Internet » Zainstaluj OpenVPN i skonfiguruj serwer Windows i Linux

Zainstaluj OpenVPN i skonfiguruj serwer Windows i Linux

Internet

Ustawienia serwera OpenVPN są używane, aby umożliwić klientom łatwe łączenie się z VPN. Umożliwia użytkownikom podłączenie dowolnego połączenia internetowego w celu uzyskania bezpiecznego dostępu, w tym do sieci zdalnych, które są podłączone do routera, nawet jeśli użytkownik znajduje się poza NAT. Oprogramowanie klienckie OpenVPN może być używane w wielu systemach operacyjnych. Dzięki dostępowi do niezawodnych platform VPN użytkownicy mogą docenić także inne korzyści, takie jak wyższy poziom bezpieczeństwa podczas korzystania z publicznej sieci Wi-Fi. Usługi te wykorzystują szyfrowany tunel do transmisji danych w Internecie. Podczas konfigurowania serwera OpenVPN można użyć kilku opcji protokołów szyfrowania.


Historia projektu

Została założona przez Jamesa Jonasza i zaprezentowana publiczności w 2002 roku. Yonan opracowywał oprogramowanie dla oryginalnego komputera IBM. Obecnie jest zaangażowany w projekt, jest współzałożycielem firmy, a także dyrektorem technicznym OpenVPN Technologies. Jednym z powodów popularności konfiguracji serwera OpenVPN jest fakt, że obsługuje on wszystkie główne systemy operacyjne, Windows, macOS i Linux, platformy mobilne Android i iOS, a także mniej popularne FreeBSD, QNX, Solaris, Maemo i Windows Mobile. Celem całego protokołu VPN jest zapewnienie wysokiego poziomu bezpieczeństwa. Jest zdolny do 256-bitowego szyfrowania przez OpenSSL, wykorzystuje szeroko wdrożoną bibliotekę oprogramowania zabezpieczającegowiadomości w różnych sieciach, obsługuje normalne szyfrowanie w trybie klucza statycznego poprzez wcześniej oddzielone pakiety PSK, a także ochronę za pomocą certyfikatów klientów i serwerów.


Konfiguracja serwera zdalnego dostępu OpenVPN

Każdego roku rośnie liczba użytkowników sieci VPN, więc jest wymagane informacje o systemie i jego typowych funkcji.
zdalny dostęp do sieci VPN OpenVPN może być skonfigurowany z użyciem pomocą:
  • przechodzi w VPN & gt; OpenVPN i kliknij zakładkę "Master", aby ją uruchomić.
  • Wybierz wymagane parametry uwierzytelniania. Najczęściej jest skonfigurowany do lokalnego dostępu użytkownika.
  • Uwierzytelnianie użytkowników. Podczas konfigurowania AC66U serwer OpenVPN jest uruchamiany za pomocą usługi RADIUS za pośrednictwem usługi Active Directory.
  • Kliknij "Dalej".
  • Wypełnij pola, aby utworzyć nowe centrum certyfikacji. Nazwa opisu jest używana jako ogólna, nie zawiera spacji, znaków interpunkcyjnych ani znaków specjalnych.
  • Długość klucza. Im wyższy poziom, tym lepiej, ale złożone hasło użyje więcej procesora.
  • , e-mail jest używany jako odniesienie dla certyfikatu, a nie otrzyma żadnej wiadomości z systemu.
  • Kliknij "Dodaj nowy CA".
  • Wypełnij pola, aby utworzyć nowy certyfikat serwera. Większość informacji jest przenośna i nie wymaga żadnych zmian.
  • Kliknij "Utwórz nowy certyfikat".
  • Wprowadź konfigurację serwera VPN.
  • Wykonaj uwierzytelnianie TLS. Zaznacz pole obok poniższego pola, aby utworzyć nowy klucz.Korzystanie z TLS jest technicznie opcjonalne, ale zdecydowanie zalecane. Niektóre ataki OpenSSL, takie jak Heartbleed, zostały złagodzone za pomocą klucza TLS.
  • Inne wartości mogą być ustawione zgodnie z życzeniem i są preferowane (parametry takie jak kompresja, DNS i NetBIOS).
  • Kliknij "Dalej".
  • Poniższy ekran oferuje opcję automatycznego dodawania reguły zapory sieciowej. Jeśli nie są obsługiwane ręcznie, obie opcje są sprawdzane dla wygody.
  • Kliknij "Next" i "Finish", aby zamknąć "Master".

    • Kontrola optymalności konfiguracji

    Aby określić optymalne ustawienia połączenia, sprawdź reguły zapory na zakładkach WAN i OpenVPN. Reguła karty WAN musi przejść do portu OpenVPN w adresie WAN i rozwiązać wszystkie operacje.
    Niektóre opcje nie są wyświetlane w kreatorze, ale są lepiej dostosowane do określonych sytuacji niż ustawienia domyślne wybrane przez kreatora. Tryb konfiguracji serwera OpenVPN 2 4 w systemie Windows umożliwia wybór między wymaganiami dotyczącymi certyfikatów, uwierzytelniania użytkowników lub obu tych metod. Kreator używa zdalnego dostępu (SSL /TLS + Autoryzacja użytkownika). Możliwe wartości tego wyboru i związane z nimi korzyści to:
  • Zdalny dostęp (SSL /TLS + Autoryzacja użytkownika). Wymagane certyfikaty, nazwa użytkownika /hasło.
  • Dostęp zdalny (SSL /TLS).
  • Każdy użytkownik ma unikalną konfigurację klienta, która obejmuje jego osobisty certyfikat i klucz.
  • Tylko certyfikaty bez zezwolenia.
  • Istnieje kilka czynników uwierzytelniających: klucz TLS i certyfikat oraz nazwa użytkownika /hasło.
  • Każdy projekt maunikalna konfiguracja klienta, która zawiera osobisty certyfikat i klucz.
  • Zdalny dostęp (autoryzacja użytkownika).
  • Mniej bezpieczne, ponieważ opiera się wyłącznie na fakcie, że użytkownik ma klucz TLS i certyfikat.
  • Uwierzytelnianie.
  • Klienci nie muszą posiadać indywidualnych certyfikatów.
  • Używane do autoryzacji zewnętrznej (RADIUS, LDAP).
  • Wszyscy klienci mogą korzystać z tej samej wyeksportowanej konfiguracji i pakietu oprogramowania.
  • Mniej bezpieczne, ponieważ opiera się tylko na tym, co zna użytkownik - nazwa i hasło.

    • Anulowanie zaabsorbowanych certyfikatów

    Takie pliki można unieważnić, tworząc listę CRL w Systemie & gt; Menedżer certyfikatów na karcie Anulowanie certyfikatu, dodaj je, a następnie wybierz tę listę CRL dla parametrów serwera OpenVPN.
    Jeśli tryb pozostał domyślnie na poziomie głównym lub w trybie obejmującym uwierzytelnianie, można utworzyć użytkownika, wykonując następujące czynności:
  • Przejdź do sekcji "System", a następnie do "Menedżera użytkowników".
  • Kliknij "Dodaj użytkownika".
  • Wpisz nazwę użytkownika.
  • Wypełnij i potwierdź hasło.
    • ​​
  • Kliknij "Utwórz certyfikat użytkownika".
  • Ponownie wypełnij nazwę użytkownika.
  • Wybierz odpowiednie centrum certyfikacji.
  • Kliknij "Zapisz".
  • Pakiet eksportu OpenVPN-Client pozwala eksportować konfiguracje sformatowane dla różnych platform, wstępnie pakowany plik wykonywalny instalatoraWindows, który zawiera konfigurację dostarczoną w pakiecie, umożliwiającą bezproblemową instalację klienta.
    • Rozważmy, jak zainstalować pakiet eksportu klienta podczas konfigurowania OpenVPN Debian 9:

  • Przejdź do zakładki System & gt; «Pakiety», «Dostępne opakowania».
  • Znajdź pakiety eksportu klienta na liście.
  • Kliknij "Potwierdź".
  • Pakiet zostanie zainstalowany i dostępny pod VPN & gt; OpenVPN na karcie "Klient eksportu".
  • Przejdź do sieci VPN & gt; OpenVPN na karcie "Klient eksportu".
  • Wybierz VPN z rozwijanej listy DDV-WRT dla opcji dostępu zdalnego.
  • Ustaw wszystkie wymagane parametry u góry.
  • Znajdź użytkownika na liście u dołu strony i wybierz odpowiedni typ konfiguracji do eksportu.
  • Przeprowadź aktualizację, po której konfiguracja VPN na zaporze zostanie zakończona.
    • Najczęściej instalowany jest instalator systemu Windows, a konfiguracja Inline jest najlepsza w przypadku korzystania z istniejącego klienta, którego nie ma na liście. Na dole strony pakietu eksportu klienta znajduje się link do często używanych użytkowników. Reguły zapory dla ścisłego zarządzania ruchem w tej sieci VPN można dodać w sekcji Zapora & gt; "Reguły" na karcie VPN. Nie zaleca się kojarzenia klientów bezpośrednio w sieci lokalnej.

    Edycja pliku konfiguracyjnego

    Często podczas praktycznego zastosowania platformy konieczne jest edytowanie pliku konfiguracyjnego OpenVPN.
    Porządek wykonania:
  • Ustaw tę linię do użyciaAdresy IP użytkownika, które są zdefiniowane w komendzie ifconfig: vim /etc/openvpn/server.conf.
  • Usuwa linię, jeśli istnieje: wciśnij "DNS DNS opcja dhcp" #push dhcp-opcja DNS 888.8. Ta dyrektywa push ustawia parametr DHCP, który komunikuje połączenie klienta z VPN, który powinien być używany jako podstawowy serwer DNS.
  • Zakłada się, że będzie to jedyny resolver, ponieważ określa on serwery wyższego rzędu. Zainstalowanie tutaj rozwiązującego nie-Pi-otworu może mieć negatywny wpływ na blokowanie reklam, ale może zapewnić tolerancję na błędy, jeśli urządzenie nie działa.
  • Zrestartuj VPN, aby zastosować zmiany. W zależności od systemu operacyjnego jedno z tych poleceń powinno zadziałać, aby ponownie uruchomić usługę: systemctl restart openvpn.
  • Zrestartuj usługę OpenVPN, aby skonfigurować system Windows 7.
  • Utwórz plik konfiguracji klienta (.ovpn).
  • Po skonfigurowaniu serwera połącz klientów, aby móc korzystać z obszaru usług. To wymaga certyfikatu. Utwórz go i pobierz plik .ovpn, uruchamiając instalator i wybierając: Dodaj nowego użytkownika dla każdego klienta, który połączy się z VPN.
  • Możesz powtórzyć ten proces dla większej liczby klientów. W tym przykładzie kliknij "Dodaj nowego użytkownika", wywołując plik ovpn w taki sam sposób, jak nazwę hosta klienta, ale możesz zaakceptować własną strategię nazewnictwa.
  • Uruchom instalator: ./openvpn-install.sh.
  • Wybierz Dodaj nowego użytkownika i wprowadź nazwę klienta.
  • OpenVPN jest już zainstalowany.
  • Dodaj nowego użytkownika.
  • Anuluj istniejącyużytkownik
  • Usuń OpenVPN.
  • Wyjdź.
    • Do identyfikacji zaleca się używanie tylko jednego słowa, nie są wymagane żadne znaki specjalne, na przykład nazwa klienta: iphone7. Spowoduje to utworzenie pliku ovpn, który chcesz skopiować na komputer klienta. Ten proces generuje również kilka innych znalezionych plików /etc /openvpn /easy-rsa /pki /, które umożliwiają identyfikację klucza publicznego.

    Klient VPN Router ASUS

    Wiele routerów obsługuje dostęp do VPN, więc możesz użyć klienta VPN, aby aktywować połączenie z siecią domową. Zazwyczaj jest to konieczne w przypadku osób, które nie ufają swojemu domowemu dostawcy Internetu lub ingerują w ingerencję w dane osobowe. Wiele osób konfiguruje serwer OpenVPN Asus, aby zapewnić bezpieczne surfowanie, gdy dana osoba znajduje się w podejrzanych sieciach, takich jak hotel lub kafejka internetowa. Umożliwi to użytkownikowi udostępnienie standardowych serwerów VPN za pomocą płatnej usługi lub domowego routera. Często dana osoba potrzebuje nie tylko zdalnego dostępu do surfowania z sieci, ale także do korzystania z sieci wewnętrznej. Najlepszym sposobem ochrony domowej jest zamknięcie wszystkich portów routera i dostęp do sieci domowej za pomocą zaszyfrowanej sieci VPN.
    Router ASUS obsługuje OpenVPN w postaci klient /serwer. Lepiej tworzyć użytkowników z długimi losowymi hasłami otrzymanymi z generatora GRC. Routery ASUS obsługują dwa serwery, dzięki czemu można je skonfigurować tak, aby uzyskać dostęp do sieci domowej i doBezpieczne przeglądanie:
  • Po zainstalowaniu tych opcji wyeksportuj plik .ovpn.
  • Następnie skonfiguruj tryb klienta i zaimportuj plik .ovpn.
  • Zaleca się zamknięcie wszystkich portów routera po ustawieniu.
  • Po wykonaniu tych czynności skanuj router za pomocą osłon GRC.

    • Tworzenie serwera w oparciu o Mikrotik

    Istnieje dobra okazja do skonfigurowania serwera OpenVPN Mikrotik za pomocą jego routera. W tym przykładzie użyjesz routera z zewnętrznym adresem IP 19216888.2 IP 19216889.1 i pulą dla klientów OVPN - 19216887.0 /24. Tworzenie i podpisywanie certyfikatów odbywa się w następujący sposób:
  • Podczas konfigurowania serwera mikropaskowego OpenVPN użytkownik będzie musiał wykonać wiele poleceń jeden po drugim. Podpisywanie certyfikatów wymaga czasu i pobrania procesora.
  • Czasami pojawia się komunikat o błędzie "Czas działania", gdy użytkownik podpisuje certyfikaty, nie jest to krytyczne, wystarczy poczekać trochę dłużej.
  • Widać, że router jest zajęty ikoną certyfikatu z centralnym procesorem. Po podpisaniu certyfikatu obciążenie procesora spada, pojawia się KLAT.
  • Po rejestracji można przejść do następnego certyfikatu.
    • Następnie, podczas konfigurowania serwera OpenVPN, Mikrotik przechowuje wyeksportowane pliki na komputerze:
  • Podpisz klucz publiczny.
  • Otwiera wiersz poleceń z rozszerzonymi uprawnieniami, przenosi się do miejsca, w którym pliki są zapisywane i uruchamia się: C: Program Files OpenVPN bin openssl.exe rsa-w client1.key -out client1.key.
  • Program poprosi o wprowadzenie błędnej frazy dla klienta1.key. Ustaw hasło podczas eksportowania certyfikatów.
  • Następnie utwórz nową pulę do konfiguracji serwera Linux OpenVPN.
    • Aby przetestować serwer, oprócz certyfikatów i klucza, użyj test.ovpn i auth.cfg. Zaletą korzystania z VPN jest to, że ten program blokuje reklamy na urządzeniu za pomocą skryptu jednostki reklamowej na serwerze OVPN. Jeśli chcesz usunąć użytkownika i anulować certyfikat, wstaw # skrypt do okna terminala MikroTik i zwróć konfigurację serwera.

    VPN dla sieci domowej

    Wiele routerów obsługuje dostęp do VPN. Użytkownicy korzystają z konfiguracji serwera OpenVPN Ubuntu, aby zapewnić bezpieczne surfowanie w niebezpiecznych sieciach publicznych. To właśnie zapewniają standardowe serwery VPN, niezależnie od tego, czy jest to usługa płatna, czy router domowy. Potrzebny jest jeszcze jeden krok. Polega na tym, że nie pozwala na zdalne surfowanie po sieci, ale ma dostęp do sieci wewnętrznej. Najlepszym sposobem ochrony jest zamknięcie wszystkich portów routera i dostęp do sieci domowej za pomocą zaszyfrowanej sieci VPN. ASUS obsługuje tryb "klienta" lub serwera. Zwykle konfiguruje router tylko jako serwer VPN. Po pierwsze, podczas tworzenia serwera OpenVPN, Ubuntu tworzy użytkowników z hasłami. Zaleca się wymyślić mylące nazwy i długie losowe hasło.

    Generator haseł GRC

    W sekcji "Opcje zaawansowane" poniżej znajdują się narzędzia, którepracować na routerze ASUS, aby uzyskać dostęp do sieci domowej i skonfigurować go tylko do bezpiecznego przeglądania.
    Po zainstalowaniu tych opcji wyeksportuj plik .ovpn. Następnie ustaw tryb klienta i importuj plik .ovpn. Komunikat VPN pojawia się w oknie u góry ekranu, do którego jest podłączone urządzenie. Aby sprawdzić jakość połączenia, możesz otworzyć stronę internetową. Po nawiązaniu połączenia można otworzyć aplikację Pulpit zdalny, zalogować się do rejestratora NVR systemu Windows i połączyć się z lokalną stroną internetową przy użyciu bezpiecznego szyfrowanego połączenia z dowolnej sieci. Zaleca się zamknięcie wszystkich portów routera. Po wykonaniu tej czynności należy zeskanować program za pomocą osłony GRC.

    Konfigurowanie w pełni funkcjonalnego protokołu SSL

    Konfiguracja serwera OpenVPN przy użyciu oprogramowania CentOS Linux w wersji 7.0 jest przeprowadzana w celu ochrony aktywności przeglądania w publicznych sieciach Wi-Fi. Procedura jest następująca:
  • Aktualizuje system i uruchamia polecenie: {vivek @ centos7: ~} $ sudo yum update.
  • Znajdź i zapisz swój adres IP.
  • Użyj polecenia IP w następujący sposób: dig /host, aby znaleźć publiczny adres IP z wiersza poleceń podczas instalowania konfiguracji serwera OpenVPN w Centos 7
    • Wyszukaj AWS /EC2 lub Lighsail NAT z adresami IP CLI. Większość serwerów chmurowych w systemie CentOS Linux ma dwa typy adresów IP - otwarty statyczny, bezpośrednio przypisany komputer i routowany z Internetu oraz prywatny statyczny, bezpośrednio połączony z serwerem znajdującym się za NATem. Skrypt automatycznie wykryje ustawienia sieciowe. To wszystkoTrzeba to zrobić, aby podać poprawny adres IP po wyświetleniu monitu.
    Następnie, aby skonfigurować serwer Linux OpenVPN, pobierz i uruchom skrypt centos7-vpn.sh przy użyciu polecenia wget i uprawnień instalacyjnych przy użyciu polecenia chmod. Możesz wyświetlić skrypt za pomocą edytora tekstu, takiego jak vim /vi. Następnie skopiuj plik desktop.ovpn, sprawdź połączenie z interfejsem CLI, a następnie system pulpitu linuksowego połączy się automatycznie po ponownym uruchomieniu komputera za pomocą skryptu lub usługi openvpn. Sprawdź serwery OpenVPN pod kątem błędów: {vivek @ centos7: ~} $ journalctl - identifentif openvpn. Następnie użyj polecenia cat, aby wyświetlić reguły: {vivek @ centos7: ~} $ cat /etc/iptables/add-openvpn-rules.sh.

    Instalacja dla systemu Linux Debian

    Konfiguracja serwera Debian OpenVPN może być wykonana dla różnych wersji. Wprowadź nazwę nowego urządzenia i aktywuj niezbędne dodatkowe funkcje. Przewiń w dół i utwórz dane logowania i konfiguracji dla protokołu OpenVPN. Wybierz protokół, którego chcesz użyć: OpenVPN (UDP). UDP zapewnia wyższą prędkość niż wersja TCP, ale w niektórych przypadkach może prowadzić do błędu rozruchu. Wybierz kraj. Ponieważ macierzyste połączenia protokołów mogą być używane tylko z jednym serwerem, musisz wybrać kraj, z którego będziesz surfować. Jeśli potrzebujesz różnych konfiguracji serwera PPTP, L2TP lub Debian OpenVPN w różnych krajach, powtórz kolejno wszystkie kroki dla każdego z nich. W zależności od wybranej lokalizacji jako atrybutu bieżącego planu można również zdefiniować grupę, która będzie korzystać ze standardu i premiiserwery Po pobraniu pliku konfiguracyjnego kliknij "Pobierz konfigurację" i zapisz go na swoim komputerze. Następnie rozpakuj pobrany plik i zmienić nazwę zawierającą „openvpn.ovpn” w „CG_Country.conf”, kopiowanie katalogu plik konfiguracji VPN. Aby to zrobić, należy otworzyć okno terminala i przejdź do folderu, z którego został wydobytego przez wpisując: cd [ścieżka do folderu z plikami yzvlechennыmy Konfiguracja]. Następnie kopiowanie plików
  • sudo cp CG_XX.conf /itp /openvpn /
  • sudo cp ca.cert /itp /openvpn /
  • sudo cp client.crt /itp /openvpn /
  • sudo cp client.key /etc /openvpn /
    • Pobierz pakiet informacyjny otwierając konsolę i wpisując sudo apt-get update. Przejdź do folderu cd /etc /openvpn i wprowadź poniższe polecenie, aby utworzyć i otworzyć plik tekstowy o nazwie user: sudo nano user.txt. Na dole po podaniu konfiguracji (COMP-LZO) dodać następujące linie: /etc /openvpn /aktualizacja-Resolv-conf dół /itp /openvpn /aktualizacja-Resolv-Conf. Przechowywać poprzez Ctrl + O i wyjść z edytora używając CTRL + X. Następnie plik zostanie automatycznie pobrany wpisując: sudo nano /etc /default /openvpn. Na koniec wpisz w konsoli: sudo update-rc.d openvpn ("Włącz"). Zalecane: sudo service openvpn start. Poczekaj kilka sekund, a następnie sprawdź, czy wszystko działa poprawnie.

    Praca w sieci z pfSense

    Wirtualne prywatne sieci VPN mogą być używane w wielu bardzo użytecznych aplikacjach. Uruchomienie własnego serwera pozwoli na szyfrowanie wszystkiego, co użytkownik robi w Internecie, na przykład, dzięki czemu można bezpiecznie wykonywać bankowość elektroniczną w darmowym Wi-Fi w kawiarni. Wszystko, co wyślesz przez połączenie VPN, zostanie zaszyfrowane z Twojego osobistego urządzenia, dopóki nie zostanie ono zaszyfrowanedotrzeć do serwera Jego ustawienia dostępu do sieci domowej lub biurowej zapewniają pełny dostęp do wszystkich plików, takich jak pfSense, który pozwala bezpiecznie korzystać z Internetu ze zdalnej lokalizacji i bezpiecznie przesyłać cały ruch przez niego (jeśli jest to wymagane przez użytkownika). Serwer, na którym działa konfiguracja pfSense serwera OpenVPN, działa jak sam router z własnym adresem IP. Zainstaluj wstępnie najnowszą wersję pfSense z interfejsem WAN i interfejsem LAN i połącz się z urządzeniem klienta za pomocą interfejsu. Jest to wymagane, aby uzyskać dostęp do webConfigurator w celu konfiguracji pfSense.

    Korzyści nowoczesnego standardu bezpieczeństwa

    OpenVPN ma nie tylko zaawansowane zabezpieczenia, ale także wysoką zdolność dostosowywania się do oprogramowania innych firm. Istnieją komercyjni dostawcy, którzy pobierają protokół i przekształcają go w VPN dla swoich użytkowników. Przykładem tego jest PrivateTunnel z zastrzeżoną ochroną VPN. Istnieją również klienci OpenVPN nie będący dostawcami, na przykład SecurePoint SSL VPN Client, które są dostępne jako wolne oprogramowanie open source. Protokoły szyfrowania OpenVPN mogą pomóc ominąć Deep Packet Inspection (DPI), z którego korzysta wiele krajów. DPI to technologia monitorowania, która sprawdza ruch przechodzący przez nią w czasie rzeczywistym, ale może być dostosowana do jej ukrywania. Inne główne protokoły należą do największych internetowych gigantów Microsoft, L2TP i Cisco, w tym PPTP i SSTP.VPN wygrywa dzięki dostępności kodu open source, który jest swobodnie dostępny do modyfikacji i rozwoju, a także do wsparcia społeczności. Cały kod źródłowy najnowszej wersji OpenVPN, 244 został wydany we wrześniu 2017 roku i jest dostępny do pobrania szarych ustawień IP serwera OpenVPN.

    Powiązane publikacje