Postavke OpenVPN poslužitelja koriste se kako bi se korisnicima omogućilo jednostavno povezivanje s VPN-om. Korisnicima omogućuje povezivanje bilo koje internetske veze za siguran pristup, uključujući i udaljene mreže koje su povezane s usmjerivačem, čak i ako je korisnik izvan NAT-a. OpenVPN klijentski softver može se koristiti za mnoge operativne sustave. Uz pristup pouzdanim VPN platformama, korisnici mogu također cijeniti i druge pogodnosti, kao što je viša razina sigurnosti kada se koristi javni Wi-Fi. Ove usluge koriste šifrirani tunel za prijenos podataka na Internetu. Kada postavljate OpenVPN poslužitelj, postoji nekoliko opcija za protokole šifriranja koji se mogu koristiti.
Povijest projekta
Osnovao ju je James Jonah i pokazao javnosti 2002. godine. Yonan je razvijao softver za originalni IBM PC. Trenutno je uključen u projekt, suosnivač je tvrtke, kao i tehnički direktor OpenVPN Technologies. Jedan od razloga popularnosti OpenVPN konfiguracije poslužitelja je činjenica da podržava sve glavne operativne sustave, Windows, MacOS i Linux, mobilne platforme Android i iOS, a također i manje uobičajene FreeBSD, QNX, Solaris, Maemo i Windows Mobile. Cijela svrha VPN protokola je osigurati visoku razinu sigurnosti. Sposoban je do 256-bitnog šifriranja putem OpenSSL-a, koristi široko korištenu knjižnicu sigurnosnog softveraporuka na različitim mrežama, podržava normalno šifriranje u statičnom ključnom načinu kroz prethodno odvojene PSK-ove, kao i zaštitu putem certifikata klijenata i poslužitelja.
Postavljanje OpenVPN poslužitelja za udaljeni pristup
Svake godine broj korisnika VPN-a raste, tako da su informacije o sustavu i njegovim uobičajenim funkcijama vrlo popularne.
Daljinski pristup OpenVPN VPN-u može se jednostavno konfigurirati pomoću čarobnjaka:
Switch to VPN & gt; OpenVPN i kliknite na karticu "Master" da biste je pokrenuli.
Odaberite potrebne parametre provjere autentičnosti. Najčešće se postavlja za lokalni pristup korisnika.
Provjera autentičnosti korisnika. Kada postavljate AC66U, OpenVPN poslužitelj izvršava se pomoću RADIUS-a preko Active Directory.
Kliknite "Dalje".
Popunite polja kako biste stvorili novi centar za certifikaciju. Naziv opisa koristi se kao opći, ne koristi razmake, interpunkcijske znakove ili posebne znakove.
Duljina ključa. Što je viša, to bolje, ali složena lozinka će koristiti više procesora.
E-pošta se koristi kao referenca za certifikat i ne prima nikakvu poštu iz sustava.
Kliknite "Dodaj novi CA".
Popunite polja za izradu novog certifikata poslužitelja. Većina informacija prenosiva je i ne zahtijeva nikakve promjene.
Kliknite na "Stvori novi certifikat".
Unesite konfiguraciju VPN poslužitelja.
Izvršite provjeru autentičnosti TLS. Označite okvir pokraj polja u nastavku da biste stvorili novi ključ.Korištenje TLS-a je tehnički opcionalno, ali se preporučuje. Neki OpenSSL napadi, kao što je Heartbleed, ublaženi su korištenjem TLS ključa.
Ostale vrijednosti mogu se postaviti po želji i poželjne su (parametri kao što su kompresija, DNS i NetBIOS).
Kliknite "Dalje".
Sljedeći zaslon nudi izbor za automatsko dodavanje pravila vatrozida. Ako se njima ne rukuje ručno, obje se opcije provjeravaju zbog praktičnosti.
Kliknite "Next" i "Finish" da biste zatvorili "Master".
Provjera optimalnosti konfiguracije
Da biste odredili optimalne postavke veze, provjerite pravila vatrozida za kartice WAN i OpenVPN. Pravilo WAN kartice mora otići u OpenVPN port na WAN adresi i riješiti sve operacije. Neke opcije nisu prikazane u čarobnjaku, ali su prikladnije za određene situacije od zadanih postavki koje je odabrao čarobnjak. Način postavljanja poslužitelja OpenVPN 2 u sustavu Windows omogućuje odabir između zahtjeva za certifikatima, autentifikacijom korisnika ili oboje. Čarobnjak koristi daljinski pristup (SSL /TLS + autoriziranje korisnika). Moguće vrijednosti ovog izbora i njihove prednosti su:
Udaljeni pristup (SSL /TLS + autorska prava korisnika). Potrebni certifikati, korisničko ime /zaporka.
Udaljeni pristup (SSL /TLS).
Svaki korisnik ima jedinstvenu konfiguraciju klijenta koja uključuje njihov osobni certifikat i ključ.
Samo potvrde, bez odobrenja.
Postoji nekoliko autentifikacijskih faktora: TLS-ključ i certifikat i korisničko ime /lozinka.
Svaki projekt imajedinstvenu konfiguraciju klijenta koja uključuje njihov osobni certifikat i ključ.
Udaljeni pristup (autoriziranje korisnika).
Manje sigurna, budući da se oslanja isključivo na činjenicu da korisnik ima TLS ključ i certifikat.
Provjera autentičnosti.
Kupci ne moraju imati pojedinačne certifikate.
Koristi se za vanjsku provjeru autentičnosti (RADIUS, LDAP).
Svi korisnici mogu koristiti istu izvezenu konfiguraciju i softverski paket.
Manje sigurna, budući da se oslanja samo na ono što korisnik zna - ime i lozinka.
Otkazivanje kompromitiranih certifikata
Takve se datoteke mogu opozvati stvaranjem CRL-a u System & gt; Cert Manager na kartici Uklanjanje certifikata, dodajte ih, a zatim odaberite ovaj CRL za parametre OpenVPN poslužitelja. Ako je način rada prema zadanim postavkama ostao na glavnoj razini ili u načinu koji uključuje provjeru autentičnosti, korisnik se može kreirati pomoću sljedećih akcija:
Idite na odjeljak "Sustav", a zatim na "Upravitelj korisnika".
Kliknite "Dodaj korisnika".
Upišite korisničko ime.
Popunite i potvrdite lozinku.
Kliknite "Stvori potvrdu korisnika".
Ponovno popunite korisničko ime.
Odaberite odgovarajući certifikacijski centar.
Kliknite "Spremi".
Paket ExportVPN-Client Export omogućuje izvoz konfiguracija formatiranih za različite platforme, unaprijed pripremljenu izvršnu datoteku instalacijskog programaWindows, koji uključuje konfiguraciju iz paketa za instalaciju bez problema.
Razmotrimo kako instalirati paket za izvoz klijenta prilikom postavljanja OpenVPN Debian 9:
Idite na karticu Sustav & gt; «Paketi», «Dostupni paketi».
Na popisu pronađite klijentske izvozne pakete.
Kliknite "Potvrdi".
Paket će biti instaliran i dostupan pod VPN & gt; OpenVPN na kartici "Izvoz klijenta".
Idi na VPN & gt; OpenVPN na kartici "Izvoz klijenta".
Odaberite VPN s OpenVPN DD-WRT padajućeg popisa opcija daljinskog pristupa.
Postavite sve potrebne parametre na vrhu.
Pronađite korisnika na popisu pri dnu stranice i odaberite odgovarajući tip konfiguracije za izvoz.
Izvršite ažuriranje, nakon čega je konfiguracija VPN-a na vatrozidu dovršena.
Izbor instalacijskog programa za Windows je najčešći, a Inline konfiguracija je najbolja kada se koristi postojeći klijent koji nije na popisu. Na dnu stranice korisničkog paketa za izvoz nalazi se veza na često korištene korisnike. Pravila vatrozida za strogo upravljanje prometom u ovom VPN-u mogu se dodati u odjeljak Vatrozid & gt; "Pravila" na kartici VPN. Ne preporučuje se povezivanje kupaca izravno na lokalnoj mreži.
Uređivanje konfiguracijske datoteke
Često je tijekom praktične primjene platforme potrebno urediti OpenVPN konfiguracijsku datoteku.
Redoslijed izvršenja:
Postavite ovu liniju na korištenjeIP adrese korisnika, koje su definirane iz naredbe ifconfig: vim /etc/openvpn/server.conf.
Briše redak ako postoji: pritisnite "dhcp-option DNS 1080.1" #push dhcp-option DNS 888.8. Ova push direktiva postavlja DHCP parametar koji komunicira klijentsku vezu s VPN-om koji bi trebao biti korišten kao primarni DNS poslužitelj.
Pretpostavlja se da će on biti jedini rezolver, budući da određuje uzvodne poslužitelje. Instaliranje ne-Pi rezolvera ovdje može imati negativne učinke na blokiranje oglasa, ali može pružiti toleranciju na pogreške ako uređaj ne radi.
Ponovno pokrenite VPN da biste primijenili promjene. Ovisno o operativnom sustavu, jedna od tih naredbi trebala bi raditi na ponovnom pokretanju usluge: systemctl restart openvpn.
Ponovno pokrenite uslugu OpenVPN za konfiguriranje sustava Windows 7.
Sada kada je poslužitelj konfiguriran, povežite korisnike tako da možete koristiti područje usluge. Za to je potreban certifikat. Napravite ga i nabavite .ovpn datoteku pokretanjem instalacijskog programa i odabirom: Dodaj novog korisnika za svakog klijenta koji će se povezati s VPN-om.
Ovaj postupak možete ponoviti za veći broj klijenata. U ovom primjeru kliknite "Dodaj novog korisnika" tako što ćete pozvati datoteku ovpn na isti način kao i naziv hosta klijenta, ali možete prihvatiti vlastitu strategiju imenovanja.
Odaberite Dodaj novog korisnika i unesite ime klijenta.
OpenVPN je već instaliran.
Dodajte novog korisnika.
Otkažite postojećuKorisnik.
Izbriši OpenVPN.
Izlaz.
Za identifikaciju se preporuča koristiti samo jednu riječ, a posebni znakovi nisu potrebni, na primjer, ime klijenta: iphone7. To će stvoriti ovpn datoteku koju želite kopirati na klijentski stroj. Ovaj proces također generira nekoliko drugih pronađenih datoteka /etc /openvpn /easy-rsa /pki /, što omogućuje identifikaciju javnog ključa.
VPN klijent ASUS router
Mnogi usmjerivači podržavaju pristup VPN-u, tako da možete koristiti VPN klijent za aktiviranje veze kućne mreže. To je obično potrebno osobama koje nemaju povjerenja u svog kućnog internetskog pružatelja usluga ili ometaju upad u osobne podatke. Mnogi ljudi postavljaju OpenVPN Asus poslužitelj kako bi osigurali sigurno surfanje kada je osoba u sumnjivim mrežama, kao što je hotel ili internet cafe. To će omogućiti korisniku pružanje standardnih VPN poslužitelja s plaćenom uslugom ili kućnim usmjerivačem. Često, osobi treba ne samo omogućiti daljinski pristup surfanju s mreže, već i korištenje interne mreže. Najbolji način za kućnu sigurnost je zatvoriti sve priključke usmjerivača i pristupiti samo kućnoj mreži pomoću šifriranog VPN-a.
ASUS usmjerivač podržava OpenVPN u obliku klijent /poslužitelj. Bolje je stvoriti korisnike s dugim slučajnim lozinkama dobivenim od GRC generatora. ASUS usmjerivači podržavaju dva poslužitelja, tako da se mogu konfigurirati za pristup kućnoj mreži i zaSigurno pregledavanje:
Nakon što instalirate ove opcije, izvezite datoteku .ovpn.
Zatim konfigurirajte klijentski način rada i uvezite .ovpn datoteku.
Preporučuje se da nakon postavljanja zatvorite sve priključke usmjerivača.
Čim se to učini, obavezno skenirajte usmjerivač s GRC Shields Up.
Stvaranje poslužitelja temeljenog na Mikrotiku
Postoji dobra prilika za konfiguriranje OpenVPN Mikrotik poslužitelja koristeći svoj usmjerivač. U ovom primjeru koristit ćete usmjerivač s vanjskim IP 19216888.2 internim IP 19216889.1 i spremnikom za OVPN klijente - 19216887.0 /24. Kreiranje i potpisivanje certifikata obavlja se na sljedeći način:
Prilikom konfiguriranja OpenVPN mikrostrip poslužitelja, korisnik će morati izvršavati više naredbi jedno za drugim. Potpisivanjem certifikata trebat će vremena i preuzeti CPU.
Povremeno će se pojaviti poruka o pogrešci pod nazivom "vrijeme djelovanja" kada korisnik potpiše certifikate, to nije kritično, samo treba malo pričekati.
Možete vidjeti da je usmjerivač zauzeta ikonom središnjeg CPU certifikata. Kad je certifikat potpisan, učitava se CPU, pojavljuje se KLAT.
Nakon prijave možete prijeći na sljedeći certifikat.
Zatim, prilikom konfiguriranja OpenVPN poslužitelja, Mikrotik pohranjuje izvezene datoteke na računalo:
Potpišite javni ključ.
Otvara naredbeni redak s poboljšanim povlasticama, premješta se na mjesto gdje su datoteke spremljene i pokreće: C: Program Files OpenVPN bin openssl.exe rsa-u client1.key -out client1.key.
Program će od vas tražiti da unesete pogrešno napisanu frazu za client1.key. Postavite zaporku pri izvozu certifikata.
Zatim stvorite novu skupinu za postavljanje Linux OpenVPN poslužitelja.
Za testiranje poslužitelja, osim certifikata i ključa, upotrijebite test.ovpn i auth.cfg. Prednost korištenja VPN-a je u tome što ovaj program blokira oglase na uređaju pomoću skripte oglasne jedinice na OVPN poslužitelju. Ako trebate izbrisati korisnika i otkazati certifikat, umetnite # skriptu u MikroTik prozor terminala i vratite konfiguraciju poslužitelja.
VPN za kućnu mrežu
Mnogi usmjerivači podržavaju pristup VPN-u. Korisnici koriste konfiguraciju poslužitelja OpenVPN Ubuntu kako bi osigurali sigurno surfanje kada su u upitnim javnim mrežama. To je ono što pružaju standardni VPN poslužitelji, bilo da se radi o plaćenoj usluzi ili kućnom usmjerivaču. Potreban je još jedan korak. Ona se sastoji u tome da ne dopušta daljinsko surfanje mrežom, već ima pristup internoj mreži. Najbolji način zaštite je zatvaranje svih priključaka usmjerivača i pristup kućnoj mreži samo pomoću šifriranog VPN-a. ASUS podržava "klijentski" ili poslužiteljski način rada. Obično se usmjerivač konfigurira samo kao VPN poslužitelj. Prvo, prilikom kreiranja OpenVPN poslužitelja, Ubuntu stvara korisnike s lozinkama. Preporučljivo je doći do zbunjujućih imena i duge slučajne lozinke.
Generator GRC lozinke
U odjeljku "Napredne opcije" u nastavku, pomoćni programiradite na ASUS usmjerivaču za pristup kućnoj mreži i konfigurirajte ga samo za sigurno pregledavanje.
Nakon što instalirate ove opcije, izvezite datoteku .ovpn. Zatim postavite klijentski način rada i uvezite .ovpn datoteku. U prozoru na vrhu zaslona na koji je uređaj spojen, pojavljuje se VPN poruka. Da biste provjerili kvalitetu veze, možete otvoriti web-stranicu. Nakon povezivanja možete otvoriti aplikaciju Remote Desktop, prijaviti se na Windows NVR i spojiti se na lokalnu web-stranicu pomoću sigurne šifrirane veze s bilo koje mreže. Preporučljivo je zatvoriti sve priključke usmjerivača. Čim se to učini, morate skenirati program pomoću GRC Shields Up.
Postavljanje potpuno opremljenog SSL-a
Konfiguriranje OpenVPN poslužitelja pomoću CentOS-a Linux verzija 7.0 provodi se radi zaštite aktivnosti pregledavanja na javnom Wi-Fi-ju. Postupak je sljedeći:
Ažurira sustav i pokreće naredbu: {vivek @ centos7: ~} $ sudo yum ažuriranje.
Pronađite i zabilježite svoju IP adresu.
Koristite IP naredbu na sljedeći način: dig /host da biste saznali javnu IP adresu iz naredbenog retka kada instalirate OpenVPN poslužitelj na Centos 7
Potražite AWS /EC2 ili Lighsail NAT s CLI IP adresama. Većina CentOS Linux cloud servera ima dvije vrste IP adresa - otvoreno statičko, izravno dodijeljeno računalo i usmjereno s Interneta, te privatni statički, izravno spojen na poslužitelj koji stoji iza NAT-a. Skripta će automatski otkriti mrežne postavke. Sve toMorate to učiniti kako biste na upit dali točnu IP adresu.
Sljedeće, za konfiguriranje Linux OpenVPN poslužitelja, preuzmite i pokrenite skriptu centos7-vpn.sh koristeći naredbe wget i instalacijske dozvole s chmod. Skriptu možete pogledati pomoću uređivača teksta kao što je vim /vi. Zatim, kopirajte desktop.ovpn, provjerite vezu s CLI, a zatim će se Linux desktop sustav automatski povezati kada ponovno pokrenete računalo pomoću skripte ili openvpn usluge. Provjerite postoje li pogreške u OpenVPN poslužiteljima: {vivek @ centos7: ~} $ journalctl - identifikator otvoren. Zatim koristite naredbu cat da biste vidjeli pravila: {vivek @ centos7: ~} $ cat /etc/iptables/add-openvpn-rules.sh.
Instalacija za Linux Debian
Konfiguracija Debian OpenVPN poslužitelja može se izvesti za različite verzije. Prethodno unesite naziv novog uređaja i aktivirajte potrebne dodatne značajke. Pomaknite se prema dolje i stvorite podatke za prijavu i konfiguraciju za OpenVPN protokol. Odaberite protokol koji želite koristiti: OpenVPN (UDP). UDP pruža veću brzinu od TCP verzije, ali u nekim slučajevima može dovesti do pogreške pri pokretanju. Odaberite zemlju. Budući da se izvorne veze protokola mogu koristiti samo s jednim poslužiteljem, morate odabrati zemlju iz koje ćete surfati. Ako trebate različite konfiguracije PPTP, L2TP ili Debian OpenVPN poslužitelja u različitim zemljama, ponovite redom sve korake za svaku od njih. Ovisno o lokaciji koja je odabrana kao atribut trenutnog plana, možete definirati i skupinu koja će koristiti standard i bonusposlužiteljima. Nakon preuzimanja konfiguracijske datoteke, kliknite "Download Configuration" i spremite je na svoje računalo. Zatim izvadite preuzetu datoteku i preimenujte 'openvpn.ovpn' u 'CG_Country.conf', kopirajte datoteku u direktorij VPN konfiguracije. Da biste to učinili, otvorite prozor terminala i idite u mapu iz koje je izvađen upisivanjem: cd [put do mape s izdvojenim konfiguracijskim datotekama]. Zatim kopirajte datoteke:
sudo cp CG_XX.conf /etc /openvpn /
sudo cp ca.cert /etc /openvpn /
sudo cp client.crt /etc /openvpn /
sudo cp client.key /etc /openvpn /
Preuzmite informacije o paketu otvaranjem konzole i upisivanjem ažuriranja sudo apt-get. Idite na mapu cd /etc /openvpn i unesite sljedeću naredbu za stvaranje i otvaranje tekstualne datoteke pod nazivom korisnik: sudo nano user.txt. Sljedeće dvije linije dodaju se na dnu konfiguracijske propusnice (nakon comp-lzo): gore /etc /openvpn /update-resolv-conf i dolje /etc /openvpn /update-resolv-conf. Pohranite pomoću CTRL + O i izađite iz urednika pomoću CTRL + X. Zatim preuzmite datoteku automatski upisivanjem: sudo nano /etc /default /openvpn. Konačno, unesite u konzolu: sudo update-rc.d openvpn ("Omogući"). Propisano: pokrenite sudo servis openvpn. Pričekajte nekoliko sekundi, a zatim provjerite radi li sve u redu.
Umrežavanje s pfSense-om
Virtualni privatni VPN-ovi mogu se koristiti za niz vrlo korisnih aplikacija. Pokretanje vlastitog poslužitelja omogućit će vam da šifrirate sve što korisnik radi na internetu, na primjer, tako da možete sigurno obavljati online bankarstvo na besplatnom Wi-Fi-ju u kafiću. Sve što šaljete putem VPN veze bit će šifrirano iz vašeg osobnog uređaja dok ne budedo poslužitelja Njegove postavke za pristup kućnoj ili uredskoj mreži pružaju puni pristup svim datotekama, kao što je pfSense, što vam omogućuje sigurno korištenje interneta s udaljene lokacije i sigurno slanje cijelog prometa kroz njega (ako korisnik to zahtijeva). Poslužitelj na kojem je pokrenut pfSense postav OpenVPN poslužitelja djeluje kao sam ruter s vlastitom IP adresom. Predinstalirajte najnoviju verziju pfSense-a s WAN sučeljem i LAN sučeljem i povežite se s klijentskim uređajem preko njegovog sučelja. To je potrebno za pristup webConfiguratoru za konfiguriranje pfSense.
Prednosti modernog sigurnosnog standarda
OpenVPN ima ne samo naprednu sigurnost već i visoku prilagodljivost pomoću softvera treće strane. Postoje komercijalni dobavljači koji preuzimaju protokol i pretvaraju ga u VPN za svoje korisnike. Primjer za to je PrivateTunnel s vlasničkom VPN zaštitom. Postoje i OpenVPN klijenti koji nisu bazirani na proizvođačima, kao što je SecurePoint SSL VPN klijent, a oba su dostupna kao open source otvorenog softvera. OpenVPN protokoli za šifriranje mogu vam pomoći da zaobiđete Deep Packet Inspection (DPI), koji koriste mnoge zemlje. DPI je tehnologija praćenja koja provjerava promet koji prolazi kroz njega u stvarnom vremenu, ali se može prilagoditi da ga sakrije. Ostali veliki protokoli pripadaju najvećim internetskim divovima Microsoft, L2TP i Cisco, uključujući PPTP i SSTP.VPN pobjeđuje zbog dostupnosti otvorenog izvornog koda koji je slobodno dostupan za izmjene i razvoj, kao i za podršku zajednice. Sav izvorni kod najnovije verzije OpenVPN, 244 objavljen je u rujnu 2017. i dostupan je za preuzimanje sivih IP postavki OpenVPN poslužitelja.
Mnogi usmjerivači podržavaju pristup VPN-u. Korisnici koriste konfiguraciju poslužitelja OpenVPN Ubuntu kako bi osigurali sigurno surfanje kada su u upitnim javnim mrežama. To je ono što pružaju standardni VPN poslužitelji, bilo da se radi o plaćenoj usluzi ili kućnom usmjerivaču. Potreban je još jedan korak. Ona se sastoji u tome da ne dopušta daljinsko surfanje mrežom, već ima pristup internoj mreži. Najbolji način zaštite je zatvaranje svih priključaka usmjerivača i pristup kućnoj mreži samo pomoću šifriranog VPN-a. ASUS podržava "klijentski" ili poslužiteljski način rada. Obično se usmjerivač konfigurira samo kao VPN poslužitelj. Prvo, prilikom kreiranja OpenVPN poslužitelja, Ubuntu stvara korisnike s lozinkama. Preporučljivo je doći do zbunjujućih imena i duge slučajne lozinke.
Sljedeće, za konfiguriranje Linux OpenVPN poslužitelja, preuzmite i pokrenite skriptu centos7-vpn.sh koristeći naredbe wget i instalacijske dozvole s chmod. Skriptu možete pogledati pomoću uređivača teksta kao što je vim /vi. Zatim, kopirajte desktop.ovpn, provjerite vezu s CLI, a zatim će se Linux desktop sustav automatski povezati kada ponovno pokrenete računalo pomoću skripte ili openvpn usluge. Provjerite postoje li pogreške u OpenVPN poslužiteljima: {vivek @ centos7: ~} $ journalctl - identifikator otvoren. Zatim koristite naredbu cat da biste vidjeli pravila: {vivek @ centos7: ~} $ cat /etc/iptables/add-openvpn-rules.sh.
