پیکربندی اتصال VPN در لینوکس. نصب VPN در اوبونتو چرا بارگیری VPN در لینوکس
یک شبکه خصوصی مجازی واقعی یا شبکه خصوصی مجازی (VPN) یک تونل رمزگذاری شده و به هم پیوسته بین دو شبکه است که دو نقطه قابل اعتماد را به هم متصل می کند. این پروتکل وب HTTPS نیست ، که مورد اعتماد همه مشتریان است. فقط آن دسته از کلاینت ها که دارای کلیدهای دسترسی ویژه هستند می توانند به VPN متصل شوند.
VPN ها این روزها با ظهور شبکه های خصوصی مجازی که به همه اعتماد دارند و گسترش HTTPS بسیار گسترده شده است. بسیاری از VPN ها راه حل های تجاری با حداقل پیکربندی برای ارائه دسترسی کارکنان از راه دور هستند. اما همه به این راه حل ها اعتماد ندارند. یک شبکه مجازی خصوصی دو شبکه را به یکی متصل می کند ، مانند شبکه اداری و شبکه خانگی کارمند. سرور VPN مورد نیاز است تا سرور و سرویس گیرنده بتوانند با یکدیگر احراز هویت کنند.
پیکربندی احراز هویت سرور و سرویس گیرنده نیاز به کار زیادی دارد و بنابراین راه حل های تجاری با حداقل تنظیمات در این زمینه شکست می خورد. اما واقعاً راه اندازی سرور OpenVPN چندان سخت نیست. برای راه اندازی یک محیط آزمایشی به دو گره در شبکه های مختلف نیاز دارید ، برای مثال ، می توانید از چندین ماشین مجازی یا سرور واقعی استفاده کنید. همانطور که قبلاً متوجه شده اید ، این مقاله شما را با راه اندازی OpenVPN در اوبونتو برای ایجاد یک شبکه مجازی خصوصی کامل آشنا می کند.
هر دو ماشین باید OpenVPN را نصب کرده باشند ، این یک برنامه نسبتاً محبوب است ، بنابراین می توانید آن را از مخازن رسمی نصب کنید. همچنین برای کار با کلیدهای خصوصی به Easy-RSA نیاز داریم. برای نصب برنامه ها در اوبونتو از دستور زیر استفاده کنید:
sudo apt openvpn easy-rsa را نصب کنید
هر دو بسته باید روی سرور و کلاینت نصب شوند. برای پیکربندی برنامه به آنها نیاز دارید. مرحله اول مقاله ، نصب و پیکربندی openvpn به پایان رسیده است.
راه اندازی مرجع صدور گواهینامه
اولین کاری که باید انجام دهید ایجاد زیرساخت کلید عمومی صحیح روی سرور است. ما سرور را دستگاهی می دانیم که کاربران به آن متصل می شوند. مزایای متعددی برای داشتن CA خود دارید. شما CA خود را خواهید داشت که توزیع و مدیریت کلیدها را آسان می کند. به عنوان مثال ، می توانید گواهینامه های مشتری را در سرور لغو کنید. همچنین ، اکنون نیازی به ذخیره همه گواهینامه های مشتری ندارید ، مرجع صدور گواهینامه فقط باید بداند که گواهینامه توسط CA امضا شده است. علاوه بر یک سیستم کلید پیچیده ، اگر فقط به چند کاربر اجازه دسترسی دهید ، می توانید از کلیدهای ایستا استفاده کنید.
لطفاً توجه داشته باشید که همه کلیدهای خصوصی باید در مکانی امن نگهداری شوند. در OpenVPN ، یک کلید عمومی گواهی نامیده می شود و دارای پسوند .crt ، و یک کلید خصوصی یک کلید نامیده می شود ، پسوند آن .key است.
ابتدا یک پوشه برای ذخیره گواهی های Easy-RSA ایجاد کنید. در واقع ، پیکربندی OpenVPN به صورت دستی انجام می شود ، بنابراین پوشه را می توان در هر کجا قرار داد:
sudo mkdir / etc / openvpn / easy-rsa
سپس همه اسکریپت های easy-rsa لازم را در این پوشه کپی کنید:
cd / etc / openvpn / easy-rsa /
sudo -i
# منبع ./vars
# ./همه را پاک کن
# ./ build-ca
با فرمان اول ، ما به نمایندگی از superuser به کنسول می رویم ، و دوم ، متغیرهای محیط را از فایل. / Vars بارگذاری می کنیم. دستور ./ Clear-all پوشه keys را در صورت وجود نداشتن ایجاد می کند و محتویات آن را پاک می کند. و آخرین فرمان ، مرجع صدور گواهینامه ما را آغاز می کند. اکنون همه کلیدهای لازم در پوشه .keys ظاهر شده است:
پیکربندی گواهینامه های مشتری
sudo cp -R / usr / share / easy -rsa / etc / openvpn /
اکنون باید گواهی نامه ، فایل .crt را در پوشه / etc / openvpn در همه کلاینت ها کپی کنیم. به عنوان مثال ، اجازه دهید این فایل را با استفاده از scp برای مشتری خود بارگیری کنیم:
sudo scp user @ host: /etc/openvpn/easy-rsa/keys/ca.crt /etc /openvpn /easy-rsa /keys
فقط اکنون می توانید کلید خصوصی خود را بر اساس گواهی CA ایجاد کنید:
cd / etc / openvpn / easy-rsa /
sudo -i
# منبع ./vars
# build-req Sergiy
لطفاً توجه داشته باشید که ca.crt باید در پوشه keys باشد ، در غیر این صورت هیچ چیز کار نمی کند. اکنون این ابزار کلیدی ایجاد می کند که بر اساس آن می توانید به سرور OpenVPN متصل شوید ، اما هنوز باید آن را روی سرور امضا کنید. فایل .csr حاصل را با استفاده از همان scp به سرور ارسال کنید:
scp /etc/openvpn/easy-rsa/keys/Sergiy.csr کاربر @ میزبان: ~/
سپس ، در سرور ، در پوشه / etc / openvpn / easy-rsa ، باید فرمان امضای گواهی را اجرا کنید:
./sign-req ~ / Sergiy
امضای گواهی باید تأیید شود. سپس برنامه گزارش می دهد که امضا شده است و به پایگاه داده اضافه شده است. فایل .crt در پوشه ای با گواهی csr ظاهر می شود که باید به ماشین سرویس گیرنده برگردانده شود:
sudo scp user @ host: /home/Sergiy.crt / etc / openvpn / easy-rsa / keys
فقط پس از آن سرور و سرویس گیرنده تمام کلیدهای لازم برای اتصال و برقراری ارتباط را دارند. هنوز چند تنظیم باقی مانده است. اگر قصد دارید از رمزگذاری TLS استفاده کنید ، باید یک مجموعه داده Diffie-Huffman روی سرور ایجاد کنید ، برای این منظور از دستور زیر استفاده کنید:
راه اندازی OpenVPN
اکنون سرور OpenVPN را تنظیم کنید. به طور پیش فرض ، چیزی در پوشه فایلهای پیکربندی OpenVPN وجود ندارد. بسته به آنچه قصد پیکربندی دارید ، سرور یا مشتری ، باید آنها را خودتان ایجاد کنید. فایل پیکربندی OpenVPN مورد نیاز را می توانید در آدرس / usr / share / doc / openvpn / samples / sample-config-files / پیدا کنید. ابتدا اجازه دهید یک فایل پیکربندی برای سرور ایجاد کنیم:
zcat /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | sudo tee /etc/openvpn/server.conf
چند پارامتر وجود دارد که باید در اینجا تغییر دهید:
بندرو اولیه- پورت و پروتکل مورد استفاده برنامه ؛
بندر 1194
udp اولیه
همه کلیدهای ایجاد شده باید در فایل پیکربندی ثبت شوند. کلیدهای ما در / etc / openvpn / easy-rsa / keys ذخیره می شوند:
cert /etc/openvpn/easy-rsa/keys/ca.crt
کلید /etc/openvpn/easy-rsa/keys/ca.key
dh /etc/openvpn/easy-rsa/keys/dh.pem
ما محدوده آدرس ها را برای شبکه مجازی پیکربندی می کنیم ، سرور ما در اولین آنها در دسترس خواهد بود - 10.8.0.1:
سرور 10.8.0.0 255.255.255.0
پس از تکمیل پیکربندی ، تغییرات را در فایل ذخیره کنید ، می توانید همه این تنظیمات را خودتان بچسبانید یا فایل نمونه را ویرایش کنید. تنظیمات سرور آماده کار:
بندر 1194
udp اولیه
comp-lzo
dev tun
ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt
cert /etc/openvpn/easy-rsa/2.0/keys/ca.crt
dh /etc/openvpn/easy-rsa/2.0/keys/dh2048.pem
زیر شبکه توپولوژی
سرور 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
sudo cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/client.conf
برای اتصال به سرورهای مختلف می توانید چندین فایل پیکربندی مشتری ایجاد کنید. فایل پیکربندی را باز کرده و پارامترهای زیر را در آن تغییر دهید:
از راه دور- این آدرس سرور OpenVPN شما است ، آدرس و پورت باید با آدرس پیکربندی شده روی سرور مطابقت داشته باشد ، به عنوان مثال:
راه دور 194.67.215.125 1194
حدود- کلیدی که از مرجع صدور گواهینامه دریافت کرده اید ، ما آن را در پوشه / etc / openvpn / قرار داده ایم.
گواهی و کلید- اینها کلیدهای عمومی و خصوصی مشتری است ، با کمک آنها به سرور متصل می شوید. همانطور که به خاطر دارید ، ما آنها را در پوشه / etc / openvpn / easy-rsa / keys / ذخیره کردیم.
ca /etc/openvpn/easy-rsa/keys/ca.crt
بقیه تنظیمات را می توان به همان شکل باقی گذاشت. در اینجا فایل پیکربندی کامل است که می توانید کپی کنید:
مشتری
dev tun
udp اولیه
راه دور 194.67.215.125 1194
قطعنامه-تلاش مجدد بی نهایت
خیر
کلید پایدار
persist-tun
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/Sergiy.crt
کلید /etc/openvpn/easy-rsa/keys/Sergiy.key
tls-auth ta.key 1
comp-lzo
فعل 3
تنظیمات را ذخیره کنید ، کلاینت اکنون آماده اتصال است. لطفاً توجه داشته باشید که فایلهای پیکربندی باید تا آنجا که ممکن است مطابقت داشته باشند ، عدم وجود گزینه های خاص در یکی از فایلها می تواند منجر به خطا شود. این بدان معنا نیست که فایلها یکسان خواهند بود ، اما پارامترهای اساسی openvpn باید یکسان باشد. فقط باید OpenVPN را روی این دستگاه با استفاده از این فایل پیکربندی اجرا کنید:
openvpn /etc/openvpn/client.conf
انجام شد ، اکنون همه چیز کار می کند ، اگر ifconfig را اجرا کنید ، خواهید دید که رابط tun0 اضافه شده است:
همچنین می توانید آدرس های 10.8.0.1 را پینگ کنید ، این آدرسی است که ما برای سرور OpenVPN خود پیکربندی کرده ایم ، بسته های پینگ به طور معمول ارسال می شوند. اگر بسته ها نمی آیند یا چیز دیگری کار نمی کند ، به خروجی هر دو برنامه توجه کنید ، شاید خطا یا هشدارهایی وجود داشته باشد ، همچنین مطمئن شوید که فایروال سرور اجازه دسترسی خارجی از طریق udp را برای پورت 1194 می دهد. همچنین می توانید سرور یا کلاینت را راه اندازی کنید ، سطح جزئیات در پیکربندی را حداکثر به فعل 9. تنظیم کنید. اغلب این امر به درک علت عدم کارکردن چیزی کمک می کند. اما هنوز نمی توانید ترافیک را از طریق تونل مسیریابی کنید. برای انجام این کار ، باید حمل و نقل را فعال کرده و برخی از قوانین iptables را اضافه کنید. ابتدا ، انتقال بسته ها را روی سرور مجاز می کنیم:
sysctl -w net.ipv4.ip_forward = 1
سپس قوانینی مانند این را اضافه کنید. ما به همه اجازه می دهیم به سرور ما متصل شوند:
iptables -A INPUT -p udp --dport 1194 -j ACCEPT
ما به کاربران OpenVPN اجازه می دهیم به اینترنت دسترسی داشته باشند:
iptables -I FORWARD -i tun0 -o eth0 -j Accept
# iptables -I FORWARD -i eth0 -o tun0 -j Accept
# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
نتیجه گیری
در این مقاله ، ما نحوه نصب و پیکربندی OpenVPN اوبونتو ، و همچنین نحوه پیکربندی openvpn برای کار با احراز هویت کلیدی را بررسی کردیم. سازماندهی شبکه های مجازی خصوصی می تواند نه تنها در سازمانها بلکه برای تبادل اطلاعات بین دو رایانه شما یا افزایش امنیت در شبکه بسیار مفید باشد.
راه اندازی اتصال VPN در دبیان
در اینجا مثالی از نحوه ایجاد اتصال VPN برای Debian Linux از طریق خط فرمان آورده شده است. اما برای صاحبان توزیع های مبتنی بر Debian ، به عنوان مثال ، اوبونتو ، کمتر مفید نخواهد بود.
- ابتدا به بسته pptp نیاز دارید:
# apt-get pptp-linux را نصب کنید - ما فایل /etc/ppp/options.pptp را ویرایش (یا ایجاد می کنیم ، در صورت عدم وجود). باید شامل پارامترهای زیر باشد:
قفل کردن
نوآت
nobsdcomp
nodeflate - در مرحله بعد ، باید خطی مانند این را به فایل / etc / ppp / chap-secrets اضافه کنید:
"نام کاربری" PPTP "رمز عبور" * - یک فایل / etc / ppp / peers / XXX ایجاد کنید (XXX نام شبکه است). موارد زیر را در آن بنویسید:
pty "pptp vpn.XXX.ru --nolaunchpppd"
نام "نام کاربری"
Remotename PPTP
فایل /etc/ppp/options.pptp
مسیر پیش فرض
"نام کاربری" و "رمز عبور" باید با نام کاربری و رمز عبور شما بدون علامت نقل قول جایگزین شود ، همانطور که در توافقنامه شما مشخص شده است. vpn.XXX.ru - آدرس سرور vpn - از ارائه دهنده خود بپرسید. - برای جایگزینی خودکار مسیر پیش فرض ، فایل /etc/ppp/ip-up.d/routes-up را ایجاد کنید:
# su touch /etc/ppp/ip-up.d/routes-up
# su chown a + x /etc/ppp/ip-up.d/routes-upو موارد زیر را در آن وارد می کنیم:
#! / bin / sh
/ sbin / route del default
/ sbin / route افزودن dev پیش فرض ppp0
یک فایل /etc/ppp/ip-down.d/routes-down ایجاد کنید:
# su touch /etc/ppp/ip-down.d/routes-down
# su chown a + x /etc/ppp/ip-down.d/routes-down
و موارد زیر را در آن وارد می کنیم:
#! / bin / sh
/ sbin / route del default
/ sbin / route پیش فرض dev eth0 را اضافه کنید - اکنون می توانید با دستور متصل شوید:
# su pon XXX
برای نمایش دقیق اطلاعات مربوط به فرآیند اتصال ، عبارت زیر را تایپ کنید:
# su pon XXX debug dump logfd 2 nodetach
با تایپ دستور ifconfig می توانید بررسی کنید که آیا به VPN متصل هستید یا خیر. اگر خروجی آن شامل قسمت ppp0 است ، پس شما متصل هستید و می توانید با اینترنت کار کنید. برای غیرفعال کردن ، ctrl + c را فشار دهید یا تایپ کنید:
# su poff XXX - برای اینکه رایانه شما مسیرها را از سرور ما دریافت کند ، خطوط زیر باید در فایل /etc/dhcp3/dhclient.conf وجود داشته باشد:
#
گزینه rfc3442-classless-static-route کد 121 = مجموعه ای از عدد صحیح بدون علامت 8 ؛
گزینه ms-classless-static-route کد 249 = آرایه ای از عدد صحیح بدون علامت 8 ؛
#
ماسک زیر شبکه ، آدرس پخش ، زمان افست ، روترها ، نام دامنه ، نام دامنه-سرورها ، جستجوی دامنه ، نام میزبان ، نام سرورهای netbios ، دامنه netbios ، رابط-mtu ، مسیر ثابت ، rfc3442-classless-static-route، ms-classless-static-route؛
# - برای اتصال خودکار به اینترنت هنگام بارگیری سیستم عامل ، یک فایل / etc / init.d / XXX ایجاد کنید
# touch /etc/init.d/XXX
# su chown a + x /etc/init.d/XXX
# su ln -s /etc/init.d/XXX /etc/rc2.d/S99XXX
بیایید آن را در زیر بنویسیم:
#! / bin / sh
su / usr / bin / pon XXX
در همه دستورات ، XXX نام شبکه شما است.
هر از گاهی برخی از کاربران فعال اینترنت با نیاز به سازماندهی یک اتصال ناشناس رمزگذاری شده امن ، اغلب با جایگزینی اجباری آدرس IP با میزبان یک کشور خاص مواجه می شوند. فناوری به نام VPN در اجرای چنین کاری کمک می کند. کاربر فقط باید تمام اجزای لازم را بر روی کامپیوتر نصب کرده و اتصال را برقرار کند. پس از آن ، دسترسی به شبکه با آدرس شبکه قبلاً تغییر یافته در دسترس خواهد بود.
توسعه دهندگان سرورها و برنامه های اتصال VPN خدمات را برای دارندگان رایانه هایی که توزیع اوبونتو را بر اساس هسته لینوکس اجرا می کنند ، ارائه می دهند. نصب زمان زیادی نمی برد و همچنین تعداد زیادی راه حل رایگان یا ارزان در شبکه برای انجام این کار وجود دارد. امروز ما می خواهیم به سه روش کار برای سازماندهی اتصال خصوصی خصوصی در سیستم عامل ذکر شده اشاره کنیم.
روش 1: Astrill
Astrill یکی از برنامه های GUI رایگان است که روی رایانه نصب می شود و به طور خودکار آدرس شبکه را با یک آدرس تصادفی یا مشخص شده توسط کاربر جایگزین می کند. توسعه دهندگان وعده انتخاب بیش از 113 سرور ، امنیت و ناشناس بودن را می دهند. روش بارگیری و نصب بسیار ساده است:
- به وب سایت رسمی Astrill بروید و نسخه لینوکس را انتخاب کنید.
- لطفاً مجموعه ای مناسب انتخاب کنید. برای دارندگان یکی از آخرین نسخه های اوبونتو ، بسته 64 بیتی DEB مناسب است. پس از انتخاب روی آن کلیک کنید "بارگیری Astrll VPN".
- فایل را در یک مکان مناسب ذخیره کنید یا مستقیماً از طریق برنامه استاندارد برای نصب بسته های DEB باز کنید.
- روی دکمه کلیک کنید "نصب".
- صحت حساب را با رمز عبور تأیید کنید و منتظر اتمام مراحل باشید. برای گزینه های جایگزین برای افزودن بسته های DEB به اوبونتو ، مقاله دیگر ما را در پیوند زیر مشاهده کنید.
- اکنون برنامه به رایانه شما اضافه شده است. فقط با کلیک روی نماد مربوطه در منو راه اندازی می شود.
- در حین بارگیری ، باید یک حساب جدید برای خود ایجاد کرده باشید ، در پنجره Astrill که باز می شود ، داده های خود را برای ورود وارد کنید.
- سرور مناسب برای اتصال را مشخص کنید. در صورت نیاز به انتخاب یک کشور خاص ، از نوار جستجو استفاده کنید.
- این نرم افزار می تواند با ابزارهای مختلفی کار کند که به شما امکان ایجاد اتصال VPN در اوبونتو را می دهد. اگر مطمئن نیستید کدام گزینه را انتخاب کنید ، پیش فرض را ترک کنید.
- سرور را با حرکت دادن لغزنده به موقعیت شروع کنید "بر"، و در مرورگر به سر کار بروید.
- توجه داشته باشید که اکنون یک آیکون جدید در نوار وظیفه وجود دارد. با کلیک بر روی آن منوی کنترل Astrill باز می شود. در اینجا شما می توانید نه تنها سرور را تغییر دهید ، بلکه پارامترهای اضافی را نیز پیکربندی کنید.
روش در نظر گرفته شده برای کاربران مبتدی که هنوز ظرافت های تنظیم و کار در آن را درک نکرده اند ، بهینه ترین خواهد بود. "پایانه"سیستم عامل. برای اهداف این مقاله ، راه حل Astrill فقط به عنوان یک مثال ارائه شده است. در اینترنت ، می توانید برنامه های مشابه بیشتری پیدا کنید که سرورهای پایدارتر و سریع تری ارائه می دهند ، اما اغلب پولی هستند.
علاوه بر این ، باید به حجم کار دوره ای سرورهای محبوب اشاره کرد. توصیه می کنیم مجدداً به منابع دیگری که تا حد امکان به کشور شما واقع شده اند متصل شوید. سپس پینگ کمتر خواهد شد و سرعت انتقال و دریافت فایل ها می تواند به میزان قابل توجهی افزایش یابد.
روش 2: ابزار سیستم
اوبونتو دارای اتصال VPN داخلی است. با این حال ، برای انجام این کار ، هنوز باید یکی از سرورهای کار عمومی را پیدا کنید یا از طریق هر وب سرویس مناسب که چنین خدماتی را ارائه می دهد ، فضا بخرید. کل روش اتصال به این شکل است:
- روی دکمه نوار وظیفه کلیک کنید "ارتباط"و مورد را انتخاب کنید "تنظیمات".
- انتقال به بخش "شبکه"با استفاده از منوی سمت چپ
- بخش VPN را پیدا کرده و روی دکمه بعلاوه کلیک کنید تا به ایجاد اتصال جدید ادامه دهید.
- اگر ارائه دهنده خدمات شما فایلی را در اختیار شما قرار داده است ، می توانید پیکربندی را از طریق آن وارد کنید. در غیر این صورت ، همه داده ها باید به صورت دستی وارد شوند.
- در فصل "شناسایی"همه فیلدهای مورد نیاز موجود است در زمینه "عمومی" — "دروازه"آدرس IP ارائه شده را وارد کنید ، و در "اضافی"- نام کاربری و رمز عبور دریافت شده است.
- علاوه بر این ، پارامترهای اضافی وجود دارد ، اما آنها فقط باید به توصیه صاحب سرور تغییر کنند.
- در تصویر زیر نمونه هایی از سرورهای رایگان را مشاهده می کنید که به صورت رایگان در دسترس هستند. البته ، آنها اغلب ناپایدار ، بارگیری یا کند هستند ، اما این بهترین گزینه برای کسانی است که نمی خواهند برای VPN هزینه پرداخت کنند.
- پس از ایجاد اتصال ، تنها چیزی که باقی می ماند فعال کردن آن با حرکت دادن نوار لغزنده مربوطه است.
- برای احراز هویت ، باید رمز عبور را از سرور در پنجره ظاهر شده وارد کنید.
- همچنین می توانید اتصال ایمن را از طریق نوار وظیفه با کلیک روی نماد مربوطه با دکمه سمت چپ ماوس مدیریت کنید.
روش استفاده از یک ابزار استاندارد خوب است زیرا نیازی به نصب اجزای اضافی توسط کاربر ندارد ، اما هنوز باید سرور رایگان پیدا کنید. علاوه بر این ، هیچ کس شما را از ایجاد چندین ارتباط و جابجایی بین آنها فقط در زمان مناسب منع نمی کند. اگر به این روش علاقه دارید ، به شما توصیه می کنیم راه حل های پولی را از نزدیک ببینید. آنها اغلب بسیار سودآور هستند ، زیرا برای مقدار کمی شما نه تنها یک سرور پایدار ، بلکه در صورت بروز مشکلات مختلف ، پشتیبانی فنی نیز دریافت خواهید کرد.
روش 3: سرور خود را از طریق OpenVPN
برخی از شرکت هایی که خدمات اتصال رمزگذاری شده را ارائه می دهند از فناوری OpenVPN استفاده می کنند و مشتریان آنها نرم افزار مناسب را بر روی رایانه خود نصب می کنند تا با موفقیت یک تونل امن ایجاد کنند. هیچ چیز مانع از ایجاد سرور بر روی یک رایانه شخصی و پیکربندی قسمت سرویس گیرنده در سایرین برای دریافت نتیجه مشابه نمی شود. البته ، روش راه اندازی بسیار پیچیده است و زمان زیادی طول می کشد ، اما در برخی موارد این بهترین راه حل خواهد بود. پیشنهاد می کنیم با کلیک روی پیوند زیر ، راهنمای نصب سرور اوبونتو و مشتری را مطالعه کنید.
اکنون با سه گزینه برای استفاده از VPN در رایانه اوبونتو آشنا شده اید. هر گزینه مزایا و معایب خاص خود را دارد و در برخی شرایط مطلوب خواهد بود. ما به شما توصیه می کنیم که با همه آنها آشنا شوید ، در مورد هدف استفاده از چنین ابزاری تصمیم بگیرید و از قبل به دنبال دستورالعمل ها بروید.
با در نظر گرفتن مباحث نظری در قسمت های قبلی ، بیایید به اجرای عملی بپردازیم. امروز ما به ایجاد یک سرور PPTP VPN در بستر سرور اوبونتو می پردازیم. این مطالب برای خوانندگان دارای مهارت لینوکس در نظر گرفته شده است ، بنابراین ما از چیزهایی که در مقالات دیگر توضیح داده ایم ، مانند پیکربندی شبکه و غیره ، حواس ما را پرت نمی کند. اگر با مشکلات روبرو هستید - ابتدا سایر مطالب ما را مطالعه کنید.
ما آشنایی عملی خود با VPN را با PPTP آغاز می کنیم ، که ساده ترین راه برای پیاده سازی است. با این حال ، به خاطر داشته باشید که این یک پروتکل ضعیف امن است و نباید برای دسترسی به داده های مهم استفاده شود.
مداری را که در آزمایشگاه آزمایشی خود برای آشنایی عملی با این فناوری ایجاد کرده ایم ، در نظر بگیرید:
ما یک شبکه محلی 10.0.0.0/24 با سرور ترمینال 10.0.0.2 و 10.0.0.1 داریم که به عنوان سرور VPN عمل می کند ، برای VPN ما شبکه 10.0.1.0/24 را رزرو کرده ایم. رابط سرور خارجی دارای IP اختصاصی مشروط X.X.X.X است. هدف ما این است که دسترسی مشتریان از راه دور به سرور ترمینال و منابع مشترک روی آن را فراهم کنیم.
راه اندازی سرور PPTP
بسته pptpd را که عملکرد PPTP VPN را پیاده سازی می کند نصب کنید:
Sudo apt-get pptpd install
حالا فایل را باز کنیم /etc/pptpd.confو تنظیمات اولیه را برای سرور VPN تنظیم کنید. بیایید به انتهای فایل برویم ، جایی که آدرس سرور را در شبکه VPN نشان می دهیم:
Localip 10.0.1.1
و طیف وسیعی از آدرسهایی که برای مشتریان ارسال می شود:
راه دور 10.0.1.200-250
آدرسها باید حداقل تا آنجا که ممکن است اتصالات همزمان ، ترجیحاً با حاشیه کوچک اختصاص داده شوند ، زیرا افزایش آنها بدون راه اندازی مجدد pptpd غیرممکن است. ما همچنین خط را پیدا کرده و اظهار نظر نمی کنیم:
Bcrelay eth1
این به مشتریان VPN اجازه می دهد بسته ها را در شبکه داخلی پخش کنند.
همچنین می توانید از گزینه ها استفاده کنید گوش بدهو سرعت، اول به شما اجازه می دهد آدرس IP رابط محلی را برای گوش دادن به اتصالات PPTP ورودی ، و دوم سرعت اتصال VPN را در bps مشخص کنید. برای مثال ، اجازه دهید سرور اتصالات PPTP را فقط از رابط خارجی بپذیرد:
به X.X.X.X گوش دهید
تنظیمات ظریف تری در فایل موجود است / etc / ppp / pptpd-options... تنظیمات پیش فرض کاملاً با الزامات ما مطابقت دارد ، اما ما برخی از آنها را به طور مختصر مرور می کنیم تا ایده ای از هدف آنها داشته باشید.
بخش #رمزگذاریمسئول رمزگذاری و احراز هویت داده ها این گزینه ها استفاده از پروتکل های قدیمی و ناامن PAP ، CHAP و MS-CHAP را ممنوع می کند:
امتناع-پاپ
رد کردن
refuse-mschap
Require-mschap-v2
Require-mppe-128
بخش بعدی #شبکه و مسیریابی، در اینجا باید به گزینه توجه کنید ms-dnsکه اجازه استفاده از سرور DNS در شبکه داخلی را می دهد. این می تواند زمانی مفید واقع شود که ساختار دامنه شبکه یا وجود یک سرور DNS در آن حاوی نام تمام رایانه های شخصی در شبکه باشد ، که این امکان را فراهم می آورد تا به رایانه ها با نام آنها و نه فقط با IP اشاره شود. در مورد ما ، این گزینه بی فایده است و نظر داده می شود. به طور مشابه ، می توانید آدرس سرور WINS را با گزینه تنظیم کنید ms-win.
در اینجا گزینه وجود دارد proxyarp، از جمله ، همانطور که از نامش حدس می زنید ، پشتیبانی از سرور پروکسی ARP.
در بخش #متفرقهشامل یک گزینه است قفل کردن، که مشتری را به یک اتصال محدود می کند.
ایوانوف * 123 *
petrov * 456 10.0.1.201
اولین ورودی به کاربر اجازه می دهد تا ivanov با گذرواژه 123 به سرور متصل شود و یک آدرس IP دلخواه به او اختصاص می دهد ، دومی کاربر petrov را با رمز 456 ایجاد می کند ، که هنگام اتصال آدرس دائمی 10.0.1.201 به آن اختصاص داده می شود.
راه اندازی مجدد pptpd:
Sudo /etc/init.d/pptpd راه اندازی مجدد کنید
یادداشت مهم! اگر pptpdنمی خواهد راه اندازی مجدد شود ، در ابتدا یخ می زند ، اما در / var / log / syslogافزودن خط خط فایل پیکربندی طولانی نادیده گرفته شدحتماً به انتهای فایل اضافه کنید /etc/pptpd.confشکست خط
سرور ما آماده کار است.
پیکربندی رایانه های شخصی مشتری
به طور کلی ، پیکربندی اتصال VPN با گزینه های پیش فرض کافی است. با این حال ، ما به شما توصیه می کنیم نوع اتصال را صریحاً مشخص کرده و پروتکل های رمزگذاری غیر ضروری را غیرفعال کنید.
علاوه بر این ، بسته به ساختار شبکه ، باید مسیرهای ایستا و دروازه پیش فرض را مشخص کنید. این سوالات در قسمتهای قبل به تفصیل مورد بحث قرار گرفت.
ما یک اتصال VPN ایجاد می کنیم و سعی می کنیم هر رایانه ای را در شبکه محلی پینگ کنیم ، بدون هیچ مشکلی به سرور ترمینال دسترسی پیدا کردیم:
در حال حاضر برای یک افزودنی مهم دیگر. در بیشتر موارد ، دسترسی به رایانه های شبکه محلی تنها با آدرس IP امکان پذیر است ، به عنوان مثال. مسیر \\ 10.0.0.2 کار می کند ، اما \\ سرور کار نمی کند. این می تواند برای کاربران ناخوشایند و غیر معمول باشد. چندین راه برای حل این مشکل وجود دارد.
اگر شبکه محلی دارای ساختار دامنه باشد ، کافی است سرور DNS را برای اتصال VPN به سرور DNS کنترل کننده دامنه مشخص کنید. از گزینه استفاده کنید ms-dnsکه در / etc / ppp / pptpd-optionsسرور و داده های تنظیمات به طور خودکار توسط مشتری دریافت می شود.
اگر سرور DNS در شبکه محلی وجود ندارد ، می توانید یک سرور WINS ایجاد کرده و از آن استفاده کنید ، اطلاعات مربوط به آن نیز می تواند به طور خودکار با استفاده از گزینه به کلاینت ها منتقل شود. ms-win... و در نهایت ، اگر تعداد کلاینت های راه دور کم است ، از فایل های موجود در رایانه های شخصی مشتری استفاده کنید میزبان(C: \ Windows \ System32 \ drivers \ etc \ hosts) ، جایی که باید خطوطی مانند آن را اضافه کنید.
آیا می خواهید از طریق تلفن هوشمند یا لپ تاپ خود به اینترنت ایمن و مطمئن دسترسی داشته باشید ، در حالی که از طریق WiFi یک هتل یا کافه به یک شبکه ناامن متصل می شوید؟ یک شبکه خصوصی مجازی (VPN) به شما این امکان را می دهد که از شبکه های بدون امنیت استفاده کنید انگار که در یک شبکه خصوصی هستید. تمام ترافیک شما در این مورد از طریق سرور VPN انجام می شود.
در ترکیب با استفاده از اتصال HTTPS ، تنظیمات شرح داده شده در زیر به شما امکان می دهد اطلاعات خصوصی خود ، به عنوان مثال ، ورود به سیستم و رمزهای عبور و همچنین خریدهای خود را ایمن کنید. علاوه بر این ، می توانید محدودیت ها و سانسورهای منطقه ای را دور بزنید ، همچنین مکان خود و ترافیک رمزگذاری نشده HTTP را از یک شبکه نا امن پنهان کنید.
با اتصال دستگاه Android خود به رایانه از طریق USB و کپی فایل ، می توانید نمایه ای را از رایانه به تلفن خود منتقل کنید. همچنین می توانید فایل نمایه را با استفاده از کارت SD با کپی نمایه به کارت و قرار دادن کارت در دستگاه Android خود منتقل کنید.
برنامه OpenVPN را اجرا کرده و روی منو کلیک کنید تا نمایه وارد شود.
ترکیب
برای ایجاد ارتباط دکمه را فشار دهید. وصل کنید... از شما سال می شود که آیا به برنامه OpenVPN اعتماد دارید یا خیر. پاسخ خوببرای ایجاد ارتباط برای قطع اتصال ، به برنامه OpenVPN بروید و انتخاب کنید قطع شدن.
مرحله 13. آزمایش اتصال VPN
پس از نصب و پیکربندی همه چیز ، بیایید مطمئن شویم که همه چیز به درستی کار می کند. بدون ایجاد اتصال VPN ، مرورگر را باز کرده و به DNSLeakTest بروید.
این سایت آدرس IP اختصاص داده شده توسط ISP شما را برمی گرداند. برای بررسی اینکه کدام سرورهای DNS در حال استفاده هستند ، روی آن کلیک کنید تست تمدید شده.
اکنون با استفاده از سرویس گیرنده VPN خود یک اتصال برقرار کرده و صفحه را در مرورگر خود بازخوانی کنید. آدرس IP داده شده به شما باید کاملاً متفاوت باشد. شما اکنون از این آدرس IP جدید برای همه افراد در اینترنت استفاده می کنید. بر روی کلیک کنید تست تمدید شدهمجدداً تنظیمات DNS خود را بررسی کنید و مطمئن شوید که اکنون از سرور DNS VPN خود استفاده می کنید.
مرحله 14. لغو گواهینامه های مشتری
هر از گاهی ممکن است برای جلوگیری از دسترسی به سرور VPN مجبور به لغو گواهی مشتری باشید.
برای انجام این کار ، به دایرکتوری مرجع صدور گواهینامه خود بروید و دستورات را وارد کنید:
- cd ~ / openvpn-ca
- وارس منبع
- ./revoke-full client3
خروجی این دستور با خطای 23 تمام می شود. این طبیعی است. در نتیجه ، فایل crl.pem در فهرست کلیدها با اطلاعات لازم برای لغو گواهی ایجاد می شود.
این فایل را به فهرست / etc / openvpn منتقل کنید:
- sudo cp ~ / openvpn-ca / keys / crl.pem / etc / openvpn
- sudo nano /etc/openvpn/server.conf
crl-verify را به انتهای فایل اضافه کنید. سرور OpenVPN هر بار که شخصی به سرور متصل می شود CRL را بررسی می کند.
/etc/openvpn/server.conf
crl-verm crl.pem
ذخیره کنید و فایل را ببندید.
برای تکمیل مراحل لغو گواهی ، OpenVPN را مجدداً راه اندازی کنید:
- راه اندازی مجدد sudo systemctl [ایمیل محافظت شده]
اکنون کلاینت نمی تواند با سرور OpenVPN با استفاده از گواهینامه قدیمی ارتباط برقرار کند.
برای لغو گواهی های اضافی ، مراحل زیر را دنبال کنید:
با استفاده از فرمان منبع vars در فهرست ~ / openvpn-ca و اجرای دستور revoke-full با نام سرویس گیرنده ، یک لیست لغو جدید ایجاد کنید.
CRL جدید را در / etc / openvpn کپی کرده و لیست قبلی را رونویسی کنید.
سرویس OpenVPN را راه اندازی مجدد کنید.
این روش می تواند برای لغو گواهی هایی که قبلاً ایجاد کرده اید استفاده شود.
نتیجه
تبریک می گویم! اکنون می توانید با خیال راحت به اینترنت دسترسی داشته باشید ، تمام ترافیک شما از شنود توسط سانسورها و مزاحمان محافظت می شود.
مراحل را برای پیکربندی کلاینت های دیگر تکرار کنید 6 و 11-13 برای هر دستگاه جدید برای لغو دسترسی برای یک سرویس گیرنده خاص ، از این مرحله استفاده کنید 14 .