OpenVPN маҷмӯи нармафзорест, ки ба шумо имкон медиҳад, ки траффики истифодабарандагонро аз «дахолат» тавассути таъмини интиқоли маълумот аз дастгоҳи мизоҷ ба сервер бо OpenVPN насб кунед. Истифодаи нусхаҳои дастрасии видеои ҷамъиятӣ, ки дар он иттилоот метавонад аз тарафи шахсони сеюм даст кашад. Ё дар ҳолати, вақте ки IP шумо дар сайти муайян маҳкам карда шудаед ва шумо бояд бехатариро аз ин маҳдудият гузаред.
Илова ба насб ва танзимкунии OpenVPN дар сервер, шумо бояд мизоҷро барои дастрасӣ аз компютере, ки Windows ҳамчун системаи оператсионӣ истифода мешавад, танзим кунед.
Истифодаи менеҷери маҷмӯии стандартӣ, кушодани openvpn.
# кушодани openvpn насб кунед
Мақолаи мақолаҳо:
- Создание сертификатов 1 Таъсири Сертификатҳо
- Настройка сервера 2 Танзимоти сервер
- Перенаправление трафика через OpenVPN 3 Трансформатсияи нақлиёт тавассути OpenVPN
- OpenVPN клиент на Windows 4 муштарии OpenVPN дар Windows
- OpenVPN совместно с NetworkManager 5 OpenVPN бо NetworkManager
Таъсири шаҳодатномаҳо
OpenVPN ҳатман насли сертификатҳоро барои сервер ва мизоҷ талаб мекунад. Ин мантиқан аст, зеро пайвастан аз муштарӣ ба сервер бояд рамз карда шавад.
Ба папкаи openwpn равед:
# cd / etc / openvpn
Мо калидҳоро бо ёрии осонтар месанҷем.
Сохтани ҷузвдон бо файлҳои конфигуратсия ва пайвастшавӣ ба варақаҳои таҳрири сертификатсия:
# make-cadir rsa # cd rsa
Файли танзимоти саф кушода ва параметрҳоро тағйир диҳед:
содирот KEY_COUNTRY = "ИМА" содирот KEY_PROVINCE = "CA" содироти KEY_CITY = "SanFrancisco" содирот KEY_ORG = "Форт-Фонстон" содирот KEY_EMAIL = "me@myhost.mydomain"
KEY_COUNTRY - рамзи кишварро ворид кунед (RU, UA ва ғайра);
KEY_PROVINCE - ин унсури мувофиқат намекунад, агар шумо дар Иёлоти Муттаҳида зиндагӣ накунед. :) Шумо метавонед ивази XX;
KEY_CITY - шаҳри шумо, ки дар он зиндагӣ мекунед;
KEY_EMAIL - суроғаи почтаи электронии шумо.
Ҳамчунин, сатрҳои KEY_CNE содир карда нашудаанд, барои арзиши номии сервер муайян карда мешавад:
содирот KEY_CN = "example.com"
Ҳамаи тағйирёбандаҳо дар лотинӣ пур шудаанд.
Файлро захира кунед ва онро иҷро кунед:
# Аст Дунёи иқтисод
Баъд аз оғоз кардани шаҳодатҳои қадим оғоз кунед:
# ./clean-all
Сохтани сертификати решавӣ:
# ./build-ca
Агар, шаҳодатномаи error:0E065068:configuration file routines:STR_COPY:variable has no value:conf_def.c:618:line 198
, шумо хатогиҳои error:0E065068:configuration file routines:STR_COPY:variable has no value:conf_def.c:618:line 198
ба даст меоред error:0E065068:configuration file routines:STR_COPY:variable has no value:conf_def.c:618:line 198
, сатри сатр ба файли тақсимот илова кунед:
содирот KEY_ALTNAMES = "чизе"
Ва он гоҳ аҳамияти пештараро иҷро кунед. Бояд гуфт.
Қадами оянда ин сохтани шаҳодатномаи калидӣ ва сервер мебошад.
# ./build-key-server сервер
Сипас сертификат ва калид барои муштарӣ эҷод кунед:
Муштарии #
Лутфан қайд кунед: барои ҳар як муштарӣ шумо бояд шаҳодатнома ва калиди худро ба даст оред. Ба шумо лозим аст, ки номҳои гуногунро ба ҷои мушаххас нишон диҳед ва роҳҳоро ба файлҳои конфигуратсия иваз кунед. Дар айни замон, шумо метавонед калидҳои мизоҷонро бо парол муҳофизат кунед; барои ин, ба ҷои сохтани калидҳои бунёдии калидӣ истифода баред.
Дар оянда, шумо бояд калиди Diffie-Hellman эҷод кунед, то тавонад истифодабарии махфиятро истифода барад:
# ./build-dh
Ва калид барои тасдиқкунии tls:
# openvpn --genkey --secret /etc/openvpn/ta.key
Акнун шумо бояд сертификатҳои сервер ва калидҳоро ба ҷузвдони танзимоти OpenVPN нусхабардорӣ кунед:
калидҳои cp / калидҳои асосӣ / server.crt / калидҳои серверӣ / dh2048.pem / etc / openvpn /
Ва инчунин онҳо ҳуқуқҳои ба онҳо додашударо хонда ва тағир медиҳанд, танҳо барои соҳиби онҳо.
# chmod 0600 /etc/openvpn/ca.crt /etc/openvpn/server.crt /etc/openvpn/server.key/etc/openvpn/dh2048.pem /etc/openvpn/ta.key
Боварӣ ба компютери шумо, масалан, мизи корӣ, аз ҷузвдони калидӣ , калидҳое, ки барои пайваст кардани муштарӣ заруранд : client.crt , client.key , ca.crt , ta.key .
Ин раванди омодасозии сертификатро анҷом медиҳад.
Танзимоти сервер
Дар usr / usr / share / doc / openvpn / directory файли намунаи барои кушодани сервери Openvpn вуҷуд дорад. Онро ба / etc / openvpn / феҳрист ва нусхабардорӣ кунед:
cd / etc / openvpn; cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz / etc / openvpn /; сервер сервер .conf.gz
Акнун мо параметрҳои заруриро барои кушодани кор барои кушодани корҳо баррасӣ хоҳем кард.
Портфе ки Openvpn пайваст мекунад. Бо нобаён, 1194. Ман тавсия медиҳам, ки онро иваз кунад, то ки онро пинҳон кунад. Шумо ҳатто метавонед openvpn-ро дар зери Веб-сервер муайян кунед, нишон медиҳад, ки портал 80.
портал 20100
Роҳҳои бақайдгирӣ ба файлҳои сертификатсия ва калиди сервер.
Биёед сервер сервер сервери асосӣ
Роҳ ба Diffie-Hellman калиди асосӣ.
д dh2048.pем
Ҳар ду роҳҳо ба феҳристи etc / openwpn (агар файлҳо дар он ҷойгир бошанд) ва мутлақ муайян карда шаванд.
Ҷустуҷӯ ва рутубати хато:
ба пахш кардани "redirect-gateway def1 bypass-dhcp"
Барои дастрасӣ ба интернет тавассути сервери OpenVPN лозим аст. Агар ин номувофиқ набошад, танҳо компютерҳо дар шабака дастрасанд.
Шумо ҳамчунин бояд серверҳои DNS-ро барои пайваст кардани мизоҷон нишон диҳед.
пахш кунед "dhcp-option DNS DNS 213.183.57.55" пахш кунед "dhcp-option DNS DNS.98.175.85"
Вобаста аз макони сервер, шумо метавонед дигар хидматрасони DDS -ро гиред, масалан, дар OpenNIC лоиҳа.
Next, параграфи tls-auth -ро дарёбед ва мувофиқат накунед.
tls-auth
Диққат! Дар танзимоти мизоҷ, рақами охирини ин параметр бояд 1 - тлр-муаллиф иваз карда шавад.
Танҳо дар файли конфигуратсия рӯйхати параметрҳои дастрасро дар бар мегирад. Маблағи AES-128-CBC- ро ғайриимкон месозад.
фарсуда AES-128-CBC # AES
Агар зарур бошад, он метавонад бо AES-256-CBC иваз карда шавад. Дар файли конфигуратсияи мизоҷ, гузарвожае бояд ба пароли сервер бошад.
Ҳамчунин параграфи муаллиф илова кунед. Бо нобаёнӣ, калидҳои 160-bit sha1 барои тасдиқ кардан истифода мешаванд, аммо алгоритми sha1 ҳамчун осебпазир эътироф карда мешавад. Ҳангоми муайян кардани параметрҳои зерин, калидҳои SHA512 бо дарозии 512 адад истифода мешаванд.
Муаллиф ША512
Ҳамчунин parameter tls-версия-min, ки версияи TS истифода мешавад. Дар ин ҳолат охирин версияи 1.2 мебошад. Диққат! Менеҷери шабакавӣ ин параметрро (дар вақти навиштан) дастгирӣ намекунад. Аз ин рӯ, агар шумо планро ба VPN ба воситаи Мудирияти шабака пайваст кунед, ин параметр дар танзимоти сервер муқаррар карда намешавад.
tls-версияи min. 1.2
OpenVPN бояд решакан шуда бошад. Аз ин рӯ, хатогиҳои хато нест:
истифодабаранда гурӯҳи гурӯҳӣ
Ин имкон медиҳад, ки сабтҳо барои OpenVPN имконпазир бошанд. Махсусан, дар аввал истифода бурдани пас аз танаффуси ҷустуҷӯ барои хатогиҳо, ва ғ.
log / blog/log/openvpn.log
Ҳамаи параметрҳои файли танзимоти / / filename / filename / filename. Ин танзимоти сервери OpenVPN -ро анҷом медиҳад.
Openvpn бо фармони:
# systemctl кушодани openvpn
Ва бозоғоз:
# кушодани openvpn хидматрасонӣ
Инчунин, санҷидани сабт барои хатоҳо низ муфид аст.
Интиқоли трафик тавассути OpenVPN
Барои дастрасӣ ба интернет тавассути сафҳаи openvpn, шумо бояд ин корро кунед.
1. Сохтани sysctl
Дар консол, фармонро иҷро кунед:
# sysctl net.ipv4.ip_forward
Агар баромади фармони net.ipv4.ip_forward = 1 баробар бошад, пас лозим нест, ки ягон чизро тағйир диҳед. Агар арзиши нишондиҳанда 0 бошад, пас сатри зерин ба ҳуҷҷати /etc/sysctl.conf илова карда шавад:
net.ipv4.ip_forward = 1
Ва қоидаҳоро бо фармони:
# sysctl -p
2. Ифодиҳии ядроҳо
Баръакс, аҳамияти зерин дар консолро иҷро кунед:
# iptables-АВВАЛИ -0 et0 -o-tun0 -m -мақом - ПЕШГИРИҲОИ ПЕШГИРӢ # iptables-АСОС - 10.8.0.0/24 -o ACCEPT # iptables -t nat -A POSTROUTING -S 10.8.0.0/24 -oМОЛКАРДИЯ
Ҳамин тариқ, мо тавассути роуминги OpenVPN барои зергурӯҳи 10.8.0.0 дар доираи пайвастҳои аллакай таъсис дода мешавад.
Агар муштарии openvpn бояд суроғаи IP-и махсуси берунаро таъин кунад, пас аз ҷои охирин аз рӯйхати қаблҳои пешфарз барои Iptables, шумо бояд инро иҷро кунед:
-АО ПЕШВАРАНД -8 10.8.0.0/24 -o00J SNAT - ба манбаъи 127.0.0.1
Дар куҷо пас аз параграф -аз манбаъ, шумо бояд сервери IP-ро берун кунед.
Муштарии OpenVPN дар Windows
Оғози коргузории муштарии Openvpn дар Windows. Ҳама чиз осон аст: ин мизоҷро аз сомонаи расмӣ насб кунед, насб кунед, файли танзимро эҷод кунед ва онро оғоз кунед.
Бояд қайд кард, ки кушодани Windows-ро бо ҳуқуқи администратор оғоз мекунад, агар идоракунии суратҳисоб фаъол бошад.
Агар шумо роҳро насб накунед, пас мисолҳои файлҳои конфигуратсия дар компютери шумо дар C: \ Program Files \ OpenVPN \ sample-config directory ҷойгир аст. Феҳристи client.ovpn- ро аз ин ҷо нусхагирӣ кунед ва онро дар C: \ Program Files \ OpenVPN \ кон directory сабт кунед .
Нусхаҳои сертификат барои муштарӣ дар хотир доред? Онҳо инчунин аз сервер бор карда шуда, ба ин феҳрист кӯчонида мешаванд.
Файли configured client.ovpn кушода ва параграфи ман-сервер-1 1194-ро пайдо кунед. Ба ҷои ба сервери ман, номи IP ё домени сервери худро нишон диҳед. Пас аз он, ки мо қаблан тағйир ёфтем. Дар натиҷа, хати мумкин чунин аст:
дурдаст 192.168.0.1 20100
Дар оянда, шумо бояд роҳеро ба сертификатҳо, ки шумо дар сервер кор кардаед, муайян кунед. Барои ҳар як муштарӣ, калиди бо номи якранг, ки бояд дар зер, ба ҷои мушаххас нишон дода шавад .
Биёед Системаи сертификатсия мизоҷ
Шумо ҳамчунин бояд параграферо, ки роҳро ба tls-key муайян мекунад, бедор накунед.
ТҶ-дор
Пештар, аллакай гуфт, ки рақами охирини сервер бояд 0 бошад, дар мизоҷ - 1.
Ва параметрҳои охирин фармоишоте мебошанд, ки шумо дар сервер насб кардаед.
фарсуда AES-128-CBC Муаллиф ША512 tls-версияи min. 1.2
Ин ҳама бояд барои танзим кардани муштарӣ зарур бошад. Кӯшиш кунед, ки муштарии OpenVPN иҷро кунед ва ба сервератон пайваст шавед. Маълумоти зарурии пайвастшавиро дар равзанаи кушодаи гугл нишон медиҳад.
OpenVPN бо NetworkManager
Интерфейси графикӣ барои Мудирияти шабака насб кунед.
# насб кардани шабака-менеҷери-openvpn-gnome
Ва бозоғоз кунед.
# шабакаи хидматрасони хидматрасонӣ аз нав оғоз меёбад
Мо шаҳодатномаҳоро барои муштарӣ ба компютери функсионалӣ нусхабардорӣ менамоем. Масалан, дар /home/user/.openvpn/.
Тугмаи рости мушро дар симои менеҷери шабака зер кунед, калимаи "пайвандҳои тағирёбанда" -ро интихоб кунед, пайвастагии навъи "OpenVPN" илова кунед.
Муайян кунед:
- Номи пайвастшавӣ
- Gateway (IP ё домейн ё сервер)
- Нависед: Сертификатҳо
Сертификати корбарӣ шаҳодатест, ки мо дар ибтидо барои муштарӣ (client.crt) истеҳсол карда будем.
Шаҳодатномаи CA - файли ca.crt.
Калиди шахсӣ калиди муштарӣ (client.key) мебошад.
Тугмаи "Advanced" -ро пахш кунед. Дар тирезае, ки дар кушодани "Генералии" шумо кушодаед, шумо бояд якчанд ҷузъҳоро иваз кунед.
- Дафтарчаи дигари почтаи ростро истифода баред (агар шумо муқаррароти серверро муқаррар накунед)
- Истифодаи функсияи lzo
Ба силсилаи "Security" гузаред. Тавре ки дар танзимоти сервер ҳамчун параметр интихоб кунед. Тавре арзиши параграфи сертификати империяи IMAC, шумо бояд алгоритмро, ки дар арзиши муаллифии сервер муайян карда шавад, муайян кунед. Дар мақола мо SHA512 интихоб кардем.
Ҳуҷҷати тасдиқкунандаи TLS кушода ва ҷузъҳои зеринро қайд кунед:
- Назари худро бинависед ...
- Истиноди иловагии TLS -ро истифода баред
Барои параметрҳои охирин, роҳе, ки ба файли ta.key ро нишон диҳед, ва ҳамчун 1 нишонаи калид аз рӯйхати рӯйхат интихоб кунед. Ҳамчунин ба файли конфигуратсия барои Windows.
Пайвастаро захира кунед ва кӯшиш кунед, ки пайваст шавед. :)
Танҳо дар сурати, мо мебинем, ки NM ҳангоми бастани сабти система менависад:
# tail -f / var / log / syslog
Ташаккур барои мақола. Хеле муфид аст.
Мақолаи беҳтарин, муаллифи муҳтарам!
Муаллиф мисли ман кӯшиш намекард, ки фаҳманд, ки чаро муштариён пайваст карда наметавонанд, openvpn сабт намекунад! Ба ман бигӯ, ки чӣ кор кунам!
Пас шумо бояд сабтҳои мизоҷонро тафтиш кунед. OpenVPN GUI чунин навиштан зарур аст. Тугмаи рост -> нишон дода мешавад.
Шояд аз супоришҳо ҷузъи ихтилоф нест ...
Бо шарофати он, аммо тавре, ки аз он рӯй дод, ин корро бояд #openvpn /opt/vp/vp.conf иҷро кунам ва замима ба файли танзимот дода шуда буд - logs рафта - ман ҳама чизро дидаам ва коргари vpn кор кардам.
Муаллифони китоби дурусти шумо аз шумо мепурсанд. Чӣ гуна нақшро байни сервери Debian ва Microtikom созед. Шабакаи маҳаллии худро пайваст кунед. 2 ҳуҷра.
Бо шарофати почта. Ҳоло ҳам таъсиси мизоҷҳои мобилӣ, аз қабили инҷо - http://sysadm.pp.ua/linux/shifrovanie/openvpn-client-server.html . Метавонед лутфан ба муштарии OpenVPN мизбони хуб ва мувофиқро маслиҳат диҳед?
Дар смартфонҳои Android, ман мизбони расмии OpenVPN - "Openvpn connect" -ро истифода мебарам https://play.google.com/store/apps/details?id=net.openvpn.openvpn
Ин хеле осон аст. Файлҳои сохташудаи мизоҷ бояд ба ҳамаи ҷузвдонҳо дар дискаи телефонии телефон бор карда шаванд. Пас аз кушодани Openvpn Connect, дар менюи "Import Profile", "Тафсилотро аз корти SD" ворид кунед. Мудири файл кушода мешавад, ки дар он шумо бояд файли * .ovpn -ро интихоб кунед, тугмаи "Интихоб" -ро пахш кунед. Дар тасдиқи воридоти муваффақ, паём "Профили воридшаванда" дар экран нишон дода мешавад.
Барои пайваст шудан, тугмаи «Пайваст» -ро пахш кунед. Ин ҳама аст. :)
Ман дар бораи дигар мизоҷон намедонам, вале ин кор хуб аст.
PS Агар шумо ҳамзамон аз компютер ва аз телефони шумо пайравӣ кунед, пас барои он, ки шумо бояд калиди худро ва шаҳодатро пешкаш кунед.
Мақолаи мазкур барои фаҳмидани принсипҳои кушодани openvpn мусоидат намуд. Ташаккур.
ДАСТГИРИИ ВА ИДОРАКУНАНДАГОНИИ НИГОҲИИ ТАЪЛИМИИ ИНТИХОБОТ!
Ташаккур. Ҳама чиз кор мекунад!
навсозии.
Қисми 2 қарор кард, ки ҳуқуқро ба мизоҷи мизоҷ ворид созад. + барои сохтани намуди пайвастшавии TCP, тавсиф дода шудааст ва навъи фаръи - TAP / TUN
Ташаккур! Мақолаи бузург!
Ҳама чизро мувофиқи дастурҳо муқаррар намудаам, вале чунин мушкилот вуҷуд дорад:
Мизоҷ ба сервер пайваст мешавад, аммо Интернет нест. Муштарӣ ҳам платформаи VPN 10.8.0.1 ва IP-сервери махсусро пинҳон мекунад. Аз худи худи сервер, сайтҳои берунӣ бе мушкилот ҷавоб медиҳанд. Он рӯй медиҳад, ки саг дар ҷое ҷойгир аст, ки дар IP-ипартсҳо ва ip.frwarding дафн мекунанд. Ҳеҷ гуна фикрҳо? Оё ин метавонад зудтар нисбат ба ин ҷангал маслиҳат диҳад?
Дигар қоидаҳои роҳнамо муқаррар карда мешавад
iptables -t nat -A POSTROUTING -o venet0 -j SNAT-ба IP_ADDRESS_Your_SERVER
iptables-АРВОСИЯ -i venet0 -o tun0 -m-истинод, алоқа -c ACCEPT
Iptables-АВВАЛИ -i tun0 -o venet0-j ACCEPT