Hướng Dẫn Tạo VPN Server Miễn Phí Từ A đến Z – Phần 5: Thiết Lập ...

NỘI DUNG

Toggle

• #1 Thiết lập packet forwarding
• #2 Cấu hình Firewall
  • #2.1 Kiểm tra Network Interface
  • #2.2 Cấu hình Firewall
• #3. Chạy OpenVPN Server

Kết thúc Phần 4, bạn đã hoàn thành phần lớn các nội dung công việc cấu hình trên VPN Server. Trong kỳ này, tôi sẽ trình bày nốt các nội dung cấu hình còn lại bao gồm thiết lập Packet forwarding, Firewall và sau đó khởi động cho con VPN Server bắt đầu chạy.

#1 Thiết lập packet forwarding

Để thực hiện thiết lập này, bạn sẽ cần thay đổi nội dung trong file “sysctl.conf”. Do vậy, đầu tiên, sau khi ssh vào bên trong con VM Instance, bạn cần mở file “sysctl.conf” lên với dòng lệnh:

sudo nano /etc/sysctl.conf

Dùng phím mũi tên, bạn tìm dòng liên quan đến “IP forwarding” và bỏ dấu “#” ở đầu dòng để kích hoạt dòng này:

net.ipv4.ip_forward=1

Sau đó bạn lưu thay đổi và thoát ra với với tổ hợp phím “Crtl + X”, “Y” và “Enter” rồi load lại file cấu hình này với dòng lệnh:

sudo sysctl -p

Góc trợ giúp:

– “sysctl.conf” tại thư mục “/etc” cung cấp nhiều tùy chọn thông số cấu hình cho Linux Kernel nhưng với mục tiêu tạo VPN Server, bạn sẽ chỉ cần tập trung vào nội dung nói trên là chuẩn cmnr

– Tùy chọn -p hay --load được sử dụng để sysctl đọc thiết lập từ file chỉ định (không chỉ định thì nó sẽ triển với file “sysctl.conf”)

#2 Cấu hình Firewall

#2.1 Kiểm tra Network Interface

Kế tiếp, bạn cần làm cập nhật thiết lập Firewall để để VPN hoạt động. Trước khi tiến hành thiết lập bạn cần xác định xem Network Interface mặc định nào đang hoạt động với dòng lệnh:

ip route | grep default

Góc trợ giúp:

– “ip route” sẽ hiển thị cho bạn danh sách các interface đang sử dụng cho việc định tuyến

– “grep” có chức năng tìm kiếm theo từ khóa chỉ định (trong dòng lệnh trên bạn tìm từ khóa “default” – ý là bạn muốn tìm cái Network Interface mặc định. Lưu ý: thằng “|” (pipe) tôi nói ở Phần 4 rồi, bạn không nhớ thì quay lại nhé.

Với trường hợp của tôi thì thì Network Interface mặc định sẽ là “ens4” (bạn lưu ý kiểm lại thông tin của tương ứng và cập nhật cho phù hợp nếu cần)

#2.2 Cấu hình Firewall

Sau đó, bạn tiến hành mở file để cập nhật cấu hình Firewall với dòng lệnh

sudo nano /etc/ufw/before.rules

Trong file này, bạn tìm đến vị trí bên trên dòng “Don’t delete these required lines…” và bổ sung đoạn sau:

# OPENVPN # NAT Table *nat :POSTROUTING ACCEPT [0:0] # OpenVPN client traffic -A POSTROUTING -s 10.8.0.0/8 -o ens4 -j MASQUERADE COMMIT # OPENVPN

Lưu ý: Đoạn này bạn nên copy và paste với “Ctrl+V” nhé vì hơi dài nên dễ gõ nhầm

Bạn lưu thay đổi và thoát ra để tiếp tục chuyển sang cấu hình Forward Policy bằng dòng lệnh:

sudo nano /etc/default/ufw

Bạn tìm đến nội dung “DEFAULT_FORWARD_POLICY” và đổi “DROP” thành “ACCEPT” như sau:

Hiển nhiên, bạn cần lưu trước khi thoát khỏi file cấu hình này.

Và cuối cùng nhưng cũng rất quan trọng đó là bổ sung dòng rule cho phép VPN hoạt động ở port 443 với TCP protocol (bạn xem lại Phần 4 nếu không biết cái này ở đâu ra nhé)

sudo ufw allow 22/tcp

sudo ufw allow 443/tcp

Lưu ý quan trọng: có thêm cái dòng “sudo ufw allow 22/tcp” là để cho phép bạn vẫn có thể ssh vào VM Instance qua port mặc định 22 sau khi bạn kích hoạt Firewall và thoát ra ngoài VM. Nếu quên cái này thì bạn có thể phải dùng đến các thủ thuật như “startup script” để tắt Firewall từ bên ngoài VM. Vì mục tiêu chính là dựng VPN Server nên tôi sẽ không nói thêm về tình huống “khóa cửa xong mới biết quên cầm chìa” này. Tuy nhiên, nếu vì dòng đời xô đẩy mà bạn lỡ lâm vào hoàn cảnh éo le đó thì có thể comment để tôi nói chi tiết thêm.

Trước khi kết thúc mục này, bạn cần bảo đảm Firewall đã hoạt động với dòng lệnh

sudo ufw enable

#3. Chạy OpenVPN Server

Để chạy con Open VPN Server, bạn dùng dòng lệnh

sudo systemctl start openvpn@server

Sau đó, bạn kiểm tra trạng thái hoạt động với:

sudo systemctl status openvpn@server

Nếu thấy kết quả như sau là ngon (xem chán rồi thì bạn bấm “q” để thoát ra)

Và cuối cùng link cái OpenVPN này vào quá trình khởi động với:

sudo systemctl enable openvpn@server

OK, nếu bạn đã đến được đây mà mọi chuyện vẫn êm đẹp thì xem như đã xong được cỡ 80% rồi đây. Trong kỳ tới (tôi hy vọng sẽ là kỳ cuối), tôi sẽ chuyển sang nội dung thiết lập cho Client trước khi có thể bắt đầu khai thác con hàng VPN Server.