Διαμόρφωση σύνδεσης VPN στο Linux. Εγκατάσταση VPN στο Ubuntu Γιατί να κατεβάσετε VPN σε Linux

Ένα πραγματικό εικονικό ιδιωτικό δίκτυο (VPN) είναι ένα κρυπτογραφημένο, διασυνδεδεμένο τούνελ μεταξύ δύο δικτύων που συνδέει δύο αξιόπιστα σημεία. Δεν είναι το πρωτόκολλο ιστού HTTPS, το οποίο θεωρείται αξιόπιστο από όλους τους πελάτες. Μόνο αυτοί οι πελάτες με ειδικά κλειδιά πρόσβασης μπορούν να συνδεθούν στο VPN.

Τα VPN έχουν γίνει πολύ διαδεδομένα αυτές τις μέρες με την έλευση εικονικών ιδιωτικών δικτύων που εμπιστεύονται τους πάντες και τον πολλαπλασιασμό του HTTPS. Πολλά VPN είναι εμπορικές λύσεις με ελάχιστη διαμόρφωση για να παρέχουν απομακρυσμένη πρόσβαση εργαζομένων. Αλλά δεν εμπιστεύονται όλοι αυτές τις λύσεις. Ένα ιδιωτικό εικονικό δίκτυο συνδέει δύο δίκτυα σε ένα, όπως ένα δίκτυο γραφείου και ένα οικιακό δίκτυο υπαλλήλου. Ο διακομιστής VPN απαιτείται έτσι ώστε ο διακομιστής και ο πελάτης να μπορούν να πιστοποιηθούν μεταξύ τους.

Η διαμόρφωση του ελέγχου ταυτότητας διακομιστή και πελάτη απαιτεί πολλή δουλειά και επομένως οι εμπορικές λύσεις με ελάχιστες ρυθμίσεις αποτυγχάνουν από αυτή την άποψη. Αλλά πραγματικά δεν είναι τόσο δύσκολο να ρυθμίσετε έναν διακομιστή OpenVPN. Θα χρειαστείτε δύο κόμβους σε διαφορετικά δίκτυα για να δημιουργήσετε ένα δοκιμαστικό περιβάλλον, για παράδειγμα, μπορείτε να χρησιμοποιήσετε πολλαπλές εικονικές μηχανές ή πραγματικούς διακομιστές. Όπως καταλάβατε ήδη, αυτό το άρθρο θα καλύψει τη ρύθμιση του OpenVPN στο Ubuntu για τη δημιουργία ενός πλήρους ιδιωτικού εικονικού δικτύου.

Και τα δύο μηχανήματα πρέπει να έχουν εγκατεστημένο το OpenVPN, είναι ένα αρκετά δημοφιλές πρόγραμμα, ώστε να μπορείτε να το εγκαταστήσετε από τα επίσημα αποθετήρια. Χρειαζόμαστε επίσης το Easy-RSA για να δουλέψουμε με ιδιωτικά κλειδιά. Για να εγκαταστήσετε προγράμματα στο Ubuntu χρησιμοποιήστε την ακόλουθη εντολή:

sudo apt εγκατάσταση openvpn easy-rsa

Και τα δύο πακέτα πρέπει να εγκατασταθούν τόσο στον διακομιστή όσο και στον πελάτη. Θα τα χρειαστείτε για να διαμορφώσετε το πρόγραμμα. Το πρώτο στάδιο του άρθρου, η εγκατάσταση και η διαμόρφωση του openvpn έχει ολοκληρωθεί.

Σύσταση αρχής πιστοποίησης

Το πρώτο πράγμα που πρέπει να κάνετε είναι να δημιουργήσετε τη σωστή υποδομή δημόσιου κλειδιού στον διακομιστή. Θεωρούμε ότι ο διακομιστής είναι το μηχάνημα στο οποίο θα συνδεθούν οι χρήστες. Υπάρχουν πολλά πλεονεκτήματα να έχετε το δικό σας CA. Θα έχετε το δικό σας CA που διευκολύνει τη διανομή και τη διαχείριση των κλειδιών. Για παράδειγμα, μπορείτε να ανακαλέσετε πιστοποιητικά πελάτη σε διακομιστή. Επίσης, τώρα δεν χρειάζεται να αποθηκεύσετε όλα τα πιστοποιητικά πελατών, η αρχή πιστοποίησης θα πρέπει να γνωρίζει μόνο ότι το πιστοποιητικό είναι υπογεγραμμένο από CA. Εκτός από ένα σύνθετο σύστημα κλειδιών, μπορείτε να χρησιμοποιήσετε στατικά κλειδιά εάν χρειάζεται να παραχωρήσετε πρόσβαση μόνο σε λίγους χρήστες.

Λάβετε υπόψη ότι όλα τα ιδιωτικά κλειδιά πρέπει να φυλάσσονται σε ασφαλές μέρος. Στο OpenVPN, ένα δημόσιο κλειδί ονομάζεται πιστοποιητικό και έχει την επέκταση .crt και ένα ιδιωτικό κλειδί ονομάζεται κλειδί, η επέκτασή του είναι .key.

Αρχικά, δημιουργήστε ένα φάκελο για την αποθήκευση πιστοποιητικών Easy-RSA. Στην πραγματικότητα, η διαμόρφωση OpenVPN γίνεται χειροκίνητα, οπότε ο φάκελος μπορεί να τοποθετηθεί οπουδήποτε:

sudo mkdir / etc / openvpn / easy-rsa

Στη συνέχεια, αντιγράψτε όλα τα απαραίτητα σενάρια easy-rsa σε αυτόν τον φάκελο:

cd / etc / openvpn / easy-rsa /

sudo -i
# πηγή ./vars
# ./τα καθαρίζω όλα
# ./ build-ca

Με την πρώτη εντολή, μεταβαίνουμε στην κονσόλα για λογαριασμό του υπερχρήστη, με τη δεύτερη, φορτώνουμε τις μεταβλητές περιβάλλοντος από το αρχείο. / Vars. Η εντολή. / Clear-all δημιουργεί το φάκελο κλειδιά εάν δεν υπάρχει και διαγράφει το περιεχόμενό του. Και η τελευταία εντολή θα αρχικοποιήσει την αρχή πιστοποίησης. Τώρα εμφανίστηκαν όλα τα απαραίτητα κλειδιά στο φάκελο .keys:

Διαμόρφωση πιστοποιητικών πελάτη

sudo cp -R / usr / share / easy -rsa / etc / openvpn /

Τώρα πρέπει να αντιγράψουμε το πιστοποιητικό, το αρχείο .crt στο φάκελο / etc / openvpn σε όλους τους πελάτες. Για παράδειγμα, ας κατεβάσουμε αυτό το αρχείο για τον πελάτη μας χρησιμοποιώντας scp:

sudo scp user @ host: /etc/openvpn/easy-rsa/keys/ca.crt /etc /openvpn /easy-rsa /keys

Μόνο τώρα μπορείτε να δημιουργήσετε το δικό σας ιδιωτικό κλειδί με βάση το πιστοποιητικό CA:

cd / etc / openvpn / easy-rsa /

sudo -i
# πηγή ./vars
# build-req Sergiy

Λάβετε υπόψη ότι το ca.crt πρέπει να βρίσκεται στο φάκελο κλειδιών, διαφορετικά τίποτα δεν θα λειτουργήσει. Τώρα το βοηθητικό πρόγραμμα θα δημιουργήσει ένα κλειδί, βάσει του οποίου μπορείτε να συνδεθείτε στον διακομιστή OpenVPN, αλλά πρέπει να το υπογράψετε στον διακομιστή. Στείλτε το αρχείο .csr που προκύπτει στον διακομιστή χρησιμοποιώντας το ίδιο scp:

scp /etc/openvpn/easy-rsa/keys/Sergiy.csr user @ host: ~/

Στη συνέχεια, στο διακομιστή, στο φάκελο / etc / openvpn / easy-rsa, πρέπει να εκτελέσετε την εντολή υπογραφής πιστοποιητικού:

./sign-req ~ / Sergiy

Η υπογραφή του πιστοποιητικού πρέπει να επιβεβαιωθεί. Στη συνέχεια, το πρόγραμμα θα αναφέρει ότι έχει υπογραφεί και έχει προστεθεί στη βάση δεδομένων. Το αρχείο .crt θα εμφανιστεί στο φάκελο με το πιστοποιητικό csr, το οποίο πρέπει να επιστρέψει πίσω στον υπολογιστή -πελάτη:

sudo scp user @ host: /home/Sergiy.crt / etc / openvpn / easy-rsa / keys

Μόνο μετά από αυτό ο διακομιστής και ο πελάτης έχουν όλα τα απαραίτητα κλειδιά για τη σύνδεση και τη δημιουργία επικοινωνίας. Απομένουν μερικές ρυθμίσεις. Εάν σκοπεύετε να χρησιμοποιήσετε κρυπτογράφηση TLS, τότε πρέπει να δημιουργήσετε ένα σύνολο δεδομένων Diffie-Huffman στον διακομιστή, για αυτό χρησιμοποιήστε την εντολή:

Ρύθμιση OpenVPN

Τώρα ρυθμίστε τον διακομιστή OpenVPN. Από προεπιλογή, δεν υπάρχει τίποτα στο φάκελο αρχείων διαμόρφωσης OpenVPN. Πρέπει να τα δημιουργήσετε μόνοι σας, ανάλογα με το τι σκοπεύετε να διαμορφώσετε, διακομιστή ή πελάτη. Το απαιτούμενο αρχείο διαμόρφωσης OpenVPN μπορεί να βρεθεί στη διεύθυνση / usr / share / doc / openvpn / samples / sample-config-files /. Αρχικά, ας δημιουργήσουμε ένα αρχείο ρυθμίσεων για τον διακομιστή:

zcat /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | sudo tee /etc/openvpn/server.conf

Υπάρχουν μερικές παράμετροι που πρέπει να προσαρμόσετε εδώ:

Λιμάνικαι πρωτό- θύρα και πρωτόκολλο που χρησιμοποιούνται από το πρόγραμμα ·

λιμάνι 1194
proto udp

Όλα τα δημιουργημένα κλειδιά πρέπει να καταχωρηθούν στο αρχείο διαμόρφωσης. Τα κλειδιά μας αποθηκεύονται στο / etc / openvpn / easy-rsa / keys:


cert /etc/openvpn/easy-rsa/keys/ca.crt
κλειδί /etc/openvpn/easy-rsa/keys/ca.key
dh /etc/openvpn/easy-rsa/keys/dh.pem

Διαμορφώνουμε το εύρος διευθύνσεων για το εικονικό δίκτυο, ο διακομιστής μας θα είναι διαθέσιμος στην πρώτη από αυτές - 10.8.0.1:

διακομιστής 10.8.0.0 255.255.255.0

Αφού ολοκληρώσετε τη διαμόρφωση, αποθηκεύστε τις αλλαγές στο αρχείο, μπορείτε είτε να επικολλήσετε όλη αυτήν τη διαμόρφωση μόνοι σας είτε να επεξεργαστείτε το παράδειγμα του αρχείου. Έτοιμες ρυθμίσεις διακομιστή εργασίας:

λιμάνι 1194
proto udp
comp-lzo
dev tun
ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt
cert /etc/openvpn/easy-rsa/2.0/keys/ca.crt
dh /etc/openvpn/easy-rsa/2.0/keys/dh2048.pem
υποδίκτυο τοπολογίας
διακομιστής 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt

sudo cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/client.conf

Μπορείτε να δημιουργήσετε πολλά αρχεία διαμόρφωσης προγράμματος -πελάτη για σύνδεση σε διαφορετικούς διακομιστές. Ανοίξτε το αρχείο διαμόρφωσης και αλλάξτε τις ακόλουθες παραμέτρους σε αυτό:

μακρινός- αυτή είναι η διεύθυνση διακομιστή OpenVPN, η διεύθυνση και η θύρα πρέπει να ταιριάζουν με αυτές που έχουν διαμορφωθεί στον διακομιστή, για παράδειγμα:

απομακρυσμένο 194.67.215.125 1194

περ- το κλειδί που λάβατε από την αρχή πιστοποίησης, το τοποθετήσαμε στο φάκελο / etc / openvpn /.

πιστοποιητικό και κλειδί- αυτά είναι τα δημόσια και ιδιωτικά κλειδιά του πελάτη, με τη βοήθεια αυτών θα συνδεθείτε στο διακομιστή. Όπως θυμάστε, τα αποθηκεύσαμε στο φάκελο / etc / openvpn / easy-rsa / keys /.

ca /etc/openvpn/easy-rsa/keys/ca.crt

Οι υπόλοιπες ρυθμίσεις μπορούν να αφεθούν ως έχουν. Εδώ είναι το πλήρες αρχείο διαμόρφωσης που μπορείτε να αντιγράψετε:

πελάτης
dev tun
proto udp
απομακρυσμένο 194.67.215.125 1194
επίλυση-επανάληψη άπειρου
μη δεσμεύω
επίμονο-κλειδί
persist-tun
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/Sergiy.crt
κλειδί /etc/openvpn/easy-rsa/keys/Sergiy.key
tls-auth ta.key 1
comp-lzo
ρήμα 3

Αποθηκεύστε τις ρυθμίσεις, ο πελάτης είναι τώρα έτοιμος να συνδεθεί. Λάβετε υπόψη ότι τα αρχεία διαμόρφωσης πρέπει να ταιριάζουν όσο το δυνατόν περισσότερο, η απουσία ορισμένων επιλογών σε ένα από τα αρχεία μπορεί να οδηγήσει σε σφάλματα. Αυτό δεν σημαίνει ότι τα αρχεία θα είναι πανομοιότυπα, αλλά οι βασικές παράμετροι του openvpn πρέπει να είναι οι ίδιες. Απλώς πρέπει να εκτελέσετε το OpenVPN σε αυτό το μηχάνημα χρησιμοποιώντας αυτό το αρχείο διαμόρφωσης:

openvpn /etc/openvpn/client.conf

Τέλος, τώρα όλα λειτουργούν, εάν εκτελέσετε το ifconfig, θα δείτε ότι η διεπαφή tun0 έχει προστεθεί:

Μπορείτε επίσης να δοκιμάσετε να κάνετε ping 10.8.0.1 διευθύνσεις, αυτή είναι η διεύθυνση που έχουμε ρυθμίσει για τον διακομιστή OpenVPN, τα πακέτα ping θα αποστέλλονται κανονικά. Εάν τα πακέτα δεν έρχονται ή κάτι άλλο δεν λειτουργεί, δώστε προσοχή στην έξοδο και των δύο προγραμμάτων, ίσως υπήρχαν σφάλματα ή προειδοποιήσεις, βεβαιωθείτε επίσης ότι το τείχος προστασίας του διακομιστή επιτρέπει εξωτερική πρόσβαση μέσω udp για τη θύρα 1194. Μπορείτε επίσης εκκινήστε τον διακομιστή ή τον πελάτη, ορίζοντας το επίπεδο λεπτομερειών στο config στο μέγιστο ρήμα 9. Πολύ συχνά αυτό βοηθά να καταλάβουμε γιατί κάτι δεν λειτουργεί. Αλλά δεν μπορείτε ακόμα να δρομολογήσετε την κυκλοφορία μέσω της σήραγγας. Για να γίνει αυτό, πρέπει να ενεργοποιήσετε την προώθηση και να προσθέσετε ορισμένους κανόνες iptables. Αρχικά, επιτρέπουμε τη μεταφορά πακέτων στον διακομιστή:

sysctl -w net.ipv4.ip_forward = 1

Στη συνέχεια, προσθέστε κανόνες όπως αυτός. Επιτρέπουμε σε όλους να συνδεθούν με τον διακομιστή μας:

iptables -A ΕΙΣΟΔΟΣ -p udp --dport 1194 -j ΑΠΟΔΟΧΗ

Επιτρέπουμε στους χρήστες του OpenVPN να έχουν πρόσβαση στο Διαδίκτυο:

iptables -I FORWARD -i tun0 -o eth0 -j ΑΠΟΔΕΧΟΜΑΙ
# iptables -I FORWARD -i eth0 -o tun0 -j ΑΠΟΔΟΧΗ
# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

συμπεράσματα

Σε αυτό το άρθρο, εξετάσαμε πώς να εγκαταστήσετε και να διαμορφώσετε το OpenVPN Ubuntu, καθώς και πώς να διαμορφώσετε το openvpn ώστε να λειτουργεί με έλεγχο ταυτότητας κλειδιών. Η οργάνωση ιδιωτικών εικονικών δικτύων μπορεί να είναι πολύ χρήσιμη όχι μόνο σε οργανισμούς, αλλά και για την ανταλλαγή δεδομένων μεταξύ δύο υπολογιστών σας ή για την αύξηση της ασφάλειας στο δίκτυο.

Ρύθμιση σύνδεσης VPN στο Debian

Ακολουθεί ένα παράδειγμα του τρόπου δημιουργίας σύνδεσης VPN για το Debian Linux μέσω της γραμμής εντολών. Αλλά δεν θα είναι λιγότερο χρήσιμο για τους κατόχους διανομών που βασίζονται στο Debian, για παράδειγμα, στο Ubuntu.

  1. Πρώτα χρειάζεστε το πακέτο pptp:
    # apt-get install pptp-linux
  2. Επεξεργαζόμαστε (ή δημιουργούμε, αν δεν υπάρχει) το αρχείο /etc/ppp/options.pptp. Πρέπει να περιέχει τις ακόλουθες παραμέτρους:
    κλειδαριά
    noauth
    nobsdcomp
    nodeflate
  3. Στη συνέχεια, πρέπει να προσθέσετε μια γραμμή όπως αυτή στο αρχείο / etc / ppp / chap-secrets:
    "Όνομα χρήστη" PPTP "κωδικός πρόσβασης" *
  4. Δημιουργήστε ένα αρχείο / etc / ppp / peers / XXX (XXX είναι το όνομα του δικτύου). Γράψτε τα παρακάτω σε αυτό:
    pty "pptp vpn.XXX.ru --nolaunchpppd"
    όνομα "όνομα χρήστη"
    remotename PPTP
    αρχείο /etc/ppp/options.pptp
    προεπιλεγμένη διαδρομή
    Το όνομα χρήστη και ο κωδικός πρόσβασης πρέπει να αντικατασταθούν με το όνομα χρήστη και τον κωδικό πρόσβασής σας χωρίς εισαγωγικά, όπως ορίζεται στη συμφωνία σας. vpn.XXX.ru - διεύθυνση διακομιστή vpn - ρωτήστε τον παροχέα σας.
  5. Για να αντικαταστήσετε αυτόματα την προεπιλεγμένη διαδρομή, δημιουργήστε το αρχείο /etc/ppp/ip-up.d/routes-up:
    # su touch /etc/ppp/ip-up.d/routes-up
    # su chown a + x /etc/ppp/ip-up.d/routes-up

    Και εισάγουμε τα εξής σε αυτό:
    #! / bin / sh
    / sbin / route del default
    / sbin / route προσθέστε προεπιλεγμένο dev ppp0
    Δημιουργήστε ένα αρχείο /etc/ppp/ip-down.d/routes-down:
    # su touch /etc/ppp/ip-down.d/routes-down
    # su chown a + x /etc/ppp/ip-down.d/routes-down
    Και εισάγουμε τα εξής σε αυτό:
    #! / bin / sh
    / sbin / route del default
    / sbin / route add default dev eth0

  6. Τώρα μπορείτε να συνδεθείτε με την εντολή:
    # su pon XXX
    Για λεπτομερή εμφάνιση πληροφοριών σχετικά με τη διαδικασία σύνδεσης, πληκτρολογήστε:
    # su pon XXX debug debump logfd 2 nodetach
    Μπορείτε να ελέγξετε εάν είστε συνδεδεμένοι στο VPN πληκτρολογώντας την εντολή ifconfig. Εάν η έξοδός του περιέχει την ενότητα ppp0, τότε είστε συνδεδεμένοι και μπορείτε να ξεκινήσετε να εργάζεστε με το Διαδίκτυο. Για απενεργοποίηση, πατήστε ctrl + c ή πληκτρολογήστε:
    # su poff XXX
  7. Για να λάβει ο υπολογιστής σας διαδρομές από τον διακομιστή μας, θα πρέπει να υπάρχουν οι ακόλουθες γραμμές στο αρχείο /etc/dhcp3/dhclient.conf:
    #
    επιλογή rfc3442-classless-static-route κωδικός 121 = πίνακας ανυπόγραφου ακέραιου 8 ·
    επιλογή ms-classless-static-route κωδικός 249 = πίνακας ανυπόγραφου ακέραιου 8;
    #
    αίτημα υποδικτύου-μάσκα, διεύθυνση μετάδοσης, χρονική μετατόπιση, δρομολογητές, όνομα τομέα, διακομιστές ονόματος τομέα, αναζήτηση τομέα, όνομα κεντρικού υπολογιστή, διακομιστές ονόματος netbios, πεδίο εφαρμογής netbios, διεπαφή-mtu, στατική διαδρομή , rfc3442-classless-static-διαδρομές, ms-classless-static-διαδρομές;
    #
  8. Για αυτόματη σύνδεση στο Διαδίκτυο κατά τη φόρτωση του λειτουργικού συστήματος, δημιουργήστε ένα αρχείο / etc / init.d / XXX
    # touch /etc/init.d/XXX
    # su chown a + x /etc/init.d/XXX
    # su ln -s /etc/init.d/XXX /etc/rc2.d/S99XXX
    Ας το γράψουμε στα παρακάτω:
    #! / bin / sh
    su / usr / bin / pon XXX

Σε όλες τις εντολές, το XXX είναι το όνομα του δικτύου σας.

Κατά καιρούς, ορισμένοι ενεργοί χρήστες του Διαδικτύου αντιμετωπίζουν την ανάγκη να οργανώσουν μια ασφαλή κρυπτογραφημένη ανώνυμη σύνδεση, συχνά με την υποχρεωτική αντικατάσταση της διεύθυνσης IP με μια σειρά από μια συγκεκριμένη χώρα. Μια τεχνολογία που ονομάζεται VPN βοηθά στην υλοποίηση μιας τέτοιας εργασίας. Ο χρήστης χρειάζεται μόνο να εγκαταστήσει όλα τα απαραίτητα στοιχεία στον υπολογιστή και να κάνει τη σύνδεση. Μετά από αυτό, θα είναι διαθέσιμη η πρόσβαση στο δίκτυο με την ήδη τροποποιημένη διεύθυνση δικτύου.

Οι προγραμματιστές των δικών τους διακομιστών και προγραμμάτων σύνδεσης VPN παρέχουν υπηρεσίες στους ιδιοκτήτες υπολογιστών που εκτελούν τη διανομή Ubuntu με βάση τον πυρήνα Linux. Η εγκατάσταση δεν απαιτεί πολύ χρόνο και υπάρχει επίσης μεγάλος αριθμός δωρεάν ή φθηνών λύσεων στο δίκτυο για την ολοκλήρωση της εργασίας. Σήμερα θα θέλαμε να θίξουμε τρεις μεθόδους εργασίας για την οργάνωση μιας ιδιωτικής ασφαλούς σύνδεσης στο αναφερόμενο λειτουργικό σύστημα.

Μέθοδος 1: Astrill

Το Astrill είναι ένα από τα δωρεάν προγράμματα GUI που εγκαθίσταται σε υπολογιστή και αντικαθιστά αυτόματα τη διεύθυνση δικτύου με τυχαία ή καθορισμένη από τον χρήστη. Οι προγραμματιστές υπόσχονται μια επιλογή από περισσότερους από 113 διακομιστές, ασφάλεια και ανωνυμία. Η διαδικασία λήψης και εγκατάστασης είναι αρκετά απλή:

  1. Μεταβείτε στον επίσημο ιστότοπο της Astrill και επιλέξτε την έκδοση Linux.

  2. Επιλέξτε την κατάλληλη διάταξη. Για τους κατόχους μιας από τις πιο πρόσφατες εκδόσεις του Ubuntu, το πακέτο DEB 64-bit είναι τέλειο. Μόλις επιλεγεί, κάντε κλικ στο "Λήψη Astrll VPN".

  3. Αποθηκεύστε το αρχείο σε βολική τοποθεσία ή ανοίξτε το απευθείας μέσω της τυπικής εφαρμογής για την εγκατάσταση πακέτων DEB.

  4. Κάντε κλικ στο κουμπί "Εγκαθιστώ".

  5. Επιβεβαιώστε την αυθεντικότητα του λογαριασμού με έναν κωδικό πρόσβασης και περιμένετε την ολοκλήρωση της διαδικασίας. Για εναλλακτικές επιλογές για την προσθήκη πακέτων DEB στο Ubuntu, δείτε το άλλο μας άρθρο στον παρακάτω σύνδεσμο.

  6. Το πρόγραμμα έχει πλέον προστεθεί στον υπολογιστή σας. Απομένει μόνο να το ξεκινήσετε κάνοντας κλικ στο αντίστοιχο εικονίδιο στο μενού.

  7. Κατά τη λήψη, θα πρέπει να έχετε δημιουργήσει έναν νέο λογαριασμό για τον εαυτό σας, στο παράθυρο Astrill που ανοίγει, εισαγάγετε τα δεδομένα σας για να συνδεθείτε.

  8. Καθορίστε τον βέλτιστο διακομιστή για τη σύνδεση. Εάν πρέπει να επιλέξετε μια συγκεκριμένη χώρα, χρησιμοποιήστε τη γραμμή αναζήτησης.

  9. Αυτό το λογισμικό μπορεί να λειτουργήσει με διάφορα εργαλεία που σας επιτρέπουν να δημιουργήσετε μια σύνδεση VPN στο Ubuntu. Εάν δεν είστε σίγουροι ποια επιλογή να επιλέξετε, αφήστε την προεπιλογή.

  10. Ξεκινήστε το διακομιστή μετακινώντας το ρυθμιστικό στη θέση "ΕΠΙ", και πηγαίνετε στη δουλειά στο πρόγραμμα περιήγησης.

  11. Παρατηρήστε ότι υπάρχει τώρα ένα νέο εικονίδιο στη γραμμή εργασιών. Κάνοντας κλικ σε αυτό ανοίγει το μενού ελέγχου Astrill. Εδώ μπορείτε όχι μόνο να αλλάξετε τον διακομιστή, αλλά και να διαμορφώσετε επιπλέον παραμέτρους.

Η εξεταζόμενη μέθοδος θα είναι η πιο βέλτιστη για αρχάριους χρήστες που δεν έχουν καταλάβει ακόμη τις περιπλοκές της ρύθμισης και της εργασίας "Τερματικό"λειτουργικό σύστημα. Για τους σκοπούς αυτού του άρθρου, η λύση της Astrill παρουσιάστηκε μόνο ως παράδειγμα. Στο Διαδίκτυο, μπορείτε να βρείτε πολλά περισσότερα παρόμοια προγράμματα που παρέχουν πιο σταθερούς και ταχύτερους διακομιστές, αλλά συχνά πληρώνονται.

Επιπλέον, πρέπει να σημειωθεί ο περιοδικός φόρτος εργασίας των δημοφιλών διακομιστών. Σας συνιστούμε να επανασυνδεθείτε σε άλλες πηγές που βρίσκονται όσο το δυνατόν πιο κοντά στη χώρα σας. Τότε το ping θα είναι μικρότερο και η ταχύτητα μεταφοράς και λήψης αρχείων μπορεί να αυξηθεί σημαντικά.

Μέθοδος 2: Εργαλείο συστήματος

Το Ubuntu διαθέτει ενσωματωμένη συνδεσιμότητα VPN. Ωστόσο, για να το κάνετε αυτό, θα πρέπει να βρείτε έναν από τους δημόσια διαθέσιμους διακομιστές εργασίας ή να αγοράσετε χώρο μέσω οποιασδήποτε βολικής υπηρεσίας ιστού που παρέχει τέτοιες υπηρεσίες. Ολόκληρη η διαδικασία σύνδεσης μοιάζει με αυτό:

  1. Κάντε κλικ στο κουμπί στη γραμμή εργασιών "Σύνδεση"και επιλέξτε το στοιχείο "Ρυθμίσεις".

  2. Μετακίνηση στην ενότητα "Δίκτυο"χρησιμοποιώντας το μενού στα αριστερά.

  3. Βρείτε την ενότητα VPN και κάντε κλικ στο κουμπί συν για να προχωρήσετε στη δημιουργία μιας νέας σύνδεσης.

  4. Εάν ο πάροχος υπηρεσιών σας έχει παράσχει ένα αρχείο, μπορείτε να εισαγάγετε τη διαμόρφωση μέσω αυτού. Διαφορετικά, όλα τα δεδομένα θα πρέπει να εισαχθούν με μη αυτόματο τρόπο.

  5. Στο κεφάλαιο "Ταυτοποίηση"υπάρχουν όλα τα απαιτούμενα πεδία. Στο πεδίο "Γενικός""Πύλη"εισαγάγετε την παρεχόμενη διεύθυνση IP και "Πρόσθετος"- έλαβε όνομα χρήστη και κωδικό πρόσβασης.

  6. Επιπλέον, υπάρχουν πρόσθετες παράμετροι, αλλά πρέπει να αλλάξουν μόνο κατόπιν σύστασης του κατόχου του διακομιστή.

  7. Στην παρακάτω εικόνα μπορείτε να δείτε παραδείγματα δωρεάν διακομιστών που είναι ελεύθερα διαθέσιμοι. Φυσικά, είναι συχνά ασταθή, φορτωμένα ή αργά, αλλά αυτή είναι η καλύτερη επιλογή για όσους δεν θέλουν να πληρώσουν χρήματα για ένα VPN.

  8. Αφού δημιουργήσετε μια σύνδεση, το μόνο που μένει είναι να την ενεργοποιήσετε μετακινώντας το αντίστοιχο ρυθμιστικό.

  9. Για έλεγχο ταυτότητας, πρέπει να εισαγάγετε τον κωδικό πρόσβασης από τον διακομιστή στο παράθυρο που εμφανίζεται.

  10. Μπορείτε επίσης να διαχειριστείτε την ασφαλή σύνδεση μέσω της γραμμής εργασιών κάνοντας κλικ στο αντίστοιχο εικονίδιο με το αριστερό κουμπί του ποντικιού.

Η μέθοδος που χρησιμοποιεί ένα τυπικό εργαλείο είναι καλή διότι δεν απαιτεί από τον χρήστη να εγκαταστήσει πρόσθετα στοιχεία, αλλά πρέπει ακόμα να βρείτε έναν δωρεάν διακομιστή. Επιπλέον, κανείς δεν σας απαγορεύει να δημιουργήσετε αρκετές συνδέσεις και να κάνετε εναλλαγή μεταξύ τους μόνο τη σωστή στιγμή. Εάν ενδιαφέρεστε για αυτήν τη μέθοδο, σας συμβουλεύουμε να ρίξετε μια πιο προσεκτική ματιά στις πληρωμένες λύσεις. Συχνά είναι αρκετά κερδοφόρα, επειδή για ένα μικρό ποσό θα λάβετε όχι μόνο έναν σταθερό διακομιστή, αλλά και τεχνική υποστήριξη σε περίπτωση διαφόρων ειδών προβλημάτων.

Μέθοδος 3: Ιδιοκτήτης διακομιστή μέσω OpenVPN

Ορισμένες εταιρείες που παρέχουν κρυπτογραφημένες υπηρεσίες σύνδεσης χρησιμοποιούν την τεχνολογία OpenVPN και οι πελάτες τους εγκαθιστούν το κατάλληλο λογισμικό στον υπολογιστή τους για να δημιουργήσουν με επιτυχία μια ασφαλή σήραγγα. Τίποτα δεν σας εμποδίζει να δημιουργήσετε μόνοι σας έναν διακομιστή σε έναν υπολογιστή και να ρυθμίσετε το τμήμα πελάτη σε άλλους για να έχετε το ίδιο αποτέλεσμα. Φυσικά, η διαδικασία εγκατάστασης είναι αρκετά περίπλοκη και διαρκεί πολύ, αλλά σε ορισμένες περιπτώσεις αυτή θα είναι η καλύτερη λύση. Σας προτείνουμε να διαβάσετε τον Οδηγό εγκατάστασης διακομιστή και πελάτη Ubuntu κάνοντας κλικ στον ακόλουθο σύνδεσμο.

Τώρα είστε εξοικειωμένοι με τρεις επιλογές χρήσης VPN σε υπολογιστή Ubuntu. Κάθε επιλογή έχει τα δικά της πλεονεκτήματα και μειονεκτήματα και θα είναι η βέλτιστη σε ορισμένες περιπτώσεις. Σας συμβουλεύουμε να εξοικειωθείτε με όλα αυτά, να αποφασίσετε για το σκοπό χρήσης ενός τέτοιου εργαλείου και να προχωρήσετε ήδη στις οδηγίες.

Έχοντας εξετάσει τα θεωρητικά ζητήματα στα προηγούμενα μέρη, ας περάσουμε στην πρακτική εφαρμογή. Σήμερα θα εξετάσουμε τη δημιουργία ενός διακομιστή PPTP VPN στην πλατφόρμα διακομιστή Ubuntu. Αυτό το υλικό προορίζεται για αναγνώστες με δεξιότητες Linux, οπότε δεν θα μας αποσπάσουν τα πράγματα που έχουμε περιγράψει σε άλλα άρθρα, όπως διαμόρφωση δικτύου κ.λπ. Εάν αντιμετωπίζετε δυσκολίες - μελετήστε πρώτα τα άλλα υλικά μας.

Θα ξεκινήσουμε την πρακτική μας γνωριμία με το VPN με το PPTP, το οποίο είναι το πιο εύκολο στην εφαρμογή. Λάβετε υπόψη, ωστόσο, ότι αυτό είναι ένα ασθενώς ασφαλές πρωτόκολλο και δεν πρέπει να χρησιμοποιείται για πρόσβαση σε κρίσιμα δεδομένα.

Εξετάστε το κύκλωμα που δημιουργήσαμε στο εργαστήριο δοκιμών μας για πρακτική εξοικείωση με αυτήν την τεχνολογία:

Έχουμε ένα τοπικό δίκτυο 10.0.0.0/24 με έναν τερματικό διακομιστή 10.0.0.2 και 10.0.0.1, ο οποίος θα λειτουργεί ως διακομιστής VPN, για το VPN έχουμε κρατήσει το δίκτυο 10.0.1.0/24. Η εξωτερική διεπαφή διακομιστή έχει μια υπό όρους αποκλειστική διεύθυνση IP X.X.X.X. Στόχος μας είναι να παρέχουμε στους απομακρυσμένους πελάτες πρόσβαση στον τερματικό διακομιστή και κοινόχρηστους πόρους σε αυτόν.

Ρύθμιση διακομιστή PPTP

Εγκαταστήστε το πακέτο pptpd που υλοποιεί τη λειτουργία PPTP VPN:

Sudo apt-get install pptpd

Τώρα ας ανοίξουμε το αρχείο /etc/pptpd.confκαι ορίστε τις βασικές ρυθμίσεις για τον διακομιστή VPN. Ας πάμε στο τέλος του αρχείου, όπου υποδεικνύουμε τη διεύθυνση διακομιστή στο δίκτυο VPN:

Localip 10.0.1.1

Και το εύρος διευθύνσεων προς έκδοση σε πελάτες:

Τηλεχειριστήριο 10.0.1.200-250

Οι διευθύνσεις πρέπει να διαθέτουν τουλάχιστον όσο το δυνατόν περισσότερες ταυτόχρονες συνδέσεις, κατά προτίμηση με μικρό περιθώριο, καθώς η αύξηση τους χωρίς επανεκκίνηση του pptpd είναι αδύνατη. Βρίσκουμε επίσης και σχολιάζουμε τη γραμμή:

Bcrelay eth1

Αυτό θα επιτρέψει στους πελάτες VPN να μεταδίδουν πακέτα στο εσωτερικό δίκτυο.

Μπορείτε επίσης να χρησιμοποιήσετε τις επιλογές ακούωκαι Ταχύτητα, η πρώτη σάς επιτρέπει να καθορίσετε τη διεύθυνση IP της τοπικής διεπαφής για να ακούσετε τις εισερχόμενες συνδέσεις PPTP, η δεύτερη να καθορίσει την ταχύτητα των συνδέσεων VPN σε bps. Για παράδειγμα, ας επιτρέψουμε στον διακομιστή να δέχεται συνδέσεις PPTP μόνο από την εξωτερική διεπαφή:

Ακούστε X.X.X.X

Περισσότερες λεπτές ρυθμίσεις υπάρχουν στο αρχείο / etc / ppp / pptpd-options... Οι προεπιλεγμένες ρυθμίσεις είναι αρκετά συνεπείς με τις απαιτήσεις μας, αλλά θα εξετάσουμε εν συντομία μερικές από αυτές, ώστε να έχετε μια ιδέα για τον σκοπό τους.

Ενότητα #Κρυπτογράφησηυπεύθυνος για την κρυπτογράφηση και τον έλεγχο ταυτότητας δεδομένων. Αυτές οι επιλογές απαγορεύουν τη χρήση των παλαιών και ανασφαλών πρωτοκόλλων PAP, CHAP και MS-CHAP:

Άρνηση-παπ
απόρριψη-κεφ
απορρίψτε-mschap

Απαιτεί-mschap-v2
απαιτούν-mppe-128

Επόμενη ενότητα #Δίκτυο και Δρομολόγηση, εδώ θα πρέπει να δώσετε προσοχή στην επιλογή ms-dnsπου επιτρέπει τη χρήση διακομιστή DNS στο εσωτερικό δίκτυο. Αυτό μπορεί να είναι χρήσιμο όταν η δομή τομέα του δικτύου ή η παρουσία ενός διακομιστή DNS σε αυτό που περιέχει τα ονόματα όλων των υπολογιστών στο δίκτυο, καθιστά δυνατή την αναφορά στους υπολογιστές με τα ονόματά τους και όχι μόνο με IP. Στην περίπτωσή μας, αυτή η επιλογή είναι άχρηστη και σχολιάζεται. Ομοίως, μπορείτε να ορίσετε τη διεύθυνση του διακομιστή WINS με την επιλογή ms-κερδίζει.

Εδώ είναι η επιλογή proxyarp, συμπεριλαμβανομένης, όπως μπορείτε να μαντέψετε από το όνομα, υποστήριξη διακομιστή Proxy ARP.

Στην ενότητα #Διάφοραπεριέχει μια επιλογή κλειδαριά, το οποίο περιορίζει τον πελάτη σε μία σύνδεση.

Ιβάνοφ * 123 *
petrov * 456 10.0.1.201

Η πρώτη καταχώρηση επιτρέπει στον χρήστη ivanov να συνδεθεί στον διακομιστή με τον κωδικό πρόσβασης 123 και του εκχωρεί μια αυθαίρετη διεύθυνση IP, η δεύτερη δημιουργεί τον χρήστη petrov με τον κωδικό πρόσβασης 456, στον οποίο θα εκχωρηθεί η μόνιμη διεύθυνση 10.0.1.201 κατά τη σύνδεση.

Επανεκκίνηση pptpd:

Επανεκκίνηση Sudo /etc/init.d/pptpd

Σημαντική σημείωση! Αν pptpdδεν θέλει επανεκκίνηση, παγώνει στην αρχή, αλλά μέσα / var / log / syslogπροσθέτοντας τη γραμμή η γραμμή αρχείων παραμέτρων αγνοήθηκεφροντίστε να προσθέσετε στο τέλος του αρχείου /etc/pptpd.confδιακοπή της γραμμής.

Ο διακομιστής μας είναι έτοιμος να ξεκινήσει.

Διαμόρφωση υπολογιστών -πελατών

Γενικά, αρκεί η διαμόρφωση της σύνδεσης VPN με τις προεπιλεγμένες επιλογές. Ωστόσο, σας συμβουλεύουμε να καθορίσετε ρητά τον τύπο της σύνδεσης και να απενεργοποιήσετε τα περιττά πρωτόκολλα κρυπτογράφησης.

Επιπλέον, ανάλογα με τη δομή του δικτύου, πρέπει να καθορίσετε τις στατικές διαδρομές και την προεπιλεγμένη πύλη. Αυτά τα ερωτήματα συζητήθηκαν λεπτομερώς στα προηγούμενα μέρη.

Δημιουργούμε μια σύνδεση VPN και προσπαθούμε να κάνουμε ping σε οποιονδήποτε υπολογιστή στο τοπικό δίκτυο, έχουμε πρόσβαση στον τερματικό διακομιστή χωρίς καμία δυσκολία:

Τώρα για μια ακόμη σημαντική προσθήκη. Στις περισσότερες περιπτώσεις, η πρόσβαση σε υπολογιστές στο τοπικό δίκτυο θα είναι δυνατή μόνο μέσω διευθύνσεων IP, δηλ. η διαδρομή \\ 10.0.0.2 θα λειτουργήσει, αλλά \\ SERVER όχι. Αυτό μπορεί να είναι ενοχλητικό και ασυνήθιστο για τους χρήστες. Υπάρχουν διάφοροι τρόποι επίλυσης αυτού του προβλήματος.

Εάν το τοπικό δίκτυο έχει δομή τομέα, αρκεί να καθορίσετε τον διακομιστή DNS για τη σύνδεση VPN στον διακομιστή DNS του ελεγκτή τομέα. Χρησιμοποιήστε την επιλογή ms-dnsσε / etc / ppp / pptpd-optionsο διακομιστής και τα δεδομένα ρύθμισης θα ληφθούν από τον πελάτη αυτόματα.

Εάν δεν υπάρχει διακομιστής DNS στο τοπικό δίκτυο, τότε μπορείτε να δημιουργήσετε και να χρησιμοποιήσετε έναν διακομιστή WINS, οι πληροφορίες σχετικά με αυτό μπορούν επίσης να μεταφερθούν αυτόματα σε πελάτες χρησιμοποιώντας την επιλογή ms-κερδίζει... Και τέλος, εάν υπάρχουν λίγοι απομακρυσμένοι πελάτες, χρησιμοποιήστε τα αρχεία σε υπολογιστές -πελάτες Οικοδεσπότες(C: \ Windows \ System32 \ drivers \ etc \ hosts), όπου θα πρέπει να προσθέσετε γραμμές όπως.

Θέλετε να έχετε μια ασφαλή και ασφαλή πρόσβαση στο Διαδίκτυο από το smartphone ή το φορητό υπολογιστή σας ενώ συνδέεστε σε μη ασφαλές δίκτυο μέσω WiFi ενός ξενοδοχείου ή καφετέριας; Ένα εικονικό ιδιωτικό δίκτυο (VPN) σας επιτρέπει να χρησιμοποιείτε μη ασφαλή δίκτυα σαν να βρίσκεστε σε ιδιωτικό δίκτυο. Όλη η επισκεψιμότητά σας σε αυτήν την περίπτωση περνά μέσω του διακομιστή VPN.

Σε συνδυασμό με τη χρήση σύνδεσης HTTPS, οι ρυθμίσεις που περιγράφονται παρακάτω θα σας επιτρέψουν να εξασφαλίσετε τις προσωπικές σας πληροφορίες, για παράδειγμα, τα στοιχεία σύνδεσης και τους κωδικούς πρόσβασης, καθώς και τις αγορές σας. Επιπλέον, μπορείτε να παρακάμψετε τους περιφερειακούς περιορισμούς και τη λογοκρισία, καθώς και να αποκρύψετε την τοποθεσία σας και την κρυπτογραφημένη επισκεψιμότητα HTTP από ένα μη ασφαλές δίκτυο.

Μπορείτε να μεταφέρετε ένα προφίλ από τον υπολογιστή σας στο τηλέφωνό σας συνδέοντας τη συσκευή σας Android στον υπολογιστή σας μέσω USB και αντιγράφοντας το αρχείο. Μπορείτε επίσης να μετακινήσετε το αρχείο προφίλ χρησιμοποιώντας μια κάρτα SD αντιγράφοντας το προφίλ στην κάρτα και εισάγοντας την κάρτα στη συσκευή σας Android.

Εκκινήστε την εφαρμογή OpenVPN και κάντε κλικ στο μενού για να εισαγάγετε το προφίλ.

Χημική ένωση

Πατήστε το κουμπί για να δημιουργήσετε μια σύνδεση. Συνδέω-συωδεομαι... Θα ερωτηθείτε αν εμπιστεύεστε την εφαρμογή OpenVPN. Απάντηση Εντάξεινα δημιουργήσει μια σύνδεση. Για να διακόψετε τη σύνδεση, μεταβείτε στην εφαρμογή OpenVPN και επιλέξτε Αποσυνδέω.

Βήμα 13. Δοκιμή σύνδεσης VPN

Αφού εγκατασταθούν και διαμορφωθούν όλα, ας βεβαιωθούμε ότι όλα λειτουργούν σωστά. Χωρίς τη δημιουργία σύνδεσης VPN, ανοίξτε ένα πρόγραμμα περιήγησης και μεταβείτε στο DNSLeakTest.

Αυτός ο ιστότοπος θα επιστρέψει τη διεύθυνση IP που σας έχει ανατεθεί από τον ISP σας. Για να ελέγξετε ποιοι διακομιστές DNS χρησιμοποιούνται, κάντε κλικ στο Εκτεταμένη δοκιμή.

Τώρα δημιουργήστε μια σύνδεση χρησιμοποιώντας το πρόγραμμα -πελάτη VPN και ανανεώστε τη σελίδα στο πρόγραμμα περιήγησής σας. Η διεύθυνση IP που σας δόθηκε πρέπει να είναι εντελώς διαφορετική. Χρησιμοποιείτε τώρα αυτήν τη νέα διεύθυνση IP για όλους στο Διαδίκτυο. Κάντε κλικ στο Εκτεταμένη δοκιμήξανά για να ελέγξετε τις ρυθμίσεις DNS και βεβαιωθείτε ότι χρησιμοποιείτε τώρα τον διακομιστή DNS του VPN σας.

Βήμα 14. Ανάκληση πιστοποιητικών πελάτη

Κατά καιρούς, μπορεί να χρειαστεί να ανακαλέσετε το πιστοποιητικό πελάτη για να αποτρέψετε την πρόσβαση στον διακομιστή VPN &

Για να το κάνετε αυτό, μεταβείτε στον κατάλογο των αρχών πιστοποίησης και εισαγάγετε τις εντολές:

  • cd ~ / openvpn-ca
  • πηγή vars
  • ./revoke-full client3

Η έξοδος από αυτήν την εντολή θα τελειώσει με σφάλμα 23. Αυτό είναι φυσιολογικό. Ως αποτέλεσμα, το αρχείο crl.pem θα δημιουργηθεί στον κατάλογο κλειδιών με τις απαραίτητες πληροφορίες για την ανάκληση του πιστοποιητικού.

Μετακινήστε αυτό το αρχείο στον κατάλογο / etc / openvpn:

  • sudo cp ~ / openvpn-ca / keys / crl.pem / etc / openvpn
  • sudo nano /etc/openvpn/server.conf

Προσθέστε crl-verify στο τέλος του αρχείου. Ο διακομιστής OpenVPN θα ελέγχει το CRL κάθε φορά που κάποιος συνδέεται στον διακομιστή.

/etc/openvpn/server.conf

Crl-επαλήθευση crl.pem

Αποθηκεύστε και κλείστε το αρχείο.

Επανεκκινήστε το OpenVPN για να ολοκληρώσετε τη διαδικασία ανάκλησης πιστοποιητικού:

Τώρα ο πελάτης δεν θα μπορεί να δημιουργήσει σύνδεση με τον διακομιστή OpenVPN χρησιμοποιώντας το παλιό πιστοποιητικό.

Για να ανακαλέσετε επιπλέον πιστοποιητικά, ακολουθήστε τα εξής βήματα:

    Δημιουργήστε μια νέα λίστα ανάκλησης χρησιμοποιώντας την εντολή πηγή vars στον κατάλογο ~ / openvpn-ca και εκτελέστε την πλήρη ανάκληση της εντολής με το όνομα του πελάτη.

    Αντιγράψτε το νέο CRL στο / etc / openvpn, αντικαθιστώντας την παλιά λίστα.

    Επανεκκινήστε την υπηρεσία OpenVPN.

Αυτή η διαδικασία μπορεί να χρησιμοποιηθεί για την ανάκληση τυχόν πιστοποιητικών που έχετε δημιουργήσει προηγουμένως.

συμπέρασμα

Συγχαρητήρια! Τώρα μπορείτε να έχετε πρόσβαση στο Διαδίκτυο με ασφάλεια, όλη η επισκεψιμότητά σας προστατεύεται από την υποκλοπή από λογοκριτές και εισβολείς.

Επαναλάβετε βήματα για να διαμορφώσετε επιπλέον πελάτες 6 και 11-13 για κάθε νέα συσκευή. Για να ανακαλέσετε την πρόσβαση για έναν συγκεκριμένο πελάτη, χρησιμοποιήστε το βήμα 14 .