نصب سرور vpn در لینوکس. نصب VPN در اوبونتو
مخفف VPN اکنون شنیده نمی شود مگر فقط کسانی که هرگز با کامپیوتر سر و کار نداشته اند. این چیست ، چرا به آن نیاز دارید و چگونه می توانید آن را خودتان تنظیم کنید؟
VPN چیست و چرا به آن نیاز است؟
VPN (شبکه خصوصی مجازی) یک شبکه خصوصی مجازی است ، راهی برای ترکیب چندین کامپیوتر ، که از نظر فیزیکی در فاصله ای از یکدیگر قرار دارند ، در یک شبکه منطقی.
VPN ها می توانند برای اهداف مختلف مورد استفاده قرار گیرند - از سازماندهی شبکه برای کار / بازی گرفته تا دسترسی به اینترنت. با انجام این کار ، شما باید مسئولیت قانونی احتمالی اقدامات خود را درک کنید.
در روسیه ، استفاده از VPN جز در مواردی که با اهداف عمداً غیرقانونی استفاده می شود ، مجازات ندارد. یعنی اگر می خواهید به وب سایت رئیس جمهور یک کشور همسایه (مثلاً سومالی) بروید و بنویسید که او چقدر بد است ، در حالی که آدرس IP شما را مخفی می کند ، این به خودی خود تخلفی نیست (به شرطی که محتوای بیانیه قوانین را نقض نمی کند) ... اما استفاده از این فناوری برای دسترسی به منابع ممنوعه در روسیه جرم محسوب می شود.
به این معنی که می توانید با دوستان از طریق شبکه بازی کنید و از راه دور در شبکه سازمان با استفاده از VPN کار کنید ، اما نمی توانید انواع سایت های بد را بخوانید. با این مرتب شده است. حالا بیایید مستقیماً به تنظیمات برویم.
راه اندازی سرور در لینوکس اوبونتو
برای طرف سرور ، بهتر است از لینوکس استفاده کنید ، در این زمینه کار با آن آسان تر است. ساده ترین گزینه PPTP است ، نیازی به نصب گواهی بر روی رایانه های مشتری ندارد، احراز هویت انجام می شود با نام کاربری و رمز عبور... ما از آن استفاده خواهیم کرد.
ابتدا بسته های مورد نیاز را نصب کنید:
سودو نانو /etc/pptpd.conf
اگر به بیش از 100 اتصال همزمان نیاز داریم ، به دنبال پارامتر "اتصالات" باشید ، آن را کامنت نکنید و مقدار مورد نظر را مشخص کنید ، به عنوان مثال:
اتصالات 200
در صورت نیاز به ارسال بسته های پخش از طریق شبکه مجازی ، باید مطمئن شویم که پارامتر bcrelay نیز کامنت گذاری نشده است:
Bcrelay eth1
پس از آن ، به انتهای فایل بروید و تنظیمات آدرس را اضافه کنید:
Localip 10.10.10.1 راه دور 10.10.10.2-254 گوش دادن 11.22.33.44
پارامتر اول آدرس IP سرور را در شبکه محلی مشخص می کند ، دومی محدوده آدرس های IP صادر شده به کلاینت ها را مشخص می کند (محدوده باید تعداد تعداد مشخصی از اتصالات را فراهم کند ، بهتر است آدرس ها را با حاشیه اختصاص دهید) ، سوم مشخص می کند که در کدام آدرس خارجی به رابط ها برای دریافت اتصالات ورودی گوش دهید. یعنی اگر چندین آدرس خارجی وجود داشته باشد ، تنها به یکی از آنها می توان گوش داد. اگر پارامتر سوم مشخص نشده باشد ، به تمام آدرسهای خارجی موجود گوش داده می شود.
فایل را ذخیره کرده و ببندید. در فایل / etc / ppp / pptpd-options تنظیمات اضافی را تنظیم می کنیم:
سودو نانو / etc / ppp / pptpd-options
اول از همه ، ما مطمئن می شویم که خطوط کامنت گذاری شده ای داریم که استفاده از روشهای احراز هویت قدیمی و ناامن را ممنوع می کند:
Refuse-pap ref-chap ref-mschap
ما همچنین بررسی می کنیم که گزینه proxyarp فعال باشد (خط مربوطه کامنت گذاری نشده است) و علاوه بر این ، برای اجازه یا ممنوعیت اتصالهای متعدد یک کاربر ، گزینه قفل را کامنت (اجازه) یا اظهار نظر (غیرفعال) کنید.
همچنین فایل را ذخیره کرده و می بندیم. باقی مانده است که کاربران ایجاد شوند:
سودو نانو / etc / ppp / chap-secrets
یک خط برای هر کاربر VPN اختصاص داده شده است ، که در آن نام ، آدرس از راه دور ، رمز عبور و آدرس محلی به ترتیب نشان داده می شود (جدا کننده - فاصله).
آدرس کاربر از راه دور می تواند مشخص شود اگر کاربر دارای IP استاتیک خارجی باشد و فقط از آن استفاده می شود ، در غیر این صورت بهتر است یک ستاره مشخص کنید تا بتوانید اتصال را به طور دقیق بپذیرید. در صورتی که می خواهید کاربر همان آدرس IP را در شبکه مجازی به کاربر اختصاص دهد ، باید محلی مشخص شود. مثلا:
User1 * password1 * user2 11.22.33.44 password2 * user3 * password3 10.10.10.10
برای user1 ، اتصالات از هر آدرس خارجی پذیرفته می شود ، اولین آدرس موجود به محلی اختصاص داده می شود. برای user2 ، اولین آدرس محلی موجود را اختصاص می دهد ، اما اتصالات فقط از 11.22.33.44 پذیرفته می شوند. برای user3 ، اتصالات از هر کجا پذیرفته می شوند ، اما آدرس محلی همیشه 10.10.10.10 اختصاص داده می شود ، که ما برای او رزرو کرده ایم.
این پیکربندی سرور VPN را کامل می کند ، آن را راه اندازی مجدد کنید (در لینوکس ، نیازی به راه اندازی مجدد کامپیوتر ندارید):
راه اندازی مجدد سرویس سودو pptpd
پیکربندی مشتریان VPN
قسمت کلاینت را می توان برای هر سیستم عامل پیکربندی کرد ، من از آن به عنوان مثال استفاده می کنم اوبونتو لینوکس 16.04.
در رایانه مشتری ، اتصالات شبکه را باز کنید (تصاویر صفحه نمایش برای اوبونتو + دارچین ، برای GNOME به همین ترتیب انجام می شود ، در Kubuntu به نظر می رسد که هیچ مشکلی ایجاد نمی کند). روی دکمه "افزودن" کلیک کنید و اتصال PPTP را انتخاب کنید:
می توانید نام اتصال VPN را به صورت استاندارد بگذارید ، یا می توانید آن را برای شما مناسب و قابل فهم تعیین کنید - این یک سلیقه است. در قسمت "gateway" آدرس IP خارجی سروری را که به آن متصل می شویم (هنگام تنظیم در گزینه "listen" مشخص شده است ، در زیر نام و رمز عبور وارد کنید. در سمت راست ، در قسمت "رمز عبور" ، ابتدا باید گزینه "ذخیره رمز عبور برای این کاربر" را انتخاب کنید):
پس از آن ، پنجره ها را ببندید و به سرور متصل شوید. اگر سرور خارج از شبکه محلی شما است ، به دسترسی به اینترنت نیاز دارید.
با این کار سازمان شبکه مجازی تکمیل می شود ، اما فقط کامپیوترها را به یک شبکه محلی متصل می کند. برای دسترسی به اینترنت از طریق سرور شبکه ، باید یک تنظیم دیگر انجام دهید.
راه اندازی دسترسی به اینترنت از طریق VPN
دستورات زیر را در سرور vpn وارد کنید:
Iptables -t nat -A POSTROUTING -o eth0 -s 10.10.10.1/24 -j MASQUERADE iptables -A FORWARD -s 10.10.10.1/24 -j پذیرش iptables -A FORWARD -d 10.10.10.1/24 -j پذیرش
جایی که 10.10.10.1/24 آدرس و ماسک شبکه سرور محلی است.
پس از آن ، تغییرات را ذخیره می کنیم تا حتی پس از راه اندازی مجدد سرور نیز کار کنند:
Iptables-save
و همه تغییرات را اعمال کنید:
Iptables- اعمال شود
پس از آن ، شما به اینترنت دسترسی خواهید داشت. اگر به سایتی بروید که آدرس IP شما را نمایش می دهد ، آدرس سرور خارجی را می بینید ، نه آدرس خود را (اگر آنها مطابقت ندارند).
من به شما یادآوری می کنم که فقط شما مسئول عواقب اعمال خود هستید.
یک شبکه خصوصی مجازی واقعی (VPN) یک تونل رمزگذاری شده و به هم پیوسته بین دو شبکه است که دو نقطه قابل اعتماد را به هم متصل می کند. این پروتکل وب HTTPS نیست ، که مورد اعتماد همه مشتریان است. فقط آن دسته از کلاینت ها که دارای کلیدهای دسترسی ویژه هستند می توانند به VPN متصل شوند.
VPN ها این روزها با ظهور شبکه های خصوصی مجازی که به همه اعتماد دارند و گسترش HTTPS بسیار گسترده شده است. بسیاری از VPN ها راه حل های تجاری با حداقل پیکربندی برای ارائه دسترسی کارکنان از راه دور هستند. اما همه به این راه حل ها اعتماد ندارند. یک شبکه مجازی خصوصی دو شبکه را به یکی متصل می کند ، مانند شبکه اداری و شبکه خانگی کارمند. سرور VPN مورد نیاز است تا سرور و سرویس گیرنده بتوانند با یکدیگر احراز هویت کنند.
پیکربندی احراز هویت سرور و سرویس گیرنده نیاز به کار زیادی دارد و بنابراین راه حل های تجاری با حداقل تنظیمات در این زمینه شکست می خورد. اما واقعا راه اندازی سرور OpenVPN چندان سخت نیست. برای راه اندازی یک محیط آزمایشی به دو گره در شبکه های مختلف نیاز دارید ، برای مثال ، می توانید از چندین ماشین مجازی یا سرور واقعی استفاده کنید. همانطور که قبلاً متوجه شده اید ، این مقاله راه اندازی OpenVPN در اوبونتو را برای ایجاد یک شبکه مجازی خصوصی کامل شامل می شود.
هر دو ماشین باید OpenVPN را نصب کرده باشند ، این یک برنامه نسبتاً محبوب است ، بنابراین می توانید آن را از مخازن رسمی نصب کنید. همچنین برای کار با کلیدهای خصوصی به Easy-RSA نیاز داریم. برای نصب برنامه ها در اوبونتو از دستور زیر استفاده کنید:
sudo apt openvpn easy-rsa را نصب کنید
هر دو بسته باید روی سرور و کلاینت نصب شوند. برای پیکربندی برنامه به آنها نیاز دارید. مرحله اول مقاله ، نصب و پیکربندی openvpn به پایان رسیده است.
راه اندازی مرجع صدور گواهینامه
اولین کاری که باید انجام دهید ایجاد زیرساخت کلید عمومی صحیح روی سرور است. ما سرور را دستگاهی می دانیم که کاربران به آن متصل می شوند. داشتن CA خاص خود چندین مزیت دارد. شما CA خود را خواهید داشت که توزیع و مدیریت کلیدها را آسان می کند. به عنوان مثال ، می توانید گواهینامه های مشتری را در سرور لغو کنید. همچنین ، اکنون نیازی به ذخیره همه گواهینامه های مشتری ندارید ، مرجع صدور گواهینامه فقط باید بداند که گواهینامه توسط CA امضا شده است. علاوه بر یک سیستم کلید پیچیده ، اگر فقط به چند کاربر اجازه دسترسی دهید ، می توانید از کلیدهای ایستا استفاده کنید.
لطفاً توجه داشته باشید که همه کلیدهای خصوصی باید در مکانی امن نگهداری شوند. در OpenVPN ، کلید عمومی گواهی نامیده می شود و دارای پسوند .crt ، و کلید خصوصی یک کلید نامیده می شود ، پسوند آن .key است.
ابتدا یک پوشه برای ذخیره گواهی های Easy-RSA ایجاد کنید. در واقع ، پیکربندی OpenVPN به صورت دستی انجام می شود ، بنابراین پوشه را می توان در هر کجا قرار داد:
sudo mkdir / etc / openvpn / easy-rsa
سپس همه اسکریپت های easy-rsa لازم را در این پوشه کپی کنید:
cd / etc / openvpn / easy-rsa /
sudo -i
# منبع ./vars
# ./همه را پاک کن
# ./ build-ca
با فرمان اول ، ما به نمایندگی از superuser به کنسول می رویم ، و دوم ، متغیرهای محیط را از فایل. / Vars بارگذاری می کنیم. دستور. / Clear-all پوشه keys را در صورت وجود ایجاد می کند و محتویات آن را پاک می کند. و آخرین فرمان ، مرجع صدور گواهینامه ما را آغاز می کند. اکنون همه کلیدهای لازم در پوشه .keys ظاهر شده است:
پیکربندی گواهینامه های مشتری
sudo cp -R / usr / share / easy -rsa / etc / openvpn /
اکنون باید گواهی نامه ، فایل .crt را در پوشه / etc / openvpn در همه کلاینت ها کپی کنیم. برای مثال ، اجازه دهید این فایل را با استفاده از scp برای مشتری خود بارگیری کنیم:
sudo scp user @ host: /etc/openvpn/easy-rsa/keys/ca.crt /etc /openvpn /easy-rsa /keys
فقط اکنون می توانید کلید خصوصی خود را بر اساس گواهی CA ایجاد کنید:
cd / etc / openvpn / easy-rsa /
sudo -i
# منبع ./vars
# build-req Sergiy
لطفاً توجه داشته باشید که ca.crt باید در پوشه keys باشد ، در غیر این صورت هیچ چیز کار نمی کند. اکنون این ابزار کلیدی ایجاد می کند که بر اساس آن می توانید به سرور OpenVPN متصل شوید ، اما هنوز باید آن را روی سرور امضا کنید. فایل .csr حاصل را با استفاده از همان scp به سرور ارسال کنید:
scp /etc/openvpn/easy-rsa/keys/Sergiy.csr کاربر @ میزبان: ~/
سپس ، در سرور ، در پوشه / etc / openvpn / easy-rsa ، باید فرمان امضای گواهی را اجرا کنید:
./sign-req ~ / Sergiy
امضای گواهینامه باید تأیید شود. سپس برنامه گزارش می دهد که امضا شده است و به پایگاه داده اضافه شده است. فایل .crt در پوشه ای با گواهی csr ظاهر می شود که باید به ماشین سرویس گیرنده برگردانده شود:
sudo scp user @ host: /home/Sergiy.crt / etc / openvpn / easy-rsa / keys
فقط پس از آن سرور و سرویس گیرنده تمام کلیدهای لازم برای اتصال و برقراری ارتباط را دارند. چند تنظیم دیگر باقی مانده است. اگر قصد دارید از رمزگذاری TLS استفاده کنید ، باید یک مجموعه داده Diffie-Huffman روی سرور ایجاد کنید ، برای این منظور از دستور زیر استفاده کنید:
راه اندازی OpenVPN
اکنون سرور OpenVPN را تنظیم کنید. به طور پیش فرض ، چیزی در پوشه فایلهای پیکربندی OpenVPN وجود ندارد. بسته به آنچه قصد دارید پیکربندی کنید ، سرور یا مشتری ، باید آنها را خودتان ایجاد کنید. فایل پیکربندی OpenVPN مورد نیاز را می توانید در آدرس / usr / share / doc / openvpn / samples / sample-config-files / پیدا کنید. ابتدا اجازه دهید یک فایل پیکربندی برای سرور ایجاد کنیم:
zcat /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | sudo tee /etc/openvpn/server.conf
چند پارامتر وجود دارد که باید در اینجا تغییر دهید:
بندرو اولیه- پورت و پروتکل مورد استفاده برنامه ؛
بندر 1194
udp اولیه
همه کلیدهای ایجاد شده باید در فایل پیکربندی ثبت شوند. کلیدهای ما در / etc / openvpn / easy-rsa / keys ذخیره می شوند:
cert /etc/openvpn/easy-rsa/keys/ca.crt
کلید /etc/openvpn/easy-rsa/keys/ca.key
dh /etc/openvpn/easy-rsa/keys/dh.pem
ما طیف وسیعی از آدرس ها را برای شبکه مجازی پیکربندی می کنیم ، سرور ما در اولین آنها در دسترس خواهد بود - 10.8.0.1:
سرور 10.8.0.0 255.255.255.0
پس از تکمیل پیکربندی ، تغییرات را در فایل ذخیره کنید ، می توانید همه این تنظیمات را خودتان بچسبانید یا فایل نمونه را ویرایش کنید. تنظیمات سرور آماده کار:
بندر 1194
udp اولیه
comp-lzo
dev tun
ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt
cert /etc/openvpn/easy-rsa/2.0/keys/ca.crt
dh /etc/openvpn/easy-rsa/2.0/keys/dh2048.pem
زیر شبکه توپولوژی
سرور 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
sudo cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/client.conf
برای اتصال به سرورهای مختلف می توانید چندین فایل پیکربندی مشتری ایجاد کنید. فایل پیکربندی را باز کرده و پارامترهای زیر را در آن تغییر دهید:
از راه دور- این آدرس سرور OpenVPN شما است ، آدرس و پورت باید با آدرس پیکربندی شده روی سرور مطابقت داشته باشد ، به عنوان مثال:
راه دور 194.67.215.125 1194
حدود- کلیدی که از مرجع صدور گواهینامه دریافت کرده اید ، ما آن را در پوشه / etc / openvpn / قرار داده ایم.
گواهی و کلید- اینها کلیدهای عمومی و خصوصی مشتری است ، با کمک آنها به سرور متصل می شوید. همانطور که به خاطر دارید ، ما آنها را در پوشه / etc / openvpn / easy-rsa / keys / ذخیره کردیم.
ca /etc/openvpn/easy-rsa/keys/ca.crt
بقیه تنظیمات را می توان به همان شکل باقی گذاشت. در اینجا فایل پیکربندی کامل است که می توانید کپی کنید:
مشتری
dev tun
udp اولیه
راه دور 194.67.215.125 1194
قطعنامه-تلاش مجدد بی نهایت
خیر
کلید پایدار
persist-tun
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/Sergiy.crt
کلید /etc/openvpn/easy-rsa/keys/Sergiy.key
tls-auth ta.key 1
comp-lzo
فعل 3
تنظیمات را ذخیره کنید ، کلاینت اکنون آماده اتصال است. لطفاً توجه داشته باشید که فایلهای پیکربندی باید تا آنجا که ممکن است مطابقت داشته باشند ، عدم وجود گزینه های خاص در یکی از فایلها می تواند منجر به خطا شود. این بدان معنا نیست که فایلها یکسان خواهند بود ، اما پارامترهای اساسی openvpn باید یکسان باشد. فقط باید OpenVPN را روی این دستگاه با استفاده از این فایل پیکربندی اجرا کنید:
openvpn /etc/openvpn/client.conf
انجام شد ، اکنون همه چیز کار می کند ، اگر ifconfig را اجرا کنید ، خواهید دید که رابط tun0 اضافه شده است:
همچنین می توانید آدرس های 10.8.0.1 را پینگ کنید ، این آدرسی است که ما برای سرور OpenVPN خود پیکربندی کرده ایم ، بسته های پینگ به طور معمول ارسال می شوند. اگر بسته ها نمی آیند یا چیز دیگری کار نمی کند ، به خروجی هر دو برنامه توجه کنید ، شاید خطاها یا هشدارهایی وجود داشته باشد ، همچنین مطمئن شوید که فایروال سرور اجازه دسترسی خارجی از طریق udp را برای پورت 1194 می دهد. همچنین می توانید سرور یا کلاینت را راه اندازی کنید ، سطح جزئیات در پیکربندی را حداکثر به فعل 9 برسانید. اغلب این امر به درک اینکه چرا چیزی کار نمی کند کمک می کند. اما هنوز نمی توانید ترافیک را از طریق تونل مسیریابی کنید. برای انجام این کار ، باید حمل و نقل را فعال کرده و برخی از قوانین iptables را اضافه کنید. ابتدا ، انتقال بسته ها را روی سرور مجاز می کنیم:
sysctl -w net.ipv4.ip_forward = 1
سپس قوانینی مانند این را اضافه کنید. ما به همه اجازه می دهیم به سرور ما متصل شوند:
iptables -A INPUT -p udp --dport 1194 -j ACCEPT
ما به کاربران OpenVPN اجازه می دهیم به اینترنت دسترسی داشته باشند:
iptables -I FORWARD -i tun0 -o eth0 -j Accept
# iptables -I FORWARD -i eth0 -o tun0 -j ACCEPT
# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
نتیجه گیری
در این مقاله ، ما نحوه نصب و پیکربندی OpenVPN اوبونتو ، و همچنین نحوه پیکربندی openvpn برای کار با احراز هویت کلیدی را بررسی کردیم. سازماندهی شبکه های مجازی خصوصی نه تنها در سازمانها بلکه برای تبادل اطلاعات بین دو رایانه شما یا افزایش امنیت شبکه بسیار مفید خواهد بود.
آیا می خواهید از طریق تلفن هوشمند یا لپ تاپ خود به اینترنت ایمن و ایمن دسترسی داشته باشید در حالی که از طریق WiFi یک هتل یا کافه به یک شبکه ناامن متصل می شوید؟ یک شبکه خصوصی مجازی (VPN) به شما این امکان را می دهد که از شبکه های ناامن مانند یک شبکه خصوصی استفاده کنید. تمام ترافیک شما در این مورد از طریق سرور VPN انجام می شود.
در ترکیب با استفاده از اتصال HTTPS ، تنظیمات شرح داده شده در زیر به شما امکان می دهد اطلاعات خصوصی خود ، به عنوان مثال ، ورود به سیستم و رمزهای عبور و همچنین خریدهای خود را ایمن کنید. علاوه بر این ، می توانید محدودیت ها و سانسورهای منطقه ای را دور بزنید ، همچنین مکان خود و ترافیک رمزگذاری نشده HTTP را از یک شبکه نا امن پنهان کنید.
با اتصال دستگاه Android خود به رایانه از طریق USB و کپی فایل ، می توانید نمایه را از رایانه به تلفن خود منتقل کنید. همچنین می توانید فایل نمایه را با استفاده از کارت SD با کپی نمایه به کارت و قرار دادن کارت در دستگاه Android خود منتقل کنید.
برنامه OpenVPN را اجرا کرده و روی منو کلیک کنید تا نمایه وارد شود.
ترکیب
برای ایجاد ارتباط دکمه را فشار دهید. وصل کنید... از شما س askedال می شود که آیا به برنامه OpenVPN اعتماد دارید یا خیر. پاسخ خوببرای ایجاد ارتباط برای قطع اتصال ، به برنامه OpenVPN بروید و انتخاب کنید قطع شدن.
مرحله 13. آزمایش اتصال VPN
پس از نصب و پیکربندی همه چیز ، بیایید مطمئن شویم که همه چیز به درستی کار می کند. بدون ایجاد اتصال VPN ، مرورگر را باز کرده و به DNSLeakTest بروید.
این سایت آدرس IP اختصاص داده شده توسط ISP شما را برمی گرداند. برای بررسی اینکه کدام سرورهای DNS در حال استفاده هستند ، روی آن کلیک کنید تست تمدید شده.
اکنون با استفاده از سرویس گیرنده VPN خود یک اتصال برقرار کنید و صفحه را در مرورگر خود بازخوانی کنید. آدرس IP داده شده به شما باید کاملاً متفاوت باشد. شما اکنون از این آدرس IP جدید برای همه افراد در اینترنت استفاده می کنید. بر روی کلیک کنید تست تمدید شدهمجدداً تنظیمات DNS خود را بررسی کنید و مطمئن شوید که اکنون از سرور DNS VPN خود استفاده می کنید.
مرحله 14. لغو گواهینامه های مشتری
هر از گاهی ممکن است برای جلوگیری از دسترسی به سرور VPN مجبور شوید گواهی سرویس گیرنده را لغو کنید.
برای انجام این کار ، به دایرکتوری مرجع صدور گواهینامه خود بروید و دستورات را وارد کنید:
- cd ~ / openvpn-ca
- وارس منبع
- ./revoke-full client3
خروجی این دستور با خطای 23 تمام می شود. این طبیعی است. در نتیجه ، فایل crl.pem در فهرست کلیدها با اطلاعات لازم برای لغو گواهی ایجاد می شود.
این فایل را به فهرست / etc / openvpn منتقل کنید:
- sudo cp ~ / openvpn-ca / keys / crl.pem / etc / openvpn
- sudo nano /etc/openvpn/server.conf
crl-verify را به انتهای فایل اضافه کنید. سرور OpenVPN هر بار که شخصی به سرور متصل می شود CRL را بررسی می کند.
/etc/openvpn/server.conf
crl-verm crl.pem
ذخیره کنید و فایل را ببندید.
برای تکمیل مراحل لغو گواهی ، OpenVPN را راه اندازی مجدد کنید:
- راه اندازی مجدد sudo systemctl [ایمیل محافظت شده]
اکنون کلاینت نمی تواند با سرور OpenVPN ارتباطی با استفاده از گواهینامه قدیمی ایجاد کند.
برای لغو گواهی های اضافی ، مراحل زیر را دنبال کنید:
با استفاده از فرمان منبع vars در فهرست ~ / openvpn-ca و اجرای دستور revoke-full با نام سرویس گیرنده ، یک لیست لغو جدید ایجاد کنید.
CRL جدید را در / etc / openvpn کپی کرده و لیست قبلی را رونویسی کنید.
سرویس OpenVPN را راه اندازی مجدد کنید.
این روش می تواند برای لغو گواهی هایی که قبلاً ایجاد کرده اید استفاده شود.
نتیجه
تبریک می گویم! اکنون می توانید با خیال راحت به اینترنت دسترسی داشته باشید ، تمام ترافیک شما از شنود توسط سانسورها و مزاحمان محافظت می شود.
مراحل را برای پیکربندی کلاینت های دیگر تکرار کنید 6 و 11-13 برای هر دستگاه جدید برای لغو دسترسی برای یک سرویس گیرنده خاص ، از این مرحله استفاده کنید 14 .
با در نظر گرفتن مباحث نظری در قسمتهای قبلی ، بیایید به اجرای عملی بپردازیم. امروز ما به ایجاد یک سرور PPTP VPN در بستر سرور اوبونتو می پردازیم. این مطالب برای خوانندگان دارای مهارت لینوکس در نظر گرفته شده است ، بنابراین ما از چیزهایی که در مقالات دیگر توضیح داده ایم ، مانند پیکربندی شبکه و غیره ، منحرف نخواهیم شد. اگر با مشکلات روبرو هستید - ابتدا سایر مطالب ما را مطالعه کنید.
ما آشنایی عملی خود با VPN را با PPTP آغاز می کنیم ، که ساده ترین راه برای پیاده سازی است. با این حال ، به خاطر داشته باشید که این یک پروتکل ضعیف امن است و نباید برای دسترسی به داده های مهم استفاده شود.
مداری را که در آزمایشگاه آزمایشی خود برای آشنایی عملی با این فناوری ایجاد کرده ایم در نظر بگیرید:
ما یک شبکه محلی 10.0.0.0/24 با سرور ترمینال 10.0.0.2 و 10.0.0.1 داریم که به عنوان سرور VPN عمل می کند ، برای VPN ما شبکه 10.0.1.0/24 را رزرو کرده ایم. رابط سرور خارجی دارای IP آدرس مشروط X.X.X.X است. هدف ما این است که دسترسی مشتریان از راه دور به سرور ترمینال و منابع مشترک روی آن را فراهم کنیم.
راه اندازی سرور PPTP
بسته pptpd را که عملکرد PPTP VPN را پیاده سازی می کند نصب کنید:
Sudo apt-get pptpd install
حالا فایل را باز کنیم /etc/pptpd.confو تنظیمات اولیه را برای سرور VPN تنظیم کنید. بیایید به انتهای فایل برویم ، جایی که آدرس سرور را در شبکه VPN نشان می دهیم:
Localip 10.0.1.1
و طیف وسیعی از آدرسهایی که برای مشتریان ارسال می شود:
راه دور 10.0.1.200-250
آدرسها باید حداقل تا آنجا که ممکن است اتصالات همزمان ، ترجیحاً با حاشیه کوچک اختصاص داده شوند ، زیرا افزایش آنها بدون راه اندازی مجدد pptpd غیرممکن است. ما همچنین خط را پیدا کرده و اظهار نظر نمی کنیم:
Bcrelay eth1
این به مشتریان VPN اجازه می دهد بسته ها را در شبکه داخلی پخش کنند.
همچنین می توانید از گزینه ها استفاده کنید گوش کنو سرعت، اول به شما اجازه می دهد آدرس IP رابط محلی را برای گوش دادن به اتصالات PPTP ورودی ، و دوم سرعت اتصال VPN را در bps مشخص کنید. برای مثال ، اجازه دهید سرور اتصالات PPTP را فقط از رابط خارجی بپذیرد:
به X.X.X.X گوش دهید
تنظیمات ظریف تری در فایل موجود است / etc / ppp / pptpd-options... تنظیمات پیش فرض کاملاً با الزامات ما مطابقت دارد ، اما ما برخی از آنها را به طور مختصر مرور می کنیم تا ایده ای از هدف آنها داشته باشید.
بخش #رمزگذاریمسئول رمزگذاری و احراز هویت داده ها این گزینه ها استفاده از پروتکل های قدیمی و ناامن PAP ، CHAP و MS-CHAP را ممنوع می کند:
امتناع-پاپ
رد کردن
refuse-mschap
Require-mschap-v2
Require-mppe-128
بخش بعدی #شبکه و مسیریابی، در اینجا باید به گزینه توجه کنید ms-dnsکه امکان استفاده از سرور DNS در شبکه داخلی را فراهم می کند. این می تواند زمانی مفید واقع شود که ساختار دامنه شبکه یا وجود یک سرور DNS در آن که شامل نام تمام رایانه های شخصی در شبکه است ، که به رایانه ها با نام آنها و نه فقط با IP اشاره می کند ، مفید باشد. در مورد ما ، این گزینه بی فایده است و نظر داده می شود. به طور مشابه ، می توانید آدرس سرور WINS را با گزینه تنظیم کنید ms-win.
در اینجا گزینه وجود دارد proxyarp، از جمله ، همانطور که از نامش حدس می زنید ، پشتیبانی از سرور پروکسی ARP.
در بخش #متفرقهشامل یک گزینه است قفل کردن، که مشتری را به یک اتصال محدود می کند.
ایوانف * 123 *
petrov * 456 10.0.1.201
اولین ورودی به کاربر اجازه می دهد تا ivanov با گذرواژه 123 به سرور متصل شود و یک آدرس IP دلخواه به او اختصاص می دهد ، دومی کاربر petrov را با رمز 456 ایجاد می کند ، که هنگام اتصال آدرس دائمی 10.0.1.201 به آن اختصاص داده می شود.
راه اندازی مجدد pptpd:
Sudo /etc/init.d/pptpd راه اندازی مجدد کنید
یادداشت مهم! اگر pptpdنمی خواهد راه اندازی مجدد شود ، در ابتدا یخ می زند ، اما در / var / log / syslogاضافه کردن خط خط فایل پیکربندی طولانی نادیده گرفته شدحتماً به انتهای فایل اضافه کنید /etc/pptpd.confشکست خط
سرور ما آماده کار است.
پیکربندی رایانه های شخصی مشتری
به طور کلی ، پیکربندی اتصال VPN با گزینه های پیش فرض کافی است. با این حال ، ما به شما توصیه می کنیم نوع اتصال را صریحاً مشخص کرده و پروتکل های رمزگذاری غیر ضروری را غیرفعال کنید.
علاوه بر این ، بسته به ساختار شبکه ، باید مسیرهای ایستا و دروازه پیش فرض را مشخص کنید. این سوالات در قسمتهای قبل به تفصیل مورد بحث قرار گرفت.
ما یک اتصال VPN ایجاد می کنیم و سعی می کنیم هر رایانه ای را در شبکه محلی پینگ کنیم ، بدون هیچ مشکلی به سرور ترمینال دسترسی پیدا کردیم:
در حال حاضر برای یک افزودنی مهم دیگر. در بیشتر موارد ، دسترسی به رایانه های شبکه محلی تنها با آدرس IP امکان پذیر است ، به عنوان مثال. مسیر \\ 10.0.0.2 کار می کند ، اما \\ سرور کار نمی کند. این می تواند برای کاربران ناخوشایند و غیر معمول باشد. چندین راه برای حل این مشکل وجود دارد.
اگر شبکه محلی دارای ساختار دامنه است ، کافی است سرور DNS را برای اتصال VPN به سرور DNS کنترل کننده دامنه مشخص کنید. از گزینه استفاده کنید ms-dns v / etc / ppp / pptpd-optionsسرور و داده های تنظیمات به طور خودکار توسط مشتری دریافت می شود.
اگر سرور DNS در شبکه محلی وجود ندارد ، می توانید یک سرور WINS ایجاد کرده و از آن استفاده کنید ، اطلاعات مربوط به آن نیز می تواند به طور خودکار با استفاده از گزینه به کلاینت ها منتقل شود. ms-win... و در نهایت ، اگر تعداد کلاینت های راه دور کم است ، از فایل های موجود در رایانه های شخصی مشتری استفاده کنید میزبان(C: \ Windows \ System32 \ drivers \ etc \ hosts) ، جایی که باید خطوطی مانند آن را اضافه کنید.
مرحله 1
باز کردن خط فرمان
ساده ترین راه این است که یک ترمینال را با فشار همزمان کلیدهای Ctrl + Alt + T باز کنید ، اما همچنین می توانید ترمینال را از منوی اصلی راه اندازی کنید.
برای نصب افزونه OpenVPN Network Manager ، دستور زیر را بدون نقل قول در خط فرمان وارد کنید: "sudo apt-get install network-manager-openvpn-gnome". Enter را بزنید.
افزونه OpenVPN Manager Manager را نصب کنید
در صورت نیاز رمز عبور سیستم را وارد کرده و مجددا Enter را فشار دهید.
افزونه OpenVPN Manager Manager را نصب کنید
"Y" را که به معنی موافقت شما با نصب است را وارد کنید و Enter را فشار دهید.
بارگیری گواهینامه
در حساب شخصی خود ، یک گواهینامه ایجاد کرده اید ، برای نصب باید آن را بارگیری کنید. به خدمات من "VPN-> خدمات من" بروید و روی "مشتریان VPN" کلیک کنید.
بارگیری گواهینامه
برای بارگیری گواهی روی نماد OpenVPN کلیک کنید.
بارگیری گواهینامه
وقتی از شما س "ال شد "آیا می خواهید این فایل را ذخیره کنید؟" ، روی "ذخیره فایل" کلیک کنید. بارگیری فایل شروع می شود.
بارگیری گواهینامه
از آنجا که گواهینامه ها اسامی طولانی دارند ، برای راحتی ، می توانید نام آن را به نام کوتاهتری تغییر دهید.
وارد کردن پیکربندی
می توانید پیکربندی OpenVPN را با دستور زیر "sudo openvpn --config /home/my/Downloads/client.ovpn" وارد کنید. جایی که " / home / my / Downloads" مسیر پوشه ای است که گواهی در آن قرار دارد و client.ovpn نام خود گواهی است. Enter را بزنید.
وارد کردن پیکربندی
در صورت نیاز رمز عبور سیستم را وارد کرده و مجددا Enter را فشار دهید. VPN متصل است ، اکنون می توانید ترمینال را ببندید ، این بر عملکرد VPN تأثیر نمی گذارد.
قطع ارتباط با شبکه
اگر می خواهید VPN را غیرفعال کنید ، دستور "sudo killall openvpn" را در ترمینال وارد کنید. Enter را بزنید.
قطع ارتباط با شبکه
در صورت نیاز رمز عبور سیستم را وارد کرده و مجددا Enter را فشار دهید. اکنون VPN غیرفعال می شود.
ما از VPN به طور کامل استفاده می کنیم
تبریک می گویم! شما موفق به راه اندازی VPN در اوبونتو شده اید! اکنون شما دسترسی ایمن به اینترنت و IP جدید دارید!
چرا ارزش بارگیری VPN در لینوکس را دارد؟
- شما یک اتصال قابل اعتماد ، سرعت پایدار و دسترسی به محتوای مورد علاقه خود را دریافت خواهید کرد
- نصب افزونه مرورگر VPN فقط برای صفحات وب صدق می کند ، آنها برای بازی کردن و بارگیری تورنت مناسب نیستند
- VPN برای لینوکس با جایگزینی IP واقعی با آدرس IP سرور VPN به بالاترین سطح ناشناس بودن کاربران کمک می کند
بررسی اتصالات ایمن در موزیلا فایرفاکس
چگونه می توان یک گواهی را از rootken به رایانه ، از cryptopro به درایو فلش USB کپی کرد - Kontur
خطای احراز هویت رخ داده است