Openvpn ceea ce ai nevoie pentru a lucra. Organizarea canalelor între birouri folosind OpenVPN cu protecție suplimentară prin parolă. De ce am ales OpenVPN

— implementare gratuită a tehnologiei Virtual Private Network (VPN) cu deschidere cod sursa pentru a crea canale criptate punct la punct sau server-client între computere. Vă permite să stabiliți conexiuni între computere în spatele unui firewall NAT fără a fi nevoie să le schimbați setările. OpenVPN a fost creat de James Yonan și este licențiat sub GNU GPL.

În acest articol, într-o formă simplă și accesibilă, vom încerca să vă spunem cum să vă configurați propriul server OpenVPN. Nu intenționăm ca până la sfârșitul citirii acestui articol să înțelegeți temeinic toate principiile „cum funcționează” sau să înțelegeți complexitățile rețelei, dar ne dorim ca, ca rezultat, să puteți configura un server OpenVPN de la zgârietură. Deci acest articol poate fi considerat un fel ghid pas cu pas pentru utilizatori. De fapt, există o mulțime de documentație și manuale pe Internet dedicate implementării OpenVPN, dar acestea fie sunt destinate utilizatorilor instruiți, fie administratorii de sistem, sau sistemele Linux sunt folosite ca exemplu pentru demonstrație. Vom merge invers și vă vom spune cum să configurați OpenVPN pe computerul utilizatorului obișnuit, adică. stație de lucru cu sistemul de operare Windows instalat. De ce ai putea avea nevoie de aceste informații? Ei bine, de exemplu, vrei să joci cu prietenii un joc care nu acceptă jocul prin Internet, ci doar prin retea locala, sau, de exemplu, sunteți angajat în asistență pentru utilizatori la distanță, dar din anumite motive utilizați software cum ar fi TeamViewer sau Ammyy Admin, nu vrei, pentru că... Nu doriți ca servere terțe să fie implicate în procesul de transfer al datelor sau de stabilire a unei conexiuni. În orice caz, experiență practică în organizarea proprie rețea virtuală privată(VPN) vă va fi util.

Ajustarea serverului

Deci, să începem. În exemplul nostru, o mașină cu Windows XP Professional SP3 (x86) instalat va acționa ca un server OpenVPN, iar mai multe mașini cu Windows 7 x64 și Windows 7 x86 vor servi drept clienți (deși, de fapt, schema descrisă în articol va funcționa pe alte configurații). Să presupunem că computerul care va acționa ca server OpenVPN are o adresă IP statică albă pe Internet (dacă adresa IP furnizată de furnizorul dvs. este dinamică, atunci trebuie să vă înregistrați cu DynDNS sau Fără IP), dacă această condiție este îndeplinită, dar PC-ul se află în spatele unui router sau firewall hardware, va trebui să redirecționați porturile necesare (vom vorbi despre asta mai jos, când trecem direct la configurarea serverului), dacă aveți habar n-am ce este și pentru ce este folosit, vă recomandăm să citiți articolul de pe site-ul nostru.

1. Mergem pe site-ul oficial al proiectului OpenVPN, la secțiunea Descărcări -. Descărcați de acolo distribuția corespunzătoare versiunii dumneavoastră de operare Windows (instalator pe 32 de biți sau 64 de biți). La momentul scrierii acestui articol, distribuția openvpn-install-2.3_rc1-I002-i686.exe era disponibilă pentru sistemele de operare pe 32 de biți și, respectiv, openvpn-install-2.3_rc1-I002-x86_64.exe pentru sistemele de operare pe 64 de biți . Deoarece Am decis că vom instala serverul pe WinXP x86, adică. pe un sistem de operare pe 32 de biți, apoi descărcați distribuția de pe primul link.
2. Lansați programul de instalare descărcat. În etapa în care este selectată calea de instalare, introduceți C:\OpenVPN(vezi captura de ecran), acest lucru ne va ușura configurarea în viitor: apoi faceți clic pe „Următorul” până când instalarea este completă. Dacă în timpul procesului de instalare, în etapa de selectare a unei componente de instalat, ați avut „ fereastra goala", de exemplu, aceasta:
   Apoi, se pare, ați descărcat distribuția „greșită”, caz în care încercați să descărcați cea mai recentă versiune a openvpn-2.2.2-install.exe (este instalat atât pe sistemele x86, cât și pe x64). Când este instalată corect, fereastra de selecție a componentelor ar trebui să arate astfel:
   Toate casetele de selectare din el sunt bifate în mod implicit atunci când sunt instalate, nu trebuie schimbat nimic suplimentar. Dacă instalarea a avut succes, atunci în Panoul de control -> Conexiuni de rețea (sau, dacă instalați serverul pe Windows 7 sau Windows Vista, la Centrul de partajare a rețelei și acces partajat-> Modificarea parametrilor adaptorului) ar trebui să vedeți adaptorul TAP-Win32 V9, care se va numi „Conexiune la zonă locală X” (X este un număr atribuit automat de sistem):
   Starea acestuia va fi „Cablu de rețea neconectat”, deoarece Nu ne-am configurat încă serverul.
3. Creăm un subfolder SSL în folderul OpenVPN cheile și certificatele emise de server vor fi stocate în acesta. Apoi, lansați notepad și copiați următorul text în el: #dev tun dev atingeți #dev-node „VPN” proto tcp-server #proto udp port 7777 tls-server server 10.10.10.0 255.255.255.0 comp-lzo # route-method exe # ruta pentru server pentru a vedea rețelele din spatele clientului # ruta 192.168.x.0 255.255.255.0 10.10.10.x # ruta adăugată la tabelul de rutare al fiecărui client pentru a vedea rețeaua din spatele serverului # push "route 192.168.x .0 255.255.255.0 " # permite clienților vpn să se vadă între ei, altfel toți clienții vpn vor vedea doar directorul de la server la client # cu descrieri ale configurațiilor fiecărui client client-config-dir C:\\OpenVPN\ \config\\ ccd # fișier care descrie rețelele dintre client și server ifconfig-pool-persist C:\\OpenVPN\\config\\ccd\\ipp.txt # căi pentru cheile și certificatele de server dh C:\\OpenVPN \\ssl\\dh1024 .pem ca C:\\OpenVPN\\ssl\\ca.crt cert C:\\OpenVPN\\ssl\\Server.crt cheie C:\\OpenVPN\\ssl\\Server.key #persist-key tls- auth C:\\OpenVPN\\ssl\\ta.key 0 tun-mtu 1500 tun-mtu-extra 32 mssfix 1450 keepalive 10 120 status C:\\OpenVPN\\log\\openvpn-status .log log C:\ \OpenVPN\\log\\openvpn.log verb 3 Ne vom opri asupra parametrilor descriși aici puțin mai târziu. Apoi îl salvăm într-un fișier C:\OpenVPN\Config\Server.ovpn, vă rugăm să rețineți că fișierul trebuie să aibă extensia .ovpn, pentru aceasta, opțiunile din dialogul de salvare ar trebui să fie exact așa cum se arată în imagine:
   Dacă rulați Windows 7 / Windows Vista și Notepad nu vă permite să salvați fișierul Server.ovpnîntr-un folder C:\OpenVPN\Config\, ceea ce înseamnă că trebuie să îl rulați cu drepturi de administrator. Pentru a face acest lucru, faceți clic dreapta pe comanda rapidă Notepad din meniul Start și selectați „Run as administrator”: Acum vom crea și un fișier folosind notepad C:\OpenVPN\easy-rsa\vars.bat, copiend următorul text în el: @echo off set path=%path%;c:\OpenVPN\bin set HOME=c:\OpenVPN\easy-rsa set KEY_CONFIG=openssl.cnf set KEY_DIR=c:\OpenVPN\ssl set KEY_SIZE=1024 set KEY_COUNTRY=RU set KEY_PROVINCE=Kaluga set KEY_CITY=Kaluga set KEY_ORG=CompKaluga set KEY_EMAIL=decker@site Și, de asemenea, fișierul C:\OpenVPN\easy-rsa\openssl.cnf: # # Exemplu de fișier de configurare OpenSSL. # Acesta este utilizat în principal pentru generarea de cereri de certificat. # # Această definiție se oprește următoarele liniile se sufocă dacă HOME nu este # definit. HOME = . RANDFILE = $ENV::HOME/.rnd # Informații suplimentare despre IDENTIFICATORUL OBIECTULUI: #oid_file = $ENV::HOME/.oid oid_section = new_oids # Pentru a utiliza acest fișier de configurare cu Opțiunea „-extfile” a utilitarului # „openssl x509”, numiți aici secțiunea care conține extensiile # X.509v3 de utilizat: # extensii = # (Ca alternativă, utilizați un fișier de configurare care are doar # extensii X.509v3 în principal [= implicit] secțiune.) [ new_oids ] # Putem adăuga noi OID-uri aici pentru a fi utilizate de „ca” și „req”. # Adăugați un OID simplu ca acesta: # testoid1=1.2.3.4 # Sau utilizați înlocuirea fișierului de configurare astfel: # testoid2=$(testoid1).5.6 ################## #################################################################### [ ca ] default_ca = CA_default # Secțiunea implicită ca ################################################################ # ############################ [ CA_default ] dir = $ENV::KEY_DIR # Unde se păstrează totul certs = $dir # Unde sunt păstrate certificatele emise crl_dir = $dir # Unde sunt păstrate crl-urile emise baza de date = $dir/index.txt # fișierul index al bazei de date. new_certs_dir = $dir # loc implicit pentru certificatele noi. certificat = $dir/ca.crt # Seria certificatului CA = $dir/serial # Numărul de serie curent crl = $dir/crl.pem # Cheia_privată CRL curentă = $dir/ca.key # Cheia privată RANDFILE = $ dir/.rand # fișier privat cu numere aleatoare x509_extensions = usr_cert # Extensiile de adăugat la certificat # Extensii de adăugat la un CRL. Notă: comunicatorul Netscape se sufocă pe CRL-urile V2 #, așa că acest lucru este comentat în mod implicit pentru a lăsa un CRL V1. # crl_extensions = crl_ext default_days = 3650 # cât timp se certifică pentru default_crl_days= 30 # cât timp înainte de următorul CRL default_md = md5 # ce md să folosească. preserve = nu # păstrează ordinea DN trecută # Un mod diferit de a specifica cât de asemănătoare ar trebui să arate cererea # Pentru tipul CA, atributele enumerate trebuie să fie aceleași, iar câmpurile opționale # și furnizate sunt doar atât:-) policy = policy_match # Pentru politica CA [ policy_match ] countryName = potrivire stateOrProvinceName = potrivire organizationName = potrivire organizationalUnitName = opțional commonName = furnizat emailAddress = opțional # Pentru politica „orice” # În acest moment, trebuie să enumerați toate tipurile de „obiect” acceptabile . [ policy_anything ] countryName = opțional stateOrProvinceName = opțional localityName = opțional organizationName = opțional organizationalUnitName = opțional commonName = furnizat emailAddress = opțional ########################## ########################################## [req ] default_bits = $ENV : :KEY_SIZE default_keyfile = privkey.pem distinguished_name = req_distinguished_name attributes = req_attributes x509_extensions = v3_ca # Extensiile de adăugat la certificatul autosemnat # Parolele pentru cheile private, dacă nu sunt prezente, li se va solicita # input_password = secret # output_password = secret # Acestea setează o mască pentru tipurile de șir permise. Există mai multe opțiuni. # implicit: PrintableString, T61String, BMPString. # pkix: PrintableString, BMPString. # utf8only: numai UTF8Strings. # nombstr: PrintableString, T61String (fără BMPStrings sau UTF8Strings). # MASK:XXXX o valoare literală a măștii. # AVERTISMENT: versiunile actuale de Netscape se blochează pe BMPStrings sau UTF8Strings # așa că utilizați această opțiune cu precauție! string_mask = nombstr # req_extensions = v3_req # Extensiile de adăugat la o cerere de certificat [ req_distinguished_name ] countryName = Numele țării (cod cu două litere) countryName_default = $ENV::KEY_COUNTRY countryName_min = 2 countryName_max = 2 state sau provincie Nameful ) stateOrProvinceName_default = $ENV::KEY_PROVINCE localityName = Nume localitate (de exemplu, oraș) localityName_default = $ENV::KEY_CITY 0.organizationName = Nume organizație (de exemplu, companie) 0.organizationName_default = $ENV::KEY_ORG, dar # nu este necesar în mod normal:-) #1.organizationName = Al doilea nume de organizație (de exemplu, companie) #1.organizationName_default = La nivel mondial Web Pty Ltd organizationalUnitName = Numele unității organizaționale (de exemplu, secțiune) #organizationalUnitName_default = commonName = Nume comun (de exemplu, numele dvs. sau numele de gazdă al serverului dvs.) commonName_max = 64 emailAddress = Adresă de e-mail emailAddress_default = $ENV::KEY_EMAIL emailAddress_max = 40 # SET-ex3 = SET numărul extensiei 3 [ req_attributes ] challengePassword = O parolă de provocare challengePassword_min = 4 challengePassword_max = 20 unstructuredName = Un nume de companie opțional [ usr_cert ] # Aceste extensii sunt adăugate când „ca” semnează o solicitare # Acest lucru este împotriva PKIX. liniile directoare, dar unele CA o fac și unele programe # necesită acest lucru pentru a evita interpretarea unui certificat de utilizator final ca un CA basicConstraints=CA:FALSE # Iată câteva exemple de utilizare a nsCertType, *exceptând* semnarea obiectului pentru un server SSL # nsCertType = server # Pentru un certificat de semnare a obiectelor, acesta ar fi utilizat # nsCertType = objsign # Pentru utilizarea normală a clientului, aceasta este tipică # nsCertType = client, e-mail # și pentru orice, inclusiv semnarea obiectului: # nsCertType = client. , email, objsign # Acest lucru este tipic în keyUsage pentru un certificat de client. # keyUsage = nonRepudiation, digitalSignature, keyEncipherment # Acesta va fi afișat în lista de comentarii a Netscape nsComment = „Certificat generat OpenSSL” # Recomandările PKIX sunt inofensive dacă sunt incluse în toate certificatele subjectKeyIdentifier=hash authorityKeyIdentifier=keyid, thisffway:. subjectAltName și issuerAltname # Importați adresa de e-mail # subjectAltName=email:copy # Copiați detaliile subiectului # issuerAltName=issuer:copy #nsCaRevocationUrl = http://www.domain.dom/ca-crl.pem #nsBaseUrl #nsRevocationUrl #n. #nsCaPolicyUrl #nsSslServerName [ server ] # JY ADDED -- Efectuați un certificat cu nsCertType setat la „server” basicConstraints=CA:FALSE nsCertType = server nsComment = „Certificat Server generat OpenSSL” subjectKeyIdentifier=alterityKeyid=hash v. ] # Extensii de adăugat la o solicitare de certificat basicConstraints = CA:FALSE keyUsage = nonRepudiation, digitalSignature, keyEncipherment [ v3_ca ] # Extensii pentru o recomandare tipică CA # PKIX. subjectKeyIdentifier=hash authorityKeyIdentifier=keyid:always,issuer:always # Acesta este ceea ce recomandă PKIX, dar unele software stricate se sufocă cu # extensii critice. #basicConstraints = critic,CA:true # Deci facem asta în schimb. basicConstraints = CA:true # Utilizarea cheii: aceasta este tipică pentru un certificat CA. Cu toate acestea, deoarece # va împiedica să fie folosit ca certificat de test autosemnat, cel mai bine este # lăsat afară în mod implicit. # keyUsage = cRLSign, keyCertSign # Unii ar putea dori acest lucru # nsCertType = sslCA, emailCA # Includeți adresa de e-mail în numele alt subiectului: o altă recomandare PKIX # subjectAltName=email:copy # Copiați detaliile emitentului # issuerAltName=issuer:copy # DER hex encoding a unei extensii: atenție numai experților! # obj=DER:02:03 # Unde „obj” este un obiect standard sau adăugat # Puteți chiar să suprascrieți o extensie acceptată: # basicConstraints= critic, DER:30:03:01:01:FF [ crl_ext ] # Extensii CRL . # Numai issuerAltName și authorityKeyIdentifier au sens într-un CRL. # issuerAltName=issuer:copy authorityKeyIdentifier=keyid:always,issuer:always Felicitări! Tocmai ați creat fișierele de configurare de bază pentru serverul dvs. Să continuăm configurarea.
4. Pentru a configura în continuare serverul, vom avea nevoie de anumite abilități de linie de comandă. În primul rând, să ne dăm seama cum să-l lansăm? Există mai multe moduri, de exemplu, faceți clic pe Start -> Run (sau pe o combinație de butoane Win+R) de la tastatură și introduceți în câmpul care apare cmdși faceți clic pe OK. Cu toate acestea, utilizatorii de Windows 7 / Windows Vista vor trebui să ruleze consola cu drepturi de administrator, cel mai simplu mod de a face acest lucru este să creeze o comandă rapidă corespunzătoare pe desktop; Faceți clic dreapta pe orice spațiu gol de pe desktop și selectați „Creați o comandă rapidă” în câmpul „Locația obiectului”, indicați pur și simplu trei litere -; cmdși apelați comanda rapidă cmd sau linia de comandă. În continuare, utilizatorii de Windows XP îl rulează pur și simplu, iar utilizatorii de Windows Vista și Windows 7 îl rulează ca administrator, așa cum sa făcut mai sus cu Notepad.
5. Apoi, introducem secvențial liniile în consolă: cd C:\OpenVPN\easy-rsa vars clean-all În același timp, ar trebui să arate așa pe ecran:
   Apoi, fără a închide această fereastră, introduceți secvențial comenzile de generare a cheilor: openvpn --genkey --secret %KEY_DIR%\ta.key build-dh build-ca Ultima comandă (build-ca) va crea un certificat și o autoritate de certificare (CA), pe parcursul procesului, ea vă va pune însă mai multe întrebări, la care trebuie să răspundeți implicit apăsând butonul Enter:
   Acum să creăm o cheie de server: build-key-server server Vă rugăm să rețineți că al doilea argument din comandă este numele cheii (server), trebuie să introduceți același nume atunci când răspundeți la întrebarea Nume comun (de exemplu, numele dvs. sau numele de gazdă al serverului dvs.), la întrebările rămase se poate răspunde în mod implicit apăsând butonul Enter Dacă ați făcut totul corect, comanda vă va oferi să semnați certificatul și să confirmați cererea, trebuie să răspundeți la ambele întrebări. Y(vezi captura de ecran):
   Dacă ați făcut totul corect, imaginea dvs. va fi identică cu captura de ecran, iar ultimele rânduri ale ieșirii comenzii vor conține un mesaj despre adăugarea cu succes a unei înregistrări la baza de date.
6. După aceea, accesați snap-in-ul „Servicii și aplicații” al consolei de management, puteți face acest lucru făcând clic dreapta pe comanda rapidă Computer (Computerul meu) și selectând elementul de meniu Gestionare sau tastând comanda în consolă. servicii.msc, găsiți acolo serviciul „OpenVPN Service” și selectați „Start” din meniul cu clic dreapta. Dacă ați făcut totul corect înainte, serviciul va intra în starea „Running”. Acum îi puteți schimba tipul de pornire la „Automat”, în loc de „Manual”, care era acolo în mod implicit. Rezultatul ar trebui să arate astfel:
   Aceasta completează configurarea serverului în sine, tot ce rămâne este să configurați clienții. Pentru a face acest lucru, trebuie să le emiteți și chei și certificate, acest lucru se face aproape identic cu serverul, doar pentru server am folosit comanda build-key-server, iar pentru clienți vom folosi comanda build-key.
7. Să presupunem că avem doi clienți, să le numim client1 și client2. Să executăm secvențial comenzile: build-key client1 build-key client2 În acest caz, când vi se cere Nume comun (de exemplu, numele dvs. sau numele de gazdă al serverului dvs.), trebuie să indicați și numele clientului folosit în comandă, adică dacă ați introdus build- cheie de comandă client1, apoi la întrebarea Nume comun răspundem client1, dacă client2, atunci client2 La întrebările rămase se poate răspunde apăsând Enter, la sfârșit vi se va cere și să semnați certificatul și să confirmați cererea. răspunde afirmativ la ambele puncte - Y. Acum repornim serviciul OpenVPN pentru ca modificările să aibă efect, în snap-in-ul de gestionare a serviciului, în meniul clic dreapta „Restart”, sau în consolă introducem constant: net stop openvpnservice net start openvpnservice
8. Acum, dacă mergem la folder, vom vedea fișierele cheie și certificate pe care le-am generat acolo:
   Fiecare client va avea nevoie de fișierele sale: ca.crt .crt .cheie ta.cheie I.e. pentru clientul 1 colectăm fișierele ca.crt, client1.crt, client1.key și ta.key, pentru client 2 - ca.crt, client2.crt, client2.key și respectiv ta.key etc. Și i le trimitem într-un fel sau altul (adică prin poștă, într-o arhivă cu parolă sau pe o unitate flash), fișierele cheii și certificatelor trebuie transferate prin canale de comunicare fiabile și nu trebuie să cadă în mâinile terți, deoarece de fapt, folosindu-le, un client poate obține acces la subrețeaua dvs. virtuală. În secțiunea următoare, vom analiza configurarea clientului și se va presupune că acesta a primit deja fișiere de cheie și certificat de la dvs.
9. Dacă se folosește un firewall pe computerul folosit ca server, atunci trebuie să adăugați OpenVPN la lista de excludere. Pentru încorporat Windows Firewallîn consolă acest lucru se poate face cu următoarea comandă: netsh firewall add allowedprogram program = C:\OpenVPN\bin\openvpn.exe nume = "OpenVPN Server" ENABLE scope = ALL profile = ALL

Stabilirea clienților

Configurarea unui client este mult mai simplă decât configurarea unui server nu trebuie să generăm chei, certificate etc. pentru client, deoarece tot ce avem nevoie a fost deja generat de noi pe server și transferat către client. Prin urmare, instrucțiunile pentru client sunt mult mai scurte.

Link-uri utile

• Documentație oficială pentru OpenVPN -
• Pagini de manual OpenVPN -
• OpenVPN HOWTO (în rusă) - http://lithium.opennet.ru/articles/openvpn/openvpn-howto.html

FAQ.

Puteți trimite orice întrebări pe care le aveți la e-mailul specificat în secțiune sau puteți discuta despre acest articol.

Este posibil să distribuiți Internetul în acest fel?

De la autor

Acest articol poate fi postat pe orice resursă, copiat integral sau parțial, fără restricții, cu condiția menținerii unui link către original. Linkul trebuie să conțină numele resursei noastre Ambulanță Ajutor computer Kaluga, conceput ca un link, și conține, de asemenea, pseudonimul autorului articolului. Un exemplu de astfel de link ar putea fi:

Configurarea unui server OpenVPN//Decker

Notă

În ultimul timp am primit e-mailuri de la: un numar mare deîntrebări în stilul „ Întrebare despre articolul dvs. la pasul 5 după comanda clean-all, ca urmare, un fișier este copiat de la dvs. Nu mi se întâmplă asta. comanda openvpn --genkey --secret %KEY_DIR%\ta.key creează o cheie pentru mine, dar apoi build-dh și build-ca nu dau rezultate (cmd.exe scrie că comanda nu este internă sau externă.. . sau un fișier executabil) fișierul ca.key nu este creat. Ce aș fi putut greși?".

Înțelesul principal al căruia se rezumă la propria ta nepăsare. Problema când rulați comenzile clean-all, build-key și alte comenzi este că la instalarea OpenVPN nu ați bifat casetele de selectare OpenSSL Utilities și OpenVPN RSA Certificate Management Scripts (trebuie bifate!). Atenție la captura de ecran cu fereastra de selecție a componentelor de la începutul articolului, aceste casete de selectare sunt acolo!

Internetul este ca marea. Orice se poate întâmpla cu datele transmise, la fel ca cu o navă în timpul unei călătorii: se poate deteriora, se poate scufunda în fluxul de informații sau poate deveni prada „piraților”. Ajutați la protejarea datelor deosebit de valoroase împotriva furtului și pierderii (VPN) - sisteme de canale închise (tunele) care sunt construite în interiorul unei alte rețele mai mari. Un tip de VPN este OpenVPN.

Vrei să înveți cum să creezi rețele private virtuale rapid și ușor? Să vorbim despre avantajele protocolului OpenVPN, precum și despre setările părților server și client ale software-ului său pentru Windows și Ubuntu.

Domeniul de aplicare și avantajele OpenVPN

Zona de aplicare

• Crearea protejate rețele corporative. Distanța dintre nodurile unor astfel de rețele nu contează.
• Protecția informațiilor în rețele publice deschise.
• Conectarea mai multor gazde la Internet printr-un gateway comun.
• Acces la resurse web interzise.

Avantaje

• Totul este gratuit. Majoritatea dintre noi nu vom renunța WiFi gratuitîntr-o cafenea sau într-un parc, dar traficul transmis printr-o astfel de conexiune nu este în niciun fel protejat de interceptări. Software-ul gratuit OpenVPN îl va direcționa într-un tunel închis, astfel încât login-urile, parolele și alte informații sensibile cu siguranță nu se vor scurge în mâinile greșite.
• Pentru a vă asigura rețeaua în siguranță, nu trebuie să cumpărați echipamente suplimentare.
• Tot traficul transmis este comprimat, ceea ce asigură o viteză mare de comunicare (mai mare decât utilizarea IPSec).
• Setările software flexibile vă permit să configurați VPN orice dificultăți.
• Utilizarea mai multor algoritmi puternici de criptare asigură un grad foarte ridicat de protecție a datelor.
• Nu este nevoie să reconfigurați sau să dezactivați firewall-urile (firewall-uri) și NAT (tehnologia de traducere a adresei IP în rețelele TCP/IP).
• Protocolul este acceptat de toate sistemele de operare majore.
• Nu sunt necesare cunoștințe aprofundate pentru a instala și configura software-ul tehnologii de rețea, și chiar și pentru un nespecialist durează doar câteva minute.

Configurarea OpenVPN pe Windows

Instalarea și configurarea părții server

Deoarece majoritatea dintre noi folosim sistemul de operare Windows, să începem să ne familiarizăm cu tehnologia OpenVPN acolo. Deci, selectați o distribuție adecvată și rulați instalarea.

În listă " Selectați componentele de instalat» (selectați componentele de instalat) bifați toate.

Sunteți de acord să instalați driverul adaptorului de rețea virtual TAP Windows Adapter V9.

Instalat? Acum să creăm chei și certificate VPN.

• Accesați directorul %ProgramFiles%/OpenVPN/easy-rsa și rulați fișierul batch init-config.bat– va copia fișierul în același folder vars.bat.sample la fel de vars.bat. În viitor, un pachet de comenzi vars.bat va seta variabile pentru generarea certificatelor.

• După creație vars.băţ deschideți-l folosind notepad și scrieți orice date în liniile evidențiate (după „=”). Salvați modificările.

• Apoi, rulați linia de comandă ca administrator și executați instrucțiunea pentru a merge la /easy-rsa ( cd %ProgramFiles%/OpenVPN/uşor-rsa). După aceasta alergăm secvenţial vars.băţȘi curat-toate.băţ(încărcați variabilele și ștergeți cheile create anterior).

• Executați un lot de comenzi construi-ca.băţ– cu aceasta vom crea un nou certificat primar în directorul %ProgramFiles%/OpenVPN/easy-rsa/keys. Nu este necesar să completați informații despre numele organizației etc., care sunt încercuite în captură de ecran - doar apăsați Enter.

• Hai să lansăm construi-dh.băţ- cu aceasta creăm o cheie Diffie-Hellman. Un fișier va apărea în folderul /keys dh1024.pem.

• Următorul pe linie este cheia serverului: executați instrucțiunea construi-cheie-ServermyVPN(„myVPN” este numele serverului, puteți specifica oricare altul). Sari peste blocul de întrebări care încep cu „Numele țării” apăsând pe Enter. La ultimele două întrebări – „Semnați certificatul?” iar la următoarea răspundem „Y”.

• În continuare trebuie să obținem cheia client: execute construi-cheieutilizator1(user1 este numele clientului, îl puteți înlocui cu altceva). Dacă există mai multe computere client, repetați operația pentru fiecare, fără a uita să schimbați numele. Sarim blocul inconjurat de un cadru, ca si pana acum.

• Apoi, copiați din folder / uşor-rsa/chei V / OpenVPN/config următoarele fișiere: dh1024.pem, ca.crt myvpn.crt, myvpn.key, utilizator1.cheieutilizator1.crt. Ultimele patru pot fi numite diferit în țara dvs. De ce, cred, este clar.

• Apoi, creați un fișier de configurare a serverului în același folder. Copiem directivele de mai jos în notepad și, dacă este necesar, le modificăm parametrii cu ai noștri. Salvați documentul cu extensia. ovpn si numele " Server».

# Interfață (tunnel L3)
dev tune
# Protocol VPN
proto udp
# Port de utilizat (puteți specifica oricare unul gratuit)
portul 1234
# Lista de certificate și chei (notați numele)
caca.crt
cert myvpn.crt
cheie myvpn.key
dh dh1024.pem
# Tip de criptare a datelor
cifrul AES-256-CBC
# Selectați o serie de adrese IP
server 10.10.10.0 255.255.255.0
# Nivelul de informații de depanare
verbul 3
# Utilizați compresia
comp-lzo
cheie-persiste
persist-tun
mssfix
# Setați numărul maxim de evenimente repetate
mut 25
# Număr de clienți conectați simultan (5)
max-clienti 5
# Durata de viață a sesiunii client
menține în viață 10 120
# Vizibilitatea clienților unul față de celălalt (permis)
de la client la client
# Alocați o adresă fiecărui utilizator
subrețea topologică
# Setați o întârziere înainte de a adăuga o rută
traseu-întârziere
#Specificați dacă vrem să distribuim internetul. adrese DNS Le scriem pe cele care sunt specificate în setările conexiunii la Internet.
push "redirect-gateway def1"

push „dhcp-option DNS x.x.x.x”

Citiți mai multe despre directivele de configurare a serverului.

Apoi, pentru a distribui Internetul, accesați directorul conexiuni de retea, deschideți proprietățile interfeței la care se uită retea globala, accesați fila „ Acces", puneți o bifă vizavi de" Permiteți altor utilizatori să folosească această conexiune..." și selectați din listă rețeaua adaptorului virtual TAP-Windows adaptor V9 - în opinia mea, acesta este Ethernet 3.

• Creați un fișier de configurare a clientului. Copiați următorul text în notepad și salvați documentul cu extensia .ovpn sub numele „Client”.

client
dev tune
proto udp
# IP sau Numele domeniului Server VPN și portul de conectare.
telecomandă x.x.x.x 1234
caca.crt
cert user1.crt
cheie utilizator1.cheie
cifrul AES-256-CBC
comp-lzo
cheie-persiste
persist-tun
verbul 3

Vedeți alte directive de configurare a clientului.

Configurarea părții client

Instalați aplicația pe computerul client. Apoi, mergeți la server, deschideți directorul %ProgramFiles%/OpenVPN/config și copiați fișierele de acolo ca.crt, Client.ovpn, user1.crt,utilizator1.cheie V folderul de rețea sau pe o unitate flash. Le transferăm la folder similar mașină client.

Conexiune

Pentru a porni serverul, faceți clic pe „ GUI OpenVPN"pe desktop. În tavă va apărea o pictogramă gri. Faceți clic dreapta pe el și selectați „ Server" Și " Conectați».

Dacă conexiunea are succes, pictograma se va schimba în verde. Dacă nu ați reușit, faceți clic pe meniul „ Vezi revista": va indica eroarea.

Conectarea clientului se realizează în același mod, doar în loc de " Server"selecteaza din meniu" Client».

Configurarea OpenVPN pe Ubuntu

Începem prin a instala pachetul OpenVPN pe server și pe mașinile client, ca pe Windows. Directiva pentru instalarea versiunii de consolă a software-ului prin intermediul terminalului este următoarea: sudo apt-get install openvpn. Dacă doriți, puteți instala versiuni grafice ale pachetelor din Centrul de aplicații Ubuntu.

Totuși, cea mai importantă componentă, modulul easy-rsa, conceput pentru a genera certificate și chei, nu este inclusă în distribuția Linux. Va trebui să-l instalați separat, rulând comanda: sudopotrivit-obțineinstalareuşor-rsa.

Configurarea părții server

• După instalarea programului și a modulului suplimentar, creați directorul „ uşor-rsa" în folderul /etc/openvpn: sudo mkdir /etc/openvpn/easy-rsa. Copiați conținutul din locația de instalare în el: cp -r /usr/share/easy-rsa /etc/openvpn/easy-rsa.
• Apoi trecem la noul director: cd /etc/openvpn/easy-rsa/și treceți la crearea certificatelor și cheilor.

• Folosind editorul nano console, deschideți fișierul variabilă vars (analog cu vars.bat în Windows) și importați în el aceleași date ca în vars.bat, cu valorile modificate:

KEY_COUNTRY=RU
KEY_PROVINCE=CA
KEY_CITY=SanFrancisco
KEY_ORG=OpenVPN
[email protected]
KEY_CN=schimbă-mă
KEY_NAME=schimbă-mă
KEY_OU=schimbă-mă
PKCS11_MODULE_PATH=schimbă-mă
PKCS11_PIN=1234

• Copiați pachetul criptografic openssl: cpopenssl-1.0.0.cnfopenssl.cnf.
• Se încarcă variabilele din vars: sursă ./vars.
• Ștergem datele create anterior: ./ curat-toate.
• Creați un nou certificat primar: ./ construi-ca. Omitem blocul de întrebări din cadru.

• Urmează cheia Diffie-Hellman: ./ construi-dh.
• În spatele acestuia se află certificatul serverului: . / construi-cheie-ServermyVPN(myVPN, după cum vă amintiți, este numele; poate fi diferit pentru dvs.). Omitem blocul evidențiat (este scurtat în captură de ecran), răspundem „Y” la ultimele 2 întrebări.

• În cele din urmă, creăm certificatul de client: ./ construi-cheieutilizator1(în loc de „utilizator1” puteți veni cu un alt nume). În același timp, sărim din nou blocul evidențiat pe ecran și răspundem „Y” la ultimele două întrebări.

Toate cheile și certificatele create sunt salvate într-un subdirector / etc/openvpn/uşor-rsa/chei. Mutați-le în folderul /openvpn: cp -r /etc/openvpn/easy-rsa/keys /etc/openvpn.

În etapa finală, creați un fișier de configurare a serverului în folderul /etc/openvpn: nano/etc/openvpn/Server.confși completați-l în același mod în care am completat un document similar pe Windows. Singura diferență este căile diferite:

ca /etc/openvpn/keys/ca.crt

cert /etc/openvpn/keys/myvpn.crt
cheie /etc/openvpn/keys/myvpn.key

În cele din urmă, creăm un director pentru configurarea mașinilor client: mkdir /etc/openvpn/ccd,și porniți serverul: pornirea serviciului openvpn.

Dacă serverul nu pornește, probabil că există o eroare în configurare. Informațiile despre problemă pot fi vizualizate în documentul /var/log/openvpn.log folosind comanda coada -f /var/log/openvpn.log.

Configurarea părții client

După instalarea aplicației pe mașina client, transferăm cheia și certificatele generate pe server pe acesta și creăm o config.

Cheie și certificate - ca.crt, utilizator1.crtȘi user1.key, se află în folderul /etc/openvpn/keys. Le copiem pe o unitate flash și le lipim într-un folder cu același nume de pe computerul clientului.

Creăm fișierul de configurare folosind nano: nano /etc/openvpn/client.conf,și completați-l conform modelului Windows. Nu uitați să includeți căile corecte:

ca /etc/openvpn/keys/ca.crt
dh /etc/openvpn/keys/dh2048.pem
cert /etc/openvpn/keys/user1.crt
cheie /etc/openvpn/keys/user1.key

Totul este gata. Pentru a ne conecta la server folosim aceeași comandă: pornirea serviciului openvpn.

Instrucțiunile s-au dovedit a fi lungi, dar în realitate acești pași durează 5-10 minute. Informații mai detaliate despre lucrul cu OpenVPN pot fi găsite în secțiunea „” a site-ului oficial al aplicației. Încearcă și vei reuși!

De asemenea pe site:

Configurarea OpenVPN pe Windows și Ubuntu: ce, de ce și cum actualizat: 24 aprilie 2016 de: Johnny Mnemonic

În ultimul timp, toată lumea s-a întrebat despre configurarea unui VPN. Dacă anterior administratorii de sistem, programatorii și utilizatorii avansați știau despre existența VPN (Virtual Privat Network), acum această abreviere este pe buzele tuturor. Toată lumea vrea să-l configureze și să-l folosească pentru a accesa serviciile sau rețelele sociale blocate. Și unii sunt pur și simplu curioși ce fel de animal este acesta. Ce este mai exact acest misterios VPN? Pe scurt, apoi cu folosind VPN se creează o secțiune a rețelei la care doar tu ai acces. Toate informațiile trec prin furnizor sau prin alt punct de acces terț, dar în formă criptată printr-un canal virtual special creat între server și computer. Apoi serverul începe să navigheze pe Internet în numele utilizatorului.

Astfel, se creează un „tunel” între computer și server, în care toate informațiile sunt criptate, iar furnizorul nu înțelege pe ce site merge utilizatorul. Hackerii nu vor putea să vă fure datele chiar și atunci când sunt conectați la Wi-Fi public, iar istoricul dvs. de navigare va fi disponibil doar pentru dvs.

Pentru ce este nevoieVPN

În primul rând, este necesar pentru actiuni anonime pe Internet pentru a ascunde adresa IP reală. De exemplu, nu-mi place faptul că orice administrator de sistem al furnizorului meu poate, dacă dorește, să afle ce site-uri vizitez, ce cumpăr și, cel mai important, cum și cu ce plătesc. De asemenea, toată lumea este preocupată de securitatea și confidențialitatea fișierelor. Protocoalele VPN folosesc mai multe protocoale de criptare (MD5-HMAC, RSA) și cheile de 2048 de biți permit criptarea paranoică a tuturor datelor.

Serviciile VPN pot fi folosite pentru a ocoli blocarea de către un furnizor sau administrator de sistem pe diverse site-uri web și rețele sociale. Unele servicii restricționează accesul în țara dvs. sau oferă reduceri/privilegii/bonusuri numai în anumite țări. O conexiune VPN vă va ajuta să deveniți rezident al acestei țări și să utilizați serviciul pentru plăcerea dumneavoastră. Dar ceea ce mă bucură cel mai mult este posibilitatea comprimării eficiente a traficului, care ne permite să compensăm pierderile și uneori chiar să grăbim conexiunea.

De ce am ales OpenVPN?

Când a apărut întrebarea că am nevoie de un protocol de conexiune VPN plătit, am decis să citesc puțin despre un astfel de serviciu, m-am plimbat pe site-uri web și forumuri, am întrebat prieteni, cunoștințe și administratori de sistem. Majoritatea dintre ei au lăudat OpenVPN.

După aproape 2 ani de utilizare, eram convins că au dreptate. Protocolul de conexiune VPN funcționează fără probleme, stabil și sigur. Un avantaj important este disponibilitatea aplicațiilor client mobile pentru Android, iOS, Windows 10 Mobile. Există chiar și o opțiune de a-l folosi fără a instala un client, folosind setările standard VPN din Windows 10. Cel mai important lucru este că fișierele mele sunt criptate. OpenVPN nu m-a dezamăgit încă. Și dacă este disponibil serverul de acasă- acesta este unul dintre principalele avantaje atunci când alegeți un client VPN. Și prețul este destul de rezonabil. Calitate superioară suport tehnic.

Configurarea unui client OpenVPN pentru Windows 10

Vom avea nevoie de fișierul de instalare a clientului, care este ușor de găsit la .

Este important să alegeți un program de instalare care să se potrivească cu dimensiunea de biți a sistemului dumneavoastră.

Odată ce PC-ul dvs. descarcă programul de instalare, lansați-l și urmați instrucțiunile simple. Instalarea în sine este foarte simplă și simplă. Cunoștințele de bază de engleză sunt suficiente.

O comandă rapidă a programului va apărea pe desktop-ul dispozitivului dvs. Faceți clic dreapta pe el și accesați secțiunea Proprietăți. Și acolo faceți clic pe opțiunea Advanced. Trebuie să permitem clientului să ruleze ca administrator. Câteva manipulări și gata.

Acum trebuie să mergeți la Explorer. După ce a parcurs poteca C:\ProgramFișiere\OpenVPN deschide folderul configși extrageți fișiere cu extensia din arhiva primită prin e-mail la achiziționarea unui abonament sau din arhiva descărcată din contul dvs. personal .ovpn

Acum tot ce rămâne este să lansați din nou clientul OpenVPN și să vă conectați la serverul dorit. Câteva secunde și veți avea o conexiune VPN, de exemplu, la o locație din Luxemburg.

După cum puteți vedea, nimic complicat. Dar probabil că mulți și-au pus întrebări: „De unde pot obține fișierele? Cum să le cumpăr? Nu este scump?”

Pentru a face acest lucru, trebuie să vă înregistrați pe site, ceea ce este foarte ușor și simplu.

Apoi ar trebui să accesați secțiunea Licențele mele

și faceți o achiziție. Adevărat, puteți cumpăra cel puțin 10 clienți OPenVPN, ceea ce vă va costa doar 150 USD pe an. De acord, nu este atât de scump.

Este de remarcat faptul că există și un demon versiunea platita OpenVPN. Vizitați linkul freeopenvpn.org/.

Selectați serverul VPN care vă place din listă, descărcați-l în format .ovpn. Lansați clientul OpenVPN și conectați-vă la serverul ales de dvs. Doar fiți pregătiți pentru faptul că serverul VPN gratuit face publicitate, nesigur și nu există criptare.

Care sunt alternativele la OpenVPN?

În ultimul timp au apărut pe piață o mulțime de soluții VPN, atât plătite, cât și gratuite. Înainte de OpenVPN, am folosit Hotspot Shield, care are și o versiune gratuită și o extensie de browser Google Chrome. Nu mi-a plăcut versiunea gratuită pentru că întotdeauna m-a deranjat cu mesaje că au o versiune Elite, care se presupune că este cea mai bună din lume etc. Deși din experiență personală voi spune că acest serviciu VPN a încetinit adesea funcționarea, a existat o protecție foarte mică și o criptare slabă. Baza adreselor IP disponibile este mică.

De asemenea, ar trebui să acordați atenție NordVPN. Are viteza si siguranta destul de mare. NordVPN operează în jurisdicția Panama, rețeaua sa include 559 de servere situate în 49 de țări. Serverele acceptă o serie de setări pentru criptare și utilizare specială- de exemplu, pentru partajarea fișierelor sau difuzarea conținutului media în flux. Serviciul acceptă până la 6 conexiuni simultane, astfel încât să vă puteți conecta toate dispozitivele simultan.

Destul de popular printre utilizatorii avansați este serviciul Zenmate VPN, care este de origine germană. Destul de înaltă calitate, rapid în versiunea plătită, protecție convenabilă și criptare. Mânca extensie gratuită pentru browsere, dar există doar 5 canale gratuite. Prin urmare, este incomod de utilizat. În plus, necesită înregistrare și apoi te necăjește cu buletine informative cu publicitate și oferă să cumperi versiunea comercială.

Probabil că mulți oameni au auzit și citit în ultimele zile despre serviciul VPN TunnelBear cu sigla unui pui de urs cool. Are și o versiune gratuită, deși cu trafic limitat de doar 500 MB pe lună. Foarte ușor de operat, ușor de pornit și oprit cu un singur clic. Dar un prieten are o versiune plătită de TunnelBear și se plânge întotdeauna că viteza conexiunii scade semnificativ, uneori de 5 ori sau mai mult. Am luat legătura cu centrul de asistență, unde mi-au răspuns că asta se datorează protecției pe care o oferă.

Concluzie

După cum puteți vedea, există destul de multe servicii VPN pe piață. Dacă trebuie să vă ascundeți cumva adresa IP pentru a utiliza servicii care sunt interzise sau au acces limitat la noi, atunci nu ezitați să cumpărați un protocol VPN. Totul depinde de dorința și capacitățile tale financiare. Despre VPN-uri gratuite amintiți-vă că trebuie să plătiți pentru tot. După cum spune unul dintre prietenii mei: „Liber nu înseamnă nimic”.

Cu cât mai multe state încearcă să controleze Internetul și să-și stabilească propria cenzură acolo, cu atât mai populare devin mai multe servicii de ocolire. Una dintre soluțiile gratuite de organizare privată sisteme virtuale- acesta este OpenVPN. Puteți utiliza unul dintre serverele deja implementate în rețea sau puteți implementa software-ul pe propriul sistem.

Într-unul dintre articolele anterioare ne-am uitat. În acest articol, ne vom ocupa mai detaliat despre configurarea unei conexiuni la server folosind diverse programe în Linux și Android și, de asemenea, vom încerca să înțelegem cum funcționează acest serviciu.

Știți deja că programul organizează o rețea virtuală între computere și toate datele din această rețea sunt criptate și inaccesibile utilizatorilor din afara acesteia. Pentru a atinge acest obiectiv, programul creează în sistem dispozitiv virtual tun0. Aceasta este aceeași interfață ca eth0 sau wlan0, are propria sa adresă IP. Tot traficul care este transmis către această interfață este criptat și transferat în rețeaua virtuală.

Prin urmare, pentru a transmite trafic prin OpenVPN, va fi suficient să adăugați mai multe reguli care vor forța traficul să treacă prin interfața tun0.

Cum să utilizați OpenVPN pe Linux

În primul rând, să vedem cum să vă conectați la OpenVPN de pe Ubuntu sau de la oricare altul distribuție Linux prin terminal. Să presupunem că ați descărcat fișierul de configurare a serverului .ovpn și doriți să vă conectați la această rețea. Pentru a face acest lucru, trebuie să instalați clientul openvpn:

sudo openvpn ~/Downloads/config.ovpn

După aceasta, nu puteți închide fereastra terminalului, iar dacă serverul OpenVPN a fost configurat corect, atunci a transferat deja rutele corecte către mașină și traficul dvs. trece prin rețeaua virtuală. Să vedem traseele:

Există două rânduri la care merită să fiți atenți aici:

0.0.0.0/1 prin 192.168.243.1 dev tun0
169.254.0.0/16 dev enp2s0 scope link metric 1000

Primul direcționează tot traficul de sistem către interfața tun0, iar al doilea este mai interesant, implementează traficul de rețea IP 169.254.0.0 către interfața reală. Dacă nu este acolo, atunci tot traficul va merge către tun0, inclusiv traficul din programul OpenVPN, care a trecut deja prin această interfață și rezultatul va fi o buclă. Pentru a termina conexiunea în această opțiune, trebuie doar să apăsați Ctrl+C în terminalul de unde ați lansat openvpn.

A doua modalitate de a utiliza OpenVPN pe Linux este să instalați pluginul openvpn pentru NetworkManager și să vă conectați folosindu-l. Pentru a instala acest pachet pe Ubuntu, rulați următoarea comandă:

sudo apt-get install network-manager-openvpn

Acum deschideți aplicația Network Manager, extindeți „Conexiune VPN”și selectați "Conexiune de configurare":

În fereastra care se deschide, faceți clic pe butonul "+" :

Apoi selectați legenda „VPN”.

Priviți din nou tabelul de rutare:

În general, NetworkManager creează reguli diferite, dar funcționează la fel. Configurarea clientului openvpn pe ubuntu este completă.

Folosind OpenVPN pe Android

Puteți utiliza OpenVPN pe orice platformă, inclusiv Android. Aplicația oficială OpenVPN Connect a fost lansată pentru dispozitive. Cu acesta, vă puteți conecta la rețea, ca în opțiunea anterioară, folosind un fișier ovpn. Puteți instala această aplicație de pe Google Play:

Deschideți aplicația, atingeți butonul de meniu, apoi selectați "Import" -> „Importați profilul de pe cardul SD”:

Selectați fișierul necesarși apăsați "Selectați":

Atunci tot ce trebuie să faci este să dai clic "Conectați" pentru a vă conecta la rețea:

Configurarea clientului openvpn implică doar importarea fișierului de configurare, nu este nevoie de altceva. În continuare, traficul dvs. va fi direcționat prin VPN, aici puteți vizualiza și tabelul de rutare dacă este instalat un emulator de terminal:

Adevărat, aici nu vom vedea aceeași situație ca în Linux, rutarea către VPN în Android se realizează puțin diferit.

Cum să utilizați OpenVPN pe Windows

Era imposibil să nu spui în acest articol cum să folosești OpenVPN GUI în Windows, mai ales că nu este mult mai complicat decât în ​​Android. Trebuie să instalăm clientul OpenVPN. Îl puteți descărca de pe site-ul oficial:

După descărcare, rulați programul ca administrator și parcurgeți toți pașii vrăjitorului:

OpenVPN este una dintre opțiunile VPN (rețea privată virtuală sau rețele virtuale private) care vă permite să transferați date pe un canal criptat special creat. În acest fel, puteți conecta două computere sau puteți construi o rețea centralizată cu un server și mai mulți clienți. În acest articol vom învăța cum să creăm un astfel de server și să îl configuram.

După cum am menționat mai sus, cu ajutorul tehnologiei în cauză, putem transmite informații printr-un canal de comunicare securizat. Acesta ar putea fi partajarea fișierelor sau accesul securizat la Internet printr-un server care servește ca un gateway partajat. Pentru ao crea, nu avem nevoie de echipamente suplimentare sau cunoștințe speciale - totul se face pe computerul care este planificat să fie utilizat ca server VPN.

Pentru lucrări ulterioare, va fi, de asemenea, necesară configurarea părții client pe mașinile utilizatorilor rețelei. Toată munca se reduce la crearea cheilor și certificatelor, care sunt apoi transferate clienților. Aceste fișiere vă permit să obțineți o adresă IP atunci când vă conectați la un server și să creați canalul criptat menționat mai sus. Toate informațiile transmise prin intermediul acestuia pot fi citite numai dacă cheia este disponibilă. Această caracteristică poate îmbunătăți semnificativ securitatea și poate asigura siguranța datelor.

Instalarea OpenVPN pe o mașină server

Instalarea este procedura standard cu câteva nuanțe, despre care vom vorbi mai detaliat.

Configurarea părții server

Ar trebui să fiți cât mai atenți când efectuați următorii pași. Orice eroare va duce la inoperabilitatea serverului. O altă condiție prealabilă este ca contul dvs. să aibă drepturi de administrator.

1. Să mergem la catalog "ușor-rsa", care în cazul nostru se află la

   C:\OpenVPN\easy-rsa

   Găsirea fișierului vars.bat.sample.

   

   Redenumiți-l în vars.bat(elimină cuvântul "probă"împreună cu un punct).

   

   Deschideți acest fișier în editor. Acest lucru este important, deoarece acest bloc de note vă permite să editați și să salvați corect codurile, ceea ce ajută la evitarea erorilor la executarea acestora.

   

2. În primul rând, ștergem toate comentariile evidențiate cu verde - nu vor face decât să ne deranjeze. Obținem următoarele:

   

3. Apoi, schimbați calea către dosar "ușor-rsa" la cea specificată în timpul instalării. În acest caz, pur și simplu ștergem variabila %ProgramFiles% si schimba-l in C:.

   

4. Lăsăm neschimbați următorii patru parametri.

   

5. Rândurile rămase sunt completate aleatoriu. Exemplu din captura de ecran.

   

6. Salvați fișierul.

   

7. De asemenea, trebuie să editați următoarele fișiere:
   • construi-ca.bat
   • construi-dh.bat
   • build-key.bat
   • build-key-pass.bat
   • build-key-pkcs12.bat
   • build-key-server.bat

   

   Trebuie să schimbe echipa

   la calea absolută către fișierul corespunzător openssl.exe. Nu uitați să salvați modificările.

   

8. Acum deschide folderul "ușor-rsa", clemă SCHIMBși faceți clic dreapta pe spațiul liber (nu pe fișiere). În meniul contextual, selectați elementul „Deschide fereastra de comandă”.

   

   O sa inceapa "Linie de comanda" cu trecerea la directorul țintă deja finalizată.

   

9. Introduceți comanda de mai jos și faceți clic INTRODUCE.

   

10. Apoi, lansăm un alt fișier batch.

    

11. Repetăm ​​prima comandă.

    

12. Următorul pas este să creați fișierele necesare. Pentru a face acest lucru folosim comanda

    După execuție, sistemul vă va solicita să confirmați datele pe care le-am introdus în fișierul vars.bat. Doar apăsați-l de câteva ori INTRODUCE până când apare linia originală.

    

13. Creați o cheie DH rulând un fișier

    

14. Pregătim un certificat pentru partea de server. Există unul aici punct important. Trebuie să i se dea numele în care am scris vars.batîn linie „KEY_NAME”. În exemplul nostru aceasta este Lumpics. Comanda arată astfel:

    build-key-server.bat Lumpics

    De asemenea, aici trebuie să confirmați datele folosind cheia INTRODUCE, și, de asemenea, introduceți litera de două ori "y"(da), acolo unde este necesar (vezi captura de ecran). Linie de comanda poate fi închis.

    

15. În catalogul nostru "ușor-rsa" a apărut dosar nou cu titlu "chei".

    

16. Conținutul acestuia trebuie copiat și lipit în folder "ssl", care trebuie creat în directorul rădăcină al programului.

    

    Vizualizarea folderului după lipirea fișierelor copiate:

    

17. Acum să mergem la catalog

    C:\OpenVPN\config

    Creați un document text aici (RMB – Creare – Document text), redenumiți-l în server.ovpnși deschideți-l în Notepad++. Introducem urmatorul cod:

    portul 443
    proto udp
    dev tune
    dev-node „VPN Lumpics”
    dh C:\\OpenVPN\\ssl\\dh2048.pem
    ca C:\\OpenVPN\\ssl\\ca.crt
    cert C:\\OpenVPN\\ssl\\Lumpics.crt
    cheie C:\\OpenVPN\\ssl\\Lumpics.key
    server 172.16.10.0 255.255.255.0
    max-clienti 32
    menține în viață 10 120
    de la client la client
    comp-lzo
    cheie-persiste
    persist-tun
    cifrul DES-CBC
    starea C:\\OpenVPN\\log\\status.log
    jurnal C:\\OpenVPN\\log\\openvpn.log
    verbul 4
    mut 20

    Vă rugăm să rețineți că numele certificatelor și cheilor trebuie să corespundă cu cele aflate în folder "ssl".

    

18. În continuare deschidem "Panou de control"și du-te la „Centrul de control al rețelei”.

    

19. Apasa pe link "Schimbă setările adaptorului".

    

20. Aici trebuie să găsim conexiunea făcută prin intermediul „Adaptor TAP-Windows V9”. Acest lucru se poate face făcând clic dreapta pe conexiune și accesând proprietățile acesteia.

    

21. Redenumiți-l în „VPN bulgări” fără ghilimele. Acest nume trebuie să se potrivească cu parametrul "dev-node"în dosar server.ovpn.

    

22. Etapa finală este începerea serviciului. Apăsați combinația de taste Win+R, introduceți linia de mai jos și faceți clic INTRODUCE.

    

23. Găsim un serviciu cu nume „OpenVpnService”, faceți clic dreapta și accesați proprietățile sale.

    

24. Schimbați tipul de pornire în "Automat", porniți serviciul și faceți clic "Aplica".

    

25. Dacă am făcut totul corect, atunci o cruce roșie ar trebui să dispară lângă adaptor. Aceasta înseamnă că conexiunea este gata de utilizare.

    

Configurarea părții client

Înainte de a începe configurarea clientului, trebuie să efectuați mai multe acțiuni pe mașina server - generați chei și un certificat pentru a configura conexiunea.

Lucrări care trebuie efectuate pe computerul client:

Aceasta completează configurarea serverului și clientului OpenVPN.

Concluzie

Organizarea propriei rețele VPN vă va permite să protejați cât mai mult posibil informațiile transmise, precum și să faceți navigarea pe internet mai sigură. Principalul lucru este să fii mai atent la configurarea părților server și client, când actiuni corecte Vă veți putea bucura de toate beneficiile unei rețele virtuale private.