Linux'ta bir vpn sunucusu kurmak. Ubuntu'ya VPN Yüklemek

Kısaltma VPN artık sadece bilgisayarla hiç ilgilenmemiş olanlar dışında duyulmuyor. Nedir, neden gereklidir ve kendiniz nasıl kurarsınız?

VPN nedir ve neden gereklidir?

VPN (Sanal Özel Ağ), fiziksel olarak birbirinden belirli bir mesafede bulunan birkaç bilgisayarı tek bir mantıksal ağda birleştirmenin bir yolu olan sanal bir özel ağdır.

VPN, iş / oyunlar için ağ oluşturmadan İnternet erişimine kadar farklı amaçlar için kullanılabilir. Bunu yaparken, eylemleriniz için olası yasal sorumluluğu anlamalısınız.

Rusya'da, kasıtlı olarak yasa dışı amaçlarla kullanım durumları dışında, VPN kullanımı cezalandırılabilir bir eylem değildir. Yani, komşu bir ülkenin (mesela Somali) cumhurbaşkanının internet sitesine gidip IP adresinizi gizlerken ne kadar kötü olduğunu yazmak isterseniz, bu başlı başına bir ihlal değildir (içeriği olması şartıyla). ifade yasaları ihlal etmiyor) ... Ancak Rusya'da yasaklanan kaynaklara erişmek için bu teknolojiyi kullanmak suçtur.

Yani ağ üzerinden arkadaşlarınızla oynayabilir ve bir VPN kullanarak kuruluşun ağında uzaktan çalışabilirsiniz, ancak her türlü kötü siteyi okuyamazsınız. Bununla düzeldi. Şimdi doğrudan kuruluma gidelim.

Ubuntu Linux'ta sunucu tarafını kurma

Sunucu tarafı için Linux kullanmak daha iyidir, bu konuda onunla çalışmak daha kolaydır. En basit seçenek PPTP'dir, istemci bilgisayarlara sertifika yüklenmesini gerektirmez, kimlik doğrulama gerçekleştirilir kullanıcı adı ve şifre ile... Onu kullanacağız.

İlk önce gerekli paketleri kurun:

Sudo nano /etc/pptpd.conf

100'den fazla eşzamanlı bağlantıya ihtiyacımız varsa, "bağlantılar" parametresini arayın, yorumunu kaldırın ve istediğiniz değeri belirtin, örneğin:

Bağlantılar 200

Eğer sanal ağ üzerinden yayın paketleri göndermemiz gerekiyorsa, bcrelay parametresinin de yorumsuz olduğundan emin olmalıyız:

Bcrelay eth1

Bundan sonra dosyanın sonuna gidin ve adres ayarlarını ekleyin:

Localip 10.10.10.1 remoteip 10.10.10.2-254 dinle 11.22.33.44

İlk parametre, sunucunun yerel ağdaki IP adresini, ikincisi, istemcilere verilen IP adresleri aralığını belirtir (aralık, belirtilen sayıda bağlantı olasılığını sağlamalıdır, adresleri bir marjla tahsis etmek daha iyidir) , üçüncüsü, gelen bağlantıları almak için hangi harici adresin arayüzleri dinleyeceğini belirtir. Yani birden fazla harici adres varsa, yalnızca bir tanesi dinlenebilir. Üçüncü parametre belirtilmezse, mevcut tüm harici adresler dinlenir.

Dosyayı kaydedin ve kapatın. / etc / ppp / pptpd-options dosyasında ek ince ayar ayarları belirtiyoruz:

Sudo nano / etc / ppp / pptpd seçenekleri

Her şeyden önce, eski ve güvenli olmayan kimlik doğrulama yöntemlerinin kullanımını yasaklayan yorumsuz satırlarımız olduğundan emin oluyoruz:

refuse-pap çöp-chap red-mschap

Ayrıca proxyarp seçeneğinin etkinleştirildiğini (ilgili satır yorumsuzdur) ve ayrıca bir kullanıcının birden fazla bağlantısına izin vermek veya yasaklamak, kilitleme seçeneğini yorumlamak (izin vermek) veya yorumunu kaldırmak (devre dışı bırakmak) için kontrol ederiz.

Ayrıca dosyayı kaydedip kapatıyoruz. Kullanıcıları oluşturmak için kalır:

Sudo nano / etc / ppp / bölüm sırları

Her VPN kullanıcısı için, adının, uzak adresinin, şifresinin ve yerel adresinin sırayla belirtildiği bir satır tahsis edilir (ayırıcı - boşluk).

Uzak adres, kullanıcının harici bir statik IP'si varsa ve yalnızca kullanılacaksa belirtilebilir, aksi takdirde bağlantıyı doğru bir şekilde kabul edebilmeniz için bir yıldız işareti belirtmek daha iyidir. Kullanıcıya sanal ağda aynı IP adresinin atanmasını istiyorsanız yerel belirtilmelidir. Örneğin:

Kullanıcı1 * şifre1 * kullanıcı2 11.22.33.44 şifre2 * kullanıcı3 * şifre3 10.10.10.10

Kullanıcı1 için, herhangi bir harici adresten bağlantılar kabul edilecektir, yerel adrese ilk uygun adres tahsis edilecektir. Kullanıcı2 için, ilk uygun yerel adresi tahsis edecektir, ancak bağlantılar yalnızca 11.22.33.44'ten kabul edilecektir. Kullanıcı3 için, bağlantılar herhangi bir yerden kabul edilir, ancak yerel adres her zaman onun için ayırdığımız 10.10.10.10 tahsis edilecektir.

Bu, VPN sunucusunun yapılandırmasını tamamlar, yeniden başlatın (Linux altında bilgisayarı yeniden başlatmanız gerekmez):

Sudo hizmeti pptpd yeniden başlatma

VPN İstemcilerini Yapılandırma

İstemci kısmı herhangi bir işletim sistemi için yapılandırılabilir, örnek olarak kullanacağım Ubuntu Linux 16.04.

İstemci bilgisayarda ağ bağlantılarını açın (ekran görüntüleri Ubuntu + Cinnamon için gösteriyor, GNOME için aynı şekilde yapılıyor, Kubuntu'da herhangi bir zorluk yaratmayacak gibi görünüyor). "Ekle" düğmesini tıklayın ve PPTP bağlantısını seçin:

VPN bağlantısının adını standart olarak bırakabilir veya sizin için uygun ve anlaşılır olanı belirtebilirsiniz - bu bir zevk meselesidir. "Ağ geçidi" alanına, bağlandığımız sunucunun harici IP adresini ("dinle" seçeneğinde ayarlarken belirtilir), adın ve şifrenin altına girin. Sağda, "Şifre" alanında, önce "Bu kullanıcı için şifreyi kaydet" seçeneğini seçmelisiniz):

Bundan sonra pencereleri kapatın ve sunucuya bağlanın. Sunucu yerel ağınızın dışındaysa, İnternet erişimine ihtiyacınız vardır.

Bu, sanal ağın organizasyonunu tamamlar, ancak bilgisayarları yalnızca yerel bir ağa bağlar. İnternete bir ağ sunucusu üzerinden erişmek için bir ayar daha yapmanız gerekir.

VPN üzerinden İnternet erişimini ayarlama

vpn sunucusunda aşağıdaki komutları girin:

Iptables -t nat -A POSTROUTING -o eth0 -s 10.10.10.1/24 -j MASQUERADE iptables -A FORWARD -s 10.10.10.1/24 -j KABUL ET -A FORWARD -d 10.10.10.1/24 -j KABUL

burada 10.10.10.1/24 yerel sunucu adresi ve ağ maskesidir.

Bundan sonra, sunucu yeniden başlatıldıktan sonra bile çalışabilmeleri için değişiklikleri kaydederiz:

Iptables-save

Ve tüm değişiklikleri uygulayın:

Iptables-apply

Bundan sonra, İnternet'e erişiminiz olacak. IP adresinizi gösteren herhangi bir siteye giderseniz, sizin değil (eşleşmiyorlarsa) harici sunucu adresini görürsünüz.

Eylemlerinizin sonuçlarından yalnızca sizin sorumlu olduğunuzu hatırlatırım.

Gerçek bir sanal özel ağ veya Sanal Özel Ağ (VPN), iki güvenilir noktayı birbirine bağlayan iki ağ arasında şifrelenmiş, birbirine bağlı bir tüneldir. Tüm istemciler tarafından güvenilir olarak kabul edilen web protokolü HTTPS değildir. Yalnızca özel erişim anahtarlarına sahip istemciler VPN'ye bağlanabilir.

VPN'ler, herkese güvenen sanal özel ağların ortaya çıkması ve HTTPS'nin yaygınlaşmasıyla bu günlerde çok yayıldı. Birçok VPN, uzaktan çalışan erişimi sağlamak için minimum yapılandırmaya sahip ticari çözümlerdir. Ancak herkes bu çözümlere güvenmiyor. Özel bir sanal ağ, iki ağı bir ofis ağı ve bir çalışanın ev ağı gibi bir ağda birbirine bağlar. VPN sunucusu, sunucu ve istemcinin birbiriyle kimlik doğrulaması yapabilmesi için gereklidir.

Sunucu ve istemci kimlik doğrulamasının yapılandırılması çok fazla çalışma gerektirir ve bu nedenle minimum ayarlara sahip ticari çözümler bu konuda başarısız olur. Ancak bir OpenVPN sunucusu kurmak gerçekten o kadar da zor değil. Bir test ortamı kurmak için farklı ağlarda iki düğüme ihtiyacınız olacak, örneğin birden fazla sanal makine veya gerçek sunucu kullanabilirsiniz. Zaten anladığınız gibi, bu makale tam teşekküllü bir özel sanal ağ oluşturmak için Ubuntu'da OpenVPN kurmayı ele alacaktır.

Her iki makinede de OpenVPN kurulu olmalıdır, oldukça popüler bir programdır, bu yüzden onu resmi depolardan yükleyebilirsiniz. Ayrıca özel anahtarlarla çalışmak için Easy-RSA'ya ihtiyacımız var. Ubuntu'ya program yüklemek için aşağıdaki komutu kullanın:

sudo apt openvpn kolay kurulum

Her iki paket de hem sunucuya hem de istemciye kurulmalıdır. Programı yapılandırmak için onlara ihtiyacınız olacak. Makalenin ilk aşaması olan openvpn kurulumu ve yapılandırması tamamlandı.

Bir sertifika yetkilisi kurma

Yapılacak ilk şey sunucu üzerinde doğru ortak anahtar altyapısını oluşturmaktır. Sunucuyu, kullanıcıların bağlanacağı makine olarak görüyoruz. Kendi CA'nıza sahip olmanın çeşitli faydaları vardır.Anahtarları dağıtmayı ve yönetmeyi kolaylaştıran kendi CA'nıza sahip olacaksınız. Örneğin, bir sunucudaki istemci sertifikalarını iptal edebilirsiniz. Ayrıca, artık tüm istemci sertifikalarını saklamanız gerekmez, sertifika yetkilisinin yalnızca sertifikanın bir CA tarafından imzalandığını bilmesi gerekir. Karmaşık bir anahtar sistemine ek olarak, yalnızca birkaç kullanıcıya erişim izni vermeniz gerekiyorsa statik anahtarları kullanabilirsiniz.

Tüm özel anahtarların güvenli bir yerde saklanması gerektiğini lütfen unutmayın. OpenVPN'de genel anahtara sertifika denir ve .crt uzantısına sahiptir ve özel anahtara anahtar denir, uzantısı .key'dir.

İlk olarak, Easy-RSA sertifikalarını depolamak için bir klasör oluşturun. Aslında, OpenVPN yapılandırması manuel olarak yapılır, böylece klasör herhangi bir yere yerleştirilebilir:

sudo mkdir / etc / openvpn / kolay-rsa

Ardından, gerekli tüm easy-rsa komut dosyalarını bu klasöre kopyalayın:

cd / etc / openvpn / kolay-rsa /

sudo -i
# kaynak ./vars
# ./hepsini temizle
# ./build-ca

İlk komutta superuser adına konsola geçiyoruz, ikinci komutta ortam değişkenlerini. / Vars dosyasından yüklüyoruz. / Clear-all komutu, eğer mevcut değilse, anahtarlar klasörünü oluşturur ve içeriğini temizler. Ve son komut, sertifika yetkilimizi başlatacak. Artık gerekli tüm anahtarlar .keys klasöründe göründü:

İstemci sertifikalarını yapılandırma

sudo cp -R / usr / paylaşım / kolay-rsa / etc / openvpn /

Şimdi sertifikayı, .crt dosyasını tüm istemcilerde / etc / openvpn klasörüne kopyalamamız gerekiyor. Örneğin, istemcimiz için bu dosyayı scp kullanarak indirelim:

sudo scp kullanıcısı @ ana bilgisayar: /etc/openvpn/easy-rsa/keys/ca.crt / etc / openvpn / easy-rsa / tuşlar

Ancak şimdi CA sertifikasına dayalı olarak kendi özel anahtarınızı oluşturabilirsiniz:

cd / etc / openvpn / kolay-rsa /

sudo -i
# kaynak ./vars
# build-req Sergiy

Lütfen ca.crt'nin anahtarlar klasöründe olması gerektiğini unutmayın, aksi takdirde hiçbir şey çalışmayacaktır. Şimdi yardımcı program, OpenVPN sunucusuna bağlanabileceğiniz, ancak yine de sunucuda imzalamanız gereken bir anahtar oluşturacaktır. Ortaya çıkan .csr dosyasını aynı scp'yi kullanarak sunucuya gönderin:

scp /etc/openvpn/easy-rsa/keys/Sergiy.csr kullanıcı @ ana bilgisayar: ~ /

Ardından, sunucuda, / etc / openvpn / easy-rsa klasöründe, sertifika imzalama komutunu çalıştırmanız gerekir:

./sign-req ~ / Sergiy

Sertifikanın imzası onaylanmalıdır. Ardından program imzalandığını ve veritabanına eklendiğini bildirecektir. .crt dosyası, istemci makineye geri döndürülmesi gereken csr sertifikasına sahip klasörde görünecektir:

sudo scp user @ host: /home/Sergiy.crt / etc / openvpn / easy-rsa / tuşlar

Ancak bundan sonra sunucu ve istemci, bağlantı kurmak ve iletişim kurmak için gerekli tüm anahtarlara sahip olur. Hala birkaç ayar kaldı. TLS şifrelemesini kullanmayı planlıyorsanız, sunucuda bir Diffie-Huffman veri kümesi oluşturmanız gerekir, bunun için şu komutu kullanın:

OpenVPN kurulumu

Şimdi OpenVPN sunucusunu kurun. Varsayılan olarak, OpenVPN yapılandırma dosyaları klasöründe hiçbir şey yoktur. Yapılandırmayı planladığınız şeye, bir sunucuya veya bir istemciye bağlı olarak bunları kendiniz oluşturmanız gerekir. Gerekli OpenVPN yapılandırma dosyası / usr / share / doc / openvpn / example / sample-config-files / adresinde bulunabilir. Öncelikle sunucu için bir yapılandırma dosyası oluşturalım:

zcat /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | sudo tee /etc/openvpn/server.conf

Burada ince ayar yapmanız gereken birkaç parametre var:

Liman ve proto- program tarafından kullanılan bağlantı noktası ve protokol;

bağlantı noktası 1194
ön udp

Oluşturulan tüm anahtarlar yapılandırma dosyasına kaydedilmelidir. Anahtarlarımız / etc / openvpn / easy-rsa / tuşlarında saklanır:

sertifika /etc/openvpn/kolay-rsa/keys/ca.crt
anahtar /etc/openvpn/easy-rsa/keys/ca.key
dh /etc/openvpn/kolay-rsa/keys/dh.pem

Sanal ağ için adres aralığını yapılandırıyoruz, sunucumuz bunlardan ilkinde mevcut olacak - 10.8.0.1:

sunucu 10.8.0.0 255.255.255.0

Yapılandırmayı tamamladıktan sonra değişiklikleri dosyaya kaydedin, tüm bu yapılandırmayı kendiniz yapıştırabilir veya örnek dosyayı düzenleyebilirsiniz. Hazır çalışan sunucu ayarları:

bağlantı noktası 1194
ön udp
comp-lzo
geliştirici
ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt
sertifika /etc/openvpn/easy-rsa/2.0/keys/ca.crt
dh /etc/openvpn/easy-rsa/2.0/keys/dh2048.pem
topoloji alt ağı
sunucu 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt

sudo cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/client.conf

Farklı sunuculara bağlanmak için birden çok istemci yapılandırma dosyası oluşturabilirsiniz. Yapılandırma dosyasını açın ve içindeki aşağıdaki parametreleri değiştirin:

uzak- bu, OpenVPN sunucu adresinizdir, adres ve bağlantı noktası, sunucuda yapılandırılanlarla eşleşmelidir, örneğin:

uzak 194.67.215.125 1194

CA- sertifika yetkilisinden aldığınız anahtarı /etc/openvpn/klasörüne yerleştirdik.

sertifika ve anahtar- bunlar istemcinin genel ve özel anahtarlarıdır, bunların yardımıyla sunucuya bağlanacaksınız. Hatırladığınız gibi /etc/openvpn/easy-rsa/keys/klasörüne kaydetmiştik.

ca /etc/openvpn/easy-rsa/keys/ca.crt

Ayarların geri kalanı olduğu gibi bırakılabilir. İşte kopyalayabileceğiniz tam yapılandırma dosyası:

müşteri
geliştirici
ön udp
uzak 194.67.215.125 1194
çözümleme-tekrar deneme sonsuz
nobind
kalıcı anahtar
ısrarlı
ca /etc/openvpn/easy-rsa/keys/ca.crt
sertifika /etc/openvpn/kolay-rsa/keys/Sergiy.crt
anahtar /etc/openvpn/kolay-rsa/keys/Sergiy.key
tls-auth ta.key 1
comp-lzo
fiil 3

Ayarları kaydedin, istemci artık bağlanmaya hazırdır. Lütfen yapılandırma dosyalarının mümkün olduğunca eşleşmesi gerektiğini unutmayın, dosyalardan birinde belirli seçeneklerin olmaması hatalara yol açabilir. Bu, dosyaların aynı olacağı anlamına gelmez, ancak openvpn'nin temel parametreleri aynı olmalıdır. Bu yapılandırma dosyasını kullanarak bu makinede OpenVPN'i çalıştırmanız yeterlidir:

openvpn /etc/openvpn/client.conf

Bitti, şimdi her şey çalışıyor, ifconfig'i çalıştırırsanız, tun0 arayüzünün eklendiğini göreceksiniz:

10.8.0.1 adreslerine ping atmayı da deneyebilirsiniz, bu OpenVPN sunucumuz için yapılandırdığımız adrestir, ping paketleri normal olarak gönderilecektir. Paketler gelmiyorsa veya başka bir şey çalışmıyorsa, her iki programın çıktısına dikkat edin, belki herhangi bir hata veya uyarı vardır, ayrıca sunucunun güvenlik duvarının port 1194 için udp üzerinden harici erişime izin verdiğinden emin olun. sunucuyu veya istemciyi başlatın, yapılandırmadaki ayrıntı düzeyini maksimum fiil 9'a ayarlayın. Bu, çoğu zaman bir şeyin neden çalışmadığını anlamaya yardımcı olur. Ancak henüz trafiği tünelden geçiremezsiniz. Bunu yapmak için yönlendirmeyi etkinleştirmeniz ve bazı iptables kuralları eklemeniz gerekir. İlk olarak, sunucudaki paketlerin geçişine izin veriyoruz:

sysctl -w net.ipv4.ip_forward = 1

Sonra bunun gibi kurallar ekleyin. Herkesin sunucumuza bağlanmasına izin veriyoruz:

iptables -A GİRİŞ -p udp --dport 1194 -j KABUL

OpenVPN kullanıcılarının İnternet'e erişmesine izin veriyoruz:

iptables -I İLERİ -i tun0 -o eth0 -j KABUL
# iptables -I FORWARD -i eth0 -o tun0 -j KABUL
# iptables -t nat -A POSTROUTING -o eth0 -j MASKELEME

sonuçlar

Bu makalede, OpenVPN Ubuntu'nun nasıl kurulacağına ve yapılandırılacağına ve ayrıca openvpn'nin anahtar kimlik doğrulaması ile çalışacak şekilde nasıl yapılandırılacağına baktık. Özel sanal ağların organizasyonu sadece kuruluşlarda değil, iki bilgisayarınız arasında veri alışverişi yapmak veya ağdaki güvenliği artırmak için de çok faydalı olabilir.

Bir otel veya kafenin WiFi üzerinden güvenli olmayan bir ağa bağlanırken akıllı telefonunuzdan veya dizüstü bilgisayarınızdan güvenli ve güvenli bir İnternet erişimine sahip olmak ister misiniz? Sanal Özel Ağ (VPN), güvenli olmayan ağları özel bir ağdaymış gibi kullanmanızı sağlar. Bu durumda tüm trafiğiniz VPN sunucusundan geçer.

Bir HTTPS bağlantısının kullanımıyla birlikte, aşağıda açıklanan ayarlar, satın alma işlemlerinizin yanı sıra oturum açma bilgileriniz ve parolalarınız gibi özel bilgilerinizin güvenliğini sağlamanıza olanak tanır. Ayrıca, bölgesel kısıtlamaları ve sansürü atlayabilir, konumunuzu ve şifrelenmemiş HTTP trafiğini güvenli olmayan bir ağdan gizleyebilirsiniz.

Android cihazınızı USB üzerinden bilgisayarınıza bağlayıp dosyayı kopyalayarak bilgisayarınızdan telefonunuza bir profil aktarabilirsiniz. Profil dosyasını bir SD kart kullanarak, profili karta kopyalayıp kartı Android cihazınıza takarak da taşıyabilirsiniz.

OpenVPN uygulamasını başlatın ve profili içe aktarmak için menüye tıklayın.

Birleştirmek

Bağlantı kurmak için düğmeye basın. Bağlamak... OpenVPN uygulamasına güvenip güvenmediğiniz sorulacak. Cevap Tamam bağlantı kurmak için. Bağlantıyı durdurmak için OpenVPN uygulamasına gidin ve bağlantıyı kes.

Adım 13. VPN bağlantısını test etme

Her şey yüklenip yapılandırıldıktan sonra her şeyin doğru çalıştığından emin olalım. VPN bağlantısı kurmadan bir tarayıcı açın ve DNSLeakTest'e gidin.

Bu site, ISS'niz tarafından size atanan IP adresini döndürür. Hangi DNS sunucularının kullanımda olduğunu kontrol etmek için, üzerine tıklayın. Genişletilmiş Test.

Şimdi VPN istemcinizi kullanarak bir bağlantı kurun ve tarayıcınızda sayfayı yenileyin. Size verilen IP adresi tamamen farklı olmalıdır. Artık bu yeni IP adresini İnternet'teki herkes için kullanıyorsunuz. Tıklamak Genişletilmiş Test DNS ayarlarınızı kontrol etmek ve şimdi VPN'nizin DNS sunucusunu kullandığınızdan emin olmak için tekrar.

Adım 14. İstemci sertifikalarını iptal etme

VPN sunucusuna erişimi engellemek için zaman zaman istemci sertifikasını iptal etmeniz gerekebilir.

Bunu yapmak için sertifika yetkilisi dizininize gidin ve komutları girin:

• cd ~ / openvpn-ca
• kaynak değişir

• ./revoke-full client3

Bu komutun çıktısı 23 hatasıyla sona erecektir. Bu normaldir. Sonuç olarak, sertifika iptali için gerekli bilgilerle birlikte anahtarlar dizininde crl.pem dosyası oluşturulacaktır.

Bu dosyayı / etc / openvpn dizinine taşıyın:

• sudo cp ~ / openvpn-ca / anahtarlar / crl.pem / etc / openvpn

• sudo nano /etc/openvpn/server.conf

Dosyanın sonuna crl-verify ekleyin. OpenVPN sunucusu, biri sunucuya her bağlandığında CRL'yi kontrol edecektir.

/etc/openvpn/server.conf

Crl-doğrulama crl.pem

Dosyayı kaydedin ve kapatın.

Sertifika iptal işlemini tamamlamak için OpenVPN'i yeniden başlatın:

• sudo systemctl yeniden başlat [e-posta korumalı]

Artık istemci, eski sertifikayı kullanarak OpenVPN sunucusuyla bağlantı kuramaz.

Ek sertifikaları iptal etmek için şu adımları izleyin:

~ / openvpn-ca dizinindeki source vars komutunu kullanarak ve istemcinin adıyla revoke-full komutunu yürüterek yeni bir iptal listesi oluşturun.

Eski listenin üzerine yazarak yeni CRL'yi / etc / openvpn'ye kopyalayın.

OpenVPN hizmetini yeniden başlatın.

Bu prosedür, daha önce oluşturduğunuz sertifikaları iptal etmek için kullanılabilir.

Çözüm

Tebrikler! Artık internete güvenle erişebilirsiniz, tüm trafiğiniz sansürcüler ve davetsiz misafirler tarafından telefon dinlemeye karşı korunur.

Ek istemcileri yapılandırmak için adımları tekrarlayın 6 ve 11-13 her yeni cihaz için. Belirli bir istemcinin erişimini iptal etmek için şu adımı kullanın: 14 .

Önceki bölümlerdeki teorik konuları ele aldıktan sonra, pratik uygulamaya geçelim. Bugün Ubuntu Sunucu platformunda bir PPTP VPN sunucusu oluşturmaya bakacağız. Bu materyal, Linux becerisine sahip okuyucular için tasarlanmıştır, bu nedenle ağ yapılandırması vb. gibi diğer makalelerde açıkladığımız şeylerden rahatsız olmayacağız. Zorluklar yaşıyorsanız - önce diğer materyallerimizi inceleyin.

Uygulaması en kolay olan PPTP'li VPN ile pratik tanışmamıza başlayacağız. Ancak bunun zayıf güvenli bir protokol olduğunu ve kritik verilere erişmek için kullanılmaması gerektiğini unutmayın.

Bu teknolojiyi pratik bir şekilde tanımak için test laboratuvarımızda oluşturduğumuz devreyi düşünün:

10.0.0.0/24 yerel ağımız var ve 10.0.0.2 ve 10.0.0.1 terminal sunucusu ile VPN sunucusu görevi görecek, VPN için 10.0.1.0/24 ağını ayırdık. Harici sunucu arabirimi, koşullu özel bir IP adresine sahiptir X.X.X.X. Amacımız, uzak istemcilere terminal sunucusuna ve üzerindeki paylaşılan kaynaklara erişim sağlamaktır.

PPTP sunucu kurulumu

PPTP VPN işlevini uygulayan pptpd paketini kurun:

Sudo apt-get install pptpd

Şimdi dosyayı açalım /etc/pptpd.conf ve VPN sunucusu için temel ayarları yapın. VPN ağındaki sunucu adresini belirttiğimiz dosyanın en sonuna gidelim:

Yerelip 10.0.1.1

Ve müşterilere verilecek adres aralığı:

Uzak ip 10.0.1.200-250

Adreslerin, pptpd'yi yeniden başlatmadan artışları mümkün olmadığı için, tercihen küçük bir marjla, mümkün olduğunca çok sayıda eşzamanlı bağlantı tahsis edilmesi gerekir. Ayrıca şu satırı buluyor ve yorumunu kaldırıyoruz:

Bcrelay eth1

Bu, VPN istemcilerinin paketleri dahili ağda yayınlamasına olanak tanır.

seçenekleri de kullanabilirsiniz dinlemek ve hız, ilki, gelen PPTP bağlantılarını dinlemek için yerel arabirimin IP adresini belirtmenize, ikincisi ise VPN bağlantılarının hızını bps cinsinden belirtmenize olanak tanır. Örneğin, sunucunun yalnızca harici arabirimden PPTP bağlantılarını kabul etmesine izin verelim:

X.X.X.X'i dinleyin

Dosyada daha ince ayarlar var / etc / ppp / pptpd seçenekleri... Varsayılan ayarlar gereksinimlerimizle oldukça tutarlıdır, ancak amaçları hakkında bir fikriniz olması için bazılarını kısaca gözden geçireceğiz.

Bölüm #Şifreleme veri şifreleme ve kimlik doğrulamasından sorumludur. Bu seçenekler, eski ve güvenli olmayan PAP, CHAP ve MS-CHAP protokollerinin kullanımını yasaklar:

çöp kutusu
çöp adam
red-mschap

Require-mschap-v2
gereksinim-mppe-128

Sonraki bölüm #Ağ ve Yönlendirme, burada seçeneğe dikkat etmelisiniz ms-dns bu, dahili ağda bir DNS sunucusunun kullanılmasına izin verir. Bu, ağın etki alanı yapısı veya ağdaki tüm bilgisayarların adlarını içeren bir DNS sunucusunun bulunması durumunda, bilgisayarlara yalnızca IP ile değil, adlarıyla atıfta bulunmayı mümkün kıldığı zaman yararlı olabilir. Bizim durumumuzda, bu seçenek işe yaramaz ve yorumlanmıştır. Benzer şekilde, seçeneği ile WINS sunucusunun adresini ayarlayabilirsiniz. ms-wins.

İşte seçenek proxyarp, adından da anlaşılacağı gibi sunucu desteği dahil Proxy ARP'si.

Bölümde #Çeşitli bir seçenek içerir kilit, bu da istemciyi tek bir bağlantıyla sınırlar.

İvanov * 123 *
petrov * 456 10.0.1.201

İlk giriş, ivanov kullanıcısının 123 şifresiyle sunucuya bağlanmasına izin verir ve ona isteğe bağlı bir IP adresi atar, ikincisi, bağlantı üzerine 10.0.1.201 kalıcı adresi atanacak olan 456 şifresiyle petrov kullanıcısını oluşturur.

Tekrar başlat pptpd:

Sudo /etc/init.d/pptpd yeniden başlatma

Önemli Not! Eğer pptpd yeniden başlatmak istemiyor, başlangıçta donuyor, ancak / var / günlük / sistem günlüğü satır ekleme uzun yapılandırma dosyası satırı yoksayıldı dosyanın sonuna eklediğinizden emin olun /etc/pptpd.conf satır sonu.

Sunucumuz gitmeye hazır.

İstemci Bilgisayarları Yapılandırma

Genel olarak, VPN bağlantısını varsayılan seçeneklerle yapılandırmanız yeterlidir. Ancak, bağlantı türünü açıkça belirtmenizi ve gereksiz şifreleme protokollerini devre dışı bırakmanızı öneririz.

Ayrıca, ağın yapısına bağlı olarak, statik yolları ve varsayılan ağ geçidini belirtmelisiniz. Bu sorular önceki bölümlerde ayrıntılı olarak tartışıldı.

Bir VPN bağlantısı kuruyoruz ve yerel ağdaki herhangi bir PC'ye ping atmaya çalışıyoruz, terminal sunucusuna sorunsuz bir şekilde eriştik:

Şimdi bir önemli ekleme daha. Çoğu durumda, yerel ağdaki bilgisayarlara erişim yalnızca IP adresleri ile mümkün olacaktır, yani. \\ 10.0.0.2 yolu çalışacak, ancak \\ SERVER çalışmayacak. Bu, kullanıcılar için uygunsuz ve olağandışı olabilir. Bu sorunu çözmenin birkaç yolu vardır.

Yerel ağ bir etki alanı yapısına sahipse, etki alanı denetleyicisinin DNS sunucusuna VPN bağlantısı için DNS sunucusunu belirtmeniz yeterlidir. Seçeneği kullan ms-dns v / etc / ppp / pptpd seçenekleri sunucu ve ayar verileri istemci tarafından otomatik olarak alınacaktır.

Yerel ağda DNS sunucusu yoksa, bir WINS sunucusu oluşturabilir ve kullanabilirsiniz, seçeneği kullanarak bununla ilgili bilgiler de istemcilere otomatik olarak aktarılabilir. ms-wins... Ve son olarak, birkaç uzak istemci varsa, istemci bilgisayarlardaki dosyaları kullanın ev sahibi(C:\Windows\System32\sürücüler\vb\hosts) gibi satırları eklemelisiniz.

Aşama 1

Komut satırını açma

En kolay yol, Ctrl + Alt + T tuşlarına aynı anda basarak bir terminal açmaktır, ancak Terminal'i Ana Menü'den de başlatabilirsiniz.

Adım 2

OpenVPN Network Manager eklentisini kurmak için komut satırına tırnak işaretleri olmadan şu komutu girin: "sudo apt-get install network-manager-openvpn-gnome". Enter'a basın.

Aşama 3

OpenVPN Ağ Yöneticisi eklentisini yükleyin

Gerekirse sistemden şifreyi girin ve tekrar Enter'a basın.

4. Adım

OpenVPN Ağ Yöneticisi eklentisini yükleyin

Yüklemeyi kabul ettiğiniz anlamına gelen "Y" yazın ve Enter'a basın.

Adım 5

Sertifikanın indirilmesi

Kişisel hesabınızda bir sertifika oluşturdunuz, kurulum için indirmeniz gerekiyor. Hizmetlerim "VPN-> Hizmetlerim"e gidin ve "VPN istemcileri"ne tıklayın.

6. Adım

Sertifikanın indirilmesi

Sertifikayı indirmek için OpenVPN simgesine tıklayın.

7. Adım

Sertifikanın indirilmesi

"Bu dosyayı kaydetmek ister misiniz?" sorulduğunda, "Dosyayı Kaydet"e tıklayın. Dosyanın indirilmesi başlayacaktır.

8. Adım

Sertifikanın indirilmesi

Sertifikaların uzun adları olduğundan, kolaylık olması için önceden daha kısa bir adla yeniden adlandırabilirsiniz.

9. Adım

Yapılandırmayı içe aktar

OpenVPN yapılandırmasını aşağıdaki "sudo openvpn --config /home/my/Downloads/client.ovpn" komutuyla içe aktarabilirsiniz. Burada "/ home / benim / İndirilenler", sertifikanın bulunduğu klasörün yoludur ve client.ovpn, sertifikanın kendisinin adıdır. Enter'a basın.

Adım 10

Yapılandırmayı içe aktar

Gerekirse sistem parolasını girin ve tekrar Enter'a basın. VPN bağlandı, artık terminali kapatabilirsiniz, VPN çalışmasını etkilemeyecektir.

11. Adım

Ağ bağlantısının kesilmesi

VPN'yi devre dışı bırakmak istiyorsanız, terminalde "sudo killall openvpn" komutunu girin. Enter'a basın.

Adım 1/2

Ağ bağlantısının kesilmesi

Gerekirse sistem parolasını girin ve tekrar Enter'a basın. VPN şimdi devre dışı bırakılacak.

Adım 13

Bir VPN'den tam olarak yararlanma

Tebrikler! Ubuntu'da bir VPN kurmayı başardınız! Artık internete güvenli erişiminiz ve yeni bir IP'niz var!

Linux'ta neden bir VPN indirmeye değer?

• Güvenilir bir bağlantı, sabit hız ve favori içeriğinize erişim elde edeceksiniz.
• VPN tarayıcı uzantısını yüklemek yalnızca web sayfaları için geçerlidir, oyun oynamak ve torrent indirmek için uygun değildirler.
• Linux için VPN, gerçek IP'yi VPN sunucusunun IP adresiyle değiştirerek kullanıcılar için en yüksek düzeyde anonimlik sağlamaya yardımcı olur