Интернет » Инсталирайте OpenVPN и конфигурирайте Windows и Linux сървъра

Инсталирайте OpenVPN и конфигурирайте Windows и Linux сървъра

Интернет

Настройките на сървъра OpenVPN се използват, за да могат потребителите лесно да се свързват с VPN. Тя позволява на потребителите да свързват всяка интернет връзка за сигурен достъп, включително до отдалечени мрежи, които са свързани с маршрутизатора, дори ако потребителят е извън NAT. Клиентският софтуер OpenVPN може да се използва за много операционни системи. С достъп до надеждни VPN платформи, потребителите могат да оценят и други предимства, като например по-високо ниво на сигурност, когато използват публичен Wi-Fi. Тези услуги използват криптиран тунел за предаване на данни в интернет. Когато настройвате OpenVPN сървър, има няколко опции за протоколи за кодиране, които могат да се използват.


История на проекта

Тя е основана от Джеймс Йона и демонстрирана пред обществеността през 2002 година. Yonan разработва софтуер за оригиналния IBM PC. В момента участва в проекта, е съучредител на компанията, както и технически директор на OpenVPN Technologies. Една от причините за популярността на конфигурацията на OpenVPN сървъра е фактът, че той поддържа всички основни операционни системи, Windows, MacOS и Linux, мобилни платформи Android и iOS, както и по-рядко FreeBSD, QNX, Solaris, Maemo и Windows Mobile. Целта на VPN протокола е да осигури високо ниво на сигурност. Той е способен на до 256-битово криптиране чрез OpenSSL, използва широко внедрена библиотека за софтуер за сигурностсъобщения в различни мрежи, поддържа нормално кодиране в режим статичен ключ чрез предварително разделени PSK, както и защита чрез сертификати на клиенти и сървъри.


Създаване на OpenVPN сървър за отдалечен достъп

Всяка година броят на потребителите на VPN расте, така че информацията за системата и нейните общи функции е много популярна.
Отдалеченият достъп до OpenVPN VPN може лесно да бъде конфигуриран с помощта на съветника:
  • Превключване към VPN & gt; OpenVPN и кликнете върху раздела "Master", за да го стартирате.
  • Изберете необходимите параметри за удостоверяване. Най-често се настройва за локален потребителски достъп.
  • Удостоверяване на потребителите. При настройка на AC66U, OpenVPN сървърът се изпълнява с RADIUS чрез Active Directory.
  • Щракнете върху "Напред".
  • Попълнете полетата, за да създадете нов център за сертифициране. Името на описанието се използва като общо, не използва интервали, препинателни знаци или специални символи.
  • Дължината на ключа. Колкото е по-висока, толкова по-добре, но сложната парола ще използва повече процесор.
  • Електронната поща се използва като препратка към сертификата и не получава поща от системата.
  • Кликнете върху „Добавяне на нов CA“.
  • Попълнете полетата, за да създадете нов сертификат за сървър. Повечето от информацията е преносима и не изисква никакви промени.
  • Кликнете върху „Създаване на нов сертификат“.
  • Въведете конфигурацията на VPN сървъра.
  • Извършване на удостоверяване TLS. Поставете отметка в квадратчето до полето по-долу, за да създадете нов ключ.Използването на TLS е технически незадължително, но е силно препоръчително. Някои OpenSSL атаки, като например Heartbleed, бяха смекчени с помощта на ключа TLS.
  • Други стойности могат да бъдат зададени по желание и са предпочитани (параметри като компресиране, DNS и NetBIOS).
  • Щракнете върху "Напред".
  • Следният екран предлага избор за автоматично добавяне на правило за защитна стена. Ако не се обработват ръчно, и двете опции се проверяват за удобство.
  • Натиснете "Next" и "Finish", за да затворите "Master".

    • Проверка за оптимизация на конфигурацията

    За да определите оптималните настройки за връзка, проверете правилата за защитната стена за разделите WAN и OpenVPN. Правилото на таба WAN трябва да отиде в порта на OpenVPN на WAN адреса и да разреши всички операции.
    Някои опции не са представени в съветника, но са по-подходящи за определени ситуации, отколкото настройките по подразбиране, избрани от съветника. Режимът за настройка на сървъра OpenVPN 2 в Windows ви позволява да избирате между изисквания за сертификати, удостоверяване на потребителя или и двете. Съветникът използва отдалечен достъп (SSL /TLS + потребителски права). Възможните стойности на този избор и техните предимства са:
  • Отдалечен достъп (SSL /TLS + потребителски автори). Задължителни сертификати, потребителско име /парола.
  • Отдалечен достъп (SSL /TLS).
  • Всеки потребител има уникална конфигурация на клиента, която включва техния личен сертификат и ключ.
  • Само сертификати, без разрешение.
  • Има няколко фактора за удостоверяване: TLS-ключ и сертификат и потребителско име /парола.
  • Всеки проект имауникална конфигурация на клиента, която включва личния им сертификат и ключ.
  • Отдалечен достъп (потребителски автори).
  • По-малко сигурна, тъй като се основава единствено на факта, че потребителят има TLS ключ и сертификат.
  • Удостоверяване.
  • Клиентите не се нуждаят от индивидуални сертификати.
  • Използва се за външно удостоверяване (RADIUS, LDAP).
  • Всички клиенти могат да използват една и съща експортирана конфигурация и софтуерен пакет.
  • По-малко сигурна, тъй като разчита само на това, което потребителят знае - име и парола.

    • Отмяна на компрометирани сертификати

    Такива файлове могат да бъдат отменени чрез създаване на CRL в System & gt; Cert Manager в раздела за анулиране на сертификат, добавете ги и след това изберете този CRL за параметрите на сървъра OpenVPN.
    Ако режимът остава на основното ниво по подразбиране или в режим, който включва удостоверяване, тогава потребителят може да бъде създаден с помощта на следните действия:
  • Отидете в раздела "Система" и след това в "User Manager".
  • Кликнете върху „Добавяне на потребител“.
  • Попълнете потребителското име.
  • Попълнете и потвърдете паролата.
    • ​​
  • Щракнете върху "Създаване на потребителски сертификат".
  • Попълнете отново потребителското име.
  • Изберете подходящия център за сертифициране.
  • Кликнете върху „Запазване“.
  • Пакетът за експортиране на OpenVPN-Client ви позволява да експортирате конфигурации, форматирани за различни платформи, предварително пакетиран изпълним файл на инсталатора.Windows, която включва конфигурацията, предоставена в пакета за безпроблемна инсталация на клиента.
    • Да разгледаме как да инсталираме пакета за експортиране на клиента при настройката на OpenVPN Debian 9:

  • Отидете в раздела Система & gt; «Пакети», «Налични пакети».
  • Намерете пакетите за експортиране на клиенти в списъка.
  • Натиснете "Потвърди".
  • Пакетът ще бъде инсталиран и достъпен в VPN & gt; OpenVPN в раздела "Експортиране на клиент".
  • Отиди на VPN & gt; OpenVPN в раздела "Експортиране на клиент".
  • Изберете VPN от падащия списък OpenVPN DD-WRT за опции за отдалечен достъп.
  • Задайте всички необходими параметри отгоре.
  • Намерете потребителя в списъка в долната част на страницата и изберете подходящия тип конфигурация за експортиране.
  • Извършете актуализация, след което VPN конфигурацията на защитната стена е завършена.
    • Изборът на инсталатора на Windows е най-често срещан, а Inline конфигурацията е най-подходяща, когато се използва съществуващ клиент, който не е в списъка. В долната част на страницата за пакети за експортиране на клиенти има връзка към често използвани потребители. Правилата за защитна стена за стриктното управление на трафика в тази VPN могат да бъдат добавени в секцията Защитна стена & gt; „Правила“ в раздела VPN. Не се препоръчва да свързвате клиенти директно в локалната мрежа.

    Редактиране на конфигурационен файл

    Често по време на практическото приложение на платформата е необходимо да се редактира конфигурационния файл на OpenVPN.
    Ред на изпълнение:
  • Задайте тази линия да се използваIP адресите на потребителя, които са дефинирани от командата ifconfig: vim /etc/openvpn/server.conf.
  • Изтрива реда, ако съществува: натиснете "dhcp-option DNS 1080.1" #push dhcp-option DNS 888.8. Тази директива push установява DHCP параметър, който комуникира клиентската връзка с VPN, която трябва да се използва като първичен DNS сървър.
  • Предполага се, че той ще бъде единственият резолвер, тъй като определя сървърите нагоре по веригата. Инсталирането на не-Pi-hole резолвера тук може да има неблагоприятни ефекти върху блокирането на реклами, но може да осигури толерантност към грешки, ако устройството не работи.
  • Рестартирайте VPN, за да приложите промените. В зависимост от операционната система, една от тези команди трябва да работи за рестартиране на услугата: systemctl restart openvpn.
  • Рестартирайте услугата OpenVPN за конфигуриране на Windows 7.
  • Създайте клиентски конфигурационен файл (.ovpn).
  • Сега, когато сървърът е конфигуриран, свържете клиентите, за да можете да използвате зоната за услуги. Това изисква сертификат. Създайте го и вземете .ovpn файла, като изпълните инсталатора и изберете: Добавете нов потребител за всеки клиент, който ще се свърже с VPN.
  • Можете да повторите този процес за по-голям брой клиенти. В този пример кликнете върху "Добавяне на нов потребител", като извикате файла ovpn по същия начин като името на хоста на клиента, но можете да приемете собствената си стратегия за именуване.
  • Стартирайте инсталатора: ./openvpn-install.sh.
  • Изберете Добавяне на нов потребител и въведете името на клиента.
  • OpenVPN вече е инсталиран.
  • Добавете нов потребител.
  • Отменете съществуващияпотребител.
  • Изтриване на OpenVPN.
  • Изход.
    • За идентификация се препоръчва да се използва само една дума, не се изискват специални символи, например името на клиента: iphone7. Това ще създаде овпн файл, който искате да копирате на клиентската машина. Този процес също генерира няколко други открити файла /etc /openvpn /easy-rsa /pki /, което позволява идентификация на публичен ключ.

    VPN клиент ASUS маршрутизатор

    Много маршрутизатори поддържат достъп до VPN, така че можете да използвате VPN клиент, за да активирате връзката към домашната мрежа. Обикновено това е необходимо за хора, които не се доверяват на домашния си интернет доставчик или пречат на намесата в лична информация. Много хора създават сървър на OpenVPN Asus, за да осигурят сигурно сърфиране, когато човек е в съмнителни мрежи, като например хотел или интернет кафе. Това ще позволи на потребителя да предостави стандартни VPN сървъри с платена услуга или домашен рутер. Често човек трябва не само да позволява отдалечено сърфиране в мрежата, но и да може да използва вътрешната мрежа. Най-добрият начин за домашна сигурност е да затворите всички рутерни портове и да имате достъп само до домашната мрежа с криптирана VPN.
    ASUS рутерът поддържа OpenVPN в клиент /сървър форма. По-добре да създавате потребители с дълги случайни пароли, получени от GRC генератора. ASUS рутерите поддържат два сървъра, така че те могат да бъдат конфигурирани за достъп до домашната мрежа и заБезопасно сърфиране:
  • След като инсталирате тези опции, експортирайте .ovpn файла.
  • След това конфигурирайте клиентския режим и импортирайте .ovpn файла.
  • Препоръчително е да затворите всички портове на рутера след настройката.
  • Веднага щом това стане, не забравяйте да сканирате рутера с GRC Shields Up.

    • Създаване на сървър на базата на Mikrotik

    Има добра възможност за конфигуриране на OpenVPN Mikrotik сървъра чрез неговия рутер. В този пример ще използвате рутер с външен IP 19216888.2 вътрешен IP 19216889.1 и пул за клиенти на OVPN - 19216887.0 /24. Създаването и подписването на сертификати се извършва по следния начин:
  • При конфигуриране на Microstrip сървъра OpenVPN, потребителят трябва да изпълни няколко команди едно след друго. Подписването на сертификати ще отнеме време и ще изтегли CPU.
  • Понякога ще има съобщение за грешка, наречено "време на действие", когато потребителят подпише сертификати, това не е критично, просто трябва да изчака малко по-дълго.
  • Можете да видите, че рутерът е зает с икона на сертификат за централен CPU. Когато сертификатът е подписан, зареждането на процесора намалява, появява се KLAT.
  • След като се регистрирате, можете да преминете към следващия сертификат.
    • След това, когато конфигурирате OpenVPN сървъра, Mikrotik съхранява експортираните файлове на компютъра:
  • Подпишете публичния ключ.
  • Отваря командния ред с разширени привилегии, премества се на мястото, където са запазени файловете, и стартира: C: Program Files OpenVPN bin openssl.exe rsa-в client1.key -out client1.key.
  • Програмата ще поиска от вас да въведете неправилно написана фраза за client1.key. Задайте парола при експортиране на сертификати.
  • След това създайте нов пул за настройка на Linux OpenVPN сървъра.
    • За да тествате сървъра, в допълнение към сертификатите и ключа, използвайте test.ovpn и auth.cfg. Предимството на използването на VPN е, че тази програма блокира рекламите на устройството, използвайки скрипта на рекламния елемент на сървъра на OVPN. Ако трябва да изтриете потребителя и да отмените сертификата, вмъкнете # скрипта в прозореца на терминала MikroTik и върнете конфигурацията на сървъра.

    VPN за домашна мрежа

    Много рутери поддържат достъпа до VPN. Потребителите използват OpenVPN Ubuntu сървърна конфигурация, за да осигурят сигурно сърфиране, когато са в съмнителни обществени мрежи. Това е, което осигуряват стандартните VPN сървъри, независимо дали е платена услуга или домашен рутер. Необходима е още една стъпка. Тя се състои в това, че не се позволява отдалечено сърфиране в мрежата, а достъп до вътрешната мрежа. Най-добрият начин за защита е да затворите всички рутерни портове и да имате достъп само до домашната мрежа с криптирана VPN. ASUS поддържа режим "клиент" или сървър. Обикновено конфигуриране на маршрутизатора само като VPN сървър. Първо, при създаването на OpenVPN сървър, Ubuntu създава потребители с пароли. Препоръчително е да се появят объркващи имена и дълга случайна парола.

    GRC Password Generator

    В раздела "Разширени опции" по-долу, помощните програми, коиторабота с ASUS рутера за достъп до домашната мрежа и конфигуриране само за сигурно сърфиране.
    След като инсталирате тези опции, експортирайте .ovpn файла. След това задайте клиентския режим и импортирайте .ovpn файла. VPN съобщение се появява в прозореца в горната част на екрана, към което е свързано устройството. За да проверите качеството на връзката, можете да отворите уеб страницата. След като се свържете, можете да отворите приложението Remote Desktop, да влезете във вашия Windows NVR и да се свържете с локална уеб страница, като използвате защитена криптирана връзка от всяка мрежа. Препоръчително е да затворите всички портове на рутера. Веднага след като това стане, трябва да сканирате програмата с GRC Shields Up.

    Настройване на пълнофункционален SSL

    Конфигуриране на OpenVPN сървър с CentOS Linux версия 7.0 се провежда, за да се защити активността при сърфиране в обществения Wi-Fi. Процедурата е следната:
  • Актуализира системата и стартира командата: {vivek @ centos7: ~} $ sudo yum update.
  • Намерете и запишете вашия IP адрес.
  • Използвайте IP командата, както следва: dig /host, за да откриете публичния IP адрес от командния ред, когато инсталирате настройката на OpenVPN сървъра на Centos 7
    • Търсете AWS /EC2 или Lighsail NAT с CLI IP адреси. Повечето облачни сървъри на CentOS Linux имат два вида IP адреси - открит статичен, директно присвоен компютър и се пренасочват от интернет, и частна статична, директно свързана със сървър, който стои зад NAT. Скриптът автоматично ще открие мрежовите настройки. Всичко товаТрябва да направите това, за да предоставите правилния IP адрес, когато бъдете подканени.
    След това, за да конфигурирате Linux OpenVPN сървъра, изтеглете и стартирайте скрипта centos7-vpn.sh, като използвате командата wget и инсталационните разрешения с chmod. Можете да видите скрипта с текстов редактор като vim /vi. След това копирайте desktop.ovpn, проверете връзката с CLI и след това системата за настолни компютри на Linux ще се свърже автоматично, когато рестартирате компютъра със скрипт или услуга openvpn. Проверете грешките на OpenVPN сървърите: {vivek @ centos7: ~} $ journalctl - идентификатор openvpn. След това използвайте командата cat за да видите правилата: {vivek @ centos7: ~} $ cat /etc/iptables/add-openvpn-rules.sh.

    Install for Linux Debian

    Конфигурирането на Debian OpenVPN сървър може да се извърши за различни версии. Предварително въведете име за новото устройство и активирайте необходимите допълнителни функции. Превъртете надолу и създайте данни за вход и конфигурация за протокола OpenVPN. Изберете протокола, който искате да използвате: OpenVPN (UDP). UDP осигурява по-висока скорост от TCP версията, но в някои случаи може да доведе до грешка при зареждане. Изберете държава. Тъй като родните протоколни връзки могат да се използват само с един сървър, трябва да изберете страната, от която ще сърфирате. Ако имате нужда от различни конфигурации на PPTP, L2TP или Debian OpenVPN сървър в различни страни, повторете последователно всички стъпки за всяка от тях. В зависимост от избраното място като атрибут на текущия план, можете също да определите групата, която ще използва стандарта и бонусасървъри. След това изтеглете конфигурационния файл, щракнете върху "Качване конфигурация" и да го запишете на вашия компютър. След извличане на изтегления файл и да преименувате, съдържащ "openvpn.ovpn" в "CG_Country.conf", копиране на файлове конфигурация директория VPN а. За да направите това, отворете терминален прозорец и отидете в папката, от която е извлечена от писане: CD [път за папката с файлове yzvlechennыmy Configuration]. След това копирате файловете:
  • Sudo CP CG_XX.conf /и т.н. /OpenVPN /
  • Sudo CP ca.cert /и т.н. /OpenVPN /
  • Sudo CP client.crt /и т.н. /OpenVPN /
  • Sudo CP client.key /и т.н. /OpenVPN /
    • Изтегляне информационен пакет, като отворите конзола и пишете SUDO на ап-да актуализация. Преходите Папка: CD /и т.н. /OpenVPN и въведете следната команда за създаване и отваряне на текстов файл с име на потребителя: Sudo нано user.txt. В долната част на прохода конфигурация (след комп-lzo) се добавят следните два реда: нагоре /и т.н. /OpenVPN /актуализиране-resolv-CONF и надолу /и т.н. /OpenVPN /актуализиране-resolv-Conf. Да се ​​съхранява чрез CTRL + O и да излезете от редактора използвайки CTRL + X. След това файлът автоматично се изтегля, като напишете: Sudo нано /и т.н. /по подразбиране /OpenVPN. И накрая, въведете конзола: Sudo актуализация-rc.d OpenVPN ("Активиране"). Предписва: начало Sudo услуга OpenVPN. Изчакайте няколко секунди и след това да се провери дали всичко работи правилно.

    функциониращи мрежи pfSense

    Виртуална частна мрежа VPN може да се използва в продължение на няколко много полезни приложения. Направи свой собствен сървър ще шифрова всички потребителски прави в интернет, например, за да бъде в състояние да извърши безопасно онлайн банкиране, за да освободи Wi-Fi в кафенето. Всичко, което ви изпратя VPN-връзка ще бъдат криптирани с личен устройство, докато недостигне до сървъра Настройките му за достъп до дома или офиса осигуряват пълен достъп до всички файлове, като pfSense, което ви позволява безопасно да използвате интернет от отдалечено място и безопасно да изпращате целия трафик през него (ако се изисква от потребителя). Сървърът, на който се изпълнява настройката на pfSense на OpenVPN сървъра, действа като рутер със собствен IP адрес. Предварително инсталирайте най-новата версия на pfSense с WAN интерфейс и LAN интерфейс и се свържете с клиентското устройство чрез неговия интерфейс. Това е необходимо, за да имате достъп до webConfigurator за конфигуриране на pfSense.

    Ползите от един съвременен стандарт за сигурност

    OpenVPN има не само усъвършенствана сигурност, но и висока адаптивност към софтуера на трети страни. Има търговски доставчици, които приемат протокола и го преобразуват в VPN за своите потребители. Пример за това е PrivateTunnel с частна VPN защита. Има и клиенти, базирани на OpenVPN, базирани на производители, като например SecurePoint SSL VPN Client, като и двата са достъпни като свободен софтуер с отворен код. Протоколите за криптиране OpenVPN могат да ви помогнат да заобиколите Deep Packet Inspection (DPI), която се използва от много страни. DPI е технология за наблюдение, която проверява трафика, преминаващ през него в реално време, но може да бъде адаптиран, за да го скрие. Други основни протоколи принадлежат на най-големите интернет гиганти Microsoft, L2TP и Cisco, включително PPTP и SSTP.VPN печели поради наличието на отворен код, който е свободно достъпен за модифициране и развитие, както и за подкрепа от общността. Целият изходен код на последната версия на OpenVPN, 244 е издаден през септември 2017 г. и е достъпен за изтегляне на сивите IP настройки на OpenVPN сървъра.

    Свързани публикации