Pse nevojitet OpenVPN. Aplikimet e kësaj teknologjie

12.06.2019 OS

OpenVPN është një nga opsionet VPN (rrjet privat virtual ose rrjete private virtuale) që ju lejon të transferoni të dhëna përmes një kanali të enkriptuar të krijuar posaçërisht. Kështu, ju mund të lidhni dy kompjuterë ose të ndërtoni një rrjet të centralizuar me një server dhe disa klientë. Në këtë artikull, ne do të mësojmë se si të krijojmë një server të tillë dhe ta konfigurojmë atë.

Siç u përmend më lart, duke përdorur teknologjinë në fjalë, ne mund të transmetojmë informacion përmes një kanali të sigurt komunikimi. Kjo mund të jetë shkëmbim skedarësh ose akses i sigurt në internet përmes një serveri që është një portë e zakonshme. Për ta krijuar atë, nuk kemi nevojë për pajisje shtesë dhe njohuri të veçanta - gjithçka bëhet në kompjuterin që është planifikuar të përdoret si server VPN.

Për punë të mëtejshme, do të jetë gjithashtu e nevojshme të konfiguroni pjesën e klientit në makinat e përdoruesve të rrjetit. E gjithë puna zbret në krijimin e çelësave dhe certifikatave, të cilat më pas transferohen te klientët. Këta skedarë lejojnë, kur lidheni me serverin, të merrni një adresë IP dhe të krijoni kanalin e koduar të mësipërm. I gjithë informacioni i transmetuar përmes tij mund të lexohet vetëm nëse çelësi është i pranishëm. Ky funksion mund të përmirësojë ndjeshëm sigurinë dhe të sigurojë sigurinë e të dhënave.

Instalimi i OpenVPN në një makinë serveri

Instalimi është një procedurë standarde me disa nuanca, për të cilat do të flasim më në detaje.

Konfigurimi nga ana e serverit

Jini jashtëzakonisht të kujdesshëm kur kryeni hapat e mëposhtëm. Çdo defekt do të çojë në mosfunksionim të serverit. Një tjetër parakusht është që llogaria juaj të ketë të drejta administratori.

Shkoni te katalogu Lehtë-rsa, e cila në rastin tonë ndodhet në
C: \ OpenVPN \ easy-rsa

Gjeni skedarin vars.bat.kampion.

Riemëroni atë në vars.bat(fshini fjalën "Shembull" së bashku me një pikë).

Ne e hapim këtë skedar në redaktues. Kjo është e rëndësishme, pasi është kjo fletore që ju lejon të redaktoni dhe ruani saktë kodet, gjë që ndihmon në shmangien e gabimeve gjatë ekzekutimit të tyre.
Para së gjithash, ne fshijmë të gjitha komentet e theksuara në të gjelbër - ato vetëm do të ndërhyjnë me ne. Ne marrim sa vijon:
Tjetra, ndryshoni shtegun për në dosje Lehtë-rsa tek ai që treguam gjatë instalimit. Në këtë rast, ne thjesht fshijmë variablin % Dosje programesh% dhe ndryshojeni atë në C:.
Lërini katër parametrat e ardhshëm të pandryshuar.
Plotësoni pjesën tjetër të rreshtave në mënyrë arbitrare. Një shembull në pamjen e ekranit.
Ne e ruajmë skedarin.
Ju gjithashtu duhet të redaktoni skedarët e mëposhtëm:
- ndërtoj-ca.bat
- ndërtoj-dh.bat
- build-key.bat
- build-key-pass.bat
- build-key-pkcs12.bat
- build-key-server.bat
Ata duhet të ndryshojnë ekipin

në rrugën absolute për në skedarin e saj përkatës openssl.exe... Mos harroni të ruani ndryshimet tuaja.
Tani hapni dosjen Lehtë-rsa, kapëse SHIFT dhe kliko me të djathtën në hapësirën e lirë (jo në skedarë). Në menynë e kontekstit, zgjidhni artikullin "Hap dritaren e komandës".

Do të fillojë "Linja e komandës" me kalimin tashmë të përfunduar në drejtorinë e synuar.
Futni komandën më poshtë dhe klikoni HYN.
Më pas, ne lëshojmë një tjetër "skedar grumbull".
Ne përsërisim komandën e parë.
Hapi tjetër është krijimi i skedarëve të kërkuar. Për ta bërë këtë, përdorni komandën
Pas përfundimit, sistemi do të ofrojë të konfirmojë të dhënat që kemi futur në skedarin vars.bat. Thjesht shtypni disa herë HYN derisa të shfaqet vija origjinale.
Krijoni çelësin DH duke ekzekutuar skedarin
Përgatitja e një certifikate për anën e serverit. Këtu ka një pikë të rëndësishme. Ai duhet të caktojë emrin në të cilin jemi regjistruar vars.bat ne rresht "KEY_NAME"... Në shembullin tonë, kjo është Lumpikë... Komanda duket si kjo:
build-key-server.bat Lumpics

Këtu është gjithashtu e nevojshme të konfirmoni të dhënat duke përdorur çelësin HYN, dhe gjithashtu futni letrën dy herë "Y"(po) aty ku kërkohet (shih pamjen e ekranit). Linja e komandës mund të mbyllet.
Në katalogun tonë Lehtë-rsa ka një dosje të re me emrin "Çelësat".
Përmbajtja e tij duhet të kopjohet dhe ngjitet në një dosje "Ssl", i cili duhet të krijohet në direktoriumin rrënjë të programit.

Pamja e dosjes pas ngjitjes së skedarëve të kopjuar:
Tani shkoni te drejtoria
C: \ OpenVPN \ konfigurimi

Krijoni një dokument teksti këtu (RMB - Krijo - Dokument teksti), riemërtojeni në server.ovpn dhe hapeni në Notepad ++. Ne prezantojmë kodin e mëposhtëm:

porti 443
proto udp
dev tun
dev-nyja "VPN Lumpics"
dh C: \\ OpenVPN \\ ssl \\ dh2048.pem
ca C: \\ OpenVPN \\ ssl \\ ca.crt
çertifikata C: \\ OpenVPN \\ ssl \\ Lumpics.crt
çelësi C: \\ OpenVPN \\ ssl \\ Lumpics.key
serveri 172.16.10.0 255.255.255.0
max-klientë 32
ruaj 10 120
klient-to-klient
komp-lzo
këmbëngulës-kyç
këmbëngul-tun
shifra DES-CBC
statusi C: \\ OpenVPN \\ log \\ status.log
log C: \\ OpenVPN \\ log \\ openvpn.log
folja 4
memec 20

Ju lutemi vini re se emrat e certifikatave dhe çelësave duhet të përputhen me ato të vendosura në dosje "Ssl".
Tjetra, hapeni "Paneli i kontrollit" dhe shkoni në "Qendra e kontrollit të rrjetit".
Klikoni në lidhjen "Ndrysho cilësimet e përshtatësit".
Këtu duhet të gjejmë lidhjen përmes "Përshtatës TAP-Windows V9"... Kjo mund të bëhet duke klikuar me të djathtën mbi lidhjen dhe duke shkuar te vetitë e saj.
Riemëroni atë në VPN Lumpics pa thonjëza. Ky emër duhet të përputhet me parametrin "Dev-nyje" në dosje server.ovpn.
Hapi i fundit është fillimi i shërbimit. Shtypni shkurtoren e tastierës Win + R, futni rreshtin më poshtë dhe klikoni HYN.
Gjeni një shërbim me një emër "OpenVpnService", kliko me të djathtën dhe shko te vetitë e tij.
Ndryshoni llojin e nisjes në "Automatikisht", filloni shërbimin dhe klikoni Aplikoni.
Nëse kemi bërë gjithçka siç duhet, atëherë një kryq i kuq duhet të zhduket pranë përshtatësit. Kjo do të thotë që lidhja është gati për t'u nisur.

Konfigurimi i anës së klientit

Para fillimit të konfigurimit të klientit, duhet të kryeni disa veprime në makinën e serverit - gjeneroni çelësat dhe një certifikatë për të konfiguruar lidhjen.

Puna që duhet bërë në makinën e klientit:

Kjo përfundon konfigurimin e serverit dhe klientit OpenVPN.

konkluzioni

Organizimi i rrjetit tuaj VPN do t'ju lejojë të mbroni maksimalisht informacionin e transmetuar, si dhe ta bëni surfimin në internet më të sigurt. Gjëja kryesore është të jeni më të kujdesshëm kur vendosni pjesët e serverit dhe klientit, me veprimet e duhura, mund të përdorni të gjitha avantazhet e një rrjeti virtual privat.

Në fakt, Open vpn është një program shumë interesant që funksionon nën Rrjetin Privat Virtual të llojit pikë-për-pikë dhe nuk keni nevojë të ndryshoni cilësimet e Firewall për ta përdorur atë. Ky program vjen në shpëtim kur ju duhet të lidheni me një rrjet privat virtual, për shembull, për t'u bashkuar me rrjetin tuaj të shtëpisë ose VPN të zyrës.

Ky program shpesh vepron si një klient universal, i cili bën të mundur që të maskoni lehtësisht praninë tuaj në internet, në asnjë moment duke krijuar një lidhje me një server të palës së tretë "të kaluar" ofruesin tuaj. Kjo është ajo që e bën vpn të hapur të popullarizuar në mesin e shërbimeve anonime VPN.

Çfarë mund t'i atribuohet avantazheve themelore të një modeli të tillë?

Kursimi i trafikut: gjithçka është e ngjeshur me lzo me cilësi të lartë.
Lehtësia e personalizimit: gjithçka në lidhje me gjithçka kërkon më pak se një orë, dhe madje një fillestar ose një person pa njohuri të veçanta mund ta kuptojë.
Siguri mbresëlënëse: i gjithë trafiku është i koduar, pa përjashtim, me secilin klient të izoluar.
Klienti nuk ka nevojë të instalojë pajisje shtesë.
Më në fund, stabiliteti i punës dhe një shpejtësi mjaft e mirë.

Vlen të përmendet se programi ofrohet plotësisht pa pagesë, d.m.th. kodi i tij burimor është i hapur për të gjithë. Dëshironi të dini më shumë? Ejani këtu dhe do të gjeni informacion të plotë.

Çfarë është një lidhje e hapur VPN?

Për të garantuar sigurinë e plotë të lidhjes dhe të dhënave tuaja, përdoret biblioteka OpenSSL. Kjo i jep programit akses maksimal në algoritmet e enkriptimit të disponueshëm në asamble. Për më tepër, HMAC mund të përdoret - kjo siguron enkriptim të përmirësuar të të dhënave në momentin kur informacioni përpunohet ose transmetohet.

Në cilat sisteme operative mund të përdoret klienti OpenVPN? Në të gjitha sistemet kryesore operative, duke përfshirë Windows, MAC OS, FreeBSD.

Cilat porte përdor OpenVPN për të gjitha operacionet dhe transferimet e rrjetit? UDP ose TCP, për më tepër, mund të funksionojë përmes HTTP, NAT, etj.

Pra, nëse do të blini akses në një server vpn, duket se teknologjia e hapur vpn do t'ju interesojë patjetër. Dhjetra studime dhe përpjekje për të krahasuar me skrupulozitet OpenVPN dhe PPTP kanë ndërtuar një pamje të qartë: algoritmet e përmirësuar të enkriptimit të të dhënave e bëjnë klientin shumë herë më efektiv në çështjet e sigurisë. Lehtësia e mirëmbajtjes shton pikë shtesë në përfitimin e saj. Fat të mirë në punën tuaj!

1) Në faqen e internetit openvpn.net, shkoni te seksioni Komuniteti... Në skedën Shkarkimet klikoni mbi Shkarkimet e komunitetit.

2) Zgjidhni skedarin e instalimit në përputhje me bitin e OS ( 32 bit/64 bit) instalohet dhe shkarkohet.

3) Drejtoni skedarin e instalimit dhe ndiqni hapat e instalimit.

5) Gjatë instalimit të OpenVPN, programi mund të kërkojë konfirmimin e instalimit TAP- shofer. Kjo kërkesë duhet të konfirmohet duke klikuar në butonin Instaloni.

6) Kjo përfundon procesin e instalimit.

Konfigurimi nga ana e serverit

Le të shohim një shembull të konfigurimit të një lidhjeje OpenVPN duke përdorur një certifikatë SSL të vetë-nënshkruar.

1) Drejtoni linjën e komandës.

Start -> Run -> cmd

2) Shkoni te drejtoria C: \ Program Files \ OpenVPN \ easy-rsa duke përdorur komandën:

Cd \ Program Files \ OpenVPN \ easy-rsa

3) Ekzekutoni skedarin init-config.bat në vijën e komandës:

Init-config.bat

Pas ekzekutimit të skedarit, do të krijohet një skedar vars.bat.

4) Skedari vars.bat ju duhet ta hapni atë në një redaktues teksti (Notepad ose Wordpad) dhe të ndryshoni të dhënat e nënshkrimit të çelësit në tuajin. Ju mund të modifikoni informacionin në rreshtat e mëposhtëm:

Cakto KEY_COUNTRY = SHBA # Komplet shteti KEY_PROVINCE = CA # Komplet rajoni KEY_CITY = SanFrancisko # Komplet qyteti KEY_ORG = OpenVPN # Emri i kompanisë u vendos [email i mbrojtur]# E-mail kontakti

Gjithashtu, në mungesë të një regjistrimi të formularit:

Vendos OPENSSL_CONF = C: \ Program Files \ OpenVPN \ easy-rsa \ openssl-1.0.0.cnf

ju duhet ta shtoni atë poshtë rreshtit:

Cakto KEY_CONFIG = openssl-1.0.0.cnf

Shënim: shtegu i vendndodhjes dhe emri i skedarit të konfigurimit mund të ndryshojnë nga ato të paraqitura në shembull. Prandaj, së pari sigurohuni që skedari të jetë i vendosur dhe emëruar në përputhje me të dhënat e specifikuara.

5) Për të krijuar indeks dhe serial skedarë, ekzekutoni komandat e mëposhtme një nga një në vijën e komandës:

Vars të pastër-të gjitha

6) Komanda tjetër krijon një çelës CA, i cili do të përdoret për të nënshkruar certifikatën e ardhshme SSL. Pas ekzekutimit të komandës, do t'ju kërkohet për vlerat e parametrave. Nëse keni bërë rregullime në skedar më parë vars.bat, atëherë parametrat e specifikuar në hapin e 4-të mund të përgjigjen duke shtypur Hyni... Një përjashtim është parametri - Emer i perbashket... Është e nevojshme të futni emrin e hostit të serverit, ose emrin e domenit.

Ndërtimi-ca

7) Krijoni një çelës Diffie-Hellman.

Ndërtoni-çelës-server<имя_сервера>

Në rastin tonë, komanda e mëposhtme do të jetë:

Ndërtoni server-çelës-server

Mbushja kryhet në analogji me hapin e 6-të. Në fushë Emer i perbashket në rastin tonë, ne tregojmë server... te dyja pyetjet" Nënshkruani certifikatën?"dhe" 1 nga 1 kërkesa për certifikatë u vërtetuan, a angazhoheni?"Ne përgjigjemi me pëlqim duke hyrë" y", Dhe pastaj klikoni Hyni.

9) Krijoni një çelës të veçantë për çdo klient:

Ndërtoni klientin kryesor1

Futni informacionin e kërkuar të kontaktit. V Emer i perbashket tregojnë klienti 1.

Transferimi i skedarëve nga një dosje / çelësat në dosje / konfigurim.

10) Nga dosja / mostër-konfigurim kopjoni skedarin server.ovpn në dosje / konfigurim

Konfigurimi i murit të zjarrit

Sigurohuni që portet 5194 dhe 1194 nuk janë të bllokuara nga një mur zjarri, përndryshe ne shtojmë rregulla lejuese për trafikun në hyrje dhe në dalje:

11) Shkoni te Filloni -> Të gjitha programet -> Mjete administrative -> Firewall i Windows me Siguri të Avancuar.

12) Klikoni në anën e majtë të dritares Rregullat hyrëse dhe në seksion Veprimet klikoni mbi Rregull i ri... Si rezultat, duhet të shfaqet magjistari i krijimit të rregullave.

13) Ne plotësojmë 5 hapat e propozuar si më poshtë:

Hapi 1 - Lloji i rregullit: Porti;

Hapi 2 - Protokolli dhe Portet: Si parazgjedhje, protokolli UDP përdoret në cilësimet e serverit OpenVPN. Nëse ky konfigurim nuk ka ndryshuar, atëherë zgjidhni në këtë hap PZHU... Përndryshe - TCP... Në fushë Portet specifike lokale tregojnë 5194 .

Hapi 3 - Veprimi: Lejo lidhjen;

Hapi 4 - Profili: Lëri kutitë e kontrollit të aktivizuara.

Hapi 5 - Emri: Ne tregojmë emrin e rregullit sipas gjykimit tonë dhe klikojmë Përfundo.

14) Shtoni një rregull për portin në të njëjtën mënyrë 1194 , pas së cilës shkojmë në Rregullat e jashtme dhe krijoni dy rregulla identike me ato që u krijuan në Përbrenda.

Fillimi i serverit

15) Nisni serverin OpenVPN duke klikuar me të djathtën në skedar server.ovpn Fillimi i OpenVPN në këtë skedar konfigurimi.

16) Si rezultat, do të shfaqet një linjë komande, e cila do të shfaqë procesin e fillimit të serverit VPN. Nëse në fund shfaqet rreshti Sekuenca e inicializimit përfundoi, atëherë nisja ishte e suksesshme.

Përshtatje nga ana e klientit

Hapat e mëposhtëm supozojnë se tashmë keni të instaluar një klient OpenVPN.

1) Nga dosja / mostër-konfigurim në server, shkarkoni skedarin në kompjuterin tuaj klient.ovpn në dosje OpenVPN / konfigurim /

2) Nga dosja / konfigurim shkarkoni skedarë në server ca.crt, klient1.crt, klient1.çelës nga kompjuteri në dosje OpenVPN / konfigurim /

3) Hapni skedarin e shkarkuar klient.ovpn në një redaktues teksti dhe bëni rregullimet e mëposhtme:

Në regjistrim në distancë my-server-1 1194 zëvendësojnë serveri im-1 në adresën IP të serverit. V klient cert.crt ndryshim klienti.crt në klient1.crt V klient kyç.çelës ndryshim klienti.çelës në klient1.çelës

Pas kësaj i ruajmë ndryshimet.

4) Vraponi OPENVPN-GUI... Në tabaka e sistemit, kliko me të djathtën mbi ikonën OpenVPN dhe në menynë e kontekstit zgjidhni artikullin Redakto konfigurimin.

Nëse konfigurimi i hapur nuk përputhet me skedarin klient.ovpn, më pas i sjellim cilësimet në formën e duhur. Nëse po, atëherë mbyllni redaktorin, kliko me të djathtën mbi ikonën në tabaka e sistemit përsëri dhe zgjidhni artikullin Lidhu... Nëse linjat e mëposhtme shfaqen në dritaren e shfaqur të procesit të lidhjes:

Sekuenca e inicializimit e përfunduar MENAXHIMI:> GJENDJA: ********, I LIDHUR, SUKSES

Gabimet e mundshme

dështoi në përditësimin e gabimit numër 2 të bazës së të dhënave TXT_DB

Shkak: Kur krijoni një certifikatë dhe një çelës, informacioni për klientin ishte identik me atë që ishte përdorur më parë për të gjeneruar një certifikatë tjetër.

Zgjidhja: duke specifikuar informacione të tjera kontakti.

PARALAJMËRIM: nuk mund të hapet skedari i konfigurimit: /etc/ssl/openssl.cnf

Shkak: shtegu i vendosur gabimisht në një variabël mjedisi OPENSSL_CONF.

Zgjidhja: ju duhet ta deklaroni këtë variabël në skedar vars.bat siç përmendet në hapin 4 të konfigurimit nga ana e serverit.

16 gusht 2009 në orën 22:40

OpenVPN: ndërtimi i një porte të plotë openVPN

Konfigurimi i Linux-it

Vendosni për atë që dëshironi.

Le të supozojmë se serveri ynë ndodhet në një qendër të largët të të dhënave. ato. do t'i arrijmë nëpërmjet internetit.

Pas krijimit të një tuneli të koduar midis klientit dhe serverit, serveri do të NAT të gjitha paketat tona në internet. Gjithashtu, serveri do të shërbejë DNS dhe do të veprojë si një mur zjarri për VLAN.

IP-ja e jashtme e serverit tonë (ajo që do të jetë openVPN): 212.212.212.212
IP e brendshme e serverit (e dukshme nga tuneli): 10.10.0.1
grupi i adresave të brendshme OpenVPN: 10.10.0.2 - 10.10.0.128
Emri i rrjetit tonë: vpnet
Emri i serverit: vpsrv
Emri i klientit: vpclient

Pse na duhet një IP e jashtme, mendoj se është e qartë. IP e brendshme është e nevojshme për t'u lidhur me serverin pas ngritja e tunelit. Grupi i adresave është adresat që serveri u lëshon klientëve lidhës.
Emri i rrjetit është emrat e konf. skedarët dhe emri i serverit në këto konf. dosjet. Emrat e klientit dhe serverit = emrat e skedarëve kyç.

Serveri ka të instaluar Gentoo Linux 2008.0, të përditësuar në versionet më të fundit. Kerneli është 2.6.29. I gjithë konfigurimi do të bëhet përmes SSH.

Konfigurimi i kernelit.

Do të vërej menjëherë se në këtë fazë duhet të jeni jashtëzakonisht të kujdesshëm dhe të vëmendshëm. Nëse dikush e ka harruar.

Kerneli duhet të përmbajë opsionet e mëposhtme në server. Tek klienti, nevojiten vetëm TUN dhe ipv4.

Në kernel, ne kemi nevojë për funksionalitetin e mëposhtëm, këtu është një fragment nga konfigurimi:

CONFIG_NF_NAT = m
CONFIG_NF_NAT_PPTP = m
CONFIG_NETFILTER = y
CONFIG_TUN = m

Epo, sigurisht, mbështetje për ipv4, kartën e rrjetit dhe pajisje të tjera. Ne mbledhim dhe instalojmë kernelin. Ju mund të përdorni genkernel... Ne rinisim.

Akordimi i serverit.

Instalimi i softuerit.

Nëse :) serveri u kthye nga rindezja, le të vazhdojmë me instalimin e softuerit.

Shfaq -- sinkronizoj
dalin openvpn bind bind-tools iptables

Ne presim, ndonjëherë për një kohë të gjatë. Pas instalimit, shkoni te /etc/init.d/ dhe ekzekutoni:

Ln -s openvpn openvpn.vpnet
rc-update shtoni default openvpn.vpnet
rc-update shtoni emrin e paracaktuar
rc-update iptables default
./iptables ruaj

Duke krijuar një lidhje simbolike për vete, ne i thamë openvpn të përdorë konfigurimin vpnet... Në të ardhmen, ne do ta lëshojmë atë vetëm kështu:

/etc/init.d/openvpn.vpnet start

Tani nuk keni nevojë të nisni, sepse nuk ka asgjë për të nisur ende. :)
Përveç kësaj, ne shtuam iptables, me emër dhe openvpn në fillim.

Le të krijojmë drejtoritë dhe skedarët e nevojshëm:

Mkdir / etc / openvpn / vpnet /
mkdir / etc / openvpn / vpnet / çelësat
prek /var/log/openvpn.log
prek /etc/openvpn/vpnet.conf

Gjenerimi kryesor.

Shkojmë / usr / share / openvpn / easy-rsa /... Le të hapim skedarin vars dhe futni cilësimet:

Eksporto EASY_RSA = "/ usr / share / openvpn / easy-rsa /" # Rruga drejt easy-rsa.
eksportoni KEY_CONFIG = "$ EASY_RSA / openssl.cnf" # konfigurim OpenSSL
eksportoni KEY_DIR = "/ etc / openvpn / vpnet / keys" # Drejtori ku do të mbajmë çelësat.
eksportoni KEY_SIZE = 1024 # Madhësia e çelësit
eksportoni CA_EXPIRE = 3650 # CA data e skadimit
eksportoni KEY_EXPIRE = 3650 # Data e skadimit të çelësit
eksportoni KEY_COUNTRY = "RU" # Kodi i shtetit me dy shkronja
eksportoni KEY_PROVINCE = "XX" # Provincë, jo relevante
eksportoni KEY_CITY = "Qyteti" # Qytet
eksportoni KEY_ORG = "Emri i kompanisë" # Kompani
eksporto KEY_EMAIL = " [email i mbrojtur]"# Email

Natyrisht, vlerat (kompania, rruga drejt çelësave dhe easy-rsa, email) duhet të ndryshohen në ato që ju përshtaten.

Le të importojmë variablat: burimi ./vars

Tani le të krijojmë çelësat.

./clean-all # Vritni çelësat e vjetër, nëse ka.
openvpn --genkey --secret ta.key # çelësi TLS-auth
./build-dh # Çelësi Diffie-Hellman.
./pkitool --initca # Autoriteti i Certifikatës për serverin.
./pkitool --server vpsrv # Certifikatë serveri.
./pkitool vpclient # Certifikatë klienti.

Dhe le t'i zhvendosim mbetjet në vendin e duhur:

Mv ./ta.key / etc / openvpn / vpnet / çelësat

Gjithçka, çelësat janë gati.

Akordimi i serverit.

Shkoni në / etc / openvpn /, hapur vpnet.conf dhe shkruani aty:

Serveri i modalitetit
tls-server
proto-tcp-server
trokitje e devijimit
porti 5555 # Port
demon
tls-auth /etc/openvpn/vpnet/keys/ta.key 0
ca /etc/openvpn/vpnet/keys/ca.crt
cert /etc/openvpn/vpnet/keys/vpsrv.crt
tasti /etc/openvpn/vpnet/keys/vpsrv.key
dh /etc/openvpn/vpnet/keys/dh1024.pem
ifconfig 10.10.0.1 255.255.255.0 # IP e brendshme e serverit
ifconfig-pool 10.10.0.2 10.10.0.128 # Pishina e adresave.
shtytje "redirect-gateway def1" # Ridrejto portën e paracaktuar në serverin vpn. Nëse nuk keni nevojë ta komentoni.
shtytje "route-gateway 10.10.0.1"
dublikatë-cn
folja 3
shifra DES-EDE3-CBC # Lloji i enkriptimit.
këmbëngulës-kyç
log-append /var/log/openvpn.log # Skedari i regjistrit.
këmbëngul-tun
komp-lzo

Të gjitha opsionet janë, në parim, të qarta. Vura re ato veçanërisht të rëndësishme me komente. Shtigjet dhe emrat, adresat - ju duhet të korrigjoni për veten tuaj.

Tani serveri mund të niset me komandën /etc/init.d/openvpn.vpnet start
Nëse shfaqen probleme, detajet mund të lexohen në skedarin e regjistrit.

Në mënyrë që serveri të lëshojë paketat tona në rrjetin e jashtëm, ne duhet të konfigurojmë NAT. Është e thjeshtë.

Ne përgatisim dhe ekzekutojmë iptables:

/etc/init.d/iptables save
/etc/init.d/iptables start

Ne aktivizojmë mbështetjen e përcjelljes së IP:

Sysctl net.ipv4.ip_forward = 1
echo "sysctl net.ipv4.ip_forward = 1" >> /etc/sysctl.conf

Shtoni një rregull të murit të zjarrit:

Iptables -v -t nat -A POSTROUTING -o EXTERNAL_IF -s VPN_NET / 24 -j SNAT --to-burimi SERVER_IP

EXTERNAL_IF, VPN_NET dhe SERVER_IP duhet të zëvendësohen përkatësisht me ndërfaqen e jashtme, rrjetin VPN dhe IP të jashtëm (!) të serverit.

Duke bërë përsëri /etc/init.d/iptables save në mënyrë që rregulli të zbatohet kur sistemi niset.

Gjithçka, ju mund të punoni.

Personalizimi i klientit.

Instaloni softuerin, krijoni shtigje:

Shfaq openvpn
cd /etc/init.d/
ln -s openvpn openvpn.vpnet-klient
rc-update shtoni default openvpn.vpnet-klient

Mkdir / etc / openvpn / vpnet
mkdir / etc / openvpn / vpnet / klient_keys
prek /etc/openvpn/vpnet-client.conf

Ne marrim skedarë nga serveri:

ca.crt
vpclient.crt
vpclient.çelës
ta.çelës

Dhe ne i hedhim ato / etc / openvpn / vpnet / klient_keys / mbi klientin.

Redaktimi /etc/openvpn/vpnet-client.conf:

Tls-klient
proto tcp-klient
në distancë 212.212.212.212
trokitje e devijimit
porti 5555
cd / etc / openvpn / vpnet
tërheq
tls-auth /etc/openvpn/vpnet/client_keys/ta.key 1
ca /etc/openvpn/vpnet/client_keys/ca.crt
cert /etc/openvpn/vpnet/client_keys/vpclient.crt
kyç /etc/openvpn/vpnet/client_keys/vpclient.key
shifra DES-EDE3-CBC
log-append /var/log/openvpn.log
komp-lzo

Opsionet e kriptimit dhe kompresimit në klient dhe server duhet të përputhen.

Ne lëshojmë klientin. Një lidhje me serverin do të vendoset automatikisht, do të krijohet një tunel, porta e paracaktuar është një server VPN. Nëse gjithçka është bërë si duhet, atëherë mund të shkoni në internet.

Konfigurimi ka përfunduar.

Unë mund t'u përgjigjem pyetjeve në komente.

Sa më shumë shtete të përpiqen të kontrollojnë internetin dhe të vendosin censurën e tyre atje, aq më shumë shërbime të ndryshme të anashkalimit po fitojnë popullaritet. Një nga zgjidhjet falas për organizimin e sistemeve virtuale private është OpenVPN. Mund të përdorni një nga serverët e vendosur tashmë në rrjet ose të vendosni softuerin në sistemin tuaj.

Në një artikull të mëparshëm, ne shikuam. Në të njëjtin artikull, ne do të ndalemi më në detaje në vendosjen e një lidhjeje me serverin duke përdorur programe të ndryshme në Linux dhe Android, dhe gjithashtu do të përpiqemi të kuptojmë se si funksionon ky shërbim.

Ju tashmë e dini se programi organizon një rrjet virtual midis kompjuterëve dhe të gjitha të dhënat në këtë rrjet janë të koduara dhe të paarritshme për përdoruesit jashtë tij. Për ta arritur këtë, programi krijon një pajisje virtuale tun0 në sistem. Kjo është e njëjta ndërfaqe si eth0 ose wlan0, ajo ka adresën e vet ip. I gjithë trafiku që dërgohet në këtë ndërfaqe është i koduar dhe dërguar në rrjetin virtual.

Prandaj, për të transmetuar trafikun përmes OpenVPN, do të mjaftojë të shtoni disa rregulla që do ta detyrojnë trafikun të kalojë përmes ndërfaqes tun0.

Si të përdorni OpenVPN në Linux

Së pari, le të shohim se si të lidheni me OpenVPN nga Ubuntu ose ndonjë shpërndarje tjetër Linux përmes një terminali. Le të themi se keni shkarkuar skedarin e konfigurimit të serverit .ovpn dhe dëshironi të lidheni me atë rrjet. Për ta bërë këtë, duhet të instaloni klientin openvpn:

sudo openvpn ~ / Shkarkime / config.ovpn

Pas kësaj, dritarja e terminalit nuk mund të mbyllet, dhe nëse serveri OpenVPN është konfiguruar saktë, atëherë ai tashmë ka transferuar rrugët e duhura në makinë dhe trafiku juaj kalon përmes rrjetit virtual. Le të shohim rrugët:

Këtu vlen të përmenden dy rreshta:

0.0.0.0/1 nëpërmjet 192.168.243.1 dev tun0
169.254.0.0/16 dev enp2s0 metrikë e shtrirjes së lidhjes 1000

E para drejton të gjithë trafikun e sistemit në ndërfaqen tun0, dhe e dyta është më interesante, ajo vendos trafikun e rrjetit ip 169.254.0.0 në ndërfaqen reale. Nëse nuk është aty, atëherë i gjithë trafiku do të shkojë në tun0, përfshirë trafikun nga programi OpenVPN, i cili tashmë e ka kaluar këtë ndërfaqe dhe ju merrni një lak. Për të prishur lidhjen në këtë mënyrë, thjesht shtypni Ctrl + C në terminalin ku keni filluar openvpn.

Mënyra e dytë për të përdorur OpenVPN në Linux është të instaloni shtojcën openvpn për NetworkManager dhe të lidheni duke përdorur atë. Për të instaluar këtë paketë në Ubuntu ekzekutoni komandën e mëposhtme:

sudo apt-get install network-manager-openvpn

Tani hapni aplikacionin Menaxheri i Rrjetit, zgjeroni "Lidhja VPN" dhe zgjidhni "Konfiguro lidhjen":

Në dritaren që hapet, klikoni butonin "+" :

Pastaj zgjidhni etiketën "VPN".

Le të shohim përsëri tabelën e rrugëtimit:

Në përgjithësi, NetworkManager krijon rregulla të ndryshme, por ato funksionojnë në të njëjtën mënyrë. Konfigurimi i klientit Openvpn në ubuntu ka përfunduar.

Përdorimi i OpenVPN në Android

Mund të përdorni OpenVPN në çdo platformë, përfshirë Android. Aplikacioni zyrtar OpenVPN Connect është lëshuar për pajisjet. Duke e përdorur atë, mund të lidheni me rrjetin, si në versionin e mëparshëm, duke përdorur skedarin ovpn. Mund ta instaloni këtë aplikacion nga Google Play:

Hapni aplikacionin, klikoni në butonin e menusë dhe më pas zgjidhni "Import" -> "Importo profilin nga SDCard":

Zgjidhni skedarin që dëshironi dhe klikoni "Zgjidh":

Pastaj mbetet për të shtypur "Lidhu" për t'u lidhur me rrjetin:

Konfigurimi i klientit openvpn përfshin vetëm importimin e skedarit të konfigurimit, asgjë tjetër nuk nevojitet. Më tej, trafiku juaj do të drejtohet përmes VPN-së, këtu mund të shihni gjithashtu tabelën e rrugëtimit nëse është instaluar një emulator terminali:

Vërtetë, këtu nuk do të shohim një situatë të tillë si në Linux, kursimi në VPN në Android bëhet pak më ndryshe.

Si të përdorni OpenVPN në Windows

Ishte e pamundur të mos thuash në këtë artikull se si të përdorësh OpenVPN GUI në Windows, veçanërisht pasi nuk është shumë më i ndërlikuar sesa në Android. Duhet të instalojmë klientin OpenVPN. Mund ta shkarkoni nga faqja zyrtare: