差異處

這裏顯示兩個版本的差異處。

--- tech:pve_openvpn [2023/06/14 15:24] – [自訂 Open VPN Server] jonathan
+++ tech:pve_openvpn [2023/10/29 00:44] (目前版本) – jonathan
@@ 行 1: / 行 1: @@
-====== PVE 內使用 CT Template 安裝 OpenVPN Server ======
+====== 安裝 OpenVPN Server(使用 PVE 內 CT Template) ======
   * 採用 PVE 可下載的 CT Template - debian-10-turnkey-openvpn_16.1-1_amd64.tar.gz 來建立
@@ 行 148: / 行 148: @@
 <note tip>
-  * 如果想讓 OpenVPN 的 Listen Port 改為 443, 因為會與提供下載憑證的 lighttpd 衝突, 所以需要
+  * 如果想讓 OpenVPN 的 Listen Port 改為 443, 因為會與提供下載憑證的 lighttpd 衝突, 所以可以修改 SSL Port 為其他 port Exp. 20443
-    * 修改 /etc/lighttpd/lighttpd.conf 的設定 Exp. 改成 20443 <cli>
+    * [舊版] 修改 /etc/lighttpd/lighttpd.conf 的設定<cli>
 vi /etc/lighttpd/lighttpd.conf
+</cli><file>
+:
+$SERVER["socket"] == ":80" {
+    $HTTP["host"] =~ "(.*)" {
+        url.redirect = ( "^/(.*)" => "https://%1/$1" )
+    }
+}
+$SERVER["socket"] == ":20443" {
+    ssl.engine = "enable"
+    # Note using shared hardened SSL settings
+    include "ssl-params.conf"
+:
+</file>
+    * [新版] 修改 /etc/lighttpd/conf-enabled/50-tklcp.conf <cli>
+vi /etc/lighttpd/conf-enabled/50-tklcp.conf
 </cli><file>
 :
@@ 行 165: / 行 181: @@
 :
 </file><cli>
+vi /etc/lighttpd/conf-enabled/10-ssl.conf
+</cli><file>
+:
+$SERVER["socket"] == "0.0.0.0:20443" {
+    ssl.engine  = "enable"
+}
+:
+# support for IPv6 HTTPS via Debian script (in 'lighttpd' package)
+include_shell "/usr/share/lighttpd/use-ipv6.pl 20443"
+</file>修改好重啟 lighttpd<cli>
 systemctl restart lighttpd.service
 </cli>
@@ 行 204: / 行 230: @@
 systemctl restart openvpn
 </cli>
+===== 安裝 snmpd 進行監控 =====
+  * 如果要將 openvpn server 啟用 snmpd 進行監控, 可以參考 [[tech/ubuntu_snmpd]]
+  * 開啟主機防火牆 udp port 161 <cli>vi /etc/iptables.up.rules</cli><file>
+:
+*filter
+:FORWARD ACCEPT [0:0]
+:OUTPUT ACCEPT [0:0]
+:INPUT DROP [0:0]
+-A INPUT -i lo -j ACCEPT
+-A INPUT -p icmp -m icmp --icmp-type echo-request -j ACCEPT
+-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
+:
+-A INPUT -p udp -m udp --dport 161 -j ACCEPT
+:
+</file>更改後重啟主機或是使用 iptable-restore 讓 firewall 生效<cli>
+iptable-restore < /etc/iptables.up.rules
+</cli>
+===== 安裝 openvpn-snmp-stats 強化監控 =====
+  * 參考 - https://github.com/ThierryDi/-openvpn-snmp-stats
+  * 安裝 openvpn.py <cli>
+apt install sudo -y
+mkdir -p /opt/openvpn-snmp-stats/db
+cd /opt/openvpn-snmp-stats
+wget https://raw.githubusercontent.com/ThierryDi/-openvpn-snmp-stats/main/openvpn.py
+chmod a+x openvpn.py
+visudo /etc/sudoers.d/openvpn-stats
+</cli><file>
+Debian-snmp ALL = NOPASSWD: /opt/openvpn-snmp-stats/openvpn.py
+</file><cli>
+vi /etc/snmp/snmpd.conf</cli><file>
+:
+group MyROGroup v2c iiidevops
+view    systemview    included   .1.3.6.1.2.1.1
+view    systemview    included   .1.3.6.1.2.1.2
+view    systemview    included   .1.3.6.1.2.1.25.1.1
+view    systemview    included   .1.3.6.1.4.1.8072.1.3.2
+:
+extend wireguard /usr/bin/sudo /opt/openvpn-snmp-stats/openvpn.py
+</file><cli>
+ln -s /var/log/openvpn/server.log /var/log/openvpn/openvpn-status.log
+systemctl restart snmpd.service
+</cli>
+  * 可以至 LibreNMS 針對這台主機開啟 Applications -> Wireguard 就可以出現類似以下的畫面 \\ {{:tech:2023-07-10_230252.png?1024|}}
+===== 安裝 openvpn-monitor 強化監控 =====
+  * 參考 - https://registry.hub.docker.com/r/ruimarinho/openvpn-monitor
+  * 在 openvpn server 開啟監控服務 Port Exp. 5555<cli>
+vi /etc/openvpn/server.conf
+</cli><file>
+:
+status /var/log/openvpn/server.log
+verb 4
+management 0.0.0.0 5555
+:
+</file>
+  * 重啟 openvpn server 讓設定生效, 可以使用 netstat 查看是否 port 5555 已經開啟<cli>
+root@ct-devops-vpn ~# netstat -lntp | grep openvpn
+tcp        0      0 0.0.0.0:5555            0.0.0.0:*               LISTEN      88842/openvpn
+tcp        0      0 0.0.0.0:443             0.0.0.0:*               LISTEN      88842/openvpn
+</cli>
+  * 參考 [[tech:openvpn-monitor]]
 ===== 參考網址 =====