veselo666

заметки
pentinam@gmail.com

Ubuntu 16.04 + OpenVPN + MikroTik

Строим VPN на 4 и более филиалов,

Дано:

-4 филиала, в каждом уже есть интернет, вообще любой
-В каждом филиале есть как минимум один MikroTik RB941-2nD
-В качестве VPN-сервера я буду использовать облачный сервер vscale.io

Поехали.

  1. регестрируемся на vscale.io, закидываем туда ~200р, создаем самый простой сервер с Ubuntu 16.04 64bit, при создании получаем логин и пароль от сервера.

На почту получаем следующее:

Сервер создан, его белый IP: 78.155.206.33, запишем его.

2.Подключаемся к серверу по SSH (PuTTY)

Жмем «Да»

Вводим пароль root-пользователя:

Добро пожаловать!

2.1 (по желанию)Сразу для удобства поменяем пароль root:

sudo passwd root
  1. Обновляемся и начинаем установку:
sudo apt-get update
sudo apt-get install openvpn easy-rsa

3.1. Настройка центра сертификации:

Создаем папку для хранения сертификатов Easy-RSA.

sudo mkdir /etc/openvpn/easy-rsa

Копируем все необходимое:

sudo cp -R /usr/share/easy-rsa /etc/openvpn/

Переходим в папку, и начинаем:

cd /etc/openvpn/easy-rsa/
nano vars

Выделенные переменные можно отредактировать на свои(Первые два значения чувствительны к количеству символов, вроде как не более 2х)

У меня получилось так:

Сохраняем и закрываем
Ctrl+O, Ctrl+X

Далее выполняем следующие команды:

source vars
./clean-all
./build-ca

Эта команда запустит процесс создания ключа и сертификата корневого центра сертификации. Поскольку мы задали все переменные в файле vars, все необходимые значения будут введены автоматически. Нажимайте ENTER для подтверждения выбора:

Результат:

3.2 Создание сертификата, ключа и файлов шифрования для сервера:

cd /etc/openvpn/easy-rsa/
./build-key-server server

Согласитесь со всеми значениями по умолчанию, нажимая ENTER. Не задавайте challenge password. В конце процесса два раза введите

y

для подписи и подтверждения создания сертификата:
Результат:

3.2.1 Далее создадим оставшиеся файлы:

cd /etc/openvpn/easy-rsa/
./build-dh

Результат:

4.Создание сертификата и  ключей для клиента:

cd /etc/openvpn/easy-rsa/
source vars
./build-key client1

В ходе процесса создания файлов все значения по умолчанию будут введены, вы можете нажимать ENTER. Не задавайте challenge password и введите y на запросы о подписи и подтверждении создания сертификата.
Если у вас несколько клиентов, вы можете повторять этот процесс сколько угодно раз. Просто каждый раз передавайте уникальное имя: client1, client2, client3 итд.

В нашем случае пункт 4 нужно будет выполнить 4 раза для четырех филиалов.

  1. Настройка сервиса OpenVPN:

5.1 Создание файла server.conf :

nano /etc/openvpn/server.conf

Копируем туда:

port 1194
# порт который будет слушать демон OpenVPN
proto tcp
# используемый протокол
dev tun
# метод работы - создание туннеля
ca /etc/openvpn/easy-rsa/keys/ca.crt
# указываем корневой сертификат
cert /etc/openvpn/easy-rsa/keys/server.crt
# указываем сертификат сервера
key /etc/openvpn/easy-rsa/keys/server.key
# указываем ключ сервера
dh /etc/openvpn/easy-rsa/keys/dh2048.pem
# указываем ключ Диффи-Хеллмана
server 10.10.10.0 255.255.255.0
# указываем виртуальную подсеть - из нее сервер будет присваивать адреса клиентам
cipher AES-128-CBC
# обеспечиваем мощное шифрование трафика
;ifconfig-pool-persist ipp.txt
# с помощью этого параметра можно раздавать статические IP
;push "redirect-gateway def1"
# для пропуска трафика через шлюз сервера
;push "dhcp-option DNS 8.8.8.8"
# и добавляем сервер имен империи добра
keepalive 10 120
# параметры соединения
;comp-lzo
# включаем механизм сжатия трафика
persist-key
# чтобы ключи не пересылались повторно при разрыве соединения
persist-tun
# обеспечит работу туннеля в режиме persist
status /var/log/openvpn-status.log
# лог статуса
log /var/log/openvpn.log
# общий лог
verb 3
# уровень логирования
client-to-client
topology subnet

5.2 Включение сервиса OpenVPN:

sudo systemctl start openvpn@server

Добавляем в автозапуск:

sudo systemctl enable openvpn@server

Проверяем:

sudo systemctl status openvpn@server

Результат:

  1. Создание конфигов для клиента:

Создадим папку:

cd /etc/openvpn/
mkdir ccd

В этой папке мы будем создавать конфиги для наших клиентов(филиалов), имя конфига должно совпадать с именем ключа!

cd /etc/openvpn/ccd/
nano client1

Пишем туда:

ifconfig-push 10.10.10.11 255.255.255.0
17 января  

конфиг OpenVPN server.conf

port 1194
# порт который будет слушать демон OpenVPN
proto tcp
# используемый протокол
dev tun
# метод работы - создание туннеля
ca /etc/openvpn/keys/ca.crt
# указываем корневой сертификат
cert /etc/openvpn/keys/server.crt
# указываем сертификат сервера
key /etc/openvpn/keys/server.key
# указываем ключ сервера
dh /etc/openvpn/keys/dh1024.pem
# указываем ключ Диффи-Хеллмана
server 10.1.0.0 255.255.255.0
# указываем виртуальную подсеть - из нее сервер будет присваивать адреса клиентам
cipher AES-256-CBC
# обеспечиваем мощное шифрование трафика
;ifconfig-pool-persist ipp.txt
# с помощью этого параметра можно раздавать статические IP
;push "redirect-gateway def1"
# для пропуска трафика через шлюз сервера
;push "dhcp-option DNS 8.8.8.8"
# и добавляем сервер имен империи добра
keepalive 10 120
# параметры соединения
;comp-lzo
# включаем механизм сжатия трафика
persist-key
# чтобы ключи не пересылались повторно при разрыве соединения
persist-tun
# обеспечит работу туннеля в режиме persist
status /var/log/openvpn-status.log
# лог статуса
log /var/log/openvpn.log
# общий лог
verb 3
# уровень логирования
client-to-client
push "route 10.1.0.0 255.255.255.0"
;push «route 192.168.89.0 255.255.255.0»
;push "route 192.168.88.0 255.255.255.0"
;push "route 192.168.89.0 255.255.255.0"
route 192.168.89.0 255.255.255.0 10.1.0.0
route 192.168.88.0 255.255.255.0 10.1.0.0
route 192.168.90.0 255.255.255.0 10.1.0.0
27 декабря   linux   openvpn   ubuntu

RTSP ссылка для Nobelic NBQ-1110F

rtsp://192.168.90.61:554/cam/realmonitor?channel=1&subtype=0&unicast=true&proto=Onvif

192.168.90.61 — IP адрес камеры в локальной сети.
Будет запрошен логин\пароль от камеры.

Если вы используете ПО Ivideon то IP адрес камеры можно увидеть в настройках камеры в личном кабинете.
Там-же можно сменить пароль для доступа к камере.

Вариант автозагрузки .bat файлов в Windows 10

Нажмите клавиши

Win+R

или правой кнопкой мыши по значку «Пуск».
В открывшемся окне введите:

shell:startup

В открывшемся окне создайте ярлык и укажите путь до необходимого файла.

Перезагружайте, проверяйте. У меня заработало :)

2017   windows

Изменение порта SSH сервера Ubuntu

  • В терминале откройте конфигурационный файл SSH сервера:
  • nano /etc/ssh/sshd_config

    Найдите и измените:

    Port 22

    Укажите необходимый вам порт.

    Сохраняем

    Ctrl+O

    Закрываем

    Ctrl+X
  • Перезапускаем SSH:
  • /etc/init.d/ssh restart

    Отключаемся, и подключаемся по ssh указывая новый порт.

    2017   ssh   ubuntu

    Смена пароля root в  Ubuntu 16.04

  • Введите в терминале:
  • sudo passwd root

    Введите новый пароль
    Введите новый пароль ещё раз

    Если всё успешно, вы увидете следующее:

    2017   root   ubuntu   пароль

    Установка Zabbix 3.4 на Ubuntu Server 16.04 64bit

    сразу определимся с условиями:
    • Все операции будут проводится на VDS
    • Ubuntu 16.04 64bit
    • Zabbix 3.4
  • Подготовка:
  • apt-get update
    apt-get upgrade
    1. Добавление репозитория:

    как указано в  официальном : мануале

    wget http://repo.zabbix.com/zabbix/3.4/ubuntu/pool/main/z/zabbix-release/zabbix-release_3.4-1+xenial_all.deb
    dpkg -i zabbix-release_3.4-1+xenial_all.deb
    apt-get update
    1. Установка сервера с MySQL:
    apt-get install zabbix-server-mysql zabbix-frontend-php

    2.1. Для начала работы с DB (MariaDB) вам необходимо установить root пароль:

    /usr/bin/mysql_secure_installation

    Установщик задаст несколько вопросов,
    Обратите внимание на:

    Disallow root login remotely? [Y/n] n

    Теперь можно подключатся с новым root-паролем.

    2.2. Создание БД MySQL

    mysql -uroot -p

    //Будет запрошен пароль для пользователя root см. п 2.1

    create database zabbix character set utf8 collate utf8_bin;
    grant all privileges on zabbix.* to zabbix@localhost identified by '<пароль>';//<пароль> Измените на пароль для пользователя БД zabbix
    quit;

    2.3. Нужно импортировать create.sql с помощью этой команды:

    zcat /usr/share/doc/zabbix-server-mysql/create.sql.gz | mysql -uzabbix zabbix -p

    Будет запрошен пароль пользователя БД zabbix. см. п. 2.2

    На всякий случай проверяем наличие таблиц:

    mysqlshow -u zabbix -p zabbix

    Будет запрошен пароль пользователя БД zabbix. см. п. 2.2
    Вы увидете примерно следующее:

    2.4. Настройка базы данных для Zabbix сервера:

    открываем zabbix_server.conf

    nano /etc/zabbix/zabbix_server.conf

    Нас интересуют 4 позиции, измените их на свои и раскомментируйте.

    DBHost=localhost
    DBName=zabbix
    DBUser=zabbix
    DBPassword=<пароль>

    Сохраняем

    Ctrl+O

    Закрываем

    Ctrl+X
    1. Запуск процесса Zabbix сервера и добавление его в автозагрузку:
    service zabbix-server start
    update-rc.d zabbix-server enable
    1. Проверяем конфиг PHP:
    nano /etc/apache2/conf-enabled/zabbix.conf
    php_value max_execution_time 300
    php_value memory_limit 128M
    php_value post_max_size 16M
    php_value upload_max_filesize 2M
    php_value max_input_time 300
    php_value always_populate_raw_post_data -1
    # php_value date.timezone Europe/Riga //Раскомментируйте у укажите свой. у меня Asia/Irkutsk например.

    Сохраняем

    Ctrl+O

    Закрываем

    Ctrl+X

    Перезапускаем Apache2:

    service apache2 restart
    1. Финальный этап установки

    Открываем в браузере:

    http://IP-сервера/zabbix/

    Если все нормально то вы увидете:

    Жмем Next step:

    Тут у меня все OK. Жмем Next step //если у вас что-то не соответствует, то искать решение тут

    Вбиваем данные для подключения к БД:

    Жмем Next step:

    Жмем Next step:

    Жмем Next step:

    Жмем Finish:

    1. Все готово

    Логин по умолчанию: Admin
    Пароль по умолчанию: zabbix

    Zabbix официальный сайт
    Эти страницы содержат официальную документацию по Zabbix.

    Open VPN: создание ключей и конфигов клиента

    1. логинимся по ssh:
    cd /usr/share/easy-rsa/
    source vars
    ./build-key {key_name}
    1. ключ сгенерирован, нужно переместить его в папку openvpn сервера
    cd /usr/share/easy-rsa/keys/
    sudo cp {key_name}.csr {key_name}.crt {key_name}.key /etc/openvpn/keys/
    1. создаём файл конфигурации клиента:
    cd /etc/openvpn/ccd/
    nano {key_name}
    1. пишем туда:
    ifconfig-push 10.100.0.10 10.100.0.1               // 10.100.0.10 - IP клиента внутри VPN, 10.100.0.1 - шлюз
    iroute 192.168.93.0 255.255.255.0                  // Расшариваем сеть за MikroTik
    push route "192.168.89.0 255.255.255.0"            //роутинг на сеть
    push route "192.168.93.0 255.255.255.0"            //роутинг на сеть
    push route "192.168.96.0 255.255.255.0"            //роутинг на сеть
    push route "192.168.94.0 255.255.255.0"            //роутинг на сеть
    1. сохраняем, закрываем
      Сtrl+O, Ctrl+X
    1. укажем маршрут до сети серверу:
    nano /etc/openvpn/server.conf

    добавим туда:

    route 192.168.93.0 255.255.255.0 10.100.0.1
    1. сохраняем, закрываем
      Сtrl+O, Ctrl+X
    1. Перезапускаем сервер:
    service openvpn restart
    2017   mikrotik   openvpn   ubuntu   vpn