Ήχοι και Μουσική 

Πώς να μεταφέρετε δεδομένα από τον πελάτη στον διακομιστή openvpn. Εγκατάσταση και διαμόρφωση του τμήματος διακομιστή. Εγκατάσταση του OpenVPN στον διακομιστή

Το Διαδίκτυο είναι σαν τη θάλασσα. Οτιδήποτε μπορεί να συμβεί στα μεταδιδόμενα δεδομένα, όπως ακριβώς με ένα πλοίο κατά τη διάρκεια ενός ταξιδιού: μπορεί να καταστραφεί, να βυθιστεί στη ροή των πληροφοριών ή να γίνει θήραμα «πειρατών». Βοηθήστε στην προστασία ιδιαίτερα πολύτιμων δεδομένων από κλοπή και απώλεια (VPN) - συστήματα κλειστών καναλιών (τούνελ) που είναι χτισμένα μέσα σε άλλο, μεγαλύτερο δίκτυο. Ένας τύπος VPN είναι το OpenVPN.

Θέλετε να μάθετε πώς να δημιουργείτε εικονικά ιδιωτικά δίκτυα γρήγορα και εύκολα; Ας μιλήσουμε για τα πλεονεκτήματα του πρωτοκόλλου OpenVPN, καθώς και για τις ρυθμίσεις των τμημάτων διακομιστή και πελάτη του λογισμικού του για Windows και Ubuntu.

Πεδίο εφαρμογής και πλεονεκτήματα του OpenVPN

Περιοχή εφαρμογής

  • Δημιουργία ασφαλών εταιρικών δικτύων. Η απόσταση μεταξύ των κόμβων τέτοιων δικτύων δεν έχει σημασία.
  • Προστασία πληροφοριών σε ανοιχτά δημόσια δίκτυα.
  • Σύνδεση πολλών κεντρικών υπολογιστών στο Διαδίκτυο μέσω μιας κοινής πύλης.
  • Πρόσβαση σε απαγορευμένους πόρους Ιστού.

Πλεονεκτήματα

  • Όλα είναι δωρεάν. Οι περισσότεροι από εμάς δεν θα απορρίψουμε το δωρεάν Wi-Fi σε μια καφετέρια ή ένα πάρκο, αλλά η κίνηση που μεταδίδεται μέσω μιας τέτοιας σύνδεσης δεν προστατεύεται σε καμία περίπτωση από την υποκλοπή. Το δωρεάν λογισμικό OpenVPN θα το δρομολογήσει σε μια κλειστή σήραγγα, έτσι τα στοιχεία σύνδεσης, οι κωδικοί πρόσβασης και άλλες ευαίσθητες πληροφορίες σίγουρα δεν θα διαρρεύσουν σε λάθος χέρια.
  • Για να κάνετε το δίκτυό σας ασφαλές, δεν χρειάζεται να αγοράσετε πρόσθετο εξοπλισμό.
  • Όλη η μεταδιδόμενη κίνηση συμπιέζεται, γεγονός που εξασφαλίζει υψηλή ταχύτητα επικοινωνίας (μεγαλύτερη από τη χρήση IPSec).
  • Οι ευέλικτες ρυθμίσεις λογισμικού σάς επιτρέπουν να διαμορφώσετε ένα VPN οποιασδήποτε πολυπλοκότητας.
  • Η χρήση πολλών ισχυρών αλγορίθμων κρυπτογράφησης εξασφαλίζει πολύ υψηλό βαθμό προστασίας δεδομένων.
  • Δεν χρειάζεται να ρυθμίσετε ξανά ή να απενεργοποιήσετε τα τείχη προστασίας (τείχη προστασίας) και το NAT (τεχνολογία μετάφρασης διευθύνσεων IP σε δίκτυα TCP/IP).
  • Το πρωτόκολλο υποστηρίζεται από όλα τα κύρια λειτουργικά συστήματα.
  • Η εγκατάσταση και η ρύθμιση παραμέτρων του λογισμικού δεν απαιτεί βαθιά γνώση των τεχνολογιών δικτύου, ενώ ακόμη και για έναν μη ειδικό χρειάζονται μόνο λίγα λεπτά.

Ρύθμιση του OpenVPN στα Windows

Εγκατάσταση και διαμόρφωση του τμήματος διακομιστή

Επειδή οι περισσότεροι από εμάς χρησιμοποιούμε λειτουργικό σύστημα Windows, ας αρχίσουμε να εξοικειωνόμαστε με την τεχνολογία OpenVPN εκεί. Επομένως, επιλέξτε μια κατάλληλη διανομή και εκτελέστε την εγκατάσταση.

Στη λίστα " Επιλέξτε στοιχεία για εγκατάσταση» (επιλέξτε στοιχεία προς εγκατάσταση) ελέγξτε όλα.

Συμφωνήστε να εγκαταστήσετε το πρόγραμμα οδήγησης εικονικού προσαρμογέα δικτύου TAP Windows Adapter V9.

Εγκατεστημένο; Τώρα ας δημιουργήσουμε κλειδιά και πιστοποιητικά VPN.

  • Μεταβείτε στον κατάλογο %ProgramFiles%/OpenVPN/easy-rsa και εκτελέστε το αρχείο δέσμης init-config.bat– θα αντιγράψει το αρχείο στον ίδιο φάκελο vars.bat.δείγμαόπως και vars.bat. Στο μέλλον, ένα πακέτο εντολών vars.batθα ορίσει μεταβλητές για τη δημιουργία πιστοποιητικών.

  • Μετά τη δημιουργία vars.νυχτερίδαανοίξτε το χρησιμοποιώντας το σημειωματάριο και γράψτε τυχόν δεδομένα στις επισημασμένες γραμμές (μετά το "="). Αποθηκεύστε τις αλλαγές.

  • Στη συνέχεια, εκτελέστε τη γραμμή εντολών ως διαχειριστής και εκτελέστε την εντολή για να μεταβείτε στο /easy-rsa ( cd %Αρχεια προγραμματος%/OpenVPN/Ανετα-rsa). Μετά από αυτό τρέχουμε διαδοχικά vars.νυχτερίδαΚαι ΚΑΘΑΡΗ-όλα.νυχτερίδα(φόρτωση μεταβλητών και διαγραφή κλειδιών που δημιουργήθηκαν προηγουμένως).

  • Εκτελέστε μια παρτίδα εντολών χτίζω-περ.νυχτερίδα– με αυτό θα δημιουργήσουμε ένα νέο πρωτεύον πιστοποιητικό στον κατάλογο %ProgramFiles%/OpenVPN/easy-rsa/keys. Δεν είναι απαραίτητο να συμπληρώσετε πληροφορίες σχετικά με το όνομα του οργανισμού κ.λπ., το οποίο είναι κυκλωμένο στο στιγμιότυπο οθόνης - απλώς πατήστε Enter.

  • Ας ξεκινήσουμε χτίζω-dh.νυχτερίδα- με αυτό δημιουργούμε ένα κλειδί Diffie-Hellman. Ένα αρχείο θα εμφανιστεί στο φάκελο /keys dh1024.pem.

  • Επόμενο στη σειρά είναι το κλειδί διακομιστή: εκτελέστε την εντολή χτίζω-κλειδί-υπηρέτηςmyVPN("myVPN" είναι το όνομα διακομιστή, μπορείτε να καθορίσετε οποιοδήποτε άλλο). Παραλείψτε το μπλοκ ερωτήσεων που ξεκινούν με «Όνομα χώρας» πατώντας Enter. Στις δύο τελευταίες ερωτήσεις - "Υπογραφή του πιστοποιητικού;" και το επόμενο, απαντάμε «Υ».

  • Στη συνέχεια πρέπει να πάρουμε το κλειδί πελάτη: execute χτίζω-κλειδίχρήστη 1(user1 είναι το όνομα πελάτη, μπορείτε να το αντικαταστήσετε με κάτι άλλο). Εάν υπάρχουν πολλοί υπολογιστές-πελάτες, επαναλάβετε τη λειτουργία για τον καθένα, χωρίς να ξεχνάτε να αλλάξετε το όνομα. Παρακάμπτουμε το μπλοκ που περιβάλλεται από ένα πλαίσιο, όπως πριν.

  • Στη συνέχεια, αντιγράψτε από το φάκελο / Ανετα-rsa/κλειδιά V / OpenVPN/configτα ακόλουθα αρχεία: dh1024.pem, ca.crt myvpn.crt, myvpn.key, χρήστη 1.κλειδίχρήστη 1.crt. Τα τέσσερα τελευταία μπορεί να ονομάζονται διαφορετικά στη χώρα σας. Το γιατί, νομίζω, είναι ξεκάθαρο.

  • Στη συνέχεια, δημιουργήστε ένα αρχείο διαμόρφωσης διακομιστή στον ίδιο φάκελο. Αντιγράφουμε τις παρακάτω οδηγίες στο σημειωματάριο και, εάν χρειάζεται, αλλάζουμε τις παραμέτρους τους στις δικές μας. Αποθηκεύστε το έγγραφο με την επέκταση. ovpnκαι το όνομα" Υπηρέτης».

# Διεπαφή (σήραγγα L3)
dev συντονισμός
# Πρωτόκολλο VPN
πρωτό udp
# Θύρα προς χρήση (μπορείτε να καθορίσετε οποιαδήποτε δωρεάν)
θύρα 1234
# Λίστα πιστοποιητικών και κλειδιών (σημειώστε τα ονόματα)
caca.crt
πιστοποιητικό myvpn.crt
κλειδί myvpn.key
dh dh1024.pem
# Τύπος κρυπτογράφησης δεδομένων
κρυπτογράφηση AES-256-CBC
# Επιλέξτε μια σειρά από διευθύνσεις IP
διακομιστής 10.10.10.0 255.255.255.0
# Επίπεδο πληροφοριών εντοπισμού σφαλμάτων
ρήμα 3
# Χρησιμοποιήστε συμπίεση
comp-lzo
επιμένει-κλειδί
επιμένω-tun
mssfix
# Ορίστε τον μέγιστο αριθμό επαναλαμβανόμενων γεγονότων
σίγαση 25
# Αριθμός ταυτόχρονα συνδεδεμένων πελατών (5)
max-πελάτες 5
# Διάρκεια συνεδρίας πελάτη
keepalive 10 120
# Ορατότητα πελατών μεταξύ τους (επιτρέπεται)
πελάτη σε πελάτη
# Εκχωρήστε 1 διεύθυνση σε κάθε χρήστη
υποδίκτυο τοπολογίας
# Ορίστε μια καθυστέρηση πριν προσθέσετε μια διαδρομή
διαδρομή-καθυστέρηση
#Προσδιορίστε εάν θέλουμε να διανείμουμε το Διαδίκτυο. Γράφουμε τις διευθύνσεις DNS που καθορίζονται στις ρυθμίσεις σύνδεσης στο Διαδίκτυο.
πιέστε "redirect-gateway def1"

πιέστε "dhcp-option DNS x.x.x.x"

Διαβάστε περισσότερα σχετικά με τις οδηγίες διαμόρφωσης διακομιστή.

Στη συνέχεια, για να διανείμετε το Διαδίκτυο, μεταβείτε στον κατάλογο συνδέσεων δικτύου, ανοίξτε τις ιδιότητες της διεπαφής κοιτάζοντας το παγκόσμιο δίκτυο, μεταβείτε στην καρτέλα " Πρόσβαση", βάλτε ένα σημάδι επιλογής απέναντι" Να επιτρέπεται σε άλλους χρήστες να χρησιμοποιούν αυτήν τη σύνδεση..." και επιλέξτε το δίκτυο του εικονικού προσαρμογέα προσαρμογέα TAP-Windows V9 από τη λίστα - κατά τη γνώμη μου αυτό είναι το Ethernet 3.

  • Δημιουργήστε ένα αρχείο ρυθμίσεων πελάτη. Αντιγράψτε το παρακάτω κείμενο στο σημειωματάριο και αποθηκεύστε το έγγραφο με την επέκταση .ovpn με το όνομα «Πελάτης».

πελάτης
dev συντονισμός
πρωτό udp
# IP ή όνομα τομέα του διακομιστή VPN και της θύρας σύνδεσης.
τηλεχειριστήριο x.x.x.x 1234
caca.crt
cert user1.crt
κλειδί χρήστη1.κλειδί
κρυπτογράφηση AES-256-CBC
comp-lzo
επιμένει-κλειδί
επιμένω-tun
ρήμα 3

Δείτε άλλες οδηγίες διαμόρφωσης προγράμματος-πελάτη.

Ρύθμιση της πλευράς πελάτη

Εγκαταστήστε την εφαρμογή στον υπολογιστή-πελάτη. Στη συνέχεια, μεταβείτε στον διακομιστή, ανοίξτε τον κατάλογο %ProgramFiles%/OpenVPN/config και αντιγράψτε τα αρχεία από εκεί ca.crt, Client.ovpn, user1.crt,χρήστη 1.κλειδίσε φάκελο δικτύου ή μονάδα flash. Τα μεταφέρουμε σε παρόμοιο φάκελο στον υπολογιστή-πελάτη.

Σύνδεση

Για να ξεκινήσετε τον διακομιστή, κάντε κλικ στη συντόμευση «OpenVPN GUI» στην επιφάνεια εργασίας σας. Ένα γκρι εικονίδιο θα εμφανιστεί στο δίσκο. Κάντε δεξί κλικ πάνω του και επιλέξτε " Υπηρέτης" Και " Συνδέω-συωδεομαι».

Εάν η σύνδεση είναι επιτυχής, το εικονίδιο θα αλλάξει χρώμα σε πράσινο. Εάν δεν είναι επιτυχές, κάντε κλικ στο μενού " Προβολή περιοδικού": θα υποδείξει το σφάλμα.

Η σύνδεση πελάτη πραγματοποιείται με τον ίδιο τρόπο, μόνο αντί για " Υπηρέτης"επιλογή από το μενού" Πελάτης».

Ρύθμιση του OpenVPN στο Ubuntu

Ξεκινάμε εγκαθιστώντας το πακέτο OpenVPN στον διακομιστή και στους υπολογιστές-πελάτες, όπως στα Windows. Η οδηγία για την εγκατάσταση της έκδοσης κονσόλας του λογισμικού μέσω του τερματικού είναι η εξής: sudo apt-get εγκατάσταση openvpn. Εάν θέλετε, μπορείτε να εγκαταστήσετε γραφικές εκδόσεις πακέτων από το Κέντρο Εφαρμογών του Ubuntu.

Ωστόσο, το πιο σημαντικό στοιχείο, η μονάδα easy-rsa, που έχει σχεδιαστεί για τη δημιουργία πιστοποιητικών και κλειδιών, δεν περιλαμβάνεται στη διανομή Linux. Θα πρέπει να το εγκαταστήσετε ξεχωριστά εκτελώντας την εντολή: sudoκατάλληλος-παίρνωεγκαθιστώΑνετα-rsa.

Ρύθμιση του τμήματος διακομιστή

  • Μετά την εγκατάσταση του προγράμματος και της πρόσθετης ενότητας, δημιουργήστε τον κατάλογο " easy-rsa" στο φάκελο /etc/openvpn: sudo mkdir /etc/openvpn/easy-rsa.Αντιγράψτε τα περιεχόμενα από τη θέση εγκατάστασης σε αυτό: cp -r /usr/share/easy-rsa /etc/openvpn/easy-rsa.
  • Στη συνέχεια μεταβαίνουμε στον νέο κατάλογο: cd /etc/openvpn/easy-rsa/και προχωρήστε στη δημιουργία πιστοποιητικών και κλειδιών.

  • Χρησιμοποιώντας το πρόγραμμα επεξεργασίας nano κονσόλας, ανοίξτε το αρχείο μεταβλητής vars (ανάλογο με το vars.bat στα Windows) και εισαγάγετε σε αυτό τα ίδια δεδομένα όπως στο vars.bat, με αλλαγμένες τιμές:

KEY_COUNTRY=RU
KEY_PROVINCE=CA
KEY_CITY=Σαν Φρανσίσκο
KEY_ORG=OpenVPN
[email προστατευμένο]
KEY_CN=αλλαγήμε
KEY_NAME=αλλαγήμε
KEY_OU=αλλαγήμε
PKCS11_MODULE_PATH=αλλαγήμε
PKCS11_PIN=1234

  • Αντιγράψτε το κρυπτογραφικό πακέτο openssl: cpopenssl-1.0.0.cnfopenssl.cnf.
  • Φόρτωση μεταβλητών από vars: πηγή./vars.
  • Διαγράφουμε δεδομένα που δημιουργήθηκαν προηγουμένως: ./ ΚΑΘΑΡΗ-όλα.
  • Δημιουργήστε ένα νέο κύριο πιστοποιητικό: ./ χτίζω-περ. Παραλείπουμε το μπλοκ των ερωτήσεων στο πλαίσιο.

  • Ακολουθεί το κλειδί Diffie-Hellman: ./ χτίζω-dh.
  • Πίσω από αυτό βρίσκεται το πιστοποιητικό διακομιστή: . / χτίζω-κλειδί-υπηρέτηςmyVPN(Το myVPN, όπως θυμάστε, είναι το όνομα, μπορεί να είναι διαφορετικό για εσάς). Παραλείπουμε το επισημασμένο μπλοκ (είναι συντομευμένο στο στιγμιότυπο οθόνης), απαντάμε "Y" στις τελευταίες 2 ερωτήσεις.

  • Τέλος, δημιουργούμε το πιστοποιητικό πελάτη: ./ χτίζω-κλειδίχρήστη 1(αντί για "χρήστης1" μπορείτε να βρείτε άλλο όνομα). Ταυτόχρονα, παραλείπουμε ξανά το μπλοκ που επισημαίνεται στην οθόνη και απαντάμε «Y» στις δύο τελευταίες ερωτήσεις.

Όλα τα κλειδιά και τα πιστοποιητικά που δημιουργήθηκαν αποθηκεύονται σε έναν υποκατάλογο / και τα λοιπά/openvpn/Ανετα-rsa/κλειδιά. Μετακινήστε τα στο φάκελο /openvpn: cp -r /etc/openvpn/easy-rsa/keys /etc/openvpn.

Στο τελικό στάδιο, δημιουργήστε ένα αρχείο διαμόρφωσης διακομιστή στον φάκελο /etc/openvpn: νανο/και τα λοιπά/openvpn/υπηρέτης.συνδκαι συμπληρώστε το με τον ίδιο τρόπο που συμπληρώσαμε ένα παρόμοιο έγγραφο στα Windows. Η μόνη διαφορά είναι οι διαφορετικές διαδρομές:

ca /etc/openvpn/keys/ca.crt

cert /etc/openvpn/keys/myvpn.crt
κλειδί /etc/openvpn/keys/myvpn.key

Τέλος, δημιουργούμε έναν κατάλογο για τη διαμόρφωση των μηχανών πελατών: mkdir /etc/openvpn/ccd,και ξεκινήστε τον διακομιστή: έναρξη υπηρεσίας openvpn.

Εάν ο διακομιστής δεν ξεκινήσει, πιθανότατα υπάρχει σφάλμα στη διαμόρφωση. Οι πληροφορίες σχετικά με το πρόβλημα μπορούν να προβληθούν στο έγγραφο /var/log/openvpn.log χρησιμοποιώντας την εντολή tail -f /var/log/openvpn.log.

Ρύθμιση της πλευράς πελάτη

Μετά την εγκατάσταση της εφαρμογής στον υπολογιστή-πελάτη, μεταφέρετε το κλειδί και τα πιστοποιητικά που δημιουργούνται στον διακομιστή σε αυτόν και δημιουργήστε μια διαμόρφωση.

Κλειδί και πιστοποιητικά – ca.crt, user1.crtΚαι user1.key, βρίσκονται στο φάκελο /etc/openvpn/keys. Τα αντιγράφουμε σε μια μονάδα flash και τα επικολλάμε σε ένα φάκελο με το ίδιο όνομα στον υπολογιστή του πελάτη.

Δημιουργούμε το αρχείο διαμόρφωσης χρησιμοποιώντας το nano: nano /etc/openvpn/client.conf,και συμπληρώστε το σύμφωνα με το μοντέλο των Windows. Μην ξεχάσετε να συμπεριλάβετε τις σωστές διαδρομές:

ca /etc/openvpn/keys/ca.crt
dh /etc/openvpn/keys/dh2048.pem
cert /etc/openvpn/keys/user1.crt
κλειδί /etc/openvpn/keys/user1.key

Όλα είναι έτοιμα. Για να συνδεθείτε στον διακομιστή χρησιμοποιούμε την ίδια εντολή: έναρξη υπηρεσίας openvpn.

Οι οδηγίες αποδείχθηκαν μεγάλες, αλλά στην πραγματικότητα αυτά τα βήματα διαρκούν 5-10 λεπτά. Περισσότερες λεπτομερείς πληροφορίες σχετικά με την εργασία με το OpenVPN μπορείτε να βρείτε στην ενότητα "" του επίσημου ιστότοπου της εφαρμογής. Δοκιμάστε το και θα τα καταφέρετε!

Επίσης στον ιστότοπο:

Ρύθμιση του OpenVPN σε Windows και Ubuntu: τι, γιατί και πώςενημερώθηκε: 24 Απριλίου 2016 από: Johnny Mnemonic

Το OpenVPN είναι μία από τις επιλογές VPN (εικονικό ιδιωτικό δίκτυο ή ιδιωτικά εικονικά δίκτυα) που σας επιτρέπει να μεταφέρετε δεδομένα μέσω ενός ειδικά δημιουργημένου κρυπτογραφημένου καναλιού. Με αυτόν τον τρόπο, μπορείτε να συνδέσετε δύο υπολογιστές ή να δημιουργήσετε ένα κεντρικό δίκτυο με έναν διακομιστή και πολλούς πελάτες. Σε αυτό το άρθρο θα μάθουμε πώς να δημιουργήσουμε έναν τέτοιο διακομιστή και να τον ρυθμίσουμε.

Όπως αναφέρθηκε παραπάνω, με τη βοήθεια της εν λόγω τεχνολογίας, μπορούμε να μεταδώσουμε πληροφορίες μέσω ενός ασφαλούς καναλιού επικοινωνίας. Αυτό θα μπορούσε να είναι κοινή χρήση αρχείων ή ασφαλής πρόσβαση στο Διαδίκτυο μέσω ενός διακομιστή που χρησιμεύει ως κοινόχρηστη πύλη. Για να το δημιουργήσουμε, δεν χρειαζόμαστε πρόσθετο εξοπλισμό ή ειδικές γνώσεις - όλα γίνονται στον υπολογιστή που σχεδιάζεται να χρησιμοποιηθεί ως διακομιστής VPN.

Για περαιτέρω εργασία, θα χρειαστεί επίσης να διαμορφώσετε το τμήμα πελάτη στα μηχανήματα των χρηστών του δικτύου. Όλη η εργασία καταλήγει στη δημιουργία κλειδιών και πιστοποιητικών, τα οποία στη συνέχεια μεταφέρονται στους πελάτες. Αυτά τα αρχεία σάς επιτρέπουν να αποκτήσετε μια διεύθυνση IP όταν συνδέεστε σε διακομιστή και να δημιουργήσετε το κρυπτογραφημένο κανάλι που αναφέρεται παραπάνω. Όλες οι πληροφορίες που μεταδίδονται μέσω αυτού μπορούν να διαβαστούν μόνο εάν το κλειδί είναι διαθέσιμο. Αυτή η δυνατότητα μπορεί να βελτιώσει σημαντικά την ασφάλεια και να διασφαλίσει την ασφάλεια των δεδομένων.

Εγκατάσταση OpenVPN σε μηχάνημα διακομιστή

Η εγκατάσταση είναι μια τυπική διαδικασία με ορισμένες αποχρώσεις, τις οποίες θα συζητήσουμε λεπτομερέστερα.


Ρύθμιση του τμήματος διακομιστή

Θα πρέπει να είστε όσο το δυνατόν πιο προσεκτικοί όταν εκτελείτε τα παρακάτω βήματα. Τυχόν σφάλματα θα οδηγήσουν σε αλειτουργία του διακομιστή. Μια άλλη προϋπόθεση είναι ο λογαριασμός σας να έχει δικαιώματα διαχειριστή.

  1. Πάμε στον κατάλογο "easy-rsa", που στην περίπτωσή μας βρίσκεται στο

    C:\OpenVPN\easy-rsa

    Εύρεση του αρχείου vars.bat.δείγμα.

    Μετονομάστε το σε vars.bat(αφαιρέστε τη λέξη "δείγμα"μαζί με μια περίοδο).

    Ανοίξτε αυτό το αρχείο στο πρόγραμμα επεξεργασίας. Αυτό είναι σημαντικό, καθώς αυτό το σημειωματάριο σας επιτρέπει να επεξεργάζεστε και να αποθηκεύετε σωστά τους κωδικούς, γεγονός που βοηθά στην αποφυγή σφαλμάτων κατά την εκτέλεσή τους.

  2. Πρώτα απ 'όλα, διαγράφουμε όλα τα σχόλια που επισημαίνονται με πράσινο - μόνο θα μας ενοχλήσουν. Παίρνουμε τα εξής:

  3. Στη συνέχεια, αλλάξτε τη διαδρομή προς το φάκελο "easy-rsa"σε αυτόν που καθορίσαμε κατά την εγκατάσταση. Σε αυτήν την περίπτωση, απλώς διαγράφουμε τη μεταβλητή %Αρχεια προγραμματος%και αλλάξτε το σε ΝΤΟ:.

  4. Αφήνουμε τις επόμενες τέσσερις παραμέτρους αμετάβλητες.

  5. Οι υπόλοιπες γραμμές συμπληρώνονται τυχαία. Παράδειγμα στο στιγμιότυπο οθόνης.

  6. Αποθηκεύστε το αρχείο.

  7. Πρέπει επίσης να επεξεργαστείτε τα ακόλουθα αρχεία:
    • build-ca.bat
    • οικοδομώ-dh.bat
    • build-key.bat
    • build-key-pass.bat
    • build-key-pkcs12.bat
    • build-key-server.bat

    Πρέπει να αλλάξουν την ομάδα

    στην απόλυτη διαδρομή προς το αντίστοιχο αρχείο openssl.exe. Μην ξεχάσετε να αποθηκεύσετε τις αλλαγές.

  8. Τώρα ανοίξτε το φάκελο "easy-rsa", σφιγκτήρας ΒΑΡΔΙΑκαι κάντε δεξί κλικ στον ελεύθερο χώρο (όχι στα αρχεία). Στο μενού περιβάλλοντος, επιλέξτε το στοιχείο "Άνοιγμα παραθύρου εντολών".

    Θα ξεκινήσει "Γραμμή εντολών"με τη μετάβαση στον κατάλογο προορισμού να έχει ήδη ολοκληρωθεί.

  9. Πληκτρολογήστε την παρακάτω εντολή και κάντε κλικ ΕΙΣΑΓΩ.

  10. Στη συνέχεια, εκκινούμε ένα άλλο αρχείο δέσμης.

  11. Επαναλαμβάνουμε την πρώτη εντολή.

  12. Το επόμενο βήμα είναι να δημιουργήσετε τα απαραίτητα αρχεία. Για να το κάνουμε αυτό χρησιμοποιούμε την εντολή

    Μετά την εκτέλεση, το σύστημα θα σας ζητήσει να επιβεβαιώσετε τα δεδομένα που καταχωρήσαμε στο αρχείο vars.bat. Απλώς πιέστε το μερικές φορές ΕΙΣΑΓΩμέχρι να εμφανιστεί η αρχική γραμμή.

  13. Δημιουργήστε ένα κλειδί DH εκτελώντας ένα αρχείο

  14. Ετοιμάζουμε ένα πιστοποιητικό για το τμήμα διακομιστή. Εδώ υπάρχει ένα σημαντικό σημείο. Πρέπει να του δοθεί το όνομα που γράψαμε vars.batστη γραμμή "KEY_NAME". Στο παράδειγμά μας αυτό είναι Λούμπικς. Η εντολή μοιάζει με αυτό:

    build-key-server.bat Lumpics

    Εδώ πρέπει επίσης να επιβεβαιώσετε τα δεδομένα χρησιμοποιώντας το κλειδί ΕΙΣΑΓΩ, και επίσης εισάγετε το γράμμα δύο φορές "υ"(ναι), όπου απαιτείται (δείτε στιγμιότυπο οθόνης). Μπορείτε να κλείσετε τη γραμμή εντολών.

  15. Στον κατάλογό μας "easy-rsa"εμφανίστηκε ένας νέος φάκελος με το όνομα "κλειδιά".

  16. Τα περιεχόμενά του πρέπει να αντιγραφούν και να επικολληθούν στο φάκελο "ssl", το οποίο πρέπει να δημιουργηθεί στον ριζικό κατάλογο του προγράμματος.

    Προβολή του φακέλου μετά την επικόλληση των αντιγραμμένων αρχείων:

  17. Πάμε τώρα στον κατάλογο

    C:\OpenVPN\config

    Δημιουργήστε ένα έγγραφο κειμένου εδώ (RMB – Νέο – Έγγραφο κειμένου), μετονομάστε το σε server.ovpnκαι ανοίξτε το στο Notepad++. Εισαγάγετε τον ακόλουθο κωδικό:

    θύρα 443
    πρωτό udp
    dev συντονισμός
    dev-node "VPN Lumpics"
    dh C:\\OpenVPN\\ssl\\dh2048.pem
    ca C:\\OpenVPN\\ssl\\ca.crt
    πιστοποιητικό C:\\OpenVPN\\ssl\\Lumpics.crt
    κλειδί C:\\OpenVPN\\ssl\\Lumpics.key
    διακομιστής 172.16.10.0 255.255.255.0
    max-clients 32
    keepalive 10 120
    πελάτη σε πελάτη
    comp-lzo
    επιμένει-κλειδί
    επιμένω-tun
    κρυπτογράφηση DES-CBC
    κατάσταση C:\\OpenVPN\\log\\status.log
    αρχείο καταγραφής C:\\OpenVPN\\log\\openvpn.log
    ρήμα 4
    σίγαση 20

    Λάβετε υπόψη ότι τα ονόματα των πιστοποιητικών και των κλειδιών πρέπει να ταιριάζουν με αυτά που βρίσκονται στο φάκελο "ssl".

  18. Στη συνέχεια ανοίγουμε "Πίνακας Ελέγχου"και πηγαίνετε στο "Κέντρο Ελέγχου Δικτύου".

  19. Κάντε κλικ στον σύνδεσμο "Αλλαγή ρυθμίσεων προσαρμογέα".

  20. Εδώ πρέπει να βρούμε τη σύνδεση που έγινε μέσω "TAP-Προσαρμογέας Windows V9". Αυτό μπορεί να γίνει κάνοντας δεξί κλικ στη σύνδεση και μεταβαίνοντας στις ιδιότητες της.

  21. Μετονομάστε το σε "Εξόγκωμα VPN"χωρίς εισαγωγικά. Αυτό το όνομα πρέπει να ταιριάζει με την παράμετρο "dev-node"στο αρχείο server.ovpn.

  22. Το τελικό στάδιο είναι η έναρξη της υπηρεσίας. Πατήστε το συνδυασμό πλήκτρων Win+R, εισάγετε την παρακάτω γραμμή και κάντε κλικ ΕΙΣΑΓΩ.

  23. Βρίσκουμε μια υπηρεσία με το όνομα "OpenVpnService", κάντε δεξί κλικ και μεταβείτε στις ιδιότητες του.

  24. Αλλάξτε τον τύπο εκκίνησης σε "Αυτομάτως", ξεκινήστε την υπηρεσία και κάντε κλικ "Ισχύουν".

  25. Εάν κάναμε τα πάντα σωστά, τότε ένας κόκκινος σταυρός θα πρέπει να εξαφανιστεί κοντά στον προσαρμογέα. Αυτό σημαίνει ότι η σύνδεση είναι έτοιμη για χρήση.

Ρύθμιση της πλευράς πελάτη

Πριν ξεκινήσετε τη ρύθμιση του προγράμματος-πελάτη, πρέπει να εκτελέσετε διάφορες ενέργειες στο μηχάνημα διακομιστή - να δημιουργήσετε κλειδιά και ένα πιστοποιητικό για να ρυθμίσετε τη σύνδεση.


Εργασία που πρέπει να γίνει στο μηχάνημα πελάτη:


Αυτό ολοκληρώνει τη διαμόρφωση του διακομιστή και του πελάτη OpenVPN.

συμπέρασμα

Η οργάνωση του δικού σας δικτύου VPN θα σας επιτρέψει να προστατεύσετε όσο το δυνατόν περισσότερο τις μεταδιδόμενες πληροφορίες, καθώς και να κάνετε την περιήγηση στο Διαδίκτυο πιο ασφαλή. Το κύριο πράγμα είναι να είστε πιο προσεκτικοί κατά τη ρύθμιση των εξαρτημάτων διακομιστή και πελάτη με τις σωστές ενέργειες, θα μπορείτε να απολαύσετε όλα τα οφέλη ενός ιδιωτικού εικονικού δικτύου.

Μια ανοιχτή εφαρμογή τεχνολογίας VPN - Virtual Private Network, το οποίο έχει σχεδιαστεί για τη δημιουργία εικονικών ιδιωτικών δικτύων μεταξύ μιας ομάδας γεωγραφικά απομακρυσμένων κόμβων μέσω ενός ανοιχτού καναλιού μετάδοσης δεδομένων (Διαδίκτυο). Το OpenVPN είναι κατάλληλο για εργασίες όπως η διασφάλιση μιας απομακρυσμένης σύνδεσης δικτύου σε έναν διακομιστή χωρίς να ανοίγετε πρόσβαση στο Διαδίκτυο σε αυτόν, σαν να συνδέεστε σε έναν κεντρικό υπολογιστή στο τοπικό σας δίκτυο. Η ασφάλεια της σύνδεσης επιτυγχάνεται με κρυπτογράφηση OpenSSL.

Πως δουλεύει;

Μόλις ολοκληρωθεί η εγκατάσταση του OpenVPN, ο διακομιστής θα μπορεί να δέχεται εξωτερικές συνδέσεις δικτύου με προστασία SSL στον εικονικό προσαρμογέα δικτύου (tun/tap) που δημιουργήθηκε κατά την εκκίνηση της υπηρεσίας VPN, χωρίς να επηρεάζονται οι κανόνες για την επεξεργασία της κυκλοφορίας άλλων διεπαφών (εξωτερική Προσαρμογέας Διαδικτύου, κ.λπ.) Είναι δυνατή η διαμόρφωση της κοινής πρόσβασης για τους πελάτες OpenVPN σε έναν συγκεκριμένο προσαρμογέα δικτύου που υπάρχει στον διακομιστή. Το δεύτερο μέρος των οδηγιών εξετάζει μια τέτοια διοχέτευση της κυκλοφορίας του χρήστη στο Διαδίκτυο. Με αυτήν τη μέθοδο προώθησης, ο κεντρικός υπολογιστής που επεξεργάζεται τις συνδέσεις VPN θα εκτελεί επίσης τη λειτουργία ενός διακομιστή μεσολάβησης (Proxy) - ενοποιεί τους κανόνες για τη δραστηριότητα του δικτύου χρήστη και δρομολογεί την κίνηση του πελάτη στο Διαδίκτυο για λογαριασμό του.

Εγκατάσταση του OpenVPN στον διακομιστή

Πρέπει να δημιουργήσετε ένα ξεχωριστό πιστοποιητικό SSL για κάθε πελάτη VPN.

Υπάρχει μια επιλογή στη διαμόρφωση του OpenVPN που σας επιτρέπει να χρησιμοποιείτε ένα πιστοποιητικό για πολλούς πελάτες (βλ. αρχείο server.ovpn-> επιλογή "duplicate-cn"), αλλά αυτό δεν συνιστάται από άποψη ασφάλειας. Τα πιστοποιητικά μπορούν να δημιουργηθούν στο μέλλον καθώς συνδέονται νέοι πελάτες. Επομένως, τώρα θα δημιουργήσουμε μόνο ένα για τον πελάτη πελάτη 1:

Εκτελέστε τις ακόλουθες εντολές για να δημιουργήσετε κλειδιά πελάτη: cd\
cd "C:\Program Files\OpenVPN\easy-rsa"
.\build-key.bat client1

Σημείωση: το όρισμα client1 είναι το όνομα του μελλοντικού αρχείου.

Στο πεδίο Common Name υποδεικνύουμε το όνομα του πελάτη (στην περίπτωσή μας, client1).

Επιλογές Diffie Hellman

Για να ολοκληρώσετε τη ρύθμιση κρυπτογράφησης, πρέπει να εκτελέσετε τη δέσμη ενεργειών παραγωγής παραμέτρων Diffie-Hellman: .\build-dh.bat

Η εμφάνιση πληροφοριών σχετικά με τη δημιουργία παραμέτρων μοιάζει με αυτό:

Μεταφορά δημιουργημένων κλειδιών/πιστοποιητικών

Τα πιστοποιητικά που δημιουργούνται βρίσκονται στον κατάλογο C:\Program Files\OpenVPN\easy-rsa\keys. Αντιγράψτε τα αρχεία που αναφέρονται παρακάτω στον κατάλογο C:\Program Files\OpenVPN\config:

  • ca.crt
  • dh2048.pem/dh1048.pem
  • server.crt
  • κλειδί διακομιστή

Διαμόρφωση διακομιστή OpenVPN

Στο δέντρο, βρείτε τον κατάλογο HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters. Στη δεξιά πλευρά του παραθύρου, βρείτε τη μεταβλητή IPEnableRouter, κάντε διπλό κλικ για να μεταβείτε στο παράθυρο επεξεργασίας τιμών και να το αλλάξετε σε 1 , επιτρέποντας έτσι τη διευθυνσιοδότηση στο VPS.

Αυτόματη εκκίνηση του OpenVPN

Ας ρυθμίσουμε αμέσως τις παραμέτρους της υπηρεσίας OpenVPN για αυτόματη εκκίνηση κατά την εκκίνηση του συστήματος. Ανοιγμα "Υπηρεσίες" Windows. Βρείτε το OpenVPN στη λίστα -> RMB -> Ιδιότητες -> Εκκίνηση: Αυτομάτως

Αυτό ολοκληρώνει τη βασική διαμόρφωση του διακομιστή εικονικού ιδιωτικού δικτύου. Βρείτε το αρχείο C:\Program Files\OpenVPN\config\server.ovpn-> κάντε δεξί κλικ -> "Start OpenVPN on this config" για να ξεκινήσει ο εικονικός διακομιστής ιδιωτικού δικτύου και το αρχείο ρυθμίσεων που ετοιμάσαμε.

Διαμόρφωση προγράμματος-πελάτη OpenVPN

Οι εφαρμογές πελάτη OpenVPN είναι διαθέσιμες για όλα τα δημοφιλή λειτουργικά συστήματα: Windows / Linux / iOS / Android. Για MacOS χρησιμοποιείται ο πελάτης Tunnelblick. Όλες αυτές οι εφαρμογές λειτουργούν με τα ίδια αρχεία διαμόρφωσης. Μπορεί να υπάρχουν μόνο μικρές διαφορές μεταξύ πολλών επιλογών. Μπορείτε να μάθετε γι 'αυτούς μελετώντας την τεκμηρίωση για το πρόγραμμα-πελάτη OpenVPN σας. Σε αυτόν τον οδηγό, θα εξετάσουμε τη σύνδεση ενός προγράμματος-πελάτη Windows χρησιμοποιώντας την ίδια διανομή προγράμματος που εγκαταστήσαμε στον διακομιστή. Όταν χρησιμοποιείτε εφαρμογές για άλλα λειτουργικά συστήματα, η λογική εγκατάστασης είναι παρόμοια.

  1. Εγκατάσταση στον υπολογιστή-πελάτη.
  2. Αντιγράφουμε τα αρχεία πιστοποιητικού πελάτη που δημιουργήθηκαν προηγουμένως στον διακομιστή (2 πιστοποιητικά με την επέκταση .crt και ένα κλειδί με την επέκταση .key) στον κατάλογο C:\Program Files\OpenVPN\config και χρησιμοποιούμε το αρχείο διαμόρφωσης προγράμματος-πελάτη client.ovpn. Μετά την αντιγραφή στη συσκευή του χρήστη, το τελευταίο αρχείο διαγράφεται από τον διακομιστή ή μεταφέρεται από το φάκελο config για να αποφευχθεί η σύγχυση στο μέλλον.
  3. Ανοίξτε το αρχείο client.ovpn. Βρείτε τη γραμμή remote my-server-1 1194 και υποδείξτε τη διεύθυνση IP ή το όνομα τομέα του διακομιστή VPN:
    μακρινός 1194

    Για παράδειγμα: remote 111.222.88.99 1194

  4. Εύρεση τρόπων λήψης πιστοποιητικών. Υποδεικνύουμε σε αυτό τις διαδρομές προς τα πιστοποιητικά που αντιγράφηκαν προηγουμένως ca.crt, client1.key, client1.crtόπως στο παρακάτω παράδειγμα:
    # Δείτε το αρχείο διαμόρφωσης διακομιστή για περισσότερα
    # περιγραφή. Είναι καλύτερο να το χρησιμοποιήσετε
    # ένα ξεχωριστό ζεύγος αρχείων .crt/.key
    # για κάθε πελάτη. Ένα μόνο περίπου
    # αρχείο μπορεί να χρησιμοποιηθεί για όλους τους πελάτες.
    ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
    πιστοποιητικό "C:\\Program Files\\OpenVPN\\config\\client1.crt"
    κλειδί "C:\\Program Files\\OpenVPN\\config\\client1.key"
    # Αυτό το αρχείο πρέπει να παραμείνει μυστικό
  5. Αποθηκεύστε το αρχείο. Η ρύθμιση από την πλευρά του πελάτη έχει ολοκληρωθεί.

Έλεγχος κανόνων τείχους προστασίας των Windows

Προσοχή!Για να λειτουργήσει σωστά η υπηρεσία OpenVPN, οι κατάλληλες θύρες πρέπει να είναι ανοιχτές στο βορρά (προεπιλογή UDP 1194). Ελέγξτε τον αντίστοιχο κανόνα στο τείχος προστασίας ή στο λογισμικό προστασίας από ιούς τρίτου κατασκευαστή.

Έλεγχος σύνδεσης OpenVPN

Εκκινήστε τον διακομιστή OpenVPN, για να το κάνετε αυτό, μεταβείτε στον κατάλογο C:\Program Files\OpenVPN\config και επιλέξτε το αρχείο διαμόρφωσης διακομιστή (έχουμε server.ovpn -> RMB ->

Ξεκινήστε τον πελάτη, για να το κάνετε αυτό, μεταβείτε στον κατάλογο C:\Program Files\OpenVPN\config και επιλέξτε το αρχείο διαμόρφωσης του προγράμματος-πελάτη (έχουμε client.ovpn -> RMB -> "Start OpenVPN σε αυτό το αρχείο διαμόρφωσης").

Το παράθυρο κατάστασης σύνδεσης θα εμφανιστεί στην οθόνη. Μετά από λίγα δευτερόλεπτα θα ελαχιστοποιηθεί στο δίσκο. Η πράσινη ένδειξη της συντόμευσης OpenVPN στην περιοχή ειδοποιήσεων υποδεικνύει μια επιτυχημένη σύνδεση.

Ας ελέγξουμε την προσβασιμότητα του διακομιστή OpenVPN από τη συσκευή-πελάτη χρησιμοποιώντας την εσωτερική του ιδιωτική διεύθυνση δικτύου:


Τώρα έχετε ένα έτοιμο προς χρήση εικονικό ιδιωτικό δίκτυο που σας επιτρέπει να πραγματοποιείτε ασφαλείς συνδέσεις δικτύου μεταξύ των πελατών του και του διακομιστή, χρησιμοποιώντας ανοιχτά και γεωγραφικά απομακρυσμένα σημεία σύνδεσης στο Διαδίκτυο.

Αυτό είναι μέρος μιας σειράς άρθρων αφιερωμένων σε.

Εγκατάσταση και OpenVPNδιακομιστής και πελάτης περιγράφονται στο προηγούμενο άρθρο. Τώρα ο διακομιστής και ο πελάτης είναι έτοιμοι να ρυθμιστούν.

Ρύθμιση διακομιστή OpenVPN

Δημιουργία κλειδιών και πιστοποιητικών για Διακομιστές OpenVPN /etc/openvpn .

Στη συσκευασία openvpnπεριλαμβάνεται παράδειγμα αρχείου ρυθμίσεων για OpenVPNυπηρέτης. Είναι στο αρχείο server.conf.gzστον κατάλογο. Ας αποσυμπιέσουμε και ας το μετακινήσουμε στον κατάλογο /etc/openvpn :

Cd /usr/share/doc/openvpn/examples/sample-config-files gunzip -d server.conf.gz mv server.conf /etc/openvpn/

Θα υπάρξουν λίγες αλλαγές σε αυτό το αρχείο ρυθμίσεων. Πρέπει να καθορίσετε το ιδιωτικό κλειδί και το αρχείο πιστοποιητικού OpenVPNδιακομιστής που δημιουργήθηκε σύμφωνα με τις οδηγίες:

Cert router1.example.com.crt key router1.example.com.key

Καθορίστε το εικονικό υποδίκτυο (για αυτό το παράδειγμα είναι με κεφαλαία):

Διακομιστής 192.168.50.0 255.255.255.0

Ειδοποιήστε τον συνδεδεμένο πελάτη για αλλαγές στον πίνακα δρομολόγησης του:

Push "route 192.168.100.0 255.255.255.0"

Αυτή η γραμμή θα κάνει OpenVPNο πελάτης, όταν συνδέεται με τον διακομιστή, τροποποιεί τον πίνακα δρομολόγησης του. Στο αρχείο καταγραφής πελάτη OpenVPNΚατά τη σύνδεση, θα εμφανιστεί η ακόλουθη γραμμή:

Σαβ 4 Φεβρουαρίου 13:21:59 2012 /sbin/route add -net 192.168.100.0 netmask 255.255.255.0 gw 192.168.50.5

Επειδή όλοι οι υπολογιστές και στα δύο δίκτυα πρέπει να βλέπουν ο ένας τον άλλον, είναι απαραίτητο να κάνετε αλλαγές στον πίνακα δρομολόγησης OpenVPNδιακομιστές:

Client-config-dir ccd route 192.168.200.0 255.255.255.0

Πρέπει επίσης να δημιουργήσετε έναν κατάλογο /etc/openvpn/ccd, στο οποίο θα δημιουργήσετε ένα αρχείο με το όνομα του πελάτη που συνδέει. Στο παράδειγμά μας αυτό είναι user_office2. Αυτό το αρχείο θα αποτελείται από μία γραμμή:

Iroute 192.168.200.0 255.255.255.0

Χωρίς αυτές τις τρεις γραμμές, ο συνδεδεμένος πελάτης θα δει όλους τους υπολογιστές στο δίκτυο OpenVPNδιακομιστή, αλλά άλλοι υπολογιστές στο δίκτυο σύνδεσης δεν θα βλέπουν το συνδεδεμένο δίκτυο, καθώς και από το δίκτυο OpenVPNδιακομιστή, το συνδεδεμένο δίκτυο θα παραμείνει απρόσιτο.

Θα πρέπει επίσης να επιλέξετε τον κρυπτογραφικό μηχανισμό αφαιρώντας το σχόλιο μία από τις γραμμές:

Ο επιλεγμένος μηχανισμός κρυπτογράφησης θα πρέπει να καθοριστεί για όλους τους πελάτες που συνδέονται σε αυτόν. OpenVPNυπηρέτης.

Είναι λογικό να αποσχολιάσουμε τις γραμμές:

Κανένας χρήστης δεν ομαδοποιεί καμία ομάδα

για μείωση των προνομίων OpenVPNδιακομιστή μετά την προετοιμασία. Το οποίο, ωστόσο, θα προσθέσει μηνύματα σφάλματος στο αρχείο καταγραφής OpenVPNυπηρέτης. Για παράδειγμα, όταν σταματάτε OpenVPNδιακομιστή, μηνύματα σφάλματος όπως αυτό θα εμφανιστούν στο αρχείο καταγραφής:

4 Φεβρουαρίου 13:37:08 δρομολογητής ovpn-server: /sbin/route del -net 192.168.50.0 netmask 255.255.255.0 4 Φεβρουαρίου 13:37:08 δρομολογητής ovpn-server: ΣΦΑΛΜΑ: Η εντολή διαγραφής εξωτερικού προγράμματος Linux απέτυχε κατάσταση σφάλματος: 7 Φεβ 4 13:37:08 δρομολογητής ovpn-διακομιστής: /sbin/route del -net 192.168.200.0 netmask 255.255.255.0 4 Φεβρουαρίου 13:37:08 δρομολογητής ovpn-server: delete η εντολή Linux Έξοδος από εξωτερικό πρόγραμμα με κατάσταση σφάλματος: 7

που είναι λογικό, γιατί με δικαιώματα κανείς: nogroupΔεν μπορείτε να κάνετε αλλαγές στον πίνακα δρομολόγησης. Ωστόσο, ο πίνακας δρομολόγησης θα εξακολουθήσει να διαγράφεται, από τη διεπαφή βαρέλι 252 γαλόνιωνθα διαγραφεί.

Από προεπιλογή, η τρέχουσα κατάσταση αποθηκεύεται σε ένα αρχείο /etc/openvpn/openvpn-status.log. Αξίζει να αλλάξετε, για παράδειγμα σε:

Κατάσταση /var/log/openvpn/status_server.log

OpenVPNδιακομιστές:

Θύρα 1194 proto udp dev tun ca.crt cert router1.example.com.crt key router1.example.com.key dh dh dh1024.pem server 192.168.50.0 255.255.255.0 ifconfig-pool-persist.2xtist ipptroute. 100.0 255.255.255.0" client-config-dir ccd route 192.168.200.0 255.255.255.0 keepalive 10 120 cipher AES-128-CBC comp-lzo χρήστης κανένας χρήστης nobody group status/sservervlogerstat-key καταγραφή ρήμα 3

Μετά τη διαμόρφωση OpenVPNδιακομιστή, μπορείτε να τον ξεκινήσετε. ΣΕ Debianγίνεται έτσι:

/etc/init.d/openvpn start

Δεδομένου ότι η διαδρομή και το όνομα του αρχείου καταγραφής δεν καθορίζονται, OpenVPNθα στείλει το αρχείο καταγραφής του στο syslog.

Ρύθμιση πελάτη OpenVPN

Δημιουργία κλειδιών και πιστοποιητικών για Πελάτης OpenVPNπεριγράφηκε σε προηγούμενο άρθρο σχετικά με. Τα προετοιμασμένα κλειδιά και τα πιστοποιητικά μεταφέρθηκαν στον κατάλογο /etc/openvpn .

Στη συσκευασία openvpnπεριλαμβάνεται παράδειγμα αρχείου ρύθμισης παραμέτρων για πελάτη OpenVPN. Είναι στο αρχείο πελάτης.confστον κατάλογο /usr/share/doc/openvpn/examples/sample-config-files. Ας το μεταφέρουμε στον κατάλογο /etc/openvpn :

Cd /usr/share/doc/openvpn/examples/sample-config-files cp client.conf /etc/openvpn/

Θα υπάρξουν πολύ λίγες αλλαγές στο αρχείο διαμόρφωσης του προγράμματος-πελάτη. υποδεικνύουμε Διεύθυνση διακομιστή OpenVPN:

Απομακρυσμένο router1.example.com 1194

Ιδιωτικό κλειδί και αρχείο πιστοποιητικού OpenVPNπελάτης που δημιουργήθηκε από:

Πιστοποιητικό κλειδί user_office2.crt user_office2.key

Πρέπει να επιλέξετε τον ίδιο μηχανισμό κρυπτογράφησης όπως στον διακομιστή:

;κρυπτογράφηση BF-CBC # Blowfish (προεπιλογή) κρυπτογράφηση AES-128-CBC # AES ;κρυπτογράφηση DES-EDE3-CBC # Triple-DES

Σε αυτό το αρχείο ρυθμίσεων πελάτη OpenVPNΔεν υπάρχουν οδηγίες που να υποδεικνύουν τη θέση του αρχείου καταγραφής και του αρχείου κατάστασης. Μπορείτε να τα προσθέσετε:

Log-append /var/log/openvpn/openvpn_client.log status /var/log/openvpn/status_client.log

Κατά τη στιγμή της δοκιμής, οδηγία ημερολόγιο-προσάρτημαμπορεί να σχολιαστεί, στη συνέχεια κατά τη διάρκεια μιας δοκιμαστικής λειτουργίας OpenVPNπελάτη, θα μεταβεί η έξοδος του αρχείου καταγραφής stdout.

Ο κατάλογος για το αρχείο κατάστασης πρέπει να υπάρχει, δεν δημιουργείται αυτόματα. Το αρχείο κατάστασης αντικαθίσταται μία φορά ανά λεπτό. Εάν δεν το χρειάζεστε, μπορείτε απλώς να σχολιάσετε αυτή τη γραμμή.

Το αποτέλεσμα θα είναι ένα αρχείο ρυθμίσεων για OpenVPNπελάτης:

Client dev tun proto udp remote router1.example.com 1194 resolv-retry infinite nobind user nobody group nogroup persist-key persist-tun ca ca.crt cert user_office2.crt key user_office2.key ns-cert-type cipher server AES-1 CBC comp-lzo ρήμα 3 log-append /var/log/openvpn/openvpn_client.log status /var/log/openvpn/status_client.log

Ο πελάτης είναι έτοιμος να συνδεθεί, μπορείτε να το ελέγξετε αμέσως:

Openvpn client.conf

Εάν η οδηγία ημερολόγιο-προσάρτημαδεν καθορίστηκε, τότε η έξοδος καταγραφής θα παραχθεί σε stdout.

Έλεγχος της σύνδεσης

Είναι απαραίτητο να ελέγξετε τη σύνδεση δύο δικτύων όχι από δρομολογητές, αλλά από οποιαδήποτε άλλα μηχανήματα σε τοπικά δίκτυα. Αυτό οφείλεται στο γεγονός ότι εάν οι εντολές αλλαγής δρομολόγησης καθορίστηκαν εσφαλμένα ή δεν καθορίστηκαν καθόλου, τότε ο πελάτης και ο διακομιστής OpenVPNθα βλέπουν ο ένας τον άλλον, αλλά οι άλλοι υπολογιστές στα τοπικά δίκτυα όχι.

Ας υποθέσουμε ότι στο πρώτο δίκτυο με OpenVPNο διακομιστής είναι ένας υπολογιστής με IPδιεύθυνση 192.168.100.2 , και στο δεύτερο δίκτυο, με OpenVPNο πελάτης έχει έναν υπολογιστή με IPδιεύθυνση 192.168.200.2 . Σε αυτή την περίπτωση, ο έλεγχος γίνεται σε αυτά, με ένα απλό ping.

Από το πρώτο δίκτυο, από υπολογιστή με τη διεύθυνση 192.168.100.2 ping στη διεύθυνση 192.168.200.2 :

Ping 192.168.200.2

Από το δεύτερο δίκτυο, από υπολογιστή με τη διεύθυνση 192.168.200.2 ping στη διεύθυνση 192.168.100.2 :

Ping 192.168.100.2

Και οι δύο υπολογιστές πρέπει να είναι προσβάσιμοι μεταξύ τους.

NAT για αυτά τα δίκτυα δεν χρειάζεται, αυτό είναι μια επιπλέον οντότητα και μια επιπλέον επιβάρυνση. Δεν απαιτείται ούτε πρόσθετη διαμόρφωση πίνακα δρομολόγησης. OpenVPNΘα κάνει τα πάντα μόνος του, με βάση τα αρχεία διαμόρφωσης του.

Η διαδρομή μεταξύ των δικτύων θα μοιάζει κάπως έτσι.

Αυτή είναι κυρίως μια έκδοση συντήρησης με διορθώσεις σφαλμάτων και βελτιώσεις. Ένα από τα μεγάλα πράγματα είναι η βελτιωμένη υποστήριξη TLS 1.3. Μια σύνοψη των αλλαγών είναι διαθέσιμη στο Changes.rst και μια πλήρης λίστα αλλαγών είναι διαθέσιμη.

. Μεταβαίνουμε σε προγράμματα εγκατάστασης MSI στο OpenVPN 2.5, αλλά το OpenVPN 2.4.x θα παραμείνει μόνο NSIS.

δεν θαεργασία σε Windows XP. Η τελευταία έκδοση OpenVPN που υποστηρίζει τα Windows XP είναι η 2.3.18, η οποία μπορεί να γίνει λήψη ως και εκδόσεις.

Εάν βρείτε κάποιο σφάλμα σε αυτήν την έκδοση, υποβάλετε μια αναφορά σφαλμάτων στο . Σε αβέβαιες περιπτώσεις, επικοινωνήστε πρώτα με τους προγραμματιστές μας, είτε χρησιμοποιώντας το κανάλι IRC είτε το κανάλι προγραμματιστή (#openvpn-devel στο irc.freenode.net). Για γενική βοήθεια, ρίξτε μια ματιά στο επίσημο κανάλι IRC και χρήστη μας (#openvpn στο irc.freenode.net).

Πηγή Tarball (gzip)

 Υπογραφή GnuPG openvpn-2.4.7.tar.gz

Πηγή Tarball (xz)

 Υπογραφή GnuPG openvpn-2.4.7.tar.xz

Πηγή Zip

 Υπογραφή GnuPG openvpn-2.4.7.zip

Εγκατάσταση των Windows (NSIS)

 Υπογραφή GnuPG openvpn-install-2.4.7-I603.exe

ΣΗΜΕΙΩΣΗ:το κλειδί GPG που χρησιμοποιείται για την υπογραφή των αρχείων έκδοσης έχει αλλάξει από το OpenVPN 2.4.0. Υπάρχουν διαθέσιμες οδηγίες για την επαλήθευση των υπογραφών, καθώς και του νέου δημόσιου κλειδιού GPG.

Παρέχουμε επίσης στατικές διευθύνσεις URL που παραπέμπουν στις πιο πρόσφατες εκδόσεις για διευκόλυνση της αυτοματοποίησης. Για μια λίστα αρχείων κοιτάξτε .

Αυτή η έκδοση είναι επίσης διαθέσιμη στα δικά μας αποθετήρια λογισμικού για το Debian και το Ubuntu, οι υποστηριζόμενες αρχιτεκτονικές είναι i386 και amd64. Για λεπτομέρειες. Κοίτα .

OpenVPN 2.4.6 - κυκλοφόρησε στις 24.04.2018

Αυτή είναι κυρίως μια έκδοση συντήρησης με μικρές διορθώσεις σφαλμάτων και βελτιώσεις, καθώς και μια επιδιόρθωση σχετική με την ασφάλεια για την Διαδραστική Υπηρεσία των Windows. Το πρόγραμμα εγκατάστασης των Windows περιλαμβάνει ενημερωμένα OpenVPN GUI και OpenSSL. Το πρόγραμμα εγκατάστασης I601 περιλάμβανε το πρόγραμμα οδήγησης tap-windows6 9.22.1 το οποίο είχε μία επιδιόρθωση ασφαλείας και διέκοψε την υποστήριξη των Windows Vista. Ωστόσο, στο πρόγραμμα εγκατάστασης I602 έπρεπε να επιστρέψουμε στα tap-windows 9.21.2 λόγω της απόρριψης του προγράμματος οδήγησης στα πρόσφατα εγκατεστημένα Windows 10 rev 1607 και αργότερα όταν ενεργοποιήθηκε η Ασφαλής εκκίνηση. Η αποτυχία οφειλόταν στις νέες, πιο αυστηρές απαιτήσεις υπογραφής οδηγού. Η έκδοση 9.22.1 του προγράμματος οδήγησης βρίσκεται στη διαδικασία έγκρισης και υπογραφής από τη Microsoft και θα ενσωματωθεί σε ένα επερχόμενο πρόγραμμα εγκατάστασης των Windows.

Λάβετε υπόψη ότι το LibreSSL δεν είναι υποστηριζόμενο σύστημα υποστήριξης κρυπτογράφησης. Δεχόμαστε ενημερώσεις κώδικα και δοκιμάζουμε στο OpenBSD 6.0 που συνοδεύει το LibreSSL, αλλά εάν οι νεότερες εκδόσεις του LibreSSL διακόψουν τη συμβατότητα API, δεν αναλαμβάνουμε την ευθύνη να το διορθώσουμε.

Λάβετε επίσης υπόψη ότι τα προγράμματα εγκατάστασης των Windows έχουν δημιουργηθεί με έκδοση NSIS που έχει επιδιορθωθεί σε πολλές. Ωστόσο, με βάση τις δοκιμές μας, οι παλαιότερες εκδόσεις των Windows, όπως τα Windows 7, ενδέχεται να μην επωφεληθούν από αυτές τις επιδιορθώσεις. Σας ενθαρρύνουμε λοιπόν να μετακινείτε πάντα τα προγράμματα εγκατάστασης NSIS σε μια θέση που δεν μπορεί να εγγράψει ο χρήστης πριν τα εκτελέσετε. Το μακροπρόθεσμο σχέδιό μας είναι να μεταβούμε στη χρήση προγραμμάτων εγκατάστασης MSI.

Σε σύγκριση με το OpenVPN 2.3, αυτή είναι μια σημαντική ενημέρωση με μεγάλο αριθμό νέων λειτουργιών, βελτιώσεων και επιδιορθώσεων. Μερικά από τα κύρια χαρακτηριστικά είναι ο κρυπτογράφησης AEAD (GCM) και η υποστήριξη ανταλλαγής κλειδιών Elliptic Curve DH, η βελτιωμένη υποστήριξη διπλής στοίβας IPv4/IPv6 και η πιο απρόσκοπτη μετεγκατάσταση σύνδεσης όταν αλλάζει η διεύθυνση IP του πελάτη (Peer-ID). Επίσης, το νέο -- Η λειτουργία tls-crypt μπορεί να χρησιμοποιηθεί για την αύξηση του απορρήτου της σύνδεσης των χρηστών.

Το OpenVPN GUI που συνοδεύει το πρόγραμμα εγκατάστασης των Windows έχει μεγάλο αριθμό νέων δυνατοτήτων σε σύγκριση με αυτό που συνοδεύει το OpenVPN 2.3. Ένα από τα κύρια χαρακτηριστικά είναι η δυνατότητα εκτέλεσης OpenVPN GUI χωρίς δικαιώματα διαχειριστή. Για πλήρεις λεπτομέρειες, δείτε το . Οι νέες δυνατότητες OpenVPN GUI είναι τεκμηριωμένες.

Λάβετε υπόψη ότι τα προγράμματα εγκατάστασης OpenVPN 2.4 δεν θαεργασία σε Windows XP.

Εάν βρείτε κάποιο σφάλμα σε αυτήν την έκδοση, υποβάλετε μια αναφορά σφαλμάτων στο . Σε αβέβαιες περιπτώσεις, επικοινωνήστε πρώτα με τους προγραμματιστές μας, είτε χρησιμοποιώντας το κανάλι IRC είτε το κανάλι προγραμματιστή (#openvpn-devel στο irc.freenode.net). Για γενική βοήθεια, ρίξτε μια ματιά στον επίσημο υπάλληλο μας,



Έχετε ερωτήσεις;

Αναφέρετε ένα τυπογραφικό λάθος

Κείμενο που θα σταλεί στους συντάκτες μας:

Στείλετε