Kuidas

Nii seadistate oma VPN-serveri

VPN-serveritega puutute kokku peamiselt ärimaailmas: need võimaldavad töötajatel ettevõttevõrku turvaliselt juurde pääseda teelt või kodust. Sellest hoolimata võib VPN-server olla kasulik ka siis, kui olete ise teel ja soovite turvalisemalt Internetti pääseda või koduvõrgu failidele juurde pääseda.

Vihje 01: VPN-protokollid

Seal on palju VPN-teenuseid ja mõnda neist saate tasuta kasutada isegi ilma liigsete piiranguteta, näiteks ProtonVPN. Seejärel ühendate oma mobiilseadmes või arvutis oleva klienditarkvara kaudu ühe pakutava VPN-serveriga, misjärel saate sellise serveri kaudu Internetis jätkata.

Selle artikli lähenemisviis on ambitsioonikam: loome oma koduvõrgus oma VPN-serveri. Vpn tähistab virtuaalset privaatvõrku (hollandi keeles nimetatakse ka virtuaalseks privaatvõrguks) ja see tähendab, et ühendate füüsiliselt üksteisest eraldatud võrgud. Selline ühendus töötab tavaliselt Interneti kaudu, mis pole just kõige turvalisem keskkond. Seetõttu krüpteeritakse kogu andmeliiklus sellise VPN-ühenduse kaudu: kahe võrgu vahele luuakse justkui virtuaalne tunnel.

Saadaval on mitu VPN-i protokolli, sealhulgas pptp, sstp, ikev2, l2tp / ipsec, OpenVPN ja WireGuard. Viimane on väga paljutõotav, kuid siiski täies mahus välja töötatud ja seni veel vähe toetatud. Valime siin OpenVPN-i, kuna see on avatud lähtekoodiga, tugeva krüptimisega ja saadaval peaaegu kõigil platvormidel.

Praegu nähakse OpenVPN-i endiselt parema VPN-protokollina

Ruuter

Tegelikult on teie ruuter parim koht VPN-serveri seadistamiseks koduvõrgus. Lõppude lõpuks läbib kogu liiklus veebisaitidelt, mida te teel külastate, kõigepealt teie VPN-server. Kui see on teie ruuter, läheb see liiklus kohe teie mobiilseadmesse tagasi. Kui teie VPN-server asub NAS-is või arvutis, peab andmeliiklus esmalt minema ruuterilt sellesse seadmesse ja sealt tagasi ruuterisse. Täiendav vaheetapp, kuid praktikas ei märka te seda viivitust eriti.

Kahjuks pole paljudel tavalistel koduruuteritel VPN-serveri seadistamise võimalust. Kui teie ruuteril tõepoolest puudub VPN-teenus, võib DD-WRT püsivara pakkuda väljapääsu. Surfake siin ja sisestage oma ruuteri mudel. Väikese õnnega öeldakse jah veerus Toetatud ja saate püsivara faili oma ruuteri vilkumiseks koos sellega alla laadida. Pange tähele, et teete sellise tundliku toimingu täielikult oma vastutusel! Juhiste saamiseks võite minna siia.

Vihje 02: paigaldamine ninasse

Kõigepealt näitame teile, kuidas installida OpenVPN-server NAS-i. Tuntud NAS-i tootjad nagu QNAP ja Synology pakuvad VPN-serveri lisamiseks oma rakendust. Vaatame, kuidas seda teha Synology NAS-is koos DiskStation Manageri (DSM) värskeima versiooniga. Looge ühendus DSM-i veebiliidesega, vaikeaadress on: 5000 või: 5001.

Ava see Pakendikeskus, liitu Kõik paketid otsib rakendust VPN-server ja klõpsake seda paigaldama. Pärast installimist klõpsake nuppu Avama: server saab käsitleda mõnda VPN-protokolli, on loetletud PPTP, L2TP / IPSec ja OpenVPN. Põhimõtteliselt võivad nad olla samal ajal isegi aktiivsed, kuid piirdume OpenVPN-protokolliga. kliki OpenVPN ja pane selle juurde linnuke Luba OpenVPN-server. Määrake oma VPN-serveri jaoks virtuaalne sisemine ip-aadress. Vaikimisi on see seatud väärtusele 10.8.0.1, mis tähendab, et VPN-kliendid saavad aadressi põhimõtteliselt vahemikus 10.8.0.1 kuni 10.8.0.254. Saate valida IP-vahemiku vahel vahemikus 10.0.0.1 kuni 10.255.255.1, vahemikus 172.16.0.1 ja 172.31.255.1 ning vahemikus 192.168.0.1 ja 192.168.255.1. Veenduge, et vahemik ei kattuks IP-aadressidega, mida teie kohalikus võrgus praegu kasutatakse.

Mõnes NAS-seadmes on teil OpenVPN-server installitud aja jooksul

Vihje 03: Protokolli valik

Samas konfiguratsiooniaknas määrate ka maksimaalse samaaegsete ühenduste arvu, samuti pordi ja protokolli. Vaikimisi on port 1194 ja protokoll UDP ja see töötab tavaliselt hästi. Kui selles pordis töötab juba mõni teine ​​teenus, määrate loomulikult teise pordi numbri.

Lisaks saate udp asemel valida ka tcp. TCP-l on sisseehitatud veaparandus ja kontrollib, kas iga bitt on õigesti saabunud. See tagab ühenduse stabiilsuse, kuid on veidi aeglasem. Udp on seevastu veaparandusteta "kodakondsuseta protokoll", mis muudab selle sobivamaks voogedastusteenuste jaoks, kus hulga bitide kadumine on tavaliselt vähem halb.

Meie nõuanne: proovige kõigepealt udp-d. Pärast saate katsetada ja valida näiteks TCP-pordi 8080 või isegi https-pordi 443, kuna neid (ettevõtte) tulemüür blokeerib tavaliselt vähem. Pidage meeles, et pordi edastamise seadetes peate määrama ka valitud protokolli (vt näpunäide 5).

Teised konfiguratsiooniakna valikud saate tavaliselt jätta puutumata. Kinnitage oma valikud nupuga Taotlema.

Nõuanne 04: eksportige konfiguratsioon

Akna allservas leiate nupu Ekspordi konfiguratsioon. See eksportib pakkimata pakitud ZIP-faili ja toodab nii sertifikaadi (.crt) kui ka konfiguratsiooniprofiili (.ovpn). Teil on vaja OpenVPN-i klientide jaoks ovpn-faili (vt ka näpunäiteid 6 kuni 8). Avage ovpn-fail Notepadi programmiga. Asendage (kolmas) rida tähis SINU_SERVER_IP serveris YOUR_SERVER_IP 1194 ruuteri välise IP-aadressi ja OpenVPN-i konfiguratsiooniaknas määratud pordi tähise 1194 järgi. Kiire viis selle välise IP-aadressi saamiseks on see, kui lähete sisevõrgust saidile nagu www.whatismyip.com (vt kasti "Ddns"). Võite selle IP-aadressi asendada ka hostinimega, näiteks ddns-teenuse omaga (vt sama kasti).

Natuke edasi ovpn-failis näete rida # redirect-gateway def1. Siin eemaldate räsi, nii et suunake lüüsi def1. See valik tagab, et põhimõtteliselt suunatakse kogu võrguliiklus VPN-ist mööda. Kui see põhjustab probleeme, lähtestage algne rida. Lisateavet selle kohta (ja muude OpenVPN-i tehniliste probleemide kohta) leiate siit.

Salvestage redigeeritud fail sama laiendiga.

Ddns

Väljast pääseb koduvõrku tavaliselt ruuteri avaliku IP-aadressi kaudu. Selle aadressi saate teada, kui surfate oma võrgust saidile nagu www.whatismyip.com. Võimalik, et teie teenusepakkuja on selle IP-aadressi dünaamiliselt määranud, seega pole teil mingit garantiid, et see IP-aadress jääb alati samaks. See on tüütu, kui soovite regulaarselt väljastpoolt oma võrku (ja oma OpenVPN-i serverisse) jõuda.

Dünaamiline dns-teenus (ddns) pakub võimalikku väljapääsu. See tagab, et fikseeritud domeeninimi on selle IP-aadressiga lingitud ja niipea, kui aadress muutub, teeb seotud ddns-tööriist (mis töötab lokaalselt kusagil teie võrgus, näiteks teie ruuteris, NAS-is või PC-s) uue aadressi. ddns-teenus, mis värskendab linki kohe. Üks paindlikumaid tasuta ddns-pakkujaid on Dynu.

Vihje 05: Sadama edastamine

Ilmub teade, mis palub teil kontrollida pordi edastamise seadeid ja tulemüüri seatud pordi suhtes (seega vaikimisi 1194 udp).

Alustame tulemüürist. Peate pääsema OpenVPN-i serverile udp-pordi 1194 kaudu ja siis peate olema kindel, et tulemüür ei blokeeri seda porti. Tulemüüri leiate oma nasa kaudu Juhtpaneel / Turvalisus / tulemüür. Kui tulemüür on lubatud, kontrollige nuppu Reeglite muutmine kas kõnealune sadam pole lukus. See kehtib ka ruuteri tulemüüri kohta, kui see on lubatud.

Sadama edastamise mõiste on keerulisem. Kui soovite oma OpenVPN-i serverisse jõuda väljastpoolt sisevõrku, peate kasutama ruuteri avalikku IP-aadressi. Kui taotlete selle IP-aadressi kaudu OpenVPN-ühendust UDP-pordiga 1194, peab teie ruuter teadma, millisesse masinasse ta peaks selle sadamaliikluse päringu edastama ja meie juhul on see teie nina sisemine IP-aadress.

Pordi edastamise õigeks seadistamiseks lugege ruuteri kasutusjuhendit või lisateabe saamiseks külastage veebisaiti http://portforward.com/router.

Üldiselt läheb nii: logige sisse ruuteri veebiliidesesse, otsige (alam) jaotist Sadama edastamine ja lisage üksus järgmise teabega: rakenduse nimi, nas ip-aadress, sisemine port, väline port ja protokoll. See võib olla näiteks: OpenVPN, 192.168.0.200, 1194, 1194, UDP. Kinnitage oma muudatused.

Teie OpenVPN-server võib vajada tulemüüris ja ruuteris võtmetööd

Eraldage OpenVPN-server

Kui teil pole NAS-i ja teie ruuter ei toeta OpenVPN-i, saate sellise OpenVPN-serveri ikkagi ise Linuxi või Windowsiga arvutisse seadistada.

Sellise protseduuri jaoks on vaja natuke teha. Peate läbima erinevaid samme ja ka Windowsi all tehakse seda peamiselt käsuviibalt. Pärast OpenVPN Serveri tarkvara installimist (vt näpunäide 8) peate looma CA-sertifikaadi, millele järgneb serveri ja vajalike OpenVPN-klientide jaoks sertifikaatide loomine. Samuti vajate nii DH-parameetreid (Diffie-Hellman) kui ka TLS-võtit (transpordikihi turvalisus). Lõpuks peate ka siin looma ja muutma ovpn-faile ning veenduma, et teie server lubaks vajalikku liiklust.

Selle lingi kaudu leiate selle lingi kaudu samm-sammulise kava Windows 10 jaoks, Ubuntu jaoks.

Vihje 06: mobiilikliendi profiil

OpenVPN-serveri seadistamine on esimene samm, kuid pärast seda peate serveriga ühenduse looma ühe või mitme VPN-kliendi (näiteks sülearvuti, telefoni või tahvelarvuti) kaudu. Alustame mobiilikliendi ühendamisest.

Nii iOS-i kui ka Androidi jaoks on ühenduse loomine kõige lihtsam OpenVPN-i kliendirakendusega, kui see on tasuta OpenVPN Connect. Selle rakenduse leiate nii Androidi kui ka Apple'i ametlikest rakenduste poodidest.

Võtame näiteks Androidi. Laadige rakendus alla ja installige see. Enne rakenduse käivitamist veenduge, et ovpn profiilifail oleks teie mobiilseadmes (vt 4. nõuannet). Vajadusel saate seda teha ümbersõidu kaudu sellise teenuse kaudu nagu WeTransfer või pilvemäluteenuse nagu Dropbox või Google Drive kaudu. Alusta OpenVPN Connect ja vali OVPN-i profiil. Kinnitage Lubama, vaadake allalaaditud VPNconfig.ovpn-faili ja valige Impordi. Kui soovite pärast seda lisaprofiile lisada, võite lihtsalt kasutada plussnuppu.

Vihje 07: kliendi ühendamine

Sisestage oma VPN-ühenduse jaoks sobiv nimi ja sisestage õige teave Kasutajanimi ja Parool. Nendel sisselogimisandmetel peab loomulikult olema juurdepääs teie VPN-serverile Synology nas, mille avate VPN-server kategooria Õigused ja asetage kontroll kavandatud kasutaja (te) kõrvale OpenVPN. Võite parooli meelde jätta, kui peate seda piisavalt turvaliseks. Kinnitage Lisama. Profiil on lisatud, puudutage seda ühenduse loomiseks.

Rakendus võib kurta, et profiilifailil pole kliendisertifikaati (sellel on serverisertifikaat), kuna Synology NAS seda just ei genereeri. See on natuke vähem turvaline, kuna pole kontrollitud, kas tegemist on volitatud kliendiga, kuid loomulikult vajate juurdepääsu saamiseks reaalselt kasutajanime ja parooli. Nii et saate siin Pidev valige. Kui kõik hästi läheb, luuakse ühendus veidi hiljem. Seda märkate avakuva ülaosas oleva võtmeikoonilt.

Vihje 08: Windowsi klient

Windowsi jaoks laadite Windows 10 installeri alla OpenVPN-i GUI-lt, seal on ka Windows 7 ja 8 versioon (.1). Paigaldage tööriist. Kui kavatsete installida OpenVPN-i serveri ka Windowsi (vt kasti "Eraldage OpenVPN-server"), tehke märkeruut EasyRSA 2 sertifikaatide haldamise skriptid. Samuti lubage viipamisel installida TAP-draiver.

Pärast leiate ikooni OpenVPN GUI töölaual. Kui ei, käivitage programm installi vaikekaustast C: \ ProgramFailid \ OpenVPN \ bin. Install peaks tagama, et te ei pea tööriista administraatorina käitama. Kui see mingil põhjusel ei töötanud, paremklõpsake programmifailil ja valige ikka Käivita administraatorina.

Näidake programmile tee oma ovpn-profiilifailini (vt näpunäide 4). Paremklõpsake ikooni OpenVPN GUI Windowsi süsteemses salves ja valige Impordi fail, seejärel valige fail VPNConfig.ovpn. Seejärel klõpsake samas menüüs nuppu Ühendama ja sisestage vajalikud sisselogimisandmed. Olekiaknas saate jälgida VPN-ühenduse seadistamist ja saate ka allpool määratud IP-aadressi lugeda.

Kui teil tekib probleeme, klõpsake menüüs nuppu Kuva logifail. Vaikimisi käivitatakse OpenVPN-teenus koos Windowsiga: saate seda teha vahekaardil Seaded Kindral. Samuti kontrollige, kas tulemüür ei blokeeri ühendust.