Редовните читатели на този блог, вероятно вече няколко пъти в живота си, създадени OpenVPN. Но аз мисля, че новодошлите, тази статия ще бъдат полезни и интересни. От него ще научите как да се повиши своя собствена VPN сървър, както и това, което той действително се нуждаят от пет минути. Е, като се има предвид по време на регистрацията по никакъв Amazon'e. DigitalOcean, VDSina или FastVDS и плащане VDS, може би, не е необходимо да пет минути и "цялото" на петнадесет.
Така че, защо трябва някой ходи през VPN? Фактът, че има няколко причини. Например, за да разполага с паролата ви изпраща през HTTP, не течеше, когато седнете с отворен въпрос WiFi с неизвестен произход. И наистина, дори вашия личен лекар, не е необходимо да се знае кои сайтове посещавате. И все пак - да не изгори вашият IP на IRC мрежи и други услуги, с които работят. Те знаят, че местоположението ви също е доста безполезен. Също така, може да искате да опитате някои нова услуга, която не е толкова далеч на разположение на потребителите с руски IP. В допълнение, трафикът между вас и сървъра VPN не е само криптирана, но и сгъстен, което често може да създаде усещането за бърз интернет. OpenVPN също може да бъде полезна в много други случаи - за работниците и служителите да получат достъп до вътрешните ресурси на компанията, изграждането на VDS'ah за кандидатстване с mikroservisnoy архитектура и извън него.
Защо виртуалната частна мрежа, а не всеки прокси сървър или подскачащи си пристанища през SSH, надявам се, също е разбираемо. VPN е достатъчно, за да определите време и веднага целия трафик от всички приложения ще премине през VPN сървъри, или в компресиран и криптиран формат.
За да се повиши с виртуалната частна мрежа, ще се наложи свой собствен сървър с Ubuntu Linux (или всяка друга Linux / * BSD, но след това ще бъде доста трудно да се следват указанията на тази статия), както и правото да я изкорени. Ако вече имате добре сървъра. Ако не, не се притеснявайте. Днес закупите подходящ VDS / VPS може да бъде забавен за 150 рубли на месец. Фирми, предлагащи подобни услуги - десетки, някои са наречени в началото на бележката. Съветва конкретен трудно. Ако имате нужда от кола, някъде в САЩ, плащат само с кредитна карта и цени в щатски долари не са объркани, погледнете DigitalOcean. Ако е удовлетворена с местоположението на сървъра в Амстердам с руски IP и искате да платите възможно най-малко, като се използва Яндекс.Денги, WebMoney или подобни системи (съответно Комисията) се опитват VDSina. Е, няма нужда да казвам, не се мързеливи, за да проучат сами по себе си, защото по времето, когато четете тези редове, ситуацията на VDS може да се промени на пазара. И не, този пост не се заплаща от никого :)
Отиди на сървъра, да стане основата, ние казваме:
актуализация ап-да
ап-да инсталирате OpenVPN
Преди OpenVPN включена помощна програма, наречена лесен RSA, предназначени за генериране на ключове и сертификати. От версия 2.3 на тази програма, за да намали пакет, така че трябва да изтеглите и да го компилирате сами:
CD / TMP
Wget HTTPS: // github.com / OpenVPN / лесно-RSA / архив / master.zip
ап-да инсталирате разархивирайте
разархивирайте master.zip
CD-лесно RSA-майстор
. / Изграждане / build-dist.sh
катран xvzf. / EasyRSA-Git-development.tgz
CD-EasyRSA Git-развитие
Ние генерираме всички необходими ключове и сертификати. Пригответе се да влязат паролите за тях. Тъй като ние се създаде личен VPN сървъра, изглежда, можете да използвате една единствена парола, но е по-дълго:
/ Easyrsa първоначален-PKI
. / Easyrsa натрупването ва
. / Easyrsa натрупването на сървъра пълен сървър
. / Easyrsa натрупването на клиента пълен client1
. / Easyrsa ген-DH
Последната команда може да отнеме няколко минути.
Трансфер на получените ключове и сертификати в директорията / и т.н. / OpenVPN /:
СрН. / PKI / dh.pem / и т.н. / OpenVPN / dh.pem
СрН. / PKI / частни / client1.key / и т.н. / OpenVPN /
СрН. / PKI / частни / server.key / и т.н. / OpenVPN /
СрН. / PKI / ca.crt / и т.н. / OpenVPN /
СрН. / PKI / издаден / client1.crt / и т.н. / OpenVPN /
СрН. / PKI / издаден / server.crt / и т.н. / OpenVPN /
В същата директория създадете файл server.conf:
сървърен режим
Дев бъчва
сървъра 10.128.0.0 255.255.255.0
натиснете "пренасочи-портал def1"
# Важно! в противен случай ние ще отидем на доставчика на DNS
тласък "DHCP-опция DNS 8.8.8.8"
TLS-сървър
ва ca.crt
серт server.crt
ключ server.key
DH dh.pem
прото TCP-сървър
порт 1194
# Клиентите виждат един друг
клиент-клиент
комп-lzo
KeepAlive 10120
глагол 4
шифър AES-256-CBC
потребителското никой
група nogroup
макс-клиенти 10
Нека се опитаме да стартирате OpenVPN. Когато избяга от вас ще се изисква да въведете парола. Съответно, след рестартиране е необходимо да се повиши ръцете OpenVPN. Но тъй като ние се създаде VPN лични, това е малко вероятно да представлява голям проблем, отколкото ключове, лежащи по ясни, или дори по-лошо - съхранени пароли. изпълнете:
начало обслужване OpenVPN
Сървърът трябва да слуша на порт 1194. Ако това не стане, дим / Var / дневник / Syslog.
Сега за страната на клиента. Имаме нужда от client1.crt файлове, client1.key и ca.crt:
защитен режим VPN
CD VPN
SCP VPN-сървър: / и т.н. / OpenVPN / client1.crt. /
SCP VPN-сървър: / и т.н. / OpenVPN / client1.key. /
SCP VPN-сървър: / и т.н. / OpenVPN / ca.crt. /
Client.conf създадете файл:
# Следните два реда са от значение само за * Никс системи
# На практика те не са много удобни, защото не мога OpenVPN
# Обикновено всичко за чиста довършителни работи
# Потребител никой
# Група nogroup
задържи ключ
задържи-Тун
ва ca.crt
серт client1.crt
ключ client1.key
шифър AES-256-CBC
комп-lzo
глагол 3
Хем до сървъра, внимателно прочетете трупи:
Sudo OpenVPN --config client.conf
В съседния извод каже:
пинг 10.128.0.1
проследяващи mail.ru
Ако всичко е направено правилно, вие ще откриете, че пинг успешно достигат 10.128.0.1 (първи отбор), но пакети през него няма да мине (втори отбор). Това е така, защото сме забравили да изберете NAT на сървъра. Това, което аз лично намирам за странно. Смътно си спомням, че когато си време се примири OpenVPN на FreeBSD. не се изисква такава стъпка. Въпреки това, може и да греша.
За да не се наложи да рестартирате, ние казваме:
ехо 1 >> / ргос / сис / нето / ipv4 / конф / всички / спедиция
IPTABLES -А НАПРЕД -s 10.128.0.0 / 24 -j ACCEPT
IPTABLES -A FORWARD -d 10.128.0.0 / 24 -м състояние \
--членка, установили, СВЪРЗАНИ -j ACCEPT
IPTABLES -t NAT -A POSTROUTING -s 10.128.0.0 / 24 \
-й SNAT --to-източник 123.45.67.89
... където 123.45.67.89 - е ПР на сървъра. И изключвате клиента, ние се опитваме да отиде във всяка 2ip.ru или ip.xss.ru - сега всичко трябва да работи. Ако не е, пуши трупи. Ако всичко е наред, с изключение на правилата на защитната стена на сървъра:
IPTABLES-спести> / и т.н. / iptables.rules
... и да се провери, че файлът / и т.н. / мрежа / интерфейси е ред:
предварителни нагоре IPTABLES-възстановяване
Ако сървърът вече е настроена защитна стена. тя може да бъде, че правилата се съхраняват във файл с име, различно от /etc/iptables.rules.
Можем да кажем, рестартиране и проверете дали настройките се съхраняват след рестартиране на сървъра:
котка / ргос / сис / нето / ipv4 / конф / всички / спедиция
IPTABLES -L -n
Сървърът OpenVPN, разбира се, трябва да рестартирате вашите ръце.
Това, което остава, е завършек на клиента. Фактът, че (1) тече OpenVPN в отделен терминал и го следват, ако той падна там, неудобно. В допълнение, (2), ако ви кажа на клиента:
нанометра-инструмент | Впиши DNS
Sudo IPTABLES -A OUTPUT -d 192.168.0.1 -j DROP
# ^ За да изтриете правилото, въведете същата команда с -D вместо -А
... където 192.168.0.1 - DNS на вашия доставчик (полезност получен нанометра-инструмент), ще откриете, че домейните rezolving счупен, и по тази причина клиентът продължава да използва доставчик на DNS. Можете да убие два заека с един камък, като каза:
ап-да инсталирате мрежа-мениджър-OpenVPN-джудже
... и конфигуриране на VPN през NetworkManager (иконата на мрежа в горния десен ъгъл на Unity). Това става лесно, всъщност трябва да се повтаря текст конфигурационния клиент с помощта на отметки и полета за въвеждане. Разберете какво отметка в конфигурационния линия съответства, много лесно. Основното нещо - не се прекалено мързеливи, за да се изкачи в най-различни допълнителни функции на мрежата, както и други конфигурационни секции. Ако направите грешка някъде, проблемът може лесно да се диагностицира с помощта на файл / реактивна / дневник / Syslog.
Въпреки факта, че бележката се оказа доста дълъг, OpenVPN конфигурация наистина отнема само няколко минути. Защитете и бързо можете да сърфирате в интернет! И също така, както винаги, аз ще бъда много се радвам на вашите въпроси и допълнения.
Подобно на този пост? Споделете с другите:
(Трябва да включите JS)
Свързани статии