Configuration de la connexion VPN sous Linux. Installer VPN sur Ubuntu Pourquoi télécharger VPN sur Linux
Un véritable réseau privé virtuel ou réseau privé virtuel (VPN) est un tunnel crypté et interconnecté entre deux réseaux qui connecte deux points de confiance. Ce n'est pas le protocole Web HTTPS, qui est considéré comme approuvé par tous les clients. Seuls les clients avec des clés d'accès spéciales peuvent se connecter au VPN.
Les VPN sont devenus très tentaculaires ces jours-ci avec l'avènement des réseaux privés virtuels qui font confiance à tout le monde et la prolifération du HTTPS. De nombreux VPN sont des solutions commerciales avec une configuration minimale pour fournir un accès à distance aux employés. Mais tout le monde ne fait pas confiance à ces solutions. Un réseau virtuel privé connecte deux réseaux en un, comme un réseau de bureau et le réseau domestique d'un employé. Le serveur VPN est requis pour que le serveur et le client puissent s'authentifier l'un avec l'autre.
La configuration de l'authentification serveur et client demande beaucoup de travail, et donc les solutions commerciales avec un minimum de paramètres échouent à cet égard. Mais ce n'est vraiment pas si difficile de configurer un serveur OpenVPN. Vous aurez besoin de deux nœuds sur des réseaux différents pour configurer un environnement de test, par exemple, vous pouvez utiliser plusieurs machines virtuelles ou serveurs réels. Comme vous l'avez déjà compris, cet article couvrira la configuration d'OpenVPN dans Ubuntu pour créer un réseau virtuel privé à part entière.
OpenVPN doit être installé sur les deux machines, c'est un programme assez populaire, vous pouvez donc l'installer à partir des référentiels officiels. Nous avons également besoin d'Easy-RSA pour fonctionner avec des clés privées. Pour installer des programmes sur Ubuntu, utilisez la commande suivante :
sudo apt installer openvpn easy-rsa
Les deux packages doivent être installés sur le serveur et le client. Vous en aurez besoin pour configurer le programme. La première étape de l'article, l'installation et la configuration d'openvpn est terminée.
Mise en place d'une autorité de certification
La première chose à faire est de créer la bonne infrastructure de clé publique sur le serveur. Nous considérons le serveur comme la machine à laquelle les utilisateurs se connecteront. Il y a plusieurs avantages à avoir votre propre CA. Vous aurez votre propre CA qui facilite la distribution et la gestion des clés. Par exemple, vous pouvez révoquer des certificats clients sur un serveur. De plus, désormais, vous n'avez plus besoin de stocker tous les certificats clients, l'autorité de certification n'aura besoin que de savoir que le certificat est signé par une autorité de certification. En plus d'un système de clés complexe, vous pouvez utiliser des clés statiques si vous n'avez besoin d'accorder l'accès qu'à quelques utilisateurs.
Veuillez noter que toutes les clés privées doivent être conservées dans un endroit sûr. Dans OpenVPN, la clé publique s'appelle un certificat et a l'extension .crt, et la clé privée s'appelle une clé, son extension est .key.
Tout d'abord, créez un dossier pour stocker les certificats Easy-RSA. En fait, la configuration d'OpenVPN se fait manuellement, donc le dossier peut être placé n'importe où :
sudo mkdir / etc / openvpn / easy-rsa
Copiez ensuite tous les scripts easy-rsa nécessaires dans ce dossier :
cd/etc/openvpn/easy-rsa/
sudo -i
# source ./vars
# ./tout effacer
# ./build-ca
Dans la première commande, on passe à la console pour le compte du superutilisateur, dans la seconde, on charge les variables d'environnement à partir du fichier ./Vars. La commande ./Clear-all crée le dossier des clés s'il n'existe pas et efface son contenu. Et la dernière commande initialisera notre autorité de certification. Maintenant, toutes les clés nécessaires sont apparues dans le dossier .keys :
Configuration des certificats clients
sudo cp -R / usr / share / easy-rsa / etc / openvpn /
Maintenant, nous devons copier le certificat, le fichier .crt dans le dossier /etc/openvpn sur tous les clients. Par exemple, téléchargeons ce fichier pour notre client en utilisant scp :
sudo scp user @ host: /etc/openvpn/easy-rsa/keys/ca.crt/etc/openvpn/easy-rsa/keys
Ce n'est que maintenant que vous pouvez créer votre propre clé privée basée sur le certificat CA :
cd/etc/openvpn/easy-rsa/
sudo -i
# source ./vars
# build-req Sergiy
Veuillez noter que ca.crt doit être dans le dossier des clés, sinon rien ne fonctionnera. L'utilitaire va maintenant créer une clé sur la base de laquelle vous pouvez vous connecter au serveur OpenVPN, mais vous devez toujours la signer sur le serveur. Envoyez le fichier .csr résultant au serveur en utilisant le même scp :
scp /etc/openvpn/easy-rsa/keys/Sergiy.csr utilisateur @ hôte : ~ /
Ensuite, sur le serveur, dans le dossier /etc/openvpn/easy-rsa, vous devez exécuter la commande de signature de certificat :
./sign-req ~ / Sergiy
La signature du certificat doit être confirmée. Ensuite, le programme signalera qu'il a été signé et ajouté à la base de données. Le fichier .crt apparaîtra dans le dossier avec le certificat csr, qui doit être renvoyé à la machine cliente :
sudo scp user @ host: /home/Sergiy.crt/etc/openvpn/easy-rsa/keys
Ce n'est qu'après que le serveur et le client ont toutes les clés nécessaires pour se connecter et établir la communication. Il reste encore quelques réglages. Si vous envisagez d'utiliser le chiffrement TLS, vous devez créer un ensemble de données Diffie-Huffman sur le serveur, pour cela utilisez la commande :
Configuration OpenVPN
Configurez maintenant le serveur OpenVPN. Par défaut, il n'y a rien dans le dossier des fichiers de configuration OpenVPN. Vous devez les créer vous-même, selon ce que vous envisagez de configurer, un serveur ou un client. Le fichier de configuration OpenVPN requis se trouve dans /usr/share/doc/openvpn/examples/sample-config-files/. Tout d'abord, créons un fichier de configuration pour le serveur :
zcat /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | sudo tee /etc/openvpn/server.conf
Il y a quelques paramètres que vous devez modifier ici :
Port et proto- port et protocole utilisés par le programme ;
port 1194
UDP proto
Toutes les clés créées doivent être enregistrées dans le fichier de configuration. Nos clés sont stockées dans /etc/openvpn/easy-rsa/keys :
cert /etc/openvpn/easy-rsa/keys/ca.crt
clé /etc/openvpn/easy-rsa/keys/ca.key
dh /etc/openvpn/easy-rsa/keys/dh.pem
Nous configurons la plage d'adresses pour le réseau virtuel, notre serveur sera disponible sur le premier d'entre eux - 10.8.0.1 :
serveur 10.8.0.0 255.255.255.0
Après avoir terminé la configuration, enregistrez les modifications dans le fichier, vous pouvez soit coller toute cette configuration vous-même, soit modifier le fichier d'exemple. Paramètres de serveur prêts à fonctionner :
port 1194
UDP proto
comp-lzo
développement
ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt
cert /etc/openvpn/easy-rsa/2.0/keys/ca.crt
dh /etc/openvpn/easy-rsa/2.0/keys/dh2048.pem
sous-réseau de topologie
serveur 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
sudo cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/client.conf
Vous pouvez créer plusieurs fichiers de configuration client pour vous connecter à différents serveurs. Ouvrez le fichier de configuration et modifiez-y les paramètres suivants :
à distance- il s'agit de l'adresse de votre serveur OpenVPN, l'adresse et le port doivent correspondre à ceux configurés sur le serveur, par exemple :
à distance 194.67.215.125 1194
Californie- la clé que vous avez reçue de l'autorité de certification, nous l'avons placée dans le dossier /etc/openvpn/.
certificat et clé- ce sont les clés publiques et privées du client, à l'aide d'elles vous vous connecterez au serveur. Comme vous vous en souvenez, nous les avons enregistrés dans le dossier /etc/openvpn/easy-rsa/keys/.
ca /etc/openvpn/easy-rsa/keys/ca.crt
Le reste des paramètres peut être laissé tel quel. Voici le fichier de configuration complet que vous pouvez copier :
client
développement
UDP proto
à distance 194.67.215.125 1194
resolv-retry infini
sans engagement
persister-clé
persister-tun
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/Sergiy.crt
clé /etc/openvpn/easy-rsa/keys/Sergiy.key
tls-auth ta.key 1
comp-lzo
verbe 3
Enregistrez les paramètres, le client est maintenant prêt à se connecter. Veuillez noter que les fichiers de configuration doivent correspondre autant que possible, l'absence de certaines options dans l'un des fichiers peut entraîner des erreurs. Cela ne signifie pas que les fichiers seront identiques, mais les paramètres de base d'openvpn doivent être les mêmes. Il vous suffit d'exécuter OpenVPN sur cette machine en utilisant ce fichier de configuration :
openvpn /etc/openvpn/client.conf
C'est fait, maintenant tout fonctionne, si vous lancez ifconfig, vous verrez que l'interface tun0 a été ajoutée :
Vous pouvez également essayer de pinger les adresses 10.8.0.1, c'est l'adresse que nous avons configurée pour notre serveur OpenVPN, les paquets de ping seront envoyés normalement. Si les paquets n'arrivent pas ou si quelque chose d'autre ne fonctionne pas, faites attention à la sortie des deux programmes, il y a peut-être eu des erreurs ou des avertissements, assurez-vous également que le pare-feu du serveur autorise l'accès externe via udp pour le port 1194. Vous pouvez également démarrer le serveur ou le client, en réglant le niveau de détail dans la config au maximum de verbe 9. Très souvent cela permet de comprendre pourquoi quelque chose ne fonctionne pas. Mais vous ne pouvez pas encore acheminer le trafic à travers le tunnel. Pour ce faire, vous devez activer le transfert et ajouter des règles iptables. Tout d'abord, nous autorisons le transit des paquets sur le serveur :
sysctl -w net.ipv4.ip_forward = 1
Ajoutez ensuite des règles comme celle-ci. Nous permettons à tout le monde de se connecter à notre serveur :
iptables -A ENTRÉE -p udp --dport 1194 -j ACCEPTER
Nous permettons aux utilisateurs d'OpenVPN d'accéder à Internet :
iptables -I FORWARD -i tun0 -o eth0 -j ACCEPTER
# iptables -I FORWARD -i eth0 -o tun0 -j ACCEPT
# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
conclusions
Dans cet article, nous avons examiné comment installer et configurer OpenVPN Ubuntu, ainsi que comment configurer openvpn pour qu'il fonctionne avec l'authentification par clé. L'organisation de réseaux virtuels privés peut être très utile non seulement dans les organisations, mais aussi pour l'échange de données entre deux de vos ordinateurs ou pour augmenter la sécurité sur le réseau.
Configurer une connexion VPN dans Debian
Voici un exemple de configuration d'une connexion VPN pour Debian Linux via la ligne de commande. Mais il n'en sera pas moins utile aux possesseurs de distributions basées sur Debian, par exemple Ubuntu.
- Vous avez d'abord besoin du package pptp :
# apt-get install pptp-linux - Nous éditons (ou créons, s'il n'existe pas) le fichier /etc/ppp/options.pptp. Il doit contenir les paramètres suivants :
serrure
noauth
nobsdcomp
nodule - Ensuite, vous devez ajouter une ligne comme celle-ci au fichier /etc/ppp/chap-secrets :
« Nom d'utilisateur » PPTP « mot de passe » * - Créez un fichier /etc/ppp/pairs/XXX (XXX est le nom du réseau). Écrivez-y ce qui suit :
pty "pptp vpn.XXX.ru --nolaunchpppd"
nom "nom d'utilisateur"
nom distant PPTP
fichier /etc/ppp/options.pptp
itinéraire par défaut
« Nom d'utilisateur » et « mot de passe » doivent être remplacés par votre nom d'utilisateur et votre mot de passe sans guillemets, comme spécifié dans votre accord. vpn.XXX.ru - adresse du serveur vpn - demandez à votre fournisseur. - Pour remplacer automatiquement la route par défaut, créez le fichier /etc/ppp/ip-up.d/routes-up :
# su touch /etc/ppp/ip-up.d/routes-up
# su chown a + x /etc/ppp/ip-up.d/routes-upEt nous y insérons les éléments suivants :
#! / bin / sh
/ sbin / route del default
/ sbin / route ajouter par défaut dev ppp0
Créez un fichier /etc/ppp/ip-down.d/routes-down :
# su touch /etc/ppp/ip-down.d/routes-down
# su chown a + x /etc/ppp/ip-down.d/routes-down
Et nous y insérons les éléments suivants :
#! / bin / sh
/ sbin / route del default
/ sbin / route ajouter par défaut dev eth0 - Vous pouvez maintenant vous connecter avec la commande :
# sur XXX
Pour un affichage détaillé des informations sur le processus de connexion, tapez :
# su pon XXX debug dump logfd 2 nodetach
Vous pouvez vérifier si vous êtes connecté au VPN en tapant la commande ifconfig. Si sa sortie contient la section ppp0, alors vous êtes connecté et pouvez commencer à travailler avec Internet. Pour désactiver, appuyez sur ctrl + c ou tapez :
# su poff XXX - Pour que votre ordinateur reçoive les routes de notre serveur, les lignes suivantes doivent être présentes dans le fichier /etc/dhcp3/dhclient.conf :
#
option rfc3442-classless-static-routes code 121 = tableau d'entiers non signés 8 ;
option ms-classless-static-routes code 249 = tableau d'entiers non signés 8 ;
#
demande de masque de sous-réseau, adresse de diffusion, décalage horaire, routeurs, nom de domaine, serveurs de noms de domaine, recherche de domaine, nom d'hôte, serveurs de noms netbios, netbios-scope, interface-mtu, static-route , rfc3442-classless-static-routes, ms-classless-static-routes ;
# - Pour vous connecter automatiquement à Internet lors du chargement du système d'exploitation, créez un fichier /etc/init.d/XXX
# touchez /etc/init.d/XXX
# su chown a + x /etc/init.d/XXX
# su ln -s /etc/init.d/XXX /etc/rc2.d/S99XXX
Écrivons-le de la manière suivante :
#! / bin / sh
su / usr / bin / pon XXX
Dans toutes les commandes, XXX est le nom de votre réseau.
De temps en temps, certains internautes actifs sont confrontés à la nécessité d'organiser une connexion anonyme cryptée sécurisée, avec souvent le remplacement obligatoire de l'adresse IP par un hébergeur d'un certain pays. Une technologie appelée VPN aide à la mise en œuvre d'une telle tâche. L'utilisateur n'a qu'à installer tous les composants nécessaires sur le PC et à établir la connexion. Après cela, l'accès au réseau avec l'adresse réseau déjà modifiée sera disponible.
Les développeurs de leurs propres serveurs et programmes de connexion VPN fournissent des services aux propriétaires d'ordinateurs exécutant la distribution Ubuntu basée sur le noyau Linux. L'installation ne prend pas beaucoup de temps, et il existe également un grand nombre de solutions gratuites ou bon marché sur le réseau pour accomplir la tâche. Aujourd'hui, nous aimerions aborder trois méthodes de travail pour organiser une connexion sécurisée privée dans le système d'exploitation mentionné.
Méthode 1 : Astrill
Astrill est l'un des programmes GUI gratuits qui s'installe sur un PC et remplace automatiquement l'adresse réseau par une adresse aléatoire ou spécifiée par l'utilisateur. Les développeurs promettent un choix de plus de 113 serveurs, sécurité et anonymat. La procédure de téléchargement et d'installation est assez simple :
- Allez sur le site officiel d'Astrill et sélectionnez la version Linux.
- Veuillez sélectionner un assemblage approprié. Pour les propriétaires de l'une des dernières versions d'Ubuntu, le package DEB 64 bits est parfait. Une fois sélectionné, cliquez sur "Télécharger Astrll VPN".
- Enregistrez le fichier dans un emplacement pratique ou ouvrez-le directement via l'application standard pour l'installation des packages DEB.
- Cliquez sur le bouton "Installer".
- Confirmez l'authenticité du compte avec un mot de passe et attendez la fin de la procédure. Pour des options alternatives pour l'ajout de packages DEB à Ubuntu, consultez notre autre article sur le lien ci-dessous.
- Le programme a maintenant été ajouté à votre ordinateur. Il ne reste plus qu'à le lancer en cliquant sur l'icône correspondante dans le menu.
- Lors du téléchargement, vous devriez avoir créé un nouveau compte pour vous-même, dans la fenêtre Astrill qui s'ouvre, entrez vos données pour vous connecter.
- Spécifiez le serveur optimal pour la connexion. Si vous devez sélectionner un pays spécifique, utilisez la barre de recherche.
- Ce logiciel peut fonctionner avec divers outils qui vous permettent d'établir une connexion VPN dans Ubuntu. Si vous ne savez pas quelle option choisir, laissez la valeur par défaut.
- Démarrez le serveur en déplaçant le curseur sur la position "SUR", et allez travailler dans le navigateur.
- Notez qu'il y a maintenant une nouvelle icône dans la barre des tâches. Cliquer dessus ouvre le menu de contrôle Astrill. Ici, vous pouvez non seulement modifier le serveur, mais également configurer des paramètres supplémentaires.
La méthode envisagée sera la plus optimale pour les utilisateurs novices qui n'ont pas encore compris les subtilités de la configuration et du travail dans "Terminal" système opérateur. Pour les besoins de cet article, la solution d'Astrill n'a été présentée qu'à titre d'exemple. Sur Internet, vous pouvez trouver de nombreux autres programmes similaires qui fournissent des serveurs plus stables et plus rapides, mais qui sont souvent payants.
De plus, il convient de noter la charge de travail périodique des serveurs populaires. Nous vous recommandons de vous reconnecter à d'autres sources situées le plus près possible de votre pays. Ensuite, le ping sera moindre et la vitesse de transfert et de réception des fichiers peut augmenter considérablement.
Méthode 2 : Outil système
Ubuntu a une connectivité VPN intégrée. Cependant, pour ce faire, vous devez toujours trouver l'un des serveurs fonctionnels accessibles au public ou acheter de l'espace via n'importe quel service Web pratique qui fournit de tels services. L'ensemble de la procédure de connexion ressemble à ceci :
- Cliquez sur le bouton dans la barre des tâches "Connexion" et sélectionnez l'article "Paramètres".
- Déplacer vers la section "Réseau" en utilisant le menu de gauche.
- Trouvez la section VPN et cliquez sur le bouton plus pour procéder à la création d'une nouvelle connexion.
- Si votre fournisseur de services vous a fourni un fichier, vous pouvez importer la configuration via celui-ci. Sinon, toutes les données devront être saisies manuellement.
- Au chapitre "Identification" tous les champs obligatoires sont présents. Dans le champ "Général" — "Passerelle" entrez l'adresse IP fournie, et dans "Supplémentaire"- nom d'utilisateur et mot de passe reçus.
- De plus, il existe des paramètres supplémentaires, mais ils ne doivent être modifiés que sur recommandation du propriétaire du serveur.
- Dans l'image ci-dessous, vous pouvez voir des exemples de serveurs gratuits disponibles gratuitement. Bien sûr, ils sont souvent instables, chargés ou lents, mais c'est la meilleure option pour ceux qui ne veulent pas payer pour un VPN.
- Après avoir créé une connexion, il ne reste plus qu'à l'activer en déplaçant le curseur correspondant.
- Pour l'authentification, vous devez saisir le mot de passe du serveur dans la fenêtre qui apparaît.
- Vous pouvez également gérer la connexion sécurisée via la barre des tâches en cliquant sur l'icône correspondante avec le bouton gauche de la souris.
La méthode utilisant un outil standard est bonne dans la mesure où elle ne nécessite pas que l'utilisateur installe des composants supplémentaires, mais il faut quand même trouver un serveur gratuit. De plus, personne ne vous interdit de créer plusieurs connexions et de basculer entre elles uniquement au bon moment. Si cette méthode vous intéresse, nous vous conseillons de regarder de plus près les solutions payantes. Ils sont souvent assez rentables, car pour un petit montant, vous recevrez non seulement un serveur stable, mais également un support technique en cas de problèmes divers.
Méthode 3: Propre serveur via OpenVPN
Certaines entreprises qui fournissent des services de connexion cryptés utilisent la technologie OpenVPN et leurs clients installent le logiciel approprié sur leur ordinateur pour établir avec succès un tunnel sécurisé. Rien ne vous empêche de créer vous-même un serveur sur un PC et de configurer la partie client sur les autres pour obtenir le même résultat. Bien sûr, la procédure d'installation est assez compliquée et prend beaucoup de temps, mais dans certains cas, ce sera la meilleure solution. Nous vous suggérons de lire le Guide d'installation du serveur et du client Ubuntu en cliquant sur le lien suivant.
Vous connaissez maintenant trois options pour utiliser un VPN sur un PC Ubuntu. Chaque option a ses propres avantages et inconvénients et sera optimale dans certaines situations. Nous vous conseillons de vous familiariser avec chacun d'eux, de décider de l'utilité d'un tel outil et de suivre déjà les instructions.
Après avoir examiné les questions théoriques dans les parties précédentes, passons à la mise en œuvre pratique. Aujourd'hui, nous allons examiner la création d'un serveur VPN PPTP sur la plate-forme Ubuntu Server. Ce matériel est destiné aux lecteurs ayant des compétences Linux, nous ne serons donc pas distraits par les choses que nous avons décrites dans d'autres articles, telles que la configuration du réseau, etc. Si vous rencontrez des difficultés, étudiez d'abord nos autres documents.
Nous allons commencer notre connaissance pratique du VPN avec PPTP, qui est le plus simple à mettre en œuvre. Gardez toutefois à l'esprit qu'il s'agit d'un protocole faiblement sécurisé et qu'il ne doit pas être utilisé pour accéder à des données critiques.
Considérez le circuit que nous avons créé dans notre laboratoire de test pour une connaissance pratique de cette technologie :
Nous avons un réseau local 10.0.0.0/24 avec un serveur terminal 10.0.0.2 et 10.0.0.1, qui fera office de serveur VPN, pour VPN nous avons réservé le réseau 10.0.1.0/24. L'interface du serveur externe a une adresse IP dédiée conditionnelle X.X.X.X. Notre objectif est de fournir aux clients distants un accès au serveur de terminaux et aux ressources partagées qu'il contient.
Configuration du serveur PPTP
Installez le package pptpd qui implémente la fonctionnalité VPN PPTP :
Sudo apt-get install pptpd
Ouvrons maintenant le fichier /etc/pptpd.conf et définissez les paramètres de base du serveur VPN. Allons à la toute fin du fichier, où nous indiquons l'adresse du serveur dans le réseau VPN :
Locale 10.0.1.1
Et la gamme d'adresses à délivrer aux clients :
Remoteip 10.0.1.200-250
Les adresses doivent se voir allouer au moins autant de connexions simultanées que possible, de préférence avec une petite marge, car leur augmentation sans redémarrage de pptpd est impossible. On retrouve et décommente également la ligne :
Bcrelay eth1
Cela permettra aux clients VPN de diffuser des paquets sur le réseau interne.
Vous pouvez également utiliser les options Ecoutez et la vitesse, le premier permet de spécifier l'adresse IP de l'interface locale pour écouter les connexions PPTP entrantes, le second de spécifier la vitesse des connexions VPN en bps. Par exemple, permettons au serveur d'accepter les connexions PPTP uniquement depuis l'interface externe :
Écoutez X.X.X.X
Des paramètres plus subtils sont dans le fichier / etc / ppp / pptpd-options... Les paramètres par défaut sont assez cohérents avec nos exigences, mais nous allons brièvement passer en revue certains d'entre eux afin que vous ayez une idée de leur objectif.
Section #Chiffrement responsable du cryptage et de l'authentification des données. Ces options interdisent l'utilisation des protocoles hérités et non sécurisés PAP, CHAP et MS-CHAP :
Papeterie
refuser-chap
refuser-mschap
Exiger-mschap-v2
exiger-mppe-128
Section suivante #Réseau et Routage, ici vous devriez faire attention à l'option ms-dns qui permet l'utilisation d'un serveur DNS sur le réseau interne. Cela peut être utile lorsque la structure de domaine du réseau ou la présence d'un serveur DNS dans celui-ci qui contient les noms de tous les PC du réseau, ce qui permet de faire référence aux ordinateurs par leurs noms, et pas seulement par IP. Dans notre cas, cette option est inutile et commentée. De même, vous pouvez définir l'adresse du serveur WINS avec l'option ms-gagne.
Voici l'option proxyarp, y compris, comme vous pouvez le deviner d'après le nom, la prise en charge du serveur Proxy ARP.
Dans la rubrique #Divers contient une option serrure, ce qui limite le client à une seule connexion.
Ivanov * 123 *
petrov * 456 10.0.1.201
La première entrée permet à l'utilisateur ivanov de se connecter au serveur avec le mot de passe 123 et lui attribue une adresse IP arbitraire, la seconde crée l'utilisateur petrov avec le mot de passe 456, qui se verra attribuer l'adresse permanente 10.0.1.201 lors de la connexion.
Redémarrage pptpd:
Sudo /etc/init.d/pptpd redémarrer
Note importante! Si pptpd ne veut pas redémarrer, se fige au départ, mais en /var/log/syslog ajouter la ligne longue ligne de fichier de configuration ignorée assurez-vous d'ajouter à la fin du fichier /etc/pptpd.conf saut de ligne.
Notre serveur est prêt à partir.
Configuration des PC clients
En général, il suffit de configurer la connexion VPN avec les options par défaut. Cependant, nous vous conseillons de spécifier explicitement le type de connexion et de désactiver les protocoles de cryptage inutiles.
De plus, selon la structure du réseau, vous devez spécifier les routes statiques et la passerelle par défaut. Ces questions ont été discutées en détail dans les parties précédentes.
Nous établissons une connexion VPN et essayons de faire un ping sur n'importe quel PC du réseau local, nous avons accès au serveur de terminal sans aucune difficulté :
Maintenant, un ajout plus important. Dans la plupart des cas, l'accès aux ordinateurs du réseau local ne sera possible que par les adresses IP, c'est-à-dire le chemin \\ 10.0.0.2 fonctionnera, mais pas \\ SERVER. Cela peut être gênant et inhabituel pour les utilisateurs. Il existe plusieurs façons de résoudre ce problème.
Si le réseau local a une structure de domaine, il suffit de spécifier le serveur DNS pour la connexion VPN au serveur DNS du contrôleur de domaine. Utilisez l'option ms-dns dans / etc / ppp / pptpd-options serveur et les données de paramètres seront reçues par le client automatiquement.
S'il n'y a pas de serveur DNS dans le réseau local, vous pouvez créer et utiliser un serveur WINS, les informations le concernant peuvent également être automatiquement transférées aux clients à l'aide de l'option ms-gagne... Et enfin, s'il y a peu de clients distants, utilisez des fichiers sur les PC clients hôtes(C: \ Windows \ System32 \ drivers \ etc \ hosts), où vous devez ajouter des lignes comme.
Vous souhaitez avoir un accès Internet sûr et sécurisé depuis votre smartphone ou votre ordinateur portable tout en vous connectant à un réseau non sécurisé via le WiFi d'un hôtel ou d'un café ? Un réseau privé virtuel (VPN) vous permet d'utiliser des réseaux non sécurisés comme si vous étiez sur un réseau privé. Tout votre trafic dans ce cas passe par le serveur VPN.
En combinaison avec l'utilisation d'une connexion HTTPS, les paramètres décrits ci-dessous vous permettront de sécuriser vos informations privées, par exemple vos identifiants et mots de passe, ainsi que vos achats. De plus, vous pouvez contourner les restrictions régionales et la censure, ainsi que masquer votre emplacement et le trafic HTTP non crypté d'un réseau non sécurisé.
Vous pouvez transférer un profil de votre ordinateur vers votre téléphone en connectant votre appareil Android à votre ordinateur via USB et en copiant le fichier. Vous pouvez également déplacer le fichier de profil à l'aide d'une carte SD en copiant le profil sur la carte et en insérant la carte dans votre appareil Android.
Lancez l'application OpenVPN et cliquez sur le menu pour importer le profil.
Composé
Appuyez sur le bouton pour établir une connexion. Relier... Il vous sera demandé si vous faites confiance à l'application OpenVPN. Réponse d'accord pour établir une connexion. Pour arrêter la connexion, accédez à l'application OpenVPN et sélectionnez Déconnecter.
Étape 13. Test de la connexion VPN
Une fois que tout est installé et configuré, assurons-nous que tout fonctionne correctement. Sans établir de connexion VPN, ouvrez un navigateur et accédez à DNSLeakTest.
Ce site vous renverra l'adresse IP qui vous a été attribuée par votre FAI. Pour vérifier quels serveurs DNS sont utilisés, cliquez sur Test étendu.
Maintenant, établissez une connexion à l'aide de votre client VPN et actualisez la page dans votre navigateur. L'adresse IP qui vous est donnée doit être complètement différente. Vous utilisez maintenant cette nouvelle adresse IP pour tout le monde sur Internet. Cliquer sur Test étenduà nouveau pour vérifier vos paramètres DNS et vous assurer que vous utilisez maintenant le serveur DNS de votre VPN.
Étape 14. Révocation des certificats clients
De temps en temps, vous devrez peut-être révoquer le certificat client pour empêcher l'accès au serveur VPN et
Pour cela, rendez-vous dans le répertoire de votre autorité de certification et saisissez les commandes :
- cd ~ / openvpn-ca
- variables sources
- ./revoke-full client3
La sortie de cette commande se terminera par l'erreur 23. C'est normal. En conséquence, le fichier crl.pem sera créé dans le répertoire keys avec les informations nécessaires à la révocation du certificat.
Déplacez ce fichier dans le répertoire /etc/openvpn :
- sudo cp ~/openvpn-ca/keys/crl.pem/etc/openvpn
- sudo nano /etc/openvpn/server.conf
Ajoutez crl-verify à la fin du fichier. Le serveur OpenVPN vérifiera la CRL chaque fois que quelqu'un se connectera au serveur.
/etc/openvpn/server.conf
Crl-vérifier crl.pem
Enregistrez et fermez le fichier.
Redémarrez OpenVPN pour terminer le processus de révocation de certificat :
- sudo systemctl redémarrer [email protégé]
Désormais, le client ne pourra pas établir de connexion avec le serveur OpenVPN en utilisant l'ancien certificat.
Pour révoquer des certificats supplémentaires, procédez comme suit :
Générez une nouvelle liste de révocation en utilisant la commande source vars dans le répertoire ~ / openvpn-ca et en exécutant la commande revoke-full avec le nom du client.
Copiez la nouvelle CRL dans /etc/openvpn, en écrasant l'ancienne liste.
Redémarrez le service OpenVPN.
Cette procédure peut être utilisée pour révoquer tous les certificats que vous avez précédemment créés.
Conclusion
Toutes nos félicitations! Maintenant, vous pouvez accéder en toute sécurité à Internet, tout votre trafic est protégé contre les écoutes par les censeurs et les intrus.
Répétez les étapes pour configurer des clients supplémentaires 6 et 11-13 pour chaque nouvel appareil. Pour révoquer l'accès à un client particulier, utilisez l'étape 14 .