کند که OpenVPN به تمام رابط‌های شبکه گوش می‌دهد.

۹. سرویس OpenVPN را مجدداً راه‌اندازی کنید #

تغییرات پیکربندی را اعمال کنید.

sudo systemctl restart openvpn-server@server.service
sudo systemctl status openvpn-server@server.service

توضیح: سرویس OpenVPN را مجدداً راه‌اندازی می‌کند و عملکرد صحیح آن را تأیید می‌کند.

مراحل روی دستگاه کلاینت #

۱. استونل را نصب کنید #

Stunnel را روی دستگاه کلاینت نصب کنید.

sudo apt install stunnel4 -y

۲. پیکربندی استونل #

به دایرکتوری پیکربندی Stunnel بروید و فایل پیکربندی را ایجاد کنید.

cd /etc/stunnel
sudo nano stunnel.conf

پیکربندی زیر را اضافه کنید:

client = yes

[openvpn]
accept = 127.0.0.1:1194
connect = VPS_IP_ADDRESS:443

توضیح:

• client = yes: Stunnel را در حالت کلاینت اجرا می‌کند.
• accept = 127.0.0.1:1194: به صورت محلی روی پورت ۱۱۹۴ گوش می‌دهد.
• connect = VPS_IP_ADDRESS:443: به سرویس Stunnel سرور VPS متصل می‌شود.

توجه:VPS_IP_ADDRESS با IP واقعی سرور VPS خود جایگزین کنید .

۳. فعال کردن و شروع سرویس Stunnel #

فعال کردن Stunnel برای شروع در هنگام بوت و شروع سرویس.

sudo systemctl enable stunnel4
sudo systemctl restart stunnel4
sudo systemctl status stunnel4

۴. فایل پیکربندی کلاینت OpenVPN را کپی کنید #

فایل پیکربندی کلاینت OpenVPN را به طور ایمن از VPS به دستگاه کلاینت خود کپی کنید.

scp root@VPS_IP_ADDRESS:/root/client.ovpn ~/

توضیح: کپی‌ها client.ovpnدر دایرکتوری خانگی شما.توجه:VPS_IP_ADDRESS با IP VPS خود جایگزین کنید .

۵. پیکربندی کلاینت OpenVPN را تغییر دهید #

فایل پیکربندی کلاینت OpenVPN را تغییر نام داده و ویرایش کنید.

sudo mv ~/client.ovpn /etc/openvpn/client.conf
sudo nano /etc/openvpn/client.conf

موارد زیر را اصلاح کنید:

• دستورالعمل را تغییر دهید remoteتا به نقطه پایانی محلی Stunnel اشاره کند:
• دستورالعمل‌های زیر را اضافه یا اصلاح کنید:
• به صورت اختیاری، یک فایل لاگ مشخص کنید:

توضیح:

• remote 127.0.0.1 1194: OpenVPN را به سرویس محلی Stunnel متصل می‌کند.
• route-nopull: از تغییر خودکار مسیر جلوگیری می‌کند.
• script-security 2: اجازه اجرای اسکریپت‌ها را می‌دهد.
• route-up: پس از برقراری اتصال، یک اسکریپت را اجرا می‌کند.

۶. یک اسکریپت مسیریابی ایجاد کنید #

یک اسکریپت برای تنظیم مسیریابی پس از اتصال ایجاد کنید.

sudo nano /etc/openvpn/routing.sh

محتوای زیر را اضافه کنید:

#!/bin/bash

SERVER_IP="VPS_IP_ADDRESS"
GATEWAY=$(ip route get 8.8.8.8 | grep -oP 'via \K\S+')
sudo ip route add $SERVER_IP/32 via $GATEWAY
sudo ip route add 0.0.0.0/1 via 10.8.0.1
sudo ip route add 128.0.0.0/1 via 10.8.0.1

توضیح:

• SERVER_IP: آی‌پی سرور VPS شما.
• GATEWAY: دروازه پیش‌فرض برای هدایت ترافیک به سرور VPS خارج از تونل VPN را تعیین می‌کند.
• این ip route addدستورات جدول مسیریابی را تنظیم می‌کنند.

توجه:VPS_IP_ADDRESS با IP VPS خود جایگزین کنید .اسکریپت را قابل اجرا کنید:

sudo chmod +x /etc/openvpn/routing.sh

۷. کلاینت OpenVPN را اجرا کنید #

سرویس کلاینت OpenVPN را شروع کنید.

sudo systemctl enable openvpn-client@client.service
sudo systemctl start openvpn-client@client.service
sudo systemctl status openvpn-client@client.service

توضیح: کلاینت OpenVPN را با استفاده از پیکربندی اصلاح‌شده فعال و راه‌اندازی می‌کند.

تأیید #

۱. آدرس IP را بررسی کنید #

قبل و بعد از شروع VPN، IP عمومی خود را بررسی کنید تا مطمئن شوید که ترافیک از طریق VPN هدایت می‌شود.

curl ifconfig.me

۲. تأیید خدمات #

بررسی کنید که سرویس‌های Stunnel و OpenVPN در حال اجرا باشند.

sudo systemctl status stunnel4
sudo systemctl status openvpn-client@client.service

۳. تست اتصال #

مطمئن شوید که به منابع اینترنتی دسترسی دارید و ترافیک از طریق VPN هدایت می‌شود.

ping -c 4 google.com
traceroute google.com

عیب‌یابی #

• اتصال استونل رد شد:
  • مطمئن شوید که فایروال VPS اجازه اتصال‌های ورودی روی پورت ۴۴۳ را می‌دهد.
  • تأیید کنید که Stunnel روی VPS اجرا می‌شود: sudo systemctl status stunnel4.
• احراز هویت OpenVPN ناموفق بود:
  • بررسی کنید که گواهی‌های کلاینت و سرور با هم مطابقت داشته باشند.
  • گزارش‌های OpenVPN را هم در کلاینت و هم در سرور برای یافتن خطا بررسی کنید.
• مشکلات مسیریابی:
  • تأیید کنید که routing.shاسکریپت دارای IP سرور صحیح است.
  • مطمئن شوید که اسکریپت قابل اجرا است و مسیر آن در پیکربندی OpenVPN صحیح است.
• سرویس شروع نمی‌شود:
  • بررسی گزارش‌ها: journalctl -xeیا گزارش‌های مربوط به خدمات خاص.
  • خطاهای تایپی یا نحوی را در فایل‌های پیکربندی بررسی کنید.

تبریک می گوییم ! #

با دنبال کردن این راهنما، شما با موفقیت OpenVPN را از طریق Stunnel در اوبونتو ۲۲.۰۴ راه‌اندازی کرده‌اید. این پیکربندی یک لایه رمزگذاری اضافی فراهم می‌کند و می‌تواند با محصور کردن ترافیک VPN در پروتکل‌های استاندارد SSL/TLS، به دور زدن محدودیت‌های شبکه کمک کند.

منابع #

• مستندات رسمی استونل
• مستندات رسمی OpenVPN
• راهنمای سرور اوبونتو

توجه: همیشه اطمینان حاصل کنید که استفاده شما از VPN و رمزگذاری با قوانین و مقررات محلی مطابقت دارد.