Šādi jūs iestatāt savu VPN serveri

Jūs sastopaties ar VPN serveriem galvenokārt korporatīvajā pasaulē: tie ļauj darbiniekiem droši piekļūt uzņēmuma tīklam uz ceļa vai no mājām. Neskatoties uz to, VPN serveris var būt noderīgs arī tad, ja pats atrodaties ceļā un vēlaties drošāk piekļūt internetam vai piekļūt failiem mājas tīklā.

Padoms 01: VPN protokoli

Ir daudz VPN pakalpojumu, un dažus no tiem varat izmantot bez maksas, pat bez pārāk daudziem ierobežojumiem, piemēram, ProtonVPN. Izmantojot klienta programmatūru savā mobilajā ierīcē vai datorā, jūs izveidojat savienojumu ar kādu no piedāvātajiem VPN serveriem, pēc kura jūs varat turpināt darbu internetā, izmantojot šādu serveri.

Šī raksta pieeja ir vērienīgāka: mēs izveidosim savu VPN serveri mūsu mājas tīklā. Vpn apzīmē virtuālo privāto tīklu (holandiešu valodā to sauc arī par virtuālo privāto tīklu), un tas nozīmē, ka jūs savienojat tīklus, kas ir fiziski nošķirti viens no otra. Šāds savienojums parasti notiek caur internetu, kas nav gluži drošākā vide. Tāpēc visa datu plūsma tiek šifrēta, izmantojot šādu VPN savienojumu: starp abiem tīkliem it kā tiek izveidots virtuāls tunelis.

Ir pieejami vairāki VPN protokoli, tostarp pptp, sstp, ikev2, l2tp / ipsec, OpenVPN un WireGuard. Pēdējais ir ļoti daudzsološs, taču joprojām ir pilnveidots un vēl nav plaši atbalstīts. Šeit mēs izvēlamies OpenVPN, jo tas ir atvērts avots, ar spēcīgu šifrēšanu un ir pieejams gandrīz visās platformās.

Pašlaik OpenVPN joprojām tiek uzskatīts par labāku VPN protokolu

Maršrutētājs

Faktiski jūsu maršrutētājs ir labākā vieta VPN servera iestatīšanai mājas tīklā. Galu galā visa datu plūsma no vietnēm, kuras apmeklējat uz ceļa, vispirms notiks caur jūsu VPN serveri. Ja tas ir jūsu maršrutētājs, šī trafika nekavējoties atgriezīsies jūsu mobilajā ierīcē. Ja jūsu VPN serveris atrodas NAS vai personālajā datorā, datu plūsmai vispirms jāiet no maršrutētāja uz šo ierīci un no turienes atpakaļ uz maršrutētāju. Papildu starpposms, taču praksē jūs daudz nepamanīsit šo kavēšanos.

Diemžēl daudziem parastajiem mājas maršrutētājiem nav iespējas iestatīt VPN serveri. Ja maršrutētājam patiešām trūkst VPN pakalpojuma, DD-WRT programmaparatūra var piedāvāt izeju. Sērfojiet šeit un ievadiet maršrutētāja modeli. Ar nelielu veiksmi tas saka kolonnā Atbalstīts un jūs varat lejupielādēt programmaparatūras failu, lai tajā mirgotu maršrutētāju. Ņemiet vērā, ka jūs veicat tik sensitīvu darbību pilnībā uz savu risku! Norādījumus varat iegūt šeit.

Padoms 02: Uzstādīšana uz deguna

Vispirms mēs parādīsim, kā instalēt OpenVPN serveri NAS. Pazīstami NAS ražotāji, piemēram, QNAP un Synology, piedāvā savu lietotni VPN servera pievienošanai. Mēs apskatīsim, kā to izdarīt Synology NAS ar jaunāko DiskStation Manager (DSM) versiju. Izveidojiet savienojumu ar DSM tīmekļa saskarni, noklusējuma adrese ir: 5000 vai: 5001.

Atver to Iepakojumu centrs, pievienojieties Visi iepakojumi meklē lietotni VPN serveris un noklikšķiniet uz tā instalēt. Pēc instalēšanas noklikšķiniet uz Atvērt: serveris var apstrādāt dažus VPN protokolus PPTP, L2TP / IPSec un OpenVPN. Principā viņi pat var būt aktīvi vienlaikus, taču mēs aprobežojamies tikai ar OpenVPN protokolu. klikšķiniet uz OpenVPN un blakus tai ieliek atzīmi Iespējot OpenVPN serveri. Iestatiet virtuālo iekšējo IP adresi savam VPN serverim. Pēc noklusējuma tas ir iestatīts uz 10.8.0.1, kas nozīmē, ka VPN klienti adresi galvenokārt saņems no 10.8.0.1 līdz 10.8.0.254. Jūs varat izvēlēties IP diapazonu no 10.0.0.1 līdz 10.255.255.1, starp 172.16.0.1 un 172.31.255.1 un starp 192.168.0.1 un 192.168.255.1. Pārliecinieties, vai diapazons nepārklājas ar IP adresēm, kuras pašlaik tiek izmantotas jūsu lokālajā tīklā.

Dažās NAS ierīcēs īsā laikā ir instalēts OpenVPN serveris

Padoms 03: Protokola izvēle

Tajā pašā konfigurācijas logā jūs arī definējat maksimālo vienlaicīgo savienojumu skaitu, kā arī portu un protokolu. Noklusējums ir ports 1194 un protokols UDP un tas parasti darbojas labi. Ja šajā ostā jau darbojas cits pakalpojums, jūs, protams, iestatīsit citu porta numuru.

Turklāt udp vietā varat izvēlēties arī tcp. TCP ir iebūvēta kļūdu labošana un pārbauda, ​​vai katrs bits ir pienācis pareizi. Tas nodrošina lielāku savienojuma stabilitāti, bet ir nedaudz lēnāks. Savukārt Udp ir "bezvalstnieka protokols" bez kļūdu labošanas, kas padara to piemērotāku straumēšanas pakalpojumiem, kur vairāku bitu zaudēšana parasti ir mazāk slikta.

Mūsu padoms: vispirms izmēģiniet udp. Pēc tam varat eksperimentēt un izvēlēties, piemēram, TCP portu 8080 vai pat https portu 443, jo tos (uzņēmuma) ugunsmūris parasti mazāk bloķē. Paturiet prātā, ka izvēlētais protokols ir jāiestata arī ostas pārsūtīšanas iestatījumos (skat. 5. padomu).

Parasti citas konfigurācijas loga opcijas var atstāt neskartas. Apstipriniet savu izvēli ar Pieteikties.

Padoms 04: Eksportēt konfigurāciju

Loga apakšdaļā atradīsit pogu Eksportēt konfigurāciju. Tādējādi tiek eksportēts zip fails, kas izsaiņo un rada gan sertifikātu (.crt), gan konfigurācijas profilu (.ovpn). Jūsu OpenVPN klientiem nepieciešams ovpn fails (skat. Arī 6. līdz 8. padomu). Atveriet ovpn failu ar programmu Notepad. Nomainiet norādi (trešajā) rindā YOUR_SERVER_IP attālajā YOUR_SERVER_IP 1194 pēc maršrutētāja ārējās IP adreses un apzīmējuma 1194 pēc porta, kuru iestatījāt OpenVPN konfigurācijas logā. Ātrs veids, kā uzzināt šo ārējo IP adresi, ir, pārejot no sava iekšējā tīkla uz vietni, piemēram, www.whatismyip.com (skatiet lodziņu "Ddns"). Jūs varat arī aizstāt šo IP adresi ar resursdatora nosaukumu, piemēram, ar ddns pakalpojuma adresi (skatiet to pašu lodziņu).

Nedaudz tālāk ovpn failā redzēsiet līniju # redirect-gateway def1. Šeit jūs noņemat hash, tāpēc novirzīšanas vārtejas def1. Šī opcija nodrošina, ka būtībā visa tīkla trafika tiek virzīta garām VPN. Ja tas rada problēmas, atiestatiet sākotnējo līniju. Plašāka informācija par šo (un par citiem OpenVPN tehniskajiem jautājumiem) ir atrodama šeit.

Saglabājiet rediģēto failu ar to pašu paplašinājumu.

Ddns

No ārpuses jūs parasti piekļūstat mājas tīklam, izmantojot maršrutētāja publisko IP adresi. Šo adresi uzzināsiet, sērfojot no sava tīkla uz vietni, piemēram, www.whatismyip.com. Iespējams, ka jūsu pakalpojumu sniedzējs ir dinamiski piešķīris šo IP adresi, tāpēc jums nav garantijas, ka šī IP adrese vienmēr paliks nemainīga. Tas ir kaitinoši, ja jūs regulāri vēlaties sasniegt savu tīklu (un savu OpenVPN serveri) no ārpuses.

Dinamiskais DNS pakalpojums (dns) piedāvā iespējamo izeju. Tas nodrošina, ka fiksētais domēna nosaukums ir saistīts ar šo IP adresi, un, tiklīdz adrese mainās, saistītais ddns rīks (kas lokāli darbojas kaut kur jūsu tīklā, piemēram, maršrutētājā, NAS vai personālajā datorā), dara zināmu jauno adresi. ddns pakalpojumu, kas tūlīt atjaunina saiti. Viens no elastīgākajiem bezmaksas ddns nodrošinātājiem ir Dynu.

05. padoms: ostas pārsūtīšana

Parādīsies ziņojums ar aicinājumu pārbaudīt porta pārsūtīšanas un ugunsmūra iestatījumus attiecībā uz iestatīto portu (tātad pēc noklusējuma 1194 udp).

Mēs sākam ar ugunsmūri. Jums vajadzētu piekļūt OpenVPN serverim, izmantojot udp portu 1194, un pēc tam jums ir jābūt pārliecinātam, ka ugunsmūris nebloķē šo portu. Ugunsmūri var atrast uz jūsu nas caur Vadības panelis / cilne Drošība / Ugunsmūris. Ja ugunsmūris ir iespējots, pārbaudiet, izmantojot pogu Rediģēt kārtulas vai attiecīgā osta nav bloķēta. Tas attiecas arī uz maršrutētāja ugunsmūri, ja tas ir iespējots.

Ostas ekspedīcijas jēdziens ir sarežģītāks. Ja vēlaties sasniegt savu OpenVPN serveri ārpus sava iekšējā tīkla, jums būs jāizmanto maršrutētāja publiskā IP adrese. Kad jūs pieprasāt OpenVPN savienojumu ar UDP portu 1194, izmantojot šo IP adresi, jūsu maršrutētājam ir jāzina, kurai mašīnai tai jāpārsūta pieprasījums pēc šīs ostas trafika, un mūsu gadījumā tā ir jūsu nas iekšējā IP adrese.

Skatiet maršrutētāja rokasgrāmatā, lai uzzinātu, kā pareizi iestatīt porta pārsūtīšanu, vai apmeklējiet vietni http://portforward.com/router, lai iegūtu vairāk instrukciju.

Kopumā tas notiek šādi: piesakieties maršrutētāja tīmekļa saskarnē, meklējiet līdzīgu (apakš) sadaļu Ostu pārsūtīšana un pievienojiet vienumu ar šādu informāciju: lietojumprogrammas nosaukums, nas ip adrese, iekšējais ports, ārējais ports un protokols. Tas varētu būt, piemēram, OpenVPN, 192.168.0.200, 1194, 1194, UDP. Apstipriniet izmaiņas.

Jūsu OpenVPN serverim var būt nepieciešams darbs pie ugunsmūra un maršrutētāja

Atsevišķs OpenVPN serveris

Ja jums nav NAS un jūsu maršrutētājs neatbalsta OpenVPN, jūs joprojām varat pats iestatīt šādu OpenVPN serveri datorā ar Linux vai Windows.

Šāda procedūra prasa zināmu rīcību. Jums ir jāveic dažādas darbības, kā arī operētājsistēmā Windows tas galvenokārt tiek darīts no komandu uzvednes. Pēc programmatūras OpenVPN Server instalēšanas (sk. 8. padomu) ir jāizveido CA sertifikāts, kam seko servera un nepieciešamo OpenVPN klientu sertifikātu izveide. Jums ir nepieciešami arī tā sauktie DH parametri (Diffie-Hellman), kā arī TLS atslēga (transporta slāņa drošība). Visbeidzot, arī šeit jums ir jāizveido un jāpārveido ovpn faili un jāpārliecinās, vai jūsu serveris pieļauj nepieciešamo trafiku.

Izmantojot šo saiti, jūs atradīsit pakāpenisku plānu operētājsistēmai Windows 10, Ubuntu, izmantojot šo saiti.

Padoms 06: Mobilā klienta profils

OpenVPN servera iestatīšana ir pirmais solis, taču pēc tam jums ir jāizveido savienojums ar serveri no viena vai vairākiem VPN klientiem (piemēram, no klēpjdatora, tālruņa vai planšetdatora). Mēs sākam ar mobilā klienta savienošanu.

Gan iOS, gan Android savienojumu visvieglāk ir izveidot, izmantojot OpenVPN klienta lietotni, ja tā ir bez maksas OpenVPN Connect. Šo lietotni varat atrast gan Android, gan Apple oficiālajos lietotņu veikalos.

Mēs kā piemēru ņemam Android. Lejupielādējiet un instalējiet lietotni. Pirms sākat lietotni, pārliecinieties, vai ovpn profila fails ir jūsu mobilajā ierīcē (skat. 4. padomu). Ja nepieciešams, to varat izdarīt, izmantojot apvedceļu, izmantojot tādu pakalpojumu kā WeTransfer vai mākoņkrātuves pakalpojumu, piemēram, Dropbox vai Google Drive. Sākt OpenVPN Connect un izvēlies OVPN profils. Apstipriniet ar Atļaut, skatiet lejupielādēto VPNconfig.ovpn failu un atlasiet Importēt. Ja pēc tam vēlaties pievienot papildu profilus, varat vienkārši izmantot pogu plus.

07. padoms: klienta savienošana

Ievadiet piemērotu VPN savienojuma nosaukumu un ievadiet pareizo informāciju Lietotājvārds un Parole. Šīm pieteikšanās detaļām, protams, ir jābūt piekļuvei jūsu VPN serverim Synology nas, kuru atverat VPN serveris kategorija Tiesības un novietojiet pārbaudi blakus paredzētajam (-iem) lietotājam (iem) OpenVPN. Jūs varat izvēlēties atcerēties paroli, ja uzskatāt, ka tā ir pietiekami droša. Apstipriniet ar Pievienot. Profils ir pievienots, pieskarieties tam, lai izveidotu savienojumu.

Lietotne var sūdzēties, ka profila failā nav klienta sertifikāta (tai ir servera sertifikāts), jo Synology NAS to nerada tāpat kā to. Tas ir mazliet mazāk drošs, jo netiek pārbaudīts, vai tas ir autorizēts klients, taču, protams, jums ir nepieciešams lietotājvārds un parole, lai faktiski piekļūtu. Tātad jūs varat šeit Nepārtraukts atlasiet. Ja viss izdosies, savienojums tiks izveidots nedaudz vēlāk. Jūs to pamanīsit no taustiņa ikonas sākuma ekrāna augšdaļā.

8. padoms: Windows klients

Operētājsistēmai Windows Windows 10 instalēšanas programmu lejupielādējat no OpenVPN GUI, ir arī versija Windows 7 un 8 (.1). Instalējiet rīku. Ja plānojat instalēt OpenVPN serveri arī sistēmā Windows (skatiet rūtiņu "Atsevišķs OpenVPN serveris"), blakus EasyRSA 2 sertifikātu pārvaldības skripti. Arī pēc pieprasījuma ļauj instalēt TAP draiveri.

Pēc tam jūs atradīsit ikonu OpenVPN GUI darbvirsmā. Ja nē, palaidiet programmu no noklusējuma instalācijas mapes C: \ ProgramFaili \ OpenVPN \ bin. Instalējot vajadzētu nodrošināt, ka rīks nav jādarbina kā administrators. Ja kāda iemesla dēļ tas nedarbojās, ar peles labo pogu noklikšķiniet uz programmas faila un izvēlieties nekustīgu Izpildīt kā administratoram.

Parādiet programmai ceļu uz savu ovpn profila failu (skat. 4. padomu). Ar peles labo pogu noklikšķiniet uz ikonas OpenVPN GUI Windows sistēmas teknē un izvēlieties Importēt failu, pēc tam atlasiet failu VPNConfig.ovpn. Pēc tam tajā pašā izvēlnē noklikšķiniet uz Savienot un aizpildiet nepieciešamos pieteikšanās datus. Statusa logā varat sekot VPN savienojuma iestatīšanai, un apakšā varat arī izlasīt piešķirto IP adresi.

Ja rodas problēmas, izvēlnē noklikšķiniet uz Skatīt žurnāla failu. Pēc noklusējuma OpenVPN pakalpojums tiek startēts kopā ar Windows: to varat izdarīt, izmantojot cilnes Iestatījumi Vispārīgi. Pārbaudiet arī, vai ugunsmūris nebloķē savienojumu.