Vpn szerver telepítése linuxra. VPN telepítése Ubuntu -ra

A VPN rövidítés most nem hallható, hacsak azok, akik soha nem foglalkoztak számítógéppel. Mi ez, miért van rá szükség és hogyan kell beállítani?

Mi az a VPN és miért van rá szükség?

A VPN (Virtual Private Network) egy virtuális magánhálózat, egy módja annak, hogy több, egymástól bizonyos távolságban lévő számítógépet egyetlen logikai hálózatba egyesítsenek.

A VPN -ek különböző célokra használhatók - a munka / játékok hálózatának megszervezésétől az internet eléréséig. Ennek során meg kell értenie tettei esetleges jogi felelősségét.

Oroszországban a VPN használata nem büntetendő cselekmény, kivéve a szándékosan jogellenes célú használat esetét. Vagyis, ha fel akar menni egy szomszédos ország (mondjuk Szomália) elnökének webhelyére, és leírja, milyen rosszul van, miközben elrejti az IP -címét, ez önmagában nem jogsértés (feltéve, hogy a nyilatkozat nem sérti a törvényeket) ... De bűncselekmény ezt a technológiát használni az Oroszországban tiltott erőforrásokhoz való hozzáféréshez.

Vagyis játszhat barátaival a hálózaton keresztül, és távolról dolgozhat a szervezet hálózatában VPN használatával, de nem olvashat mindenféle rossz webhelyet. Ezzel rendezve. Most menjünk közvetlenül a beállításhoz.

A szerver oldal beállítása Ubuntu Linux rendszeren

A szerver oldal számára jobb Linuxot használni, ebből a szempontból könnyebb vele dolgozni. A legegyszerűbb lehetőség a PPTP, nem igényli tanúsítványok telepítését ügyfélszámítógépekre, hitelesítés történik felhasználónévvel és jelszóval... Használni fogjuk.

Először telepítse a szükséges csomagokat:

Sudo nano /etc/pptpd.conf

Ha több mint 100 egyidejű kapcsolatra van szükségünk, keresse meg a "kapcsolatok" paramétert, szüntesse meg a megjegyzést, és adja meg a kívánt értéket, például:

Csatlakozások 200

Ha sugárzási csomagokat kell küldenünk a virtuális hálózaton keresztül, győződjünk meg arról, hogy a bcrelay paraméter is megjegyzés nélküli:

Bcrelay eth1

Ezután lépjen a fájl végére, és adja hozzá a címbeállításokat:

Localip 10.10.10.1 távirányító 10.10.10.2-254 hallgat 11.22.33.44

Az első paraméter a helyi hálózat szerverének IP -címét adja meg, a második az ügyfeleknek kiadott IP -címek tartományát (a tartománynak biztosítania kell a megadott számú kapcsolat lehetőségét, jobb, ha margóval osztja ki a címeket) , a harmadik meghatározza, hogy melyik külső címen kell hallgatni az interfészeket a bejövő kapcsolatok fogadásához. Vagyis, ha több külső cím van, akkor csak egy hallgatható. Ha a harmadik paraméter nincs megadva, akkor az összes elérhető külső címet meghallgatja.

Mentse el a fájlt, és zárja be. További finomhangolási beállításokat adunk meg az / etc / ppp / pptpd-options fájlban:

Sudo nano / etc / ppp / pptpd-options

Először is győződjünk meg arról, hogy vannak megjegyzés nélküli soraink, amelyek tiltják a régi és nem biztonságos hitelesítési módszerek használatát:

Elutasítás-pap visszautasítja-chap visszautasítja-mschap

Azt is ellenőrizzük, hogy a proxyarp opció engedélyezve van -e (a megfelelő sor nincs megjegyzésben), és ezenkívül, ha engedélyezni vagy tiltani kívánja egy felhasználó több kapcsolatát, megjegyzést fűz (engedélyez) vagy visszavonja (letiltja) a zárolási lehetőséget.

A fájlt is mentjük és bezárjuk. Marad a felhasználók létrehozása:

Sudo nano / etc / ppp / chap-secrets

Minden VPN -felhasználó számára egy sor van kiosztva, amelyben a nevét, távoli címét, jelszavát és helyi címét egymás után jelzi (elválasztó - szóköz).

A távoli cím akkor adható meg, ha a felhasználónak van külső statikus IP -címe, és csak azt fogja használni, ellenkező esetben jobb, ha csillagot ad meg, hogy pontosan elfogadhassa a kapcsolatot. A helyi értéket meg kell adni, ha azt szeretné, hogy a felhasználó ugyanazt az IP -címet kapja a virtuális hálózatban. Például:

Felhasználó1 * jelszó1 * felhasználó2 11.22.33.44 jelszó2 * felhasználó3 * jelszó3 10.10.10.10

Az 1. felhasználó esetében a kapcsolatokat bármilyen külső címről fogadják el, a helyi pedig az első elérhető címet. A 2. felhasználó számára kiosztja az első elérhető helyi címet, de a kapcsolatokat csak 11.22.33.44 -től fogadja el. A user3 esetében a kapcsolatokat bárhonnan elfogadják, de a helyi cím mindig 10.10.10.10 lesz kiosztva, amelyet neki foglaltunk.

Ezzel befejeződik a VPN -kiszolgáló konfigurálása, indítsa újra (Linux alatt nem kell újraindítani a számítógépet):

Sudo szolgáltatás pptpd újraindítása

VPN -ügyfelek konfigurálása

A kliens rész bármilyen operációs rendszerhez konfigurálható, példaként fogom használni Ubuntu Linux 16.04.

Nyissa meg az ügyfélszámítógépen a hálózati kapcsolatokat (a képernyőképek az Ubuntu + Cinnamon esetében láthatók, a GNOME esetében ez ugyanúgy történik, a Kubuntusban úgy tűnik, hogy nem okoz nehézséget). Kattintson a "Hozzáadás" gombra, és válassza ki a PPTP -kapcsolatot:

A VPN -kapcsolat nevét szabványként hagyhatja, vagy megadhatja azt, amely kényelmes és érthető - ez ízlés dolga. Írja be az "átjáró" mezőbe annak a kiszolgálónak a külső IP-címét, amelyhez kapcsolódunk (a "hallgatás" opció beállításakor kell megadni), a név és a jelszó alatt. A jobb oldalon, a „Jelszó” mezőben először ki kell választania a „Jelszó mentése ennek a felhasználónak” lehetőséget):

Ezután zárja be az ablakokat, és csatlakozzon a szerverhez. Ha a szerver a helyi hálózaton kívül van, internet -hozzáférésre van szüksége.

Ezzel befejeződik a virtuális hálózat szervezése, de csak számítógépeket csatlakoztat a helyi hálózathoz. Ahhoz, hogy hálózati kiszolgálón keresztül elérhesse az internetet, meg kell adnia még egy beállítást.

Internet -hozzáférés beállítása VPN -en keresztül

A vpn -kiszolgálón írja be a következő parancsokat:

Iptables -t nat -A POSTROUTING -o eth0 -s 10.10.10.1/24 -j MASQUERADE iptables -A FORWARD -10.10.10.1/24 -j ELFOGADJA az iptables -A FORWARD -d 10.10.10.1/24 -j ACCEPT

ahol 10.10.10.1/24 a helyi szerver címe és a netmaszk.

Ezután mentjük a módosításokat, hogy azok a szerver újraindítása után is működjenek:

Iptables-save

És alkalmazza az összes módosítást:

Iptables-alkalmazni

Ezt követően hozzáférhet az internethez. Ha olyan webhelyre megy, amely megjeleníti az Ön IP -címét, akkor a külső szerver címét fogja látni, nem a sajátját (ha nem egyezik).

Emlékeztetlek, hogy csak te vagy felelős a tetteid következményeiért.

Az igazi virtuális magánhálózat vagy virtuális magánhálózat (VPN) egy titkosított, összekapcsolt alagút két hálózat között, amely két megbízható pontot köt össze. Nem a HTTPS webes protokoll, amelyet minden ügyfél megbízhatónak tart. Csak azok az ügyfelek csatlakozhatnak a VPN -hez, akik speciális hozzáférési kulcsokkal rendelkeznek.

A VPN -ek manapság nagyon elterjedtek a virtuális magánhálózatok megjelenésével, amelyek mindenkiben megbíznak, és a HTTPS elterjedésével. Sok VPN minimális konfigurációjú kereskedelmi megoldás, amely távoli munkavállalói hozzáférést biztosít. De nem mindenki bízik ezekben a megoldásokban. A privát virtuális hálózat két hálózatot kapcsol össze egy hálózatba, például az irodai hálózatot és a munkavállaló otthoni hálózatát. A VPN -kiszolgálóra azért van szükség, hogy a szerver és az ügyfél azonosítani tudja magát.

A szerver- és ügyfél -hitelesítés konfigurálása sok munkát igényel, ezért a minimális beállításokkal rendelkező kereskedelmi megoldások e tekintetben kudarcot vallanak. De tényleg nem olyan nehéz egy OpenVPN szervert beállítani. A tesztkörnyezet beállításához két csomópontra lesz szüksége különböző hálózatokon, például használhat több virtuális gépet vagy valódi kiszolgálót. Amint már megértette, ez a cikk kitér az OpenVPN beállítására az Ubuntu-ban, hogy teljes értékű privát virtuális hálózatot hozzon létre.

Mindkét gépen telepíteni kell az OpenVPN -t, ez egy meglehetősen népszerű program, így telepítheti a hivatalos tárolókból. Szükségünk van az Easy-RSA-ra is, hogy privát kulcsokkal dolgozhassunk. A programok Ubuntu telepítéséhez használja a következő parancsot:

sudo apt install openvpn easy-rsa

Mindkét csomagot telepíteni kell a szerverre és az ügyfélre. Szükséged lesz rájuk a program konfigurálásához. A cikk első szakasza, az openvpn telepítése és konfigurálása befejeződött.

Tanúsító hatóság felállítása

Az első dolog a megfelelő nyilvános kulcsú infrastruktúra létrehozása a szerveren. A szervert tekintjük a gépnek, amelyhez a felhasználók csatlakozni fognak. A saját CA -nak számos előnye van. Saját CA -val rendelkezik, amely megkönnyíti a kulcsok kiosztását és kezelését. Például visszavonhatja az ügyfél tanúsítványait egy szerveren. Ezenkívül most nem kell tárolnia az összes ügyfél -tanúsítványt, a tanúsító hatóságnak csak annyit kell tudnia, hogy a tanúsítványt egy CA írta alá. A komplex kulcsrendszer mellett statikus kulcsokat is használhat, ha csak néhány felhasználónak kell hozzáférést biztosítania.

Felhívjuk figyelmét, hogy minden privát kulcsot biztonságos helyen kell tárolni. Az OpenVPN -ben a nyilvános kulcsot tanúsítványnak nevezik, és a .crt kiterjesztéssel rendelkezik, a privát kulcsot pedig kulcsnak, a kiterjesztését .key -nek.

Először hozzon létre egy mappát az Easy-RSA tanúsítványok tárolására. Valójában az OpenVPN konfigurálása manuálisan történik, így a mappa bárhová elhelyezhető:

sudo mkdir / etc / openvpn / easy-rsa

Ezután másolja az összes szükséges easy-rsa parancsfájlt ebbe a mappába:

cd / etc / openvpn / easy-rsa /

sudo -i
# forrás ./vars
# ./mindent kitöröl
# ./build-ca

Az első paranccsal a superuser nevében a konzolra váltunk, a másodikkal a. / Vars fájlból töltjük be a környezeti változókat. A. / Clear-all parancs létrehozza a kulcsok mappáját, ha nem létezik, és törli annak tartalmát. És az utolsó parancs inicializálja a tanúsító hatóságunkat. Most minden szükséges kulcs megjelent a .keys mappában:

Ügyféltanúsítványok konfigurálása

sudo cp -R / usr / share / easy -rsa / etc / openvpn /

Most át kell másolnunk a tanúsítványt, a .crt fájlt az összes ügyfél / etc / openvpn mappájába. Például töltsük le ezt a fájlt ügyfeleink számára az scp használatával:

sudo scp user @ host: /etc/openvpn/easy-rsa/keys/ca.crt /etc /openvpn /easy-rsa /keys

Csak most hozhatja létre saját privát kulcsát a CA tanúsítvány alapján:

cd / etc / openvpn / easy-rsa /

sudo -i
# forrás ./vars
# build-req Sergiy

Kérjük, vegye figyelembe, hogy a ca.crt -nek a kulcsok mappájában kell lennie, különben semmi sem fog működni. Most a segédprogram létrehoz egy kulcsot, amely alapján csatlakozhat az OpenVPN szerverhez, de még mindig alá kell írnia a szerveren. Küldje el a kapott .csr fájlt a szervernek ugyanazzal az scp -vel:

scp /etc/openvpn/easy-rsa/keys/Sergiy.csr user @ host: ~/

Ezután a kiszolgálón, az / etc / openvpn / easy-rsa mappában végre kell hajtania a tanúsítvány-aláírási parancsot:

./sign-req ~ / Sergiy

A tanúsítvány aláírását meg kell erősíteni. Ezután a program jelenteni fogja, hogy aláírták és hozzáadták az adatbázishoz. A .crt fájl megjelenik a csr tanúsítvánnyal rendelkező mappában, amelyet vissza kell küldeni az ügyfélgépre:

sudo scp user @ host: /home/Sergiy.crt / etc / openvpn / easy-rsa / keys

Csak ezután a szerver és az ügyfél megkapja az összes szükséges kulcsot a csatlakozáshoz és a kommunikáció létrehozásához. Még van néhány beállítás. Ha TLS titkosítást kíván használni, akkor létre kell hoznia egy Diffie-Huffman adatkészletet a szerveren, ehhez használja a következő parancsot:

OpenVPN beállítás

Most állítsa be az OpenVPN szervert. Alapértelmezés szerint nincs semmi az OpenVPN konfigurációs fájlok mappájában. Önnek kell létrehoznia őket, attól függően, hogy mit szeretne konfigurálni, egy szervert vagy egy ügyfelet. A szükséges OpenVPN konfigurációs fájl a / usr / share / doc / openvpn / example / sample-config-files / címen található. Először hozzunk létre egy konfigurációs fájlt a szerverhez:

zcat /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | sudo tee /etc/openvpn/server.conf

Itt néhány paramétert kell módosítani:

kikötőés proto- a program által használt port és protokoll;

port 1194
proto udp

Minden létrehozott kulcsot regisztrálni kell a konfigurációs fájlban. Kulcsainkat az / etc / openvpn / easy-rsa / kulcsok tárolják:

cert /etc/openvpn/easy-rsa/keys/ca.crt
kulcs /etc/openvpn/easy-rsa/keys/ca.key
dh /etc/openvpn/easy-rsa/keys/dh.pem

Konfiguráljuk a virtuális hálózat címtartományát, a szerverünk az első helyen lesz elérhető - 10.8.0.1:

kiszolgáló 10.8.0.0 255.255.255.0

A konfiguráció befejezése után mentse el a módosításokat a fájlba, vagy illessze be ezt a konfigurációt maga, vagy szerkessze a példafájlt. Kész kiszolgáló beállítások:

port 1194
proto udp
comp-lzo
dev tun
ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt
cert /etc/openvpn/easy-rsa/2.0/keys/ca.crt
dh /etc/openvpn/easy-rsa/2.0/keys/dh2048.pem
topológia alhálózat
kiszolgáló 10.8.0.0 255.255.255.0
ifconfig-pool-tartós ipp.txt

sudo cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/client.conf

Több kliens konfigurációs fájlt is létrehozhat különböző kiszolgálókhoz való kapcsolódáshoz. Nyissa meg a konfigurációs fájlt, és módosítsa benne a következő paramétereket:

távoli- ez az Ön OpenVPN szervercíme, a címnek és a portnak meg kell egyeznie a kiszolgálón beállítottakkal, például:

távoli 194.67.215.125 1194

kb- a kulcsot, amelyet a tanúsító hatóságtól kapott, az / etc / openvpn / mappába helyeztük.

tanúsítvány és kulcs- ezek az ügyfél nyilvános és privát kulcsai, ezek segítségével csatlakozni fog a szerverhez. Amint emlékszel, az / etc / openvpn / easy-rsa / keys / mappába mentettük őket.

ca /etc/openvpn/easy-rsa/keys/ca.crt

A többi beállítást hagyhatja úgy, ahogy van. Itt található a teljes konfigurációs fájl, amelyet másolhat:

ügyfél
dev tun
proto udp
távoli 194.67.215.125 1194
resolv-retry végtelen
nobind
tartós-kulcs
kitart-tun
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/Sergiy.crt
kulcs /etc/openvpn/easy-rsa/keys/Sergiy.key
tls-auth ta.key 1
comp-lzo
ige 3

Mentse el a beállításokat, az ügyfél készen áll a csatlakozásra. Kérjük, vegye figyelembe, hogy a konfigurációs fájloknak a lehető legnagyobb mértékben meg kell egyezniük, bizonyos beállítások hiánya az egyik fájlban hibákhoz vezethet. Ez nem azt jelenti, hogy a fájlok azonosak lesznek, de az openvpn alapvető paramétereinek azonosnak kell lenniük. Csak az OpenVPN -t kell futtatnia ezen a gépen a következő konfigurációs fájl használatával:

openvpn /etc/openvpn/client.conf

Kész, most minden működik, ha az ifconfig parancsot futtatja, látni fogja, hogy a tun0 interfész hozzáadásra került:

Megpróbálhatja pingelni a 10.8.0.1 címeket is, ezt a címet konfiguráltuk az OpenVPN szerverünkhöz, a ping csomagok a szokásos módon kerülnek elküldésre. Ha a csomagok nem jönnek, vagy valami más nem működik, figyeljen mindkét program kimenetére, esetleg hibák vagy figyelmeztetések voltak, és győződjön meg arról, hogy a szerver tűzfala lehetővé teszi a külső hozzáférést az 1194 -es port udp -ján keresztül. indítsa el a szervert vagy az ügyfelet, a konfiguráció részletességi szintjét maximum 9. igére állítva. Nagyon gyakran ez segít megérteni, hogy miért nem működik valami. De még nem tudja átirányítani a forgalmat az alagúton. Ehhez engedélyeznie kell az átirányítást, és hozzá kell adnia néhány iptables szabályt. Először is engedélyezzük a csomagok szállítását a szerveren:

sysctl -w net.ipv4.ip_forward = 1

Ezután adjon hozzá ilyen szabályokat. Megengedjük, hogy mindenki csatlakozzon a szerverünkhöz:

iptables -A INPUT -p udp --dport 1194 -j ACCEPT

Engedélyezzük az OpenVPN felhasználóknak az internet elérését:

iptables -I FORWARD -i tun0 -o eth0 -j ACCEPT
# iptables -I FORWARD -i eth0 -o tun0 -j ACCEPT
# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

következtetéseket

Ebben a cikkben megvizsgáltuk az OpenVPN Ubuntu telepítésének és konfigurálásának módját, valamint az openvpn konfigurálását a kulcshitelesítéshez. A privát virtuális hálózatok szervezése nagyon hasznos lehet nemcsak a szervezetekben, hanem mondjuk két számítógép közötti adatcserében vagy a hálózati biztonság növelésében is.

Biztonságos internet -hozzáférést szeretne elérni okostelefonjáról vagy laptopjáról, miközben egy nem biztonságos hálózathoz csatlakozik egy szálloda vagy kávézó WiFi -jén keresztül? A virtuális magánhálózat (VPN) lehetővé teszi a nem biztonságos hálózatok használatát, mintha magánhálózaton lenne. Ebben az esetben minden forgalma a VPN -kiszolgálón megy keresztül.

A HTTPS kapcsolat használatával együtt az alább leírt beállítások lehetővé teszik a személyes adatok, például a bejelentkezési adatok és jelszavak, valamint a vásárlások biztonságát. Ezenkívül megkerülheti a regionális korlátozásokat és cenzúrát, valamint elrejtheti tartózkodási helyét és titkosítatlan HTTP -forgalmát egy nem biztonságos hálózat elől.

Egy profilt átvihet a számítógépről a telefonra, ha Android -eszközét USB -n keresztül csatlakoztatja a számítógéphez, és másolja a fájlt. A profilfájlt SD -kártyával is áthelyezheti úgy, hogy átmásolja a profilt a kártyára, és behelyezi a kártyát Android -eszközébe.

Indítsa el az OpenVPN alkalmazást, és kattintson a menüre a profil importálásához.

Összetett

Nyomja meg a gombot a kapcsolat létrehozásához. Csatlakozás... Megkérdezi, hogy bízik -e az OpenVPN alkalmazásban. Válasz rendben kapcsolatot létesíteni. A kapcsolat leállításához lépjen az OpenVPN alkalmazásba, és válassza a lehetőséget Szétkapcsolás.

13. lépés: VPN -kapcsolat tesztelése

Miután mindent telepítettünk és konfiguráltunk, győződjünk meg arról, hogy minden megfelelően működik. VPN -kapcsolat létrehozása nélkül nyisson meg egy böngészőt, és lépjen a DNSLeakTest oldalra.

Ez az oldal visszaadja az internetszolgáltatója által Önnek megadott IP -címet. A használt DNS -kiszolgálók ellenőrzéséhez kattintson a gombra Bővített teszt.

Most hozzon létre kapcsolatot a VPN -ügyfél használatával, és frissítse az oldalt a böngészőben. A megadott IP -címnek teljesen másnak kell lennie. Ezt az új IP -címet most mindenki számára használja az interneten. Kattintson Bővített teszt ismét ellenőrizze a DNS -beállításokat, és győződjön meg arról, hogy most a VPN DNS -kiszolgálóját használja.

14. lépés: Ügyféltanúsítványok visszavonása

Időnként előfordulhat, hogy vissza kell vonnia az ügyféltanúsítványt, hogy megakadályozza a VPN -kiszolgálóhoz való hozzáférést.

Ehhez lépjen a tanúsító hatóság könyvtárába, és írja be a következő parancsokat:

• cd ~ / openvpn-ca
• forrás vars

• ./revoke-full client3

A parancs kimenete 23 -as hibával fejeződik be. Ez normális. Ennek eredményeként a crl.pem fájl létrejön a kulcsok könyvtárában a tanúsítvány visszavonásához szükséges információkkal.

Helyezze át ezt a fájlt az / etc / openvpn könyvtárba:

• sudo cp ~ / openvpn-ca / keys / crl.pem / etc / openvpn

• sudo nano /etc/openvpn/server.conf

Adja hozzá a fájl végéhez a crl-ellenőrzést. Az OpenVPN szerver minden alkalommal ellenőrzi a CRL -t, amikor valaki csatlakozik a szerverhez.

/etc/openvpn/server.conf

Crl-ellenőrizze crl.pem

Mentse és zárja be a fájlt.

Indítsa újra az OpenVPN -t a tanúsítvány visszavonásának befejezéséhez:

• sudo systemctl újraindítása [e -mail védett]

Most az ügyfél nem tud kapcsolatot létesíteni az OpenVPN szerverrel a régi tanúsítvány használatával.

További tanúsítványok visszavonásához kövesse az alábbi lépéseket:

Hozzon létre új visszavonási listát a ~ vars / openvpn-ca könyvtárban található forrás vars paranccsal, és a visszavonás teljes parancs végrehajtásával az ügyfél nevével.

Másolja az új CRL -t az / etc / openvpn mappába, felülírva a régi listát.

Indítsa újra az OpenVPN szolgáltatást.

Ezzel az eljárással visszavonhatja a korábban létrehozott tanúsítványokat.

Következtetés

Gratulálunk! Most már biztonságosan hozzáférhet az internethez, minden forgalmát cenzorok és betolakodók védik a lehallgatástól.

Ismételje meg a lépéseket további ügyfelek konfigurálásához 6 és 11-13 minden új eszközre. Egy adott ügyfél hozzáférésének visszavonásához használja ezt a lépést 14 .

Miután megvizsgáltuk az elméleti kérdéseket az előző részekben, térjünk át a gyakorlati megvalósításra. Ma megvizsgáljuk a PPTP VPN szerver létrehozását az Ubuntu Server platformon. Ezt az anyagot Linuxos ismeretekkel rendelkező olvasóknak szántuk, így nem fogjuk elterelni a figyelmünket azokról a dolgokról, amelyeket más cikkekben leírtunk, például a hálózati konfigurációról stb. Ha nehézségeket tapasztal - először tanulmányozza egyéb anyagainkat.

A VPN -vel kapcsolatos gyakorlati ismereteinket a PPTP -vel kezdjük, amely a legegyszerűbben megvalósítható. Ne feledje azonban, hogy ez egy gyengén biztonságos protokoll, és nem használható kritikus adatok elérésére.

Tekintsük azt az áramkört, amelyet a tesztlaboratóriumunkban hoztunk létre ennek a technológiának a gyakorlati megismerése érdekében:

Van egy 10.0.0.0/24 helyi hálózatunk, 10.0.0.2 és 10.0.0.1 terminálkiszolgálóval, amelyek VPN szerverként fognak működni, a VPN számára a 10.0.1.0/24 hálózatot foglaltuk le. A külső szerver interfész feltételes dedikált IP -címmel rendelkezik X.X.X.X. Célunk, hogy távoli ügyfelek számára hozzáférést biztosítsunk a terminálkiszolgálóhoz és a rajta található megosztott erőforrásokhoz.

PPTP szerver beállítása

Telepítse a PPTP VPN funkciót megvalósító pptpd csomagot:

Sudo apt-get install pptpd

Most nyissuk meg a fájlt /etc/pptpd.confés állítsa be a VPN -kiszolgáló alapvető beállításait. Menjünk a fájl legvégére, ahol feltüntetjük a szerver címét a VPN -hálózatban:

Localip 10.0.1.1

És az ügyfeleknek kiadandó címek köre:

Távirányító 10.0.1.200-250

A címeket legalább a lehető legtöbb egyidejű kapcsolatot kell kiosztani, lehetőleg kis tartalékkal, mivel lehetetlen növelni őket a pptpd újraindítása nélkül. Megtaláljuk és megszüntetjük a sort:

Bcrelay eth1

Ez lehetővé teszi, hogy a VPN -ügyfelek csomagokat sugározzanak a belső hálózaton.

A lehetőségeket is használhatja hallgatés sebesség, az első lehetővé teszi a bejövő PPTP -kapcsolatok figyelésére szolgáló helyi interfész IP -címének megadását, a második pedig a VPN -kapcsolatok sebességét bps -ban. Tegyük fel például, hogy a szerver csak a külső interfészről fogadja el a PPTP -kapcsolatokat:

Figyelj X.X.X.X

A fájlban finomabb beállítások találhatók / etc / ppp / pptpd-options... Az alapértelmezett beállítások megfelelnek követelményeinknek, de röviden áttekintünk néhányat, hogy elképzelésük legyen a céljukról.

Szakasz #Titkosítás felelős az adatok titkosításáért és hitelesítéséért. Ezek a lehetőségek tiltják a korábbi és nem biztonságos PAP, CHAP és MS-CHAP protokollok használatát:

Elutasító pap
visszautasít
tagad-mschap

Require-mschap-v2
need-mppe-128

Következő szakasz #Hálózat és útválasztás, itt érdemes figyelni a lehetőségre ms-dns amely lehetővé teszi a DNS -kiszolgáló használatát a belső hálózaton. Ez akkor lehet hasznos, ha a hálózat tartománystruktúrája vagy egy olyan DNS -kiszolgáló van jelen benne, amely tartalmazza a hálózat összes PC -jének nevét, ami lehetővé teszi a számítógépek nevükön való hivatkozást, és nem csak IP -címet. Esetünkben ez az opció haszontalan, és megjegyzést fűznek hozzá. Hasonlóképpen beállíthatja a WINS szerver címét az opcióval ms-nyer.

Itt a lehetőség proxyarp, beleértve a szerver támogatását, amint azt a névből sejtheti Proxy ARP.

A szakaszban #Vegyes opciót tartalmaz zár, amely egyetlen kapcsolatra korlátozza az ügyfelet.

Ivanov * 123 *
petrov * 456 2019.01.10

Az első bejegyzés lehetővé teszi az ivanov felhasználó számára, hogy 123 jelszóval csatlakozzon a szerverhez, és tetszőleges IP -címet rendel hozzá, a második létrehozza a petrov felhasználót a 456 jelszóval, amely a csatlakozáskor a 10.0.1.201 állandó címet kapja.

Újrakezd pptpd:

Sudo /etc/init.d/pptpd újraindítás

Fontos jegyzet! Ha pptpd nem akar újraindulni, lefagy az elején, de be / var / log / syslog a sor hozzáadása figyelmen kívül hagyja a hosszú konfigurációs fájl sort feltétlenül adja hozzá a fájl végéhez /etc/pptpd.conf sortörés.

Szerverünk használatra kész.

Ügyfélszámítógépek konfigurálása

Általában elegendő a VPN -kapcsolatot az alapértelmezett beállításokkal konfigurálni. Javasoljuk azonban, hogy kifejezetten adja meg a kapcsolat típusát, és tiltsa le a szükségtelen titkosítási protokollokat.

Továbbá, a hálózat szerkezetétől függően meg kell adnia a statikus útvonalakat és az alapértelmezett átjárót. Ezeket a kérdéseket részletesen tárgyaltuk az előző részekben.

Létrehozunk egy VPN -kapcsolatot, és megpróbáljuk pingelni a helyi hálózat bármely PC -jét, és minden nehézség nélkül hozzáférünk a terminálszerverhez:

Most még egy fontos kiegészítés. A legtöbb esetben a helyi hálózat számítógépeihez csak IP -címek segítségével lehet hozzáférni, azaz a \\ 10.0.0.2 elérési út működik, de a \\ SERVER nem. Ez kényelmetlen és szokatlan lehet a felhasználók számára. Ennek a problémának többféle módja van.

Ha a helyi hálózat tartománystruktúrával rendelkezik, elegendő megadni a DNS -kiszolgálót a tartományvezérlő DNS -kiszolgálójához való VPN -kapcsolathoz. Használja a lehetőséget ms-dns v / etc / ppp / pptpd-options a szerver és a beállítások adatait az ügyfél automatikusan fogadja.

Ha a helyi hálózatban nincs DNS -kiszolgáló, akkor létrehozhat és használhat WINS -kiszolgálót, az ezzel kapcsolatos információk automatikusan továbbíthatók az ügyfeleknek az opció használatával ms-nyer... És végül, ha kevés távoli kliens van, használja a fájlokat az ügyfélszámítógépeken otthont ad(C: \ Windows \ System32 \ drivers \ etc \ hosts), ahol ilyen sorokat kell hozzáadnia.

1. lépés

A parancssor megnyitása

A legegyszerűbb módja a terminál megnyitása a Ctrl + Alt + T billentyűk egyidejű megnyomásával, de a Terminál a főmenüből is elindítható.

2. lépés

Az OpenVPN Network Manager beépülő modul telepítéséhez írja be a következő parancsot a parancssorba idézőjelek nélkül: "sudo apt-get install network-manager-openvpn-gnome". Nyomja meg az Enter billentyűt.

3. lépés

Telepítse az OpenVPN Network Manager beépülő modult

Ha szükséges, írja be a rendszerjelszót, majd nyomja meg ismét az Enter billentyűt.

4. lépés

Telepítse az OpenVPN Network Manager beépülő modult

Írja be az "Y" -t, ami azt jelenti, hogy beleegyezik a telepítésbe, és nyomja meg az Enter billentyűt.

5. lépés

A tanúsítvány letöltése

Személyes fiókjában létrehozott egy tanúsítványt, a telepítéshez le kell töltenie. Lépjen a Saját szolgáltatások "VPN-> Saját szolgáltatások" oldalra, és kattintson a "VPN-ügyfelek" elemre.

6. lépés

A tanúsítvány letöltése

A tanúsítvány letöltéséhez kattintson az OpenVPN ikonra.

7. lépés

A tanúsítvány letöltése

Amikor megkérdezi: "Szeretné menteni ezt a fájlt?", Kattintson a "Fájl mentése" gombra. A fájl letöltése megkezdődik.

8. lépés

A tanúsítvány letöltése

Mivel a tanúsítványoknak hosszú neve van, a kényelem érdekében átnevezheti rövidebbre.

9. lépés

Konfiguráció importálása

Az OpenVPN konfigurációt a következő paranccsal importálhatja: "sudo openvpn --config /home/my/Downloads/client.ovpn". Ahol a " / home / my / Downloads" a tanúsítványt tartalmazó mappa elérési útja, és a client.ovpn maga a tanúsítvány neve. Nyomja meg az Enter billentyűt.

10. lépés

Konfiguráció importálása

Ha szükséges, írja be a rendszerjelszót, majd nyomja meg ismét az Enter billentyűt. VPN csatlakozik, most bezárhatja a terminált, ez nem befolyásolja a VPN működését.

11. lépés

Leválasztás a hálózatról

Ha le szeretné tiltani a VPN -t, írja be a "sudo killall openvpn" parancsot a terminálon. Nyomja meg az Enter billentyűt.

12. lépés

Leválasztás a hálózatról

Ha szükséges, írja be a rendszerjelszót, majd nyomja meg ismét az Enter billentyűt. A VPN most le lesz tiltva.

13. lépés

Teljes mértékben kihasználjuk a VPN előnyeit

Gratulálunk! Sikerült VPN -t beállítani az Ubuntu -n! Most már biztonságos internet -hozzáféréssel és új IP -címmel rendelkezik!

Miért érdemes letölteni egy VPN -t Linuxon?

• Megbízható kapcsolatot, stabil sebességet és hozzáférést kap kedvenc tartalmaihoz
• A VPN böngésző kiterjesztésének telepítése csak a weboldalakra vonatkozik, ezek nem alkalmasak játékra és torrentek letöltésére
• A Linux for VPN segíti a felhasználók anonimitásának legmagasabb szintjének biztosítását azáltal, hogy a valódi IP -t a VPN -kiszolgáló IP -címével helyettesíti